合规速递
01 全球40余位CISO联名呼吁OECD与G7加强网络安全法规协同性
原文: https://www.csoonline.com/article/3968941/group-of-cisos-calls-on-oecd-g7-for-stronger-alignment-of-security-regs.html
全球CISO警告:法规碎片化削弱网络防御,呼吁G7和OECD统一标准、共享情报、建立协同机制,以应对跨国网络威胁。现状不可持续,需加速国际合作,避免资源浪费。
02 《网络安全技术 移动终端安全技术规范》等9项国家标准公开征求意见
原文: https://www.tc260.org.cn/front/bzzqyjList.html?start=0&length=10
全国网络安全标准化技术委员会归口的《网络安全技术 SM2密码算法加密签息名消格式》等9项国家标准现已形成标准征求意见稿。根据《全国网络安全标准化技术委员会标准制修订工作程序》要求,现将该9项标准征求意见稿面向社会公开征求意见。
03 中央网信办等四部门印发《2025年提升全民数字素养与技能工作要点》
原文: https://www.cac.gov.cn/2025-04/27/c_1747459876424202.htm
《工作要点》指出,要坚持以习近平新时代中国特色社会主义思想为指导,全面贯彻落实党的二十大和二十届二中、三中全会精神,进一步健全数字人才培育体系,拓展数字经济增长空间,构建普惠包容数字社会,打造智慧便捷数字生活,营造安全有序数字环境,完善协同联动工作格局,不断夯实新质生产力发展的人力资源基础,助力我国人口高质量发展。
热点资讯
01 AI炒作加剧网络安全人才危机的两种表现
原文: https://www.csoonline.com/article/3958818/two-ways-ai-hype-is-worsening-the-cybersecurity-skills-crisis.html
AI技术加剧安全团队压力:需监管AI应用并整合AI工具,但缺乏培训导致技能缺口。攻击方利用AI提升威胁,防御方疲于应对。合理使用AI可增强人力,但需明确目标与培训。AI是辅助工具,无法替代人类专业。
02 微软"安全未来计划":公司史上最大规模网络安全工程
原文: https://cybersecuritynews.com/microsofts-secure-future-initiative-biggest-cybersecurity-project-in-its-history/
微软发布"安全未来计划"进展:投入3.4万工程师年工作量,全员纳入安全考核,推出11项新防护功能,迁移90%身份令牌至硬件模块,拦截40亿美元欺诈,发现180个漏洞,28项目标中5项接近完成,显著提升平台安全性与客户保护水平。
03 朝鲜IT人员利用实时深度伪造技术通过远程工作渗透组织
原文: https://cybersecuritynews.com/north-korean-it-workers-using-real-time-deepfake/
朝鲜IT工作者利用实时深度伪造技术冒充应聘者渗透企业,通过视频面试呈现逼真合成身份,绕过传统验证。该技术采用GANs生成人脸并实时映射表情,但存在遮挡伪影等缺陷。建议企业通过多层验证(如特定动作测试)防范此类威胁。
安全事件
01 俄罗斯黑客利用微软OAuth机制通过Signal和WhatsApp攻击乌克兰盟国
原文: https://thehackernews.com/2025/04/russian-hackers-exploit-microsoft-oauth.html
俄罗斯黑客升级攻击手段,利用微软OAuth 2.0认证漏洞,通过Signal和WhatsApp诱骗乌克兰及盟友目标分享验证码,控制Microsoft 365账户。新型社交工程攻击高度定向,滥用合法微软基础设施,防御难度大。建议审计设备注册、加强用户教育并实施条件访问策略。
02 加州蓝盾大规模数据泄露事件启示:务必阅读操作手册
原文: https://www.csoonline.com/article/3970155/lesson-from-huge-blue-shield-california-data-breach-read-the-manual.html
美国医疗保险公司因Google Analytics配置错误,致470万会员健康数据泄露四年。专家警示:使用第三方服务需严格审查隐私设置,警惕跨服务数据共享风险,避免敏感信息意外流向广告系统。
03 新型"电力寄生虫"网络钓鱼攻击瞄准能源企业与知名品牌
原文: https://cybersecuritynews.com/new-power-parasites-phishing-attack/
"电力寄生虫"网络钓鱼活动冒充西门子等能源巨头,通过虚假投资和招聘骗局,利用150+域名和多语言策略针对亚洲用户,窃取财务数据。攻击采用统一模板和共享基础设施,YouTube和Telegram也被利用传播。
沪公安网备案 33300222000012098号
