【一周安全资讯1104】证监会发布《上市公司公告电子化规范》等9项金融行业标准；北京网信办对三家违反数据安全法规企业作出行政处罚

要闻速览

1、证监会发布《上市公司公告电子化规范》等9项金融行业标准
2、《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求》公开征求意见
3、北京市网信办对三家企业未履行数据安全保护义务作出行政处罚
4、加拿大禁止政府雇员使用微信和卡巴斯基
5、次覆盖“人的因素”，MITRE ATT&CK v14发布
6、波音公司疑遭Lockbit勒索软件攻击

一周政策要闻

证监会发布《上市公司公告电子化规范》等9项金融行业标准
近日，证监会发布《上市公司公告电子化规范第1部分：公告分类》《上市公司公告电子化规范第2部分：首次披露》《上市公司公告电子化规范第3部分：交易类临时公告》《上市公司公告电子化规范第4部分：公司治理类临时公告》《上市公司公告电子化规范第5部分：权益变动类临时公告》《上市公司公告电子化规范第6部分：融资类临时公告》《上市公司公告电子化规范第7部分：其他临时公告》《上市公司公告电子化规范第8部分：定期报告》《证券期货业信息安全运营管理指南》9项金融行业标准，自公布之日起施行。
《上市公司公告电子化规范》金融行业系列标准是对《上市公司信息披露电子化规范》金融行业标准的修订。《上市公司信息披露电子化规范》自发布以来，对于规范上市公司信息披露电子文档发挥了重要作用。近年来，随着资本市场的改革发展与可扩展商业报告语言（XBRL）技术的发展，上市公司信息披露面临新情况、新要求。修订后的系列标准，由8个部分构成，将上市公司公开披露公告根据业务现状进行了分类，从多个角度规范上市公司信息披露业务范围和技术要求，标准的实施有利于进一步提升上市公司信息披露的标准化程度，提高相关文件披露内容的规范性、准确性、统一性与及时性，有助于实现行业内及与其他行业间的信息共享。
《证券期货业信息安全运营管理指南》金融行业标准给出了信息安全运营管理过程中基础安全、信息资产、漏洞、开发安全、数据安全等方面的管理思路和方法，并给出了各管理域的度量指标以及行业最佳实践。标准的制定实施可有效指导行业机构建立完善的安全运营体系和流程，规范信息安全运营管理过程，推动相关安全措施的有效实施和持续改进。
需要获取行业标准详情请在评论区留言“行业标准” ，小铭哥会第一时间为您提供相关资料。
信息来源：证监会发布 https://mp.weixin.qq.com/s/yt0P4nxUh2v0iD3n316rhQ

《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求》公开征求意见

2023年11月1日，全国信息安全标准化技术委员会秘书处发布通知，秘书处组织编制了《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求（征求意见稿）》。根据《全国信息安全标准化技术委员会<网络安全标准实践指南>管理办法（暂行）》要求，秘书处现组织对《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求（征求意见稿）》面向社会公开征求意见。
在这里插入图片描述
需要获取文件详情请在评论区留言“获取” ，小铭哥会第一时间为您提供相关资料。
信息来源：全国信息安全标准化技术委员会 https://www.tc260.org.cn/front/postDetail.html?id=20231101123231

业内新闻速览

北京市网信办对三家企业未履行数据安全保护义务作出行政处罚
近日，根据国家网信办移交的问题线索，北京市网信办依据《中华人民共和国数据安全法》对属地三家企业涉嫌存在网络数据安全违法行为进行立案调查并作出行政处罚。
经查实，三家企业违反《中华人民共和国数据安全法》第二十七条规定，未履行数据安全保护义务，部署的ElasticSearch数据库存在未授权访问漏洞，造成部分数据泄露。北京市网信办依据《中华人民共和国数据安全法》第四十五条第一款规定，对三家企业分别作出责令改正，给予警告，并处5万元罚款的行政处罚，对直接主管人员和其他责任人员处以1万元罚款处罚。
依据相关法律法规，企业应牢固树立合规意识，规范数据处理行为，完善数据安全防护技术措施，严格履行主体责任，切实维护网络安全和数据安全。下一步，北京市网信办将持续强化相关领域执法，坚决筑牢网络安全、数据安全保护屏障。
消息来源：网信北京 https://mp.weixin.qq.com/s/SVmFqC40Z-8vzPfj6xPl6A

加拿大禁止政府雇员使用微信和卡巴斯基
近日，加拿大政府发布公告，禁止政府员工在移动设备上使用卡巴斯基安全产品和腾讯的微信（Wechat）应用，原因是对网络安全和国家安全的担忧。
该禁令的出台是因为加拿大担心这两家公司秘密地将敏感信息传输给俄罗斯和中国的情报机构。移动设备，如智能手机和平板电脑，经常被带入和带出工作场所，这使得难以监控秘密的数据窃取行为（这些指控都没有证据）。
公告指出：
“今天，财政部长Anita Anand宣布禁止在政府发放的移动设备上使用微信和卡巴斯基的一系列应用。加拿大首席信息官认定，微信和卡巴斯基的一系列应用对隐私和安全构成了不可接受的风险。”
“在移动设备上，微信和卡巴斯基应用的数据收集方式可以大量访问设备的内容。”
“虽然使用这些应用的风险是明确的，但我们没有证据表明政府信息已经被泄露。”
禁令将于2023年10月30日生效，届时所有的微信和卡巴斯基软件必须从加拿大政府发放的移动设备中移除。
之后，政府将实施阻止下载这些应用的措施，确保这些软件不会再次出现在这些设备上。
对于公众能否使用上述软件，公告强调人们有选择应用的自由，但建议参考加拿大网络安全中心的相关指南。
消息来源： GoUpSec https://mp.weixin.qq.com/s/qc4-49sIhPLuaMDGHF8j0A

首次覆盖“人的因素”，MITRE ATT&CK v14发布
MITRE在万圣节期间发布了MITRE ATT&CK v14，这是流行的ATT&CK框架的一次重大版本更新，范围首次扩大到针对“人类漏洞”的非技术攻击。
ATT&CK是流行的事件调查框架和对手TTPs知识库，每六个月发布一个新版本。其目标是对现实世界网络攻击中对手的行为进行编目和分类。该框架不断进行调整，以包含攻击者与设备、系统和网络交互的最新技术、方法和流程。

MITRE ATT&CK包括以下三大矩阵：
企业版，涵盖用于针对Windows、macOS、Linux、PRE、云平台（AzureAD、Office365、GoogleWorkspace、SaaS、IaaS）、网络设备和容器的策略和技术
移动设备（安卓、iOS）
ICS（工业控制系统）

首次覆盖针对人员的非技术攻击
MITRE高级网络安全工程师AmyL.Robertson表示：“随着攻击者不断发展对人类漏洞的利用，ATT&CK在此版本中扩大了其范围，涵盖了更多邻近但会导致直接网络交互或影响的活动。”
“新增的范围覆盖了可能没有直接技术成分的欺骗行为和社会工程技术，包括金融盗窃、冒充和鱼叉式网络钓鱼。”

MITRE ATT&CK v14的其他重大更新：
增强的检测注释可帮助防御者在分析网络流量时检测对手行为的迹象
增强检测、数据源和缓解措施之间的关系
ICS矩阵中包含的新资产（设备和系统）
更广泛的移动矩阵（添加了新的网络钓鱼向量，包括quishing）和结构化检测
新软件、攻击组织和记录的活动

实施 MITRE ATT&CK需要循序渐进
MITRE ATT&CK项目负责人Adam Pennington指出：“ATT&CK最初是一个识别对手及其策略的Excel电子表格，现在已经转变为一个被世界各地用户引用和贡献的框架。”
企业可以使用ATT&CK框架打磨其威胁模型、评估供应商能力、映射检测以简化分析师的工作、进行员工培训等。
企业应该从小范围小规模开始，循序渐进地实施ATT&CK框架。
“该框架分为多种技术，因此组织可以从与其系统相关的单个策略开始。例如，如果您关心身份管理，可以深入研究对手如何窃取密码并识别他们行为之间的重叠。一旦达到这些优先级点，就可部署针对性的保护措施。”Pennington建议道。
MITRE还致力于开发D3FEND框架，一个针对常见进攻技术的防御技术知识库，也是一个供网络安全专业人员针对特定网络威胁定制防御的框架，D3FEND与侧重对手知识库的ATT&CK框架形成互补。
消息来源： GoUpSec https://mp.weixin.qq.com/s/38fS-QB1cHYTRQ9yu3Dlxw

波音公司疑遭Lockbit勒索软件攻击
上周日，Lockbit勒索软件组织将波音公司列入其受害者名单。据Foxbusiness和Register等媒体报道，Lockbit宣称从波音公司窃取了大量“敏感数据”，而波音公司则表示正在核实Lockbit的说法。
Lockbit于10月27日在泄露网站上发布帖子（下图），威胁称如果波音公司不与其联系谈判，将在UTC时间11月2日13:25:39截止日期之前发布数据。
在这里插入图片描述
Lockbit表示，其勒索软件附属团伙利用零日漏洞获得了波音公司系统的访问权限。然而，Lockbit并未详细说明此漏洞，因此安全研究人员无法验证这些声明是否真实。
Lockbit没有透露据称从波音公司窃取了多少数据，也没有透露所要求的赎金金额。波音公司没有进一步置评。
截至本文发稿，波音公司已经被Lockbit从泄露名单中移除，这可能意味着波音公司已经与该勒索组织展开谈判或者支付赎金。
消息来源：GoUpSec https://mp.weixin.qq.com/s/2ormJCk0ohfmv5UW_D2DgQ