一、政策扫描

国内就电力行业标准公开征求意见，印发《关于促进数据安全产业发展的指导意见》。美国提案创建数字后备军团，发布太空运营网络安全指南和人工智能风险管理框架。欧盟通过跨境获取电子证据法规和指令草案。俄罗斯设立数字身份识别技术协调委员会。澳大利亚发布针对能源行业关键基础设施的风险评估咨询。
1、《电力行业关键信息基础设施安全保护要求》等两项标准公开征求意见
中国电机工程学会发布电力信息化专委会关于征求《电力行业关键信息基础设施安全保护要求》等两项标准意见的函。《电力行业关键信息基础设施安全保护要求》规定了风险识别、防护、监测预警、应急处置等主要防护环节的保护要求。《微服务智能适配技术规范》规定了电力行业人工智能领域微服务智能适配的架构要求、功能要求、测试方法。
资料来源：http://www.csee.org.cn/portal/xpzxyjzq/20230105/30523.html

2、工信部等十六部门印发《关于促进数据安全产业发展的指导意见》
工信部、国家网信办、国家发展改革委等十六部门印发《关于促进数据安全产业发展的指导意见》，提出到2025年，数据安全产业基础能力和综合实力明显增强。产业生态和创新体系初步建立，标准供给结构和覆盖范围显著优化，产品和服务供给能力大幅提升。
资料来源：https://finance.sina.com.cn/tech/roll/2023-01-17/doc-imyamzpu5830181.shtml

3、NIST发布“太空运营-地面部分”网络安全指南
美国国家标准与技术研究院（NIST）发布了涵盖太空操作地面部分的网络安全框架，重点是卫星指挥和控制。NIST机构间报告（IR）8401旨在将网络安全框架应用于卫星指挥和控制，为太空部门的地面部分创建概况，以帮助利益相关者管理风险。
资料来源：https://www.securityweek.com/nist-finalizes-cybersecurity-guidance-ground-segment-space-operations

4、NIST推出人工智能风险管理框架
美国国家标准技术研究院（NIST）发布了人工智能风险管理框架（AI RMF 1.0），以帮助管理人工智能技术的诸多风险。该文件概述了人工智能和机器学习技术中常见的风险类型，以及实体如何构建合乎道德、值得信赖的系统。
资料来源：https://g.yam.com/geo3G

5、美国众议院立法提案创建数字后备军团
美国众议院立法者提出了两党立法，以创建一个民间组织，致力于解决联邦政府机构的数字和网络安全需求。建立国家数字后备军团的法案将允许预备役人员签署为期三年的合同，以承担数字和网络安全项目、数字教育和培训，以及其他工作。
资料来源：https://g.yam.com/xLiBT

6、欧盟通过跨境获取电子证据法规和指令草案
欧盟理事会发布公告称，欧盟理事会和欧洲议会就跨境获取电子证据的相关法规和指令草案达成协议。相关规定将使欧盟当局可直接向其他成员国相关数据提供方发送获取电子证据的司法指令。
资料来源：https://www.secrss.com/articles/51342

7、俄罗斯设立数字身份识别技术协调委员会
俄罗斯总理米哈伊尔·米舒斯京签署了设立数字身份识别技术协调委员会的法令，该文件发布在法律信息的官方互联网门户网站上。根据该文件，协调委员会确定了俄罗斯联邦生物识别技术发展和统一生物识别系统发展的战略方向，并准备了在法律关系各个领域实施的建议。
资料来源：https://g.yam.com/JV6Yr

8、澳大利亚CISC发布针对能源行业关键基础设施的风险评估咨询
1月17日，澳大利亚网络和基础设施安全中心（CISC）发布了针对能源行业关键基础设施的风险评估咨询，旨在指导评估澳大利亚关键基础设施风险。该文件强调要求利益相关者修改其风险管理方法，以确保准确识别与国家经济和社会繁荣必不可少的资产运营相关的风险。
资料来源：https://g.yam.com/dwS0t

二、安全事件

本月监测到勒索事件12起、APT攻击6起、数据泄露事件28起、网络攻击10起。其中典型的事件有FBI合法渗透大型勒索软件团伙HIVE并没收其服务器，乌克兰称沙虫黑客使用数据擦除器攻击新闻机构，塞尔维亚内政部网站和基础设施遭到DDoS攻击等。
1、FBI合法渗透大型勒索软件团伙HIVE七个月后没收服务器
美国联邦调查局局长与司法部长在华盛顿就司法部的国际勒索软件执法行动发表了讲话。联邦调查局局长在新闻发布会上说，扣押行动包括美国、德国和荷兰警方的参与，是正在进行的调查的一部分，可能会导致逮捕。司法部长说，联邦特工没收了位于洛杉矶的两台服务器。
资料来源：https://mp.weixin.qq.com/s/5jjmZBZDLNASfotHUlt_uA

2、乌克兰称沙虫黑客用5个数据擦除器攻击新闻机构
乌克兰计算机应急响应小组（CERT-UA）在该国国家新闻机构（Ukrinform）的网络上发现了五种不同的数据擦除恶意软件组合。“截至2023年1月27日，检测到5个恶意程序（脚本）样本，其功能旨在破坏信息的完整性和可用性”CERT-UA说。
资料来源：https://g.yam.com/cW2Cz

3、塞尔维亚内政部网站和基础设施遭到DDoS攻击
塞尔维亚政府在1月7日的一份声明中表示，其内政部的网站和IT基础设施遭到了多次大规模分布式拒绝服务（DDoS）攻击，迄今为止他们已经抵御了五次针对其IT基础设施的大型攻击。声明中指出，增强的安全协议已被激活，这可能会导致某些服务偶尔会中断。
资料来源：https://www.intellinews.com/serbia-reports-massive-cyberattack-on-interior-ministry-266192/

4、Dragos发布2022年第四季度工业勒索软件分析报告
Dragos在2022年第四季度工业勒索软件分析报告中指出，76%的勒索软件攻击影响了制造业，比第三季度增加了38%。其次是食品和饮料，占攻击的8%，与第三季度大致持平。7%的攻击针对能源行业，而制药行业的攻击占5%。石油和天然气为2%，其他制造业为攻击总数的1%或更少。
资料来源：https://www.dragos.com/blog/industry-news/dragos-industrial-ransomware-analysis-q4-2022

5、Aflac日本分公司客户信息遭到泄露
全球保险公司Aflac的日本分公司于1月9日获悉其客户的信息被发布在信息泄露网站上，经确认一名黑客从外部外包承包商使用的服务器上窃取了数据。该事件影响了1,323,468名客户，涉及3,158,199条数据，泄露的个人信息包括姓名、年龄、性别、保单号码、保险金额和保险费等。
资料来源：https://www.bankinfosecurity.com/aflac-zurich-policyholders-in-japan-affected-by-data-leaks-a-20909

6、尼日利亚石油天然气行业联合系统遭受网络攻击
威胁行为者攻击了尼日利亚石油和天然气行业内容联合系统（nogicjqs.gov.ng），并将其数据发布在黑客论坛上，发布的样本图片中包含备份和MySQL数据。NOGIC JQS网站提供的服务包括尼日利亚石油和天然气行业的承包商注册、船舶注册、验证、招标管理等。
资料来源：https://thecyberexpress.com/nigerian-oil-gas-sector-hackers-target-nogic/

7、印度尼西亚国有国防承包商Pindad遭遇数据泄露
一个伪装成美国国家安全局（UsNSA）的未经授权的行为者试图在暗网论坛上出售从Pindad盗取的数据，其中包括PNS ID、NIP（员工识别号码）、TPP（额外员工收入）以及有关该行业的其他重要信息。Pindad是印度尼西亚一家专门从事军事和商业项目的国有公司，向印度尼西亚国家武装部队提供枪支和弹药。
资料来源：https://thecyberexpress.com/pt-pindad-indonesia-military-commercial-hacked/

三、漏洞态势

西门子PLC中存在多个架构漏洞，可导致对操作代码和数据的持续任意修改。Text-to-SQL模型漏洞允许攻击者收集敏感信息并发起DoS攻击。GE Proficy Historian、InHand工业路由器和OpenText的企业内容管理存在多个漏洞，其严重漏洞可能导致代码执行。
1、西门子SIMATIC和SIPLUS S7-1500系列PLC中存在多个架构漏洞
研究人员发现西门子SIMATIC和SIPLUS S7-1500系列PLC中存在多个架构漏洞。漏洞跟踪为CVE-2022-38773，CVSS评分4.6，攻击者可以利用这些漏洞绕过所有受保护的启动功能，从而导致对操作代码和数据的持续任意修改。
资料来源：https://redballoonsecurity.com/siemens-discovery/

2、Text-to-SQL模型漏洞允许数据窃取和DoS攻击
为了更好地与用户交互，大量的数据库应用程序采用AI技术，将人类问题转化为SQL查询（即Text-to-SQL）。研究人员发现，特制的payload可被武器化以运行恶意SQL查询，进而允许攻击者修改后端数据库并对服务器进行拒绝服务（DoS）攻击。
资料来源：https://thehackernews.com/2023/01/new-study-uncovers-text-to-sql-model.html

3、GE Proficy Historian中存在多个漏洞
研究人员在GE Digital的Proficy Historian服务器中发现了五个可利用的漏洞，影响了多个关键基础设施部门。漏洞影响GE Proficy Historian v7.0及更高版本，威胁行为者可以利用安全漏洞访问历史记录、使设备崩溃或远程执行代码。
资料来源：https://g.yam.com/j4TWW

4、InHand工业路由器漏洞使内部OT网络遭受攻击
美国网络安全和基础设施安全局（CISA）发布了安全公告，向组织通报研究人员在InHand的InRouter302和InRouter615路由器中发现的五个漏洞。供应商已发布应修补这些漏洞的固件更新。据CISA称，大多数漏洞与消息队列遥测传输（MQTT）有关，利用它们可能导致命令/代码执行和信息泄露。
资料来源：https://g.yam.com/vdcmN

5、OpenText修复企业内容管理系统中的严重漏洞
研究人员在OpenText的企业内容管理（ECM）产品中发现了多个安全漏洞，包括允许未经身份验证的远程代码执行漏洞。其中一个远程代码执行漏洞跟踪为CVE-2022-45923，可允许未经身份验证的攻击者使用特制请求执行任意代码。
资料来源：https://g.yam.com/L4onS

6、Lexmark警告影响100种打印机型号的RCE漏洞
Lexmark发布安全固件更新以修复一个严重的漏洞，该漏洞可能会在100多种打印机型号上启用远程代码执行（RCE）。该漏洞跟踪为CVE-2023-23560，CVSS评分9.0，是Lexmark设备的Web服务功能中的服务器端请求伪造（SSRF）漏洞，攻击者可能利用此漏洞在设备上执行任意代码。
资料来源：https://g.yam.com/yIyWN

7、谷歌Chrome安全漏洞影响20亿用户
研究人员披露了Google Chrome和基于Chromium的浏览器中的一个高危漏洞，该漏洞是通过审查浏览器与文件系统交互的方式发现的。漏洞跟踪为CVE-2022-3656，CVSS评分8.8，允许窃取敏感文件，例如加密钱包。研究人员表示该问题在Chrome 108中得到了彻底解决。
资料来源：https://www.imperva.com/blog/google-chrome-symstealer-vulnerability/

四、产品方案

施耐德电气和BitSight建立合作伙伴关系，以改进对OT网络安全漏洞的检测。Nozomi Networks推出Nozomi Arc终端探针，旨在加快实现全面运营弹性的时间。Otorio发布DCOM Hardening Toolkit，旨在帮助组织检测和解决与Microsoft即将推出的更新相关的问题。Devo Technology推出Devo DeepTrace，通过使用攻击跟踪人工智能来改进安全团队识别攻击、调查威胁和保护其组织的方式。
1、施耐德电气与BitSight合作量化OT风险
施耐德电气和BitSight宣布建立合作伙伴关系，以开发首个全球运营技术（OT）风险识别和威胁情报功能。通过共同努力，施耐德电气将把其对OT协议和系统的深入了解与BitSight市场领先的暴露检测和管理能力相结合，以便为OT社区的外部可观察风险的主动安全监控生成必要的关键见解。
资料来源：https://www.techtarget.com/searchsecurity/news/252529063/BitSight-Schneider-Electric-partner-to-quantify-OT-risk

2、Nozomi Arc通过提高跨端点攻击面的可见性来提高运营弹性
Nozomi Arc终端探针是一个端点可执行文件，可在任务关键型网络中的Windows、Linux或macOS主机上运行。Nozomi Arc终端探针支持漏洞评估、端点保护、流量分析功能以及对正在进行的威胁和异常的更准确诊断。
资料来源：https://g.yam.com/Ca0RP

3、DCOM Hardening Toolkit可检测和解决与DCOM身份验证相关的问题
DCOM Hardening Toolkit是一个PowerShell脚本，可列出安装在受测工作站上的弱DCOM身份验证应用程序，并提供解决相关安全问题的功能。该工具对于使用OPC数据访问（DA）协议在OT网络内的PLC和软件之间进行通信的组织非常有用。
资料来源：https://g.yam.com/hZ6xF

4、Devo DeepTrace帮助安全团队调查警报和可疑事件
Devo DeepTrace是一种自主警报调查和威胁搜寻解决方案。DeepTrace通过以机器速度和规模执行调查来帮助分析师，从一个事件或一个警报开始，它的AI引擎可能会询问数十万个问题，以自主构建完整且按时间顺序详细说明攻击者行为的痕迹。
资料来源：https://www.helpnetsecurity.com/2023/01/18/devo-deeptrace/

五、融资并购

SpiderOak完成C轮融资1640万美元，计划创建空间网络安全实验室。Hack The Box融资5500万美元，以支持网络培训平台。NetSPI收购nVisium，以扩展其攻击性安全解决方案。Bitwarden收购Passwordless.dev，以帮助公司在没有密码的情况下对用户进行身份验证。
1、SpiderOak完成C轮融资1640万美元
SpiderOak在C轮融资中筹集了1640万美元，计划创建一个空间网络安全实验室，用于OrbitSecure和定制任务合作伙伴解决方案的硬件在环资格测试。SpiderOak的零信任OrbitSecure软件是为满足21世纪的太空需求而开发的，并且还向后兼容太空部队现有的在轨星座。
资料来源：https://www.yahoo.com/entertainment/spideroak-raises-16-4m-series-160000389.html

2、Hack The Box完成5500万美元融资
Hack The Box融资5500万美元，以支持网络培训平台。Hack The Box提供了一个360°的平台，不仅可以让个人、企业、政府机构和大学提升他们的攻防安全技能，还可以提供网络安全领域的就业机会，从而解决行业严重的人才短缺问题。
资料来源：https://www.helpnetsecurity.com/2023/01/11/hack-the-box-investment/

3、NetSPI收购nVisium以扩展其攻击性安全解决方案
NetSPI通过收购nVisium，进一步扩展其攻击性安全解决方案并满足对人工渗透测试日益增长的需求。通过此次收购，NetSPI现在在全球拥有超过450名攻击性安全专家，他们可以支持和扩展以满足当前和未来客户的需求。
资料来源：https://g.yam.com/aYMQq

4、Bitwarden收购Passwordless.dev
Bitwarden收购Passwordless.dev以提升无密码解决方案，这使Bitwarden能够为客户配备强大的WebAuthn框架，从中开发自定义功能并提供无密码用户体验。Passwordless.dev提供了基于WebAuthn构建的API，WebAuthn是FIDO联盟和万维网联盟（W3C）开发的一种网络标准，用于支持安全密码登录。
资料来源：https://g.yam.com/Kqj4u