更加重视情报共享，白宫召开第二届国际反勒索软件峰会【信息安全三分钟】2022.11.02

信息安全三分钟

盘点24小时内最新信息安全事件，旨在帮助安全工作者能够快速、高效抵御安全威胁。

当地时间10月31日至11月1日，美国协同其他35个国家，在华盛顿白宫举行了第二届国际勒索软件倡议（CRI）峰会，以研究如何更好地打击勒索软件攻击。会议还计划建立基于自愿原则的国际反勒索软件工作组（ICRTF），开发跨部门工具和威胁情报交流网络，以提高预警能力，并整合政策和最佳实践框架。ICRTF计划编制关于工具、战术和程序的公开报告，在提高反勒索软件安全水位的同时鼓励相关私营部门与ICRTF开展合作。本次与会的还有13家企业及组织，包括微软、西门子、Crowdstrike、Mandiant 、非营利组织网络威胁联盟、网络安全联盟和安全与技术研究所等。

黑客对于澳大利亚的网络攻击愈演愈烈，近日攻击了该国军方和国防部门使用的通信平台。据路透社10月31日报道，澳大利亚国防部官员马特·齐索斯维特表示，负责运营该国国防部网站的通信平台ForceNet服务器遭到了黑客攻击。政府已通知所有国防部人员，建议他们修改密码。澳大利亚广播公司称，一些军人的私人信息，包括出生日期和入伍细节等很可能已经泄露。黑客采用的勒索软件通常对受害者的数据进行加密，黑客只有收到赎金后才会解密。技术专家认为，澳大利亚之所以成为黑客的攻击目标，是因为该国缺乏足够数量的、专业技能过硬的网络安全人员。

斯洛伐克议会IT系统遭到某个信号干扰，导致原定会议被迫暂停，甚至为议员们服务的自助餐厅都受到了影响。今年以来，罗马尼亚、意大利、立陶宛、挪威、波兰、芬兰、拉脱维亚、波黑等近十个欧洲国家的议会IT系统均遭受网络攻击，在各国内引发了一系列后果。

美国联邦贸易委员会（FTC）起诉教育科技公司Chegg，该公司自2017年以来遭受了四次数据泄露事件，并泄露了数千万客户和员工的敏感信息。FTC投诉称，这四起数据泄漏事件是由于Chegg公司未能实施基本的安全措施而造成的结果。FTC消费者保护局局长Samuel Levine于10月31日表示，“要求Chegg公司加强安全保障，为消费者提供一种删除数据的简单方法，并限制前端的信息收集。委员会将继续积极行动，以保护个人数据的安全。”

一份2022年第三季度勒索软件的研究报告显示，黑客正在出售对全球576个企业网络的访问权限，累计销售价格为400万美元。相比之下，2022年第二季度出售的访问权限总价值为66万美元。报告中指出，黑客利用盗窃的凭据、Webshell或者公开暴露的硬件中的漏洞获取企业网络的访问权限，并将此权限出售给其他攻击者。据调查，出售企业网络访问权限的平均时间只有1.6天，并且大多数类型为RDP和VPN。此研究报告也对目标国家和行业进行了调查，并提出了相关安全建议。

近期，欧盟委员会推出了首个获批的欧盟通用数据保护条例（GDPR）认证体系——Europrivacy（欧洲隐私）。这一数据保护标记最近还获得了欧洲数据保护委员会的批准，象征着欧盟在推动隐私保护规则上又向前迈进了一大步。

点击下方公众号即可快速关注