本期摘要

政策法规方面，全国信安标委发布关于征求国家标准《信息安全技术 关键信息基础设施网络安全应急体系框架》（征求意见稿）意见的通知，标准给出了关键信息基础设施网络安全应急体系框架。NIST发布工程可信安全系统指南的修订版，旨在推进系统工程，为有争议的操作环境开发可信赖的系统。NSA发布关于缓解软件内存安全问题的指南，旨在帮助软件开发及运营人员预防和缓解软件内存安全问题。欧盟行政及外交部门提出欧盟网络防御政策，旨在应对俄乌战争压力下导致的地缘政治局势持续紧张。美国政府发布《国家安全备忘录》，旨在加强美国粮食和农业部门的安全和抵御能力。

漏洞态势方面，研究人员发现航天器网络中存在安全漏洞，该漏洞可能导致为航天器提供动力的系统出现故障。Oxeye发布安全公告，披露了Spotify Backstage中的远程代码执行漏洞。Rapid7发布安全公告，披露了F5 BIG-IP和BIG-IQ设备中的多个安全漏洞。研究人员在Zendesk Explore中发现了SQL注入漏洞和逻辑访问漏洞，利用漏洞可允许攻击者访问Zendesk帐户信息。

安全事件方面,Whoosh遭受网络攻击，720万客户信息遭到泄露。研究人员发现Amazon RDS上的数百个数据库正在暴露个人身份信息。Thales发布安全公告，表明IT系统没有遭受入侵。ESET发布了2022年第二季度APT攻击活动报告，总结了从5月至8月底观察、调查和分析的APT组织的活动。

产品技术方面，Swimlane推出OT安全自动化解决方案生态系统，旨在满足关键基础设施环境中的OT和IT安全需求。Device Authority发布KeyScaler 7.0，以保护IT和OT环境。

并购融资方面，ThreatLocker收购Third Wall，使托管服务提供商能够更好地保护Windows操作系统。

1.国家标准《信息安全技术关键信息基础设施网络安全应急体系框架》公开征求意见
11月17日，全国信息安全标准化技术委员会发布关于征求国家标准《信息安全技术 关键信息基础设施网络安全应急体系框架》（征求意见稿）意见的通知。标准给出了关键信息基础设施网络安全应急体系框架，包括机构设立、分析识别、应急预案、监测预警、应急处置、事后恢复与总结、事件报告与信息共享、应急保障、演练与培训。
资料来源：https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20221117111713&norm_id=20201104200013&recode_id=49437

2.NIST发布工程可信安全系统指南的修订版
11月16日，美国国家标准与技术研究院（NIST）发布了工程可信安全系统指南的修订版，旨在推进系统工程，为有争议的操作环境开发可信赖的系统，通常称为系统安全工程。标题为“工程可信安全系统”的NIST SP 800-160第1卷修订版1，构成了为工程可信安全系统建立原则、概念、活动和任务的基础。它涵盖了可以在系统工程工作中应用的原则、概念、活动和任务，以培养一种共同的思维方式，为任何系统提供安全性，无论系统的目的、类型、范围、大小、复杂性或其系统所处的阶段如何生命周期。
资料来源：https://csrc.nist.gov/News/2022/guidance-on-engineering-trustworthy-secure-systems

3.NSA发布关于缓解软件内存安全问题的指南
11月10日，美国国家安全局（NSA）发布关于缓解软件内存安全问题的指南，旨在帮助软件开发及运营人员预防和缓解软件内存安全问题。NSA建议组织尽可能使用内存安全语言，并通过编译器选项、工具选项和操作系统配置等代码强化防御措施来加强保护。
资料来源：https://g.yam.com/VJByK

4.欧盟制定网络防御政策
11月10日，欧盟行政及外交部门提出欧盟网络防御政策，旨在应对俄乌战争压力下导致的地缘政治局势持续紧张。网络防御政策是一份战略文件，意在加强欧洲安全网络能力、促进军民合作、填补潜在安全漏洞、减少战略依赖并发展网络技能。网络防御政策致力于在国家和欧盟各网络防御行为体之间、军事和民用网络社区之间、以及私营部门与公共部门之间，建立起行之有效的协调机制。
资料来源：https://www.secrss.com/articles/48998

5.美国政府发布《国家安全备忘录》
美国政府发布《国家安全备忘录》，旨在加强美国粮食和农业部门的安全和抵御能力，以应对可能发生的严重后果和灾难性事件。联邦政府将确定和评估来自这些灾难性事件的威胁、漏洞和影响。它还将致力于优先分配资源，以预防、防范、减轻、应对和从构成最大风险的威胁和危害中恢复。
资料来源：https://g.yam.com/WM1mN

6.航天器网络中存在安全漏洞
研究人员发现航天器网络中存在安全漏洞，该漏洞可能导致为航天器提供动力的系统出现故障。TTE（时间触发以太网）是网络技术之一，属于所谓的混合关键网络的一部分，其中具有不同时序和容错要求的流量共存于同一物理网络中。研究人员发现TTE容易受到欺骗攻击，入侵者可以通过铜以太网电缆向网络交换机进行电磁干扰，从而发送伪造的同步消息，从而在交换机的活动中创建一个“间隙”，让虚假数据滑过。随着时间的推移，TTE设备将失去同步并且行为不稳定。
资料来源：https://www.engadget.com/nasa-u-mich-spacecraft-tte-security-vulnerability-180011765.html?src=rss

7.Oxeye披露Spotify Backstage中的远程代码执行漏洞
11月15日，Oxeye发布安全公告，披露了Spotify Backstage中的一个远程代码执行漏洞（CVSS评分9.8）。Backstage是Spotify用于构建开发者门户的开源平台，被美国航空公司、Netflix和Splunk等多家组织使用。研究人员称，未经身份验证的攻击者可以通过利用Scaffolder核心插件中的vm2沙箱逃逸漏洞（CVE-2022-36067）在Backstage应用程序上执行任意系统命令。
资料来源：https://www.oxeye.io/blog/remote-code-execution-in-spotifys-backstage

8.Rapid7披露F5产品中的多个安全漏洞
11月16日，Rapid7发布安全公告，披露了F5 BIG-IP和BIG-IQ设备中的多个安全漏洞。iControl SOAP跨站点请求伪造（CSRF）漏洞（CVE-2022-41622，CVSS评分8.8），可允许未经身份验证的远程代码执行攻击。设备模式iControl REST远程代码执行漏洞（CVE-2022-41800，CVSS评分8.7），允许经过身份验证的管理员用户通过RPM规范注入执行任意代码。
资料来源：https://g.yam.com/3T1fo

9.Zendesk中存在SQL注入漏洞和逻辑访问漏洞
研究人员在Zendesk Explore中发现了SQL注入漏洞和逻辑访问漏洞，这些漏洞允许攻击者访问启用了Explore的Zendesk帐户中的对话、电子邮件地址、票证、评论和其他信息。研究人员指出，为了利用该漏洞，需要受害者启用Zendesk Explore功能，同时攻击者需要以新的外部用户身份注册受害者Zendesk帐户的票务服务。
资料来源：https://www.varonis.com/blog/zendesk-sql-injection-and-access-flaws

10.Whoosh遭受网络攻击
11月11日，一名威胁行为者在黑客论坛上出售Whoosh被盗取的数据，其中包含可用于免费租用Whoosh滑板车的促销代码，以及用户的个人和支付卡信息。俄罗斯出行服务平台Whoosh于11月14日发布声明，承认存在数据泄露问题，并已采取措施阻止数据的分发。该公司在本月早些时候确认了此次攻击，当时称已成功阻止了攻击。
资料来源：https://www.bleepingcomputer.com/news/security/whoosh-confirms-data-breach-after-hackers-sell-72m-user-records/

11.数百个Amazon RDS实例泄露了用户个人数据
研究人员发现Amazon Relational Database Service （Amazon RDS）上的数百个数据库正在暴露个人身份信息，包含姓名、电子邮件地址、电话号码、出生日期、婚姻状况和汽车租赁信息。研究人员指出，泄漏的根本原因源于一项名为公共RDS快照的功能，该功能允许创建在云中运行的整个数据库环境的备份，并且所有AWS账户都可以访问。
资料来源：https://thehackernews.com/2022/11/researchers-discover-hundreds-of-amazon.html

12.Thales否认遭受网络攻击
在勒索软件组织LockBit公布了与Thales有关的数据后，Thales于11月11日发布公告，表明IT系统没有遭受入侵。Thales通过合作伙伴在专用协作门户上的用户帐户确认了一个泄露途径，这导致了有限信息的泄露。Thales表示，到目前为止，对集团的运营没有影响，同时将与其合作伙伴密切合作，并提供所有必要的技术支持和资源，以尽量减少对相关客户和利益相关者的任何潜在影响。
资料来源：https://www.thalesgroup.com/en/worldwide/group/press_release/thales-position-lockbit-30

13.ESET发布2022年第二季度APT攻击活动报告
11月14日，ESET发布了2022年第二季度APT攻击活动报告，总结了从2022年5月至8月底观察、调查和分析的高级持续威胁（APT）组织的活动。在第二季度，与俄罗斯、伊朗和朝鲜等相关的APT活动没有下降。乌克兰仍然是部分APT组织的主要目标，例如Sandworm、Gamaredon、InvisiMole和Turla。朝鲜相关的攻击团伙主要针对航空航天、国防工业以及金融和加密货币相关组织。
资料来源：https://www.welivesecurity.com/2022/11/14/eset-apt-activity-report-t2-2022/

14.Swimlane推出OT安全自动化解决方案生态系统
11月14日，安全自动化供应商Swimlane宣布形成一个运营技术（OT）安全自动化解决方案生态系统，旨在满足关键基础设施环境中的OT和IT安全需求。Swimlane与1898 & Co.、Nozomi Networks和Dataminr建立了合作关系和集成，以提供融合的安全编排和自动化，保护OT和网宇实体系统。
资料来源：https://industrialcyber.co/vendor/swimlane-forms-ot-security-automation-solution-ecosystem-with-1898-co-nozomi-networks-dataminr/

15.Device Authority发布KeyScaler 7.0
11月15日，Device Authority发布KeyScaler 7.0。KeyScaler 7.0为复杂的边缘环境和供应链带来了设备和数据信任、合规性和自动化，扩展了零信任功能以保护IT和OT环境。KeyScaler 7.0的改进包括为边缘环境提供自动化身份生命周期管理的KeyScaler Edge，以及支持持续验证设备的新授权服务连接器。
资料来源：https://www.deviceauthority.com/blog/this-aint-no-ordinary-product-release/

16.ThreatLocker收购Third Wall
ThreatLocker收购Third Wall，使托管服务提供商（MSP）能够更好地保护Windows操作系统。Third Wall是面向ConnectWise Automate用户的自动锁定安全插件，通过将Third Wall的锁定策略添加到现有的ThreatLocker解决方案中，MSP可以强化Windows操作系统，确保最终用户遵守政府法规，并加强其整体安全态势。
资料来源：https://www.helpnetsecurity.com/2022/11/16/threatlocker-third-wall/