要聞速覽

1、證監(jiān)會發(fā)布《上市公司公告電子化規(guī)范》等9項(xiàng)金融行業(yè)標(biāo)準(zhǔn)

2、《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—粵港澳大灣區(qū)跨境個(gè)人信息保護(hù)要求》公開征求意見

3、北京市網(wǎng)信辦對三家企業(yè)未履行數(shù)據(jù)安全保護(hù)義務(wù)作出行政處罰

4、加拿大禁止政府雇員使用微信和卡巴斯基

5、次覆蓋“人的因素”，MITRE ATT&CK v14發(fā)布

6、波音公司疑遭Lockbit勒索軟件攻擊

一周政策要聞

證監(jiān)會發(fā)布《上市公司公告電子化規(guī)范》等9項(xiàng)金融行業(yè)標(biāo)準(zhǔn)

近日，證監(jiān)會發(fā)布《上市公司公告電子化規(guī)范 第1部分：公告分類》《上市公司公告電子化規(guī)范 第2部分：首次披露》《上市公司公告電子化規(guī)范 第3部分：交易類臨時(shí)公告》《上市公司公告電子化規(guī)范 第4部分：公司治理類臨時(shí)公告》《上市公司公告電子化規(guī)范 第5部分：權(quán)益變動類臨時(shí)公告》《上市公司公告電子化規(guī)范 第6部分：融資類臨時(shí)公告》《上市公司公告電子化規(guī)范 第7部分：其他臨時(shí)公告》《上市公司公告電子化規(guī)范 第8部分：定期報(bào)告》《證券期貨業(yè)信息安全運(yùn)營管理指南》9項(xiàng)金融行業(yè)標(biāo)準(zhǔn)，自公布之日起施行。

《上市公司公告電子化規(guī)范》金融行業(yè)系列標(biāo)準(zhǔn)是對《上市公司信息披露電子化規(guī)范》金融行業(yè)標(biāo)準(zhǔn)的修訂?！渡鲜泄拘畔⑴峨娮踊?guī)范》自發(fā)布以來，對于規(guī)范上市公司信息披露電子文檔發(fā)揮了重要作用。近年來，隨著資本市場的改革發(fā)展與可擴(kuò)展商業(yè)報(bào)告語言（XBRL）技術(shù)的發(fā)展，上市公司信息披露面臨新情況、新要求。修訂后的系列標(biāo)準(zhǔn)，由8個(gè)部分構(gòu)成，將上市公司公開披露公告根據(jù)業(yè)務(wù)現(xiàn)狀進(jìn)行了分類，從多個(gè)角度規(guī)范上市公司信息披露業(yè)務(wù)范圍和技術(shù)要求，標(biāo)準(zhǔn)的實(shí)施有利于進(jìn)一步提升上市公司信息披露的標(biāo)準(zhǔn)化程度，提高相關(guān)文件披露內(nèi)容的規(guī)范性、準(zhǔn)確性、統(tǒng)一性與及時(shí)性，有助于實(shí)現(xiàn)行業(yè)內(nèi)及與其他行業(yè)間的信息共享。

《證券期貨業(yè)信息安全運(yùn)營管理指南》金融行業(yè)標(biāo)準(zhǔn)給出了信息安全運(yùn)營管理過程中基礎(chǔ)安全、信息資產(chǎn)、漏洞、開發(fā)安全、數(shù)據(jù)安全等方面的管理思路和方法，并給出了各管理域的度量指標(biāo)以及行業(yè)最佳實(shí)踐。標(biāo)準(zhǔn)的制定實(shí)施可有效指導(dǎo)行業(yè)機(jī)構(gòu)建立完善的安全運(yùn)營體系和流程，規(guī)范信息安全運(yùn)營管理過程，推動相關(guān)安全措施的有效實(shí)施和持續(xù)改進(jìn)。

需要獲取行業(yè)標(biāo)準(zhǔn)詳情請?jiān)谠u論區(qū)留言“行業(yè)標(biāo)準(zhǔn)” ，小銘哥會第一時(shí)間為您提供相關(guān)資料。

信息來源： 證監(jiān)會發(fā)布 https://mp.weixin.qq.com/s/yt0P4nxUh2v0iD3n316rhQ

《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—粵港澳大灣區(qū)跨境個(gè)人信息保護(hù)要求》公開征求意見

2023年11月1日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會秘書處發(fā)布通知，秘書處組織編制了《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—粵港澳大灣區(qū)跨境個(gè)人信息保護(hù)要求（征求意見稿）》。根據(jù)《全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會<網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南>管理辦法（暫行）》要求，秘書處現(xiàn)組織對《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—粵港澳大灣區(qū)跨境個(gè)人信息保護(hù)要求（征求意見稿）》面向社會公開征求意見。

需要獲取文件詳情請?jiān)谠u論區(qū)留言“獲取” ，小銘哥會第一時(shí)間為您提供相關(guān)資料。

信息來源：全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會 https://www.tc260.org.cn/front/postDetail.html?id=20231101123231

業(yè)內(nèi)新聞速覽

北京市網(wǎng)信辦對三家企業(yè)未履行數(shù)據(jù)安全保護(hù)義務(wù)作出行政處罰

近日，根據(jù)國家網(wǎng)信辦移交的問題線索，北京市網(wǎng)信辦依據(jù)《中華人民共和國數(shù)據(jù)安全法》對屬地三家企業(yè)涉嫌存在網(wǎng)絡(luò)數(shù)據(jù)安全違法行為進(jìn)行立案調(diào)查并作出行政處罰。

經(jīng)查實(shí)，三家企業(yè)違反《中華人民共和國數(shù)據(jù)安全法》第二十七條規(guī)定，未履行數(shù)據(jù)安全保護(hù)義務(wù)，部署的ElasticSearch數(shù)據(jù)庫存在未授權(quán)訪問漏洞，造成部分?jǐn)?shù)據(jù)泄露。北京市網(wǎng)信辦依據(jù)《中華人民共和國數(shù)據(jù)安全法》第四十五條第一款規(guī)定，對三家企業(yè)分別作出責(zé)令改正，給予警告，并處5萬元罰款的行政處罰，對直接主管人員和其他責(zé)任人員處以1萬元罰款處罰。

依據(jù)相關(guān)法律法規(guī)，企業(yè)應(yīng)牢固樹立合規(guī)意識，規(guī)范數(shù)據(jù)處理行為，完善數(shù)據(jù)安全防護(hù)技術(shù)措施，嚴(yán)格履行主體責(zé)任，切實(shí)維護(hù)網(wǎng)絡(luò)安全和數(shù)據(jù)安全。下一步，北京市網(wǎng)信辦將持續(xù)強(qiáng)化相關(guān)領(lǐng)域執(zhí)法，堅(jiān)決筑牢網(wǎng)絡(luò)安全、數(shù)據(jù)安全保護(hù)屏障。

消息來源：網(wǎng)信北京 https://mp.weixin.qq.com/s/SVmFqC40Z-8vzPfj6xPl6A

加拿大禁止政府雇員使用微信和卡巴斯基

近日，加拿大政府發(fā)布公告，禁止政府員工在移動設(shè)備上使用卡巴斯基安全產(chǎn)品和騰訊的微信（Wechat）應(yīng)用，原因是對網(wǎng)絡(luò)安全和國家安全的擔(dān)憂。

該禁令的出臺是因?yàn)榧幽么髶?dān)心這兩家公司秘密地將敏感信息傳輸給俄羅斯和中國的情報(bào)機(jī)構(gòu)。移動設(shè)備，如智能手機(jī)和平板電腦，經(jīng)常被帶入和帶出工作場所，這使得難以監(jiān)控秘密的數(shù)據(jù)竊取行為（這些指控都沒有證據(jù)）。

公告指出：

“今天，財(cái)政部長Anita Anand宣布禁止在政府發(fā)放的移動設(shè)備上使用微信和卡巴斯基的一系列應(yīng)用。加拿大首席信息官認(rèn)定，微信和卡巴斯基的一系列應(yīng)用對隱私和安全構(gòu)成了不可接受的風(fēng)險(xiǎn)?！?

“在移動設(shè)備上，微信和卡巴斯基應(yīng)用的數(shù)據(jù)收集方式可以大量訪問設(shè)備的內(nèi)容?！?

“雖然使用這些應(yīng)用的風(fēng)險(xiǎn)是明確的，但我們沒有證據(jù)表明政府信息已經(jīng)被泄露?！?

禁令將于2023年10月30日生效，屆時(shí)所有的微信和卡巴斯基軟件必須從加拿大政府發(fā)放的移動設(shè)備中移除。

之后，政府將實(shí)施阻止下載這些應(yīng)用的措施，確保這些軟件不會再次出現(xiàn)在這些設(shè)備上。

對于公眾能否使用上述軟件，公告強(qiáng)調(diào)人們有選擇應(yīng)用的自由，但建議參考加拿大網(wǎng)絡(luò)安全中心的相關(guān)指南。

消息來源： GoUpSec https://mp.weixin.qq.com/s/qc4-49sIhPLuaMDGHF8j0A

首次覆蓋“人的因素”，MITRE ATT&CK v14發(fā)布

MITRE在萬圣節(jié)期間發(fā)布了MITRE ATT&CK v14，這是流行的ATT&CK框架的一次重大版本更新，范圍首次擴(kuò)大到針對“人類漏洞”的非技術(shù)攻擊。

ATT&CK是流行的事件調(diào)查框架和對手TTPs知識庫，每六個(gè)月發(fā)布一個(gè)新版本。其目標(biāo)是對現(xiàn)實(shí)世界網(wǎng)絡(luò)攻擊中對手的行為進(jìn)行編目和分類。該框架不斷進(jìn)行調(diào)整，以包含攻擊者與設(shè)備、系統(tǒng)和網(wǎng)絡(luò)交互的最新技術(shù)、方法和流程。

MITRE ATT&CK包括以下三大矩陣：

• 企業(yè)版，涵蓋用于針對Windows、macOS、Linux、PRE、云平臺（AzureAD、Office365、GoogleWorkspace、SaaS、IaaS）、網(wǎng)絡(luò)設(shè)備和容器的策略和技術(shù)
• 移動設(shè)備（安卓、iOS）
• ICS（工業(yè)控制系統(tǒng)）

首次覆蓋針對人員的非技術(shù)攻擊

MITRE高級網(wǎng)絡(luò)安全工程師AmyL.Robertson表示：“隨著攻擊者不斷發(fā)展對人類漏洞的利用，ATT&CK在此版本中擴(kuò)大了其范圍，涵蓋了更多鄰近但會導(dǎo)致直接網(wǎng)絡(luò)交互或影響的活動?！?

“新增的范圍覆蓋了可能沒有直接技術(shù)成分的欺騙行為和社會工程技術(shù)，包括金融盜竊、冒充和魚叉式網(wǎng)絡(luò)釣魚?！?

MITRE ATT&CK v14的其他重大更新：

• 增強(qiáng)的檢測注釋可幫助防御者在分析網(wǎng)絡(luò)流量時(shí)檢測對手行為的跡象
• 增強(qiáng)檢測、數(shù)據(jù)源和緩解措施之間的關(guān)系
• ICS矩陣中包含的新資產(chǎn)（設(shè)備和系統(tǒng)）
• 更廣泛的移動矩陣（添加了新的網(wǎng)絡(luò)釣魚向量，包括quishing）和結(jié)構(gòu)化檢測
• 新軟件、攻擊組織和記錄的活動

實(shí)施 MITRE ATT&CK需要循序漸進(jìn)

MITRE ATT&CK項(xiàng)目負(fù)責(zé)人Adam Pennington指出：“ATT&CK最初是一個(gè)識別對手及其策略的Excel電子表格，現(xiàn)在已經(jīng)轉(zhuǎn)變?yōu)橐粋€(gè)被世界各地用戶引用和貢獻(xiàn)的框架?！?

企業(yè)可以使用ATT&CK框架打磨其威脅模型、評估供應(yīng)商能力、映射檢測以簡化分析師的工作、進(jìn)行員工培訓(xùn)等。

企業(yè)應(yīng)該從小范圍小規(guī)模開始，循序漸進(jìn)地實(shí)施ATT&CK框架。

“該框架分為多種技術(shù)，因此組織可以從與其系統(tǒng)相關(guān)的單個(gè)策略開始。例如，如果您關(guān)心身份管理，可以深入研究對手如何竊取密碼并識別他們行為之間的重疊。一旦達(dá)到這些優(yōu)先級點(diǎn)，就可部署針對性的保護(hù)措施?！盤ennington建議道。

MITRE還致力于開發(fā)D3FEND框架，一個(gè)針對常見進(jìn)攻技術(shù)的防御技術(shù)知識庫，也是一個(gè)供網(wǎng)絡(luò)安全專業(yè)人員針對特定網(wǎng)絡(luò)威脅定制防御的框架，D3FEND與側(cè)重對手知識庫的ATT&CK框架形成互補(bǔ)。

消息來源： GoUpSec https://mp.weixin.qq.com/s/38fS-QB1cHYTRQ9yu3Dlxw

波音公司疑遭Lockbit勒索軟件攻擊

上周日，Lockbit勒索軟件組織將波音公司列入其受害者名單。據(jù)Foxbusiness和Register等媒體報(bào)道，Lockbit宣稱從波音公司竊取了大量“敏感數(shù)據(jù)”，而波音公司則表示正在核實(shí)Lockbit的說法。

Lockbit于10月27日在泄露網(wǎng)站上發(fā)布帖子（下圖），威脅稱如果波音公司不與其聯(lián)系談判，將在UTC時(shí)間11月2日13:25:39截止日期之前發(fā)布數(shù)據(jù)。

Lockbit表示，其勒索軟件附屬團(tuán)伙利用零日漏洞獲得了波音公司系統(tǒng)的訪問權(quán)限。然而，Lockbit并未詳細(xì)說明此漏洞，因此安全研究人員無法驗(yàn)證這些聲明是否真實(shí)。

Lockbit沒有透露據(jù)稱從波音公司竊取了多少數(shù)據(jù)，也沒有透露所要求的贖金金額。波音公司沒有進(jìn)一步置評。

截至本文發(fā)稿，波音公司已經(jīng)被Lockbit從泄露名單中移除，這可能意味著波音公司已經(jīng)與該勒索組織展開談判或者支付贖金。

消息來源：GoUpSec https://mp.weixin.qq.com/s/2ormJCk0ohfmv5UW_D2DgQ

來源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來，僅用于分享，并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性，部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請?jiān)髡呗?lián)系我們，我們會盡快刪除處理，謝謝！