物联网安全规范竞相出台，网安正在成为新质产品力

北京语势科技有限公司第1页 地址：北京市朝阳区建国路93号院10号楼201室电话：010-58528858传真：010-58529386 邮箱：mail@themegpt.cn 信息安全 主题跟踪周报 2024年3月17日-2024年3月23日 物联网安全规范竞相出台，网安正在成为新质产品力 本周，美国政府和企业联盟分别推出物联网安全规范。一个是美国联邦通信委员会（FCC）启动的针对无线消费类物联网产品的自愿性网络安全标签计划，另一个是连接标准联盟（CSA）发布的全球物联网安全规范1.0版。CSA称，该规范由200余家知名成员公司共同参与起草，含亚马逊、康卡斯特、飞利浦Hue等厂商及ARM、英飞凌和恩智浦等芯片制造商。 近年来，家用摄像头等家居联网设备一直是网络犯罪分子的主要目标；近期研究表明，50%的公司曾遭遇过物联网网络安全事件。据Statista预测，到2030年，全球运营的物联网设备将超过290亿台。为了迎合更多消费者和企业的安全诉求，物联网安全新规将给网安市场带来额外的巨大市场。关注国内相关标准的筹备及可能更多受益的标准制订的参与企业。 美国国会通过TikTok剥离法案后，新的物联网安全标签计划料将把美国的“国家安全”技术贸易壁垒扩大到所有消费电子、物联网和智能设备。语势提示，全球贸易撕裂从制造业产业链向数字经济标准蔓延加剧。2025财年，美国联邦政府网络安全预算将超930亿元，增幅超10%。其中，近两个财年联邦政府的云安全支出增幅更是惊人（详见下图）。国内方面，政府网安支出、云安全支出获得主题支持。 图：美国联邦政府近三个财年云安全建设支出高速增长 图片来源：互联网 本周主题热度与情绪 注：热度图通过计算主题关联资讯在整体资讯中的占比，反映主题的热度变化；情绪图通过计算主题关联资讯对主题支持/削弱影响计算主题情绪变化。 信息安全的主题热度曲线震荡上行，主题情绪保持在峰值。构成本周的热度事件中，苹果芯片安全漏洞、供水系统防范网络攻击、物联网安全规范相继出台为推高叙事热度贡献力量，国内通过量子芯片等加密通信新闻的占比也有所上升。 数据来源：语势科技 本周主题词频趋势与新晋热词 注：词频趋势图展示主题词汇表中当期和上一期词汇排名变化，反映主题内部热点变化；新晋热词指词汇表中本期排名 Top50词汇中排名上升较大的词汇。 新晋热词 随机数发生器：国内首个商用量子随机数发生器芯片QRNG-10合肥产； 访问控制：KaihongOS具备一系列安全特性含访问控制、安全审计、数据完整性、数据加密等； 沙箱：天融信“AI+网络安全”已融入AI技术的沙箱等创新型产品； 云安全：360智慧生活防护、保障视觉云安全；云安全公司Zscaler收购Avalor。 数据来源：语势科技 本周主题事件 网络安全苹果AppleSilicon芯片曝安全隐患：黑客可利用漏洞窃取用户数据2024-03-22支持 据消息人士透露，近期在AppleSilicon芯片中发现了一种安全漏洞，这一漏洞极易被利用以窃取用户隐私数据。这一漏洞现存于DataMemory-DependentPrefetcher（即DMP）内部。黑客可借此获取加密密钥，进而盗取用户个人信息。此类攻击行为被称为GoFetch操作。值得注意的是，该类攻击仅需同许多第三方macOS应用程序类似的用户权限即可实现，大大降低了攻击难度。然而，由于漏洞位于AppleSilicon芯片核心部位，短期内尚无法得到全面修复。 https://www.elecfans.com/d/2563129.html 网络安全全球物联网安全规范1.0版发布，提高智能家居产品安全性2024-03-22支持 在智能家居产品广泛普及的背景下，安全问题变得尤为突出。为此，连接标准联盟（CSA）推出了一项新计划，旨在解决智能家居设备的安全问题。该联盟本周宣布了物联网设备安全规范（IoTDeviceSecuritySpecification），这是一项基准网络安全标准和认证计划，旨在为消费类物联网设备提供全球认可的单一安全认证。CSA表示，该规范由亚马逊、康卡斯特、Signify（飞利浦Hue）等厂商，以及Arm、英飞凌和恩智浦等芯片制造商，超过200家成员公司共同参与起草，并制定了1.0规范版本。http://news.cheaa.com/2024/0322/633579.shtml 网络安全自动修复三分之二漏洞！GitHub推出AI代码扫描修复工具2024-03-22支持 近日，GitHub推出了革命性的AI代码扫描功能，可帮助开发人员在编码过程中更快地修复漏洞。“代码扫描自动修复”功能由GitHubCopilot和CodeQL共同提供，可帮助修复超过90%的JavaScript、Typescript、Java和Python代码漏洞预警类型。据GitHub声称，在GihHubCopilot的帮助下，开发者在编码过程中只需少量甚至无需编辑即可解决超过三分之二的已发现漏洞。https://www.secrss.com/articles/64617 网络安全白宫警告：美国关键供水系统正在遭受“致命网络攻击”2024-03-21支持 美国总统国家安全事务助理JakeSullivan和环保署署长MichaelS.Regan在一封公开信中写道：“美国各地的饮用水和污水系统正面临着致命的网络攻击威胁。这些攻击可能会破坏关键的清洁和安全饮用水，给受影响的社区带来巨大损失。”公开信提到了最近发生的两起公用水务设施面临的黑客威胁，这些威胁来自敌对国家支持的组织。 https://www.secrss.com/articles/64595 网络安全匿名黑客发布威胁声明：以色列核设施的数千份秘密文件已泄露2024-03-21支持 匿名的黑客组织（推特名为@anonymous_opil）声称他们能够获取并发布数千份与以色列核计划相关的文件，包括PDF、电子邮件和PowerPoint演示文稿。数量显示，有4290份PDF，5000份邮件，352人能EXCEL，28份压缩文件，1359份DOC文件，236份PPT文件等。https://mp.weixin.qq.com/s/XJ1mEcXAwHzR9giDV8_B2g 加密通信中国量子通信迈出重要一步：QRNG-10量子芯片通过严格检测2024-03-20支持 合肥硅臻芯片研发的量子随机数发生器芯片QRNG-10的成功突破，标志着中国在量子通信领域迈出了重要一步。这枚芯片通过了国家密码管理局商用密码检测中心的严格检测，成为国内首个达到这一标准的量子芯片。这一里程碑的背后，蕴含着中国量子技术的发展潜力和实力。预计，QRNG-10将在短期内投入量产，并逐步推向市场。这将为国内量子通信产业的发展注入新的动力。 https://fiber.ofweek.com/2024-03/ART-210008-8220-30629319.html 网络安全采购订单暴涨！美国联邦政府近三年积极推进云安全建设2024-03-20支持 在2021-2023财年期间，美国联邦政府对基于云的网络安全解决方案的采购显著增长。得益于网络行政令发布、采纳零信任作为组织框架以及可用解决方案的不断增多，联邦机构对以服务形式交付的安全解决方案不断增加投资。与2021财年相比，2022财年基于云的网络安全中标合同数量几乎增长了三倍。这种增长趋势在2023财年继续存在。 https://www.secrss.com/articles/64563 网络安全美国FCC启动物联网安全标签计划2024-03-20支持 美国联邦通信委员会（FCC）近日宣布启动一项针对无线消费类物联网产品的自愿性网络安全标签计划。FCC推动的物联网安全标签计划将允许通过认证的消费类智能设备制造商（以外部标签的方式）展示其产品符合FCC制定的严苛网络安全标准。 https://www.goupsec.com/news/15733.html 网络安全美国环保署希望成立水务部门网络工作组以应对海外威胁2024-03-20支持 美国环境保护署（EPA）表示，计划成立一个新的工作组，旨在帮助水务部门应对来自伊朗等国家日益增多的网络攻击。美国环保署将于周四（3月21日）与各州环境、卫生和国土安全部长举行会议，讨论“保护水务部门关键基础设施免受网络威胁的迫切需要”。作为会议的一部分，美国环保署表示，计划成立一个“水部门网络安全工作组”，确定“降低全国水系统遭受网络攻击的风险的近期行动和战略”。https://therecord.media/epa-water-sector-cyber-task-force-china-iran 网络安全深开鸿KaihongOS:首个通过公安部检测认证的开源鸿蒙安全操作系统2024-03-19支持 近日，国产操作系统“KaihongOS”通过了国家网络与信息系统安全产品质量检验检测中心的严格安全测试，获得了《信息技术产品安全测试证书》，这是首个通过公安部安全检测认证的开源鸿蒙安全操作系统发行版。KaihongOS具备一系列安全特性，包括访问控制、安全审计、数据完整性、数据加密、网络安全保护等，并通过分布式软总线技术，显著增强了机密信息存储能力。同时，由KaihongOS构建的超级终端天生具备威胁检测能力，能够实现多设备间协同防御。 https://news.hexun.com/2024-03-19/212229417.html 网络安全奖金超两亿人民币，DARPA主办AI驱动的漏洞检测/修复挑战赛2024-03-18支持 过往的十年，人工智能技术的飞速发展为人类带来了更多可能性，在网络安全领域的应用也有着巨大潜力。人工智能网络挑战赛（AIxCC）应运而生，旨在凝聚人工智能和网络安全领域最优秀、最聪明的人来保卫全体美国公民所依赖的软件。主办方DARPA为挑战赛准备了高达2950万美元（约合2.1亿人民 币）的奖金，并且与Anthropic、谷歌、微软和OpenAI进行合作举办这场挑战赛，力求推进网络安全与人工智能的产业融合和技术创新。半决赛将在2024年8月举办的DEFCON32拉开序幕，总决赛将在 2025年举办的DEFCON33上打响。 https://www.secrss.com/articles/64485 舆情管理全球冲突升级可能导致iPhone和Android设备在俄罗斯联邦被屏蔽2024-03-18支持 俄罗斯国家杜马信息政策委员会副主席安东·戈雷尔金（AntonGorelkin）分享了他对领先科技公司在军事冲突进一步升级时可能采取的措施的假设。戈雷尔金表示，如果情况达到新的、更严重的阶段，美国公司苹果和谷歌可能会决定对俄罗斯用户采取前所未有的措施。在这种情况下，苹果可能会完全封锁iPhone智能手机在俄罗斯的运行，而谷歌将禁用基于Android操作系统的非闪存设备。https://www.securitylab.ru/news/546842.php 网络安全电游《ApexLegends》北美决赛因重大黑客事件推迟2024-03-18支持 《ApexLegendsEsports》官方X（以前的Twitter）宣布了一个重磅炸弹：由于担心竞争诚信受到损害，北美决赛已被推迟。《ApexLegends》黑客事件发生在北美总决赛期间，两名玩家，代表DarkZero战队的Genburton和来自TeamSoloMid(TSM)的ImperialHal无意中遭遇了游戏黑客攻击。这次《ApexLegends》黑客事件的主要亮点包括由于视频游戏违规而推迟北美总决赛，有报道称职业选手在比赛中配备了瞄准机器人和墙黑客。视频游戏黑客攻击不仅针对玩家的代码，还引起了人们对《ApexLegends》安全基础设施的更广泛担忧。 https://thecyberexpress.com/apex-legends-hacking-incident/ 网络安全网传AT&T泄露7100万用户数据，该公司再次否