【壹周快报】2项网络安全标准实践指南征求意见稿发布，并公开征求意见；Conduent遭黑客攻击，美多地公共服务中断

锐成信息壹周快报，汇总了本周的热点资讯、安全事件，保证大家不错过本周的每一个重点!本周重点关注：2项网络安全标准实践指南征求意见稿发布，并公开征求意见；Conduent遭黑客攻击，致美国多地公共服务中断。

【热点资讯】

1、2项网络安全标准实践指南征求意见稿发布，并公开征求意见

近日，国标委发布了《网络安全标准实践指南——摇一摇广告个人权益规范指引（征求意见稿）》旨在规范App和第三方SDK展示和触发摇一摇开屏广告的行为、保障用户个人权益；《网络安全标准实践指南——人工智能生成合成内容标识 服务提供者编码规则（征求意见稿）》，为生成合成服务提供者和内容传播服务提供者提供编码规则，指导其开展人工智能生成合成内容的文件元数据隐式标识工作，并发布了公开征求意见的通知。

• 资料来源：全国网络安全标准化技术委员会秘书处
• 资料链接：https://www.tc260.org.cn/front/hydtList.html?start=0&length=10&postType=2

2、《量子安全威胁及其对国内金融行业的影响研究报告》发布

近日，量子专委会发布了由工商银行、建设银行、农业银行、邮储银行、国盾量子等13家机构共同编制的《量子安全威胁及其对国内金融行业的影响研究报告》，总结了当前量子计算发展现状和趋势，分析了量子计算对金融密码体制和应用场景的影响，从密码算法重构、量子密钥分发、密码技术融合应用等方面提出金融业应对潜在安全威胁的思路，并对未来建立金融长效安全体系进行展望。

• 资料来源：量子专委会
• 资料链接：https://mp.weixin.qq.com/s/YglRr6KB-BV2f100MNVuIA

3、CISA和FBI发布最新版《产品安全不良实践》

近日，美国网络安全和基础设施安全局CISA和FBI共同发布了最新版《产品安全不良实践》，以推进 CISA 的“设计安全”计划，最新版增加了更多的不良行为、有关内存安全语言的内容、明确了修补已知漏洞 (KEV) 的时间表以及其他建议。据悉，该实践指南主要针对开发支持关键基础设施的软件产品和服务的软件制造商，但建议所有软件制造商避免这些产品安全不良做法。

4、AWS发布缓解勒索软件攻击的最佳安全实践

近日，亚马逊网络服务（AWS）宣布了一套最佳实践，旨在帮助客户保护其云环境免受勒索软件攻击和其他未经授权的活动。据悉，该指南是针对最近亚马逊简单存储服务（S3）桶的恶意加密活动增多而发布的，凸显了强大安全措施的重要性。AWS 概述了四项关键措施，以降低与勒索软件攻击相关的风险，一实施短期凭证，二建立数据恢复程序，三监控 AWS 资源的异常活动，四必要时限制 SSE-C 的使用。

【安全事件】

1、政府IT供应商Conduent遭黑客攻击，致美国多地公共服务中断

据therecord消息，政府IT供应商Conduent遭黑客攻击，破坏了该公司的操作系统，导致美国多地公共服务被迫中断多天。Conduent 发言人说，这次入侵很快就被控制住了，经第三方安全专家确认，其技术环境目前没有已知的恶意活动。

2. WordPress房地产插件漏洞，致3.2万个网站面临安全风险

据cybersecuritynews消息，在流行的RealHomes WordPress 主题及其配套插件 Easy Real Estate 中发现了严重的安全漏洞，被追踪为 CVE-2024-32444 和 CVE-2024-32555，会导致未经授权的访问。据悉，RealHome主题（付费版）是专为房地产网站制作的最受欢迎的高级主题之一，拥有约 32,000 个销售量，可能导致使用了这些主题的网站遭受网络攻击。

3、超1000个恶意域名模仿Reddit和WeTransfer发送恶意软件

据cybersecuritynews消息，超1000个恶意域名冒充Reddit和WeTransfer等流行平台传播恶意软件。网络攻击者将这些域名伪装成真实的样子，利用可信的品牌欺骗用户，让用户在不知情的情况下下载恶意软件，这些恶意软件能够扫描包含敏感信息的特定文件，如与加密货币钱包和密码相关的文件。

4、50000台Fortinet防火墙仍存在严重零日漏洞

据cybersecuritynews消息，截至2025年1月22日，尽管有紧急警告和可用补丁，但仍有近50000台Fortinet防火墙设备暴露于一个严重零日漏洞 (CVE-2024-55591)。据悉，此零日漏洞可以被网络攻击者利用绕过身份验证并获得受影响系统的超级管理员权限，攻击者能够执行未经授权的命令，创建流氓管理员帐户，修改防火墙策略，并为网络内的横向移动建立VPN隧道。

5、网络威胁者利用Microsoft Teams的语音通话发送勒索软件

据cybersecuritynews消息，近日MDR发现了两个不同的勒索软件活动，它们利用 Microsoft Teams 对目标组织进行未经授权的访问。网络威胁者先向受害者发起电子邮件攻击，假扮IT支持人员向受害者发起 Microsoft Teams 呼叫，随后引导受害者安装Microsoft Quick Assist或使用Teams内置的远程控制功能，控制后就执行恶意有效载荷。对此，建议组织应限制来自外部实体的团队呼叫，限制使用快速助手等远程访问工具，并实施应用程序控制设置以防止未经授权的快速助手执行。

部分图文内容来源网络，仅供传播交流