新的一周又开始了，以下是本周「Lianwei周报」，我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件，保证大家不错过本周的每一个重点！

政策/标准/指南最新动态

01  国家工信安全中心发布软件物料清单 (SBOM) 标准社区版

10月24日，国家工业信息安全发展研究中心（简称“国家工信安全中心”）正式发布软件物料清单（SBOM）标准——《软件物料清单构成和要求》，旨在规范软件开发过程中物料清单构成及相关要求，提高软件产品的质量和可维护性，促进软件产业健康发展，对于提升我国软件产业链供应链韧性和安全性水平具有重要意义。 

详情：

https://www.secrss.com/articles/71651

02  美国政府发布首份关于人工智能的国家安全备忘录

美国政府10月24日公开发布首份关于人工智能的国家安全备忘录，旨在确保美国在抓住人工智能的前景和管理人工智能风险方面发挥领军作用，鼓励联邦政府采用人工智能来推进国家安全使命，并寻求塑造围绕人工智能使用的国际规范。除了该备忘录外，美国白宫还发布了《国家安全领域推进人工智能治理和风险管理框架》，对此前针对非国家安全任务的指南进行了补充。该框架提供了实施备忘录的进一步细节和指导，包括要求建立风险管理、评估、问责和透明度机制。

详情：

https://www.secrss.com/articles/71668

03  美国CISA颁布史上最严数据安全规定

近日，美国网络安全与基础设施安全局（CISA）宣布了一项史无前例的，极为严苛的数据安全规定，旨在防止“敌对国家”获取美国政府和公民敏感数据。这一提案主要针对从事受限交易的（科技）企业，特别是那些涉及美国政府和个人敏感数据且有可能暴露给“重点关注国家”或“受限人员”的企业。

通过这一提案，CISA希望提升相关行业的数据安全标准，防止“重点关注国家”或个体通过技术手段获取美国的关键数据。

详情：

https://www.secrss.com/articles/71600

04  荷兰政府发布《欧盟人工智能法案》指南

近日，荷兰政府发布了《欧盟人工智能法案》（EU AI Act，以下简称为AI法案）指南，以供组织内的人工智能（AI）开发人员和部署人员参考使用。指南提出相关组织适用AI法案需要考虑的四个主要问题。 

详情：

https://www.secrss.com/articles/71572

05  美国CISA发布《软件组件透明度框架》报告

近日，美国网络安全与基础设施安全局（CISA）发布《软件组件透明度框架》。该框架由CISA通用软件物料清单(SBOM)和实施工作组创建，旨在提高软件组件透明度。CISA表示，本次文件扩大了2021 年发布指南中引用的建立软件透明度所需的基线内容。新文件阐明了每个SBOM基线属性内涵，添加了两个新的基线属性“许可证”和“版权所有者”，并且强调SBOM消费过程中的风险管理。据悉，国土安全部科学技术理事会2023年4月已选择七家公司构建基于SBOM 的产品。

详情：

https://www.secrss.com/articles/71567

热点资讯

01  IBM推出Guardium数据安全平台，以应对AI与量子计算带来的安全风险

10月22日，IBM宣布推出IBM Guardium Data Security Center。该平台整合了AI和量子安全技术，其目的是保护数据在整个生命周期中的安全，以应对混合云、AI和量子计算带来的新兴风险。

详情：

https://www.secrss.com/articles/71585

02  石家庄市政府与360达成战略合作树立全国数字经济创新发展标杆

10月24日，2024中国国际数字经济博览会在石家庄（正定）国际会展中心召开。在开幕式上，石家庄市人民政府与360数字安全集团正式签订了战略合作协议，双方将在数字安全能力体系建设、人工智能大模型创新基地建设以及产业生态构建等方面开展全面合作，推动该市跃升为全国数字经济创新发展标杆城市的同时，以石家庄市为核心，辐射河北省全省范围内的数字安全和人工智能产业升级。石家庄市副市长李为军、360数字安全集团总裁胡振泉共同参加了签约仪式。

详情：

https://www.anquanke.com/post/id/301291

03  思科修复了数十个漏洞，其中包括一个被积极利用的漏洞

思科修补了Adaptive Security Appliance (ASA)、Secure Firewall Management Center (FMC)和Firepower Threat Defense (FTD)产品中的多个漏洞，包括一个被追踪为 CVE-2024-20481的主动利用漏洞。

CVE-2024-20481 漏洞（CVSS 得分为 5.8）是一个拒绝服务(DoS)问题，影响ASA 和 FTD的远程访问VPN (RAVPN)服务。

未认证的远程攻击者可利用该漏洞导致 RAVPN服务拒绝服务(DoS)。

详情：

https://www.anquanke.com/post/id/301263

04  AI 和 deepfakes 助长了网络钓鱼诈骗，使检测变得更加困难

Teleport 公司称，人工智能冒充现在是网络安全专业人员保护公司免受攻击的最难媒介。该研究调查了250位美国和英国的高级决策者，结果显示社交工程仍然是网络犯罪分子用来安装恶意软件和窃取敏感数据的最主要手段之一，而人工智能和深度伪造的进步则进一步助长了网络钓鱼欺诈的有效性。

详情：

https://www.anquanke.com/post/id/301251

05  四家上市公司因网络安全信披违规被罚5000万元

安全内参10月24日消息，美国证券交易委员会（SEC）22日宣布，因四家公司在2019年“太阳风”（SolarWinds）数据泄露事件中做出误导性披露，决定对其处以民事罚款， 四家上市公司被罚698.5万美元（约合人民币4968万元）。

详情：

https://www.secrss.com/articles/71570

安全事件

01  知名手表厂商遭遇灾难式勒索攻击：系统瘫痪、交付延迟、财报推迟

知名手表厂商遭勒索攻击，系统瘫痪且恢复无进展，公司运营受到极大影响，交付严重延迟，财报也推迟了约一周发布。

详情：

https://www.secrss.com/articles/71557

02  多款云存储平台存在安全漏洞，影响超2200万用户

Mandiant发布的一份新报告指出，最近披露的据苏黎世联邦理工学院研究人员Jonas Hofmann和Kien Tuong Turong的发现，端到端加密（E2EE）云存储平台存在一系列安全问题，可能会使用户数据暴露给恶意行为者。在通过密码学分析后，研究人员揭示了Sync、pCloud、Icedrive、Seafile和Tresorit服务的问题，这些服务共同被超过2200万人使用。

详情：

https://www.bleepingcomputer.com/news/security/severe-flaws-in-e2ee-cloud-storage-platforms-used-by-millions/

03  美国在线家具零售1StopBedrooms泄露100万订单信息

一名暗网行为者声称已泄露来自美国在线家具零售商1StopBedrooms.com的数据。据报道，此次泄露暴露了大约100万个订单的详细信息，包括客户地址、电子邮件地址和电话号码。

详情：

https://www.hendryadrian.com/1stopbedrooms-database-breach-exposes-1-million-orders/