本期摘要

政策法规方面，全国信息安全标准化技术委员会秘书处发布关于对《网络安全标准实践指南—车外画面局部轮廓化处理效果验证（征求意见稿）》公开征求意见的通知，为指导汽车数据处理者规范开展车外画面数据收集。中国电机工程学会发布电力信息化专委会关于征求《电力行业关键信息基础设施安全保护要求》等两项标准意见的函，为电力行业构建安全保护能力提供依据。NARA发布更新版政府记录存储规则，对联邦机构的网络安全日志及其他网络记录数据的留存时间做出新要求。NIST发布“实现零信任架构”的初步实践指南草案，提供了ZTA安全特征与网络安全标准和推荐做法的风险分析和映射。美国和日本承诺深化网络空间合作，以寻找共同打击网络攻击的手段。

漏洞态势方面，西门子SIMATIC和SIPLUS S7-1500系列PLC中存在多个架构漏洞，利用漏洞可导致对操作代码和数据的持续任意修改。研究人员发现可以欺骗Text-to-SQL模型来生成恶意代码，恶意代码可用来收集敏感信息并发起DoS攻击。Unit 42披露了开源库JsonWebToken中的RCE漏洞，利用该漏洞可在目标主机执行任意代码。Zoom修补了Zoom Rooms中的本地权限提升漏洞，Windows和macOS平台上的本地低权限用户可利用漏洞将其权限提升至system或root。

安全事件方面，Wabtec Corporation披露了一起数据泄露事件，该事件暴露了个人和敏感信息。尼日利亚石油天然气行业联合系统遭受网络攻击，部分数据遭到泄露。黑客在暗网论坛上出售从Pindad盗取的数据，其中包括PNS ID、NIP、TPP以及有关该行业的其他重要信息。研究人员发现了新的威胁组织PureCoder，该组织在暗网上出售多种恶意软件。LockBit勒索软件团伙就攻击加拿大儿童医院SickKids一事正式道歉，并发布免费的解密器。

产品技术方面，施耐德电气和BitSight宣布建立合作伙伴关系，以改进对OT网络安全漏洞的检测。Red Hat推出恶意软件检测服务，使用包含180多个恶意软件签名的数据库对RHEL系统进行检测。

并购融资方面，Matrix收购了Zebra Technologies，进一步提升了其在信息安全和基础设施行业的影响力。

1.《网络安全标准实践指南—车外画面局部轮廓化处理效果验证》公开征求意见
为指导汽车数据处理者规范开展车外画面数据收集，验证车外画面人脸、车牌局部轮廓化处理效果，全国信息安全标准化技术委员会秘书处于1月6日发布关于对《网络安全标准实践指南—车外画面局部轮廓化处理效果验证（征求意见稿）》公开征求意见的通知。指南给出了验证车外画面进行人脸、车牌局部轮廓化处理效果的流程、方法及验证标准，指南给出的验证方法仅适用于判别人脸、车牌的局部轮廓化处理效果。
资料来源：https://www.tc260.org.cn/front/postDetail.html?id=20230106161815

2.《电力行业关键信息基础设施安全保护要求》等两项标准公开征求意见
1月5日，中国电机工程学会发布电力信息化专委会关于征求《电力行业关键信息基础设施安全保护要求》等两项标准意见的函。《电力行业关键信息基础设施安全保护要求》给出了电力行业关键信息基础设施安全防护总体原则，规定了风险识别、防护、监测预警、应急处置等主要防护环节的保护要求。《微服务智能适配技术规范》规定了电力行业人工智能领域微服务智能适配的架构要求、功能要求、评价指标要求、测试方法。
资料来源：http://www.csee.org.cn/portal/xpzxyjzq/20230105/30523.html

3.美国政府发布安全日志强制留存规定
1月11日，美国国家档案与记录管理局（NARA）发布了更新版政府记录存储规则（GRS Transmittal 33），对联邦机构的网络安全日志及其他网络记录数据的留存时间做出新要求。GRS Transmittal 33中提出的新规则包括两类网络安全日志记录的保留要求，完整的数据包捕捉数据（PCAP）至少保留72小时和网络安全事件日志必须保存长达30个月。
资料来源：https://www.secrss.com/articles/50985

4.NIST发布“实现零信任架构”的初步实践指南草案
NIST国家网络安全卓越中心（NCCoE）的零信任架构（ZTA）团队发布了题为“实现零信任架构”的初步实践指南草案AD卷的第二版和E卷的第一版，并征求公众对其内容的意见。该指南总结了NCCoE及其合作者如何使用商业可用技术来构建可互操作的、基于开放标准的ZTA示例实现，这些实现与NIST特别出版物（SP）800-207中的概念和原则一致。
资料来源：https://content.govdelivery.com/accounts/USNIST/bulletins/33e8837

5.美国和日本承诺深化网络空间合作
1月11日，美国和日本高级国家安全官员承诺加强军事合作，其中包括深化网络空间合作。美国国务卿安东尼·J·布林肯和国防部长劳埃德·J·奥斯汀三世与日本外相林义正和防卫大臣滨田康一一起出席了新闻发布会，该新闻发布会是美日安全协商委员会在华盛顿举行的年度会议的一部分。布林肯说：“我们正在努力深化我们在各个领域的合作——陆地、海洋、空中，是的，还有太空、网络和外层空间。”
资料来源：https://www.govinfosecurity.com/us-japan-pledge-deepened-cyberspace-collaboration-a-20915

6.西门子SIMATIC和SIPLUS S7-1500系列PLC中存在多个架构漏洞
研究人员发现西门子SIMATIC和SIPLUS S7-1500系列PLC中存在多个架构漏洞，攻击者可以利用这些漏洞绕过所有受保护的启动功能，从而导致对操作代码和数据的持续任意修改。漏洞跟踪为CVE-2022-38773，CVSS评分4.6。由于利用此漏洞需要对产品进行物理篡改，西门子建议评估对目标部署中的设备进行物理访问的风险，并采取措施确保只有受信任的人员才能访问物理硬件。
资料来源：https://redballoonsecurity.com/siemens-discovery/

7.Text-to-SQL模型漏洞允许数据窃取和DoS攻击
研究人员演示了利用Text-to-SQL模型生成恶意代码的新型攻击，这些恶意代码可用来收集敏感信息并发起拒绝服务（DoS）攻击。为了更好地与用户交互，大量的数据库应用程序采用AI技术，将人类问题转化为SQL查询（即Text-to-SQL）。研究发现，特制的payload可被武器化以运行恶意SQL查询，进而允许攻击者修改后端数据库并对服务器进行DoS攻击。
资料来源：https://thehackernews.com/2023/01/new-study-uncovers-text-to-sql-model.html

8.Unit 42披露JsonWebToken中的RCE漏洞
1月9日，Unit 42披露了开源库JsonWebToken中的RCE漏洞，漏洞跟踪为CVE-2022-23529，CVSS评分7.6。漏洞源于verify()方法未对用户输入的secretOrPublicKey参数进行有效的检查。如果攻击者能够控制secretOrPublicKey参数，则可以通过恶意内容覆盖它的toString()方法并在目标主机执行任意代码。目前，Auth0团队已修复该漏洞。
资料来源：https://unit42.paloaltonetworks.com/jsonwebtoken-vulnerability-cve-2022-23529/

9.Zoom修补了Zoom Rooms中的本地权限提升漏洞
1月6日，Zoom修补了Zoom Rooms中的本地权限提升漏洞。CVE-2022-36930，CVSS评分8.2，Windows平台上的Zoom Rooms安装程序程序中存在本地权限提升漏洞。CVE-2022-36929，CVSS评分7.8，Windows平台上的Zoom Rooms客户端中存在本地权限提升漏洞。CVE-2022-36927，CVSS评分8.8，macOS平台上Zoom Rooms客户端中存在本地权限提升漏洞。Windows和macOS平台上的本地低权限用户可利用漏洞将其权限提升至system或root。
资料来源：https://www.securityweek.com/zoom-patches-high-risk-flaws-Windows-macos-platforms

10.Morgan Advanced Materials遭受网络攻击
1月10日，英国制造公司Morgan Advanced Materials透露，它正在调查一起网络安全事件。
Morgan Advanced Materials表示，其部分服务器已下线以遏制攻击，电子邮件服务和部分网络受到影响。该公司尚未分享任何其他信息，但根据其简短描述，这可能是一次勒索软件攻击。
资料来源：https://techmonitor.ai/technology/cybersecurity/morgan-advanced-materials-cyberattack

11.塞尔维亚内政部网站和基础设施遭到DDoS攻击
塞尔维亚政府在1月7日的一份声明中表示，其内政部的网站和IT基础设施遭到了多次大规模分布式拒绝服务（DDoS）攻击，迄今为止他们已经抵御了五次针对其IT基础设施的大型攻击。声明中指出，增强的安全协议已被激活，这可能会导致工作速度变慢，某些服务偶尔会中断，但这些都是为了保护内政部的数据。
资料来源：https://www.intellinews.com/serbia-reports-massive-cyberattack-on-interior-ministry-266192/

12.多家丹麦银行遭到DDoS攻击
本周，丹麦中央银行和IT金融行业解决方案开发商Bankdata遭到分布式拒绝服务（DDoS）攻击。央行发言人表示，其网站在周二下午正常运行，此次攻击并未影响该银行的其它系统或日常运营。此外，在Bankdata遭到DDoS攻击后，包括Jyske Bank和Sydbank在内的七家私人银行的网站在周二短暂受到影响。
资料来源：https://www.reuters.com/technology/denmarks-central-bank-website-hit-by-cyberattack-2023-01-10/

13.Aflac日本分公司客户信息遭到泄露
1月10日，全球保险公司Aflac的日本分公司发布公告称，其130多万客户的信息遭到泄露。该公司于1月9日获悉其客户的信息被发布在信息泄露网站上，经确认一名黑客从外部外包承包商使用的服务器上窃取了数据。该事件影响了1,323,468名客户，涉及3,158,199条数据，泄露的个人信息包括姓名、年龄、性别、保单号码、保险金额和保险费等。
资料来源：https://www.bankinfosecurity.com/aflac-zurich-policyholders-in-japan-affected-by-data-leaks-a-20909

14.施耐德电气与BitSight合作量化OT风险
1月9日，施耐德电气和BitSight宣布建立合作伙伴关系，以开发首个全球运营技术（OT）风险识别和威胁情报功能。通过共同努力，施耐德电气将把其对OT协议和系统的深入了解与BitSight市场领先的暴露检测和管理能力相结合，以便为OT社区的外部可观察风险的主动安全监控生成必要的关键见解。此次合作的目标是加强工业安全，并提供对可能面临网络漏洞风险的工业基础设施和工业控制系统设备的更多可见性。
资料来源：https://www.techtarget.com/searchsecurity/news/252529063/BitSight-Schneider-Electric-partner-to-quantify-OT-risk

15.红帽推出恶意软件检测服务
1月10日，Red Hat推出针对Red Hat Enterprise Linux （RHEL）系统的恶意软件检测服务。Insights服务是与IBM X-Force合作创建的，它使用包含180多个与已知Linux恶意软件相关联的签名的数据库来扫描RHEL系统中的恶意软件。虽然Linux恶意软件不像Windows恶意软件那样广泛传播，但Linux用户不应忽视恶意软件带来的威胁。新的Linux恶意软件系列不断涌现，而且它们似乎越来越复杂。去年发现的恶意软件示例包括Symbiote、Shikitega、Bvp47和Lightning Framework。
资料来源：https://www.securityweek.com/red-hat-announces-general-availability-malware-detection-service

16.Hack The Box完成5500万美元融资
Hack The Box融资5500万美元，以支持网络培训平台。新投资将加速Hack The Box的增长轨迹，重点是进一步构建其定义类别的“玩家至上”解决方案产品。Hack The Box提供了一个360°的平台，不仅可以让个人、企业、政府机构和大学提升他们的攻防安全技能，还可以提供网络安全领域的就业机会，从而解决行业严重的人才短缺问题。
资料来源：https://www.helpnetsecurity.com/2023/01/11/hack-the-box-investment/

17.NetSPI收购nVisium以扩展其攻击性安全解决方案
企业渗透测试和攻击面管理领域的领导者NetSPI通过收购nVisium，进一步扩展其攻击性安全解决方案并满足对人工渗透测试日益增长的需求。nVisium将支持NetSPI继续努力为企业提供战略性安全测试解决方案。通过此次收购，NetSPI现在在全球拥有超过450名攻击性安全专家，他们可以支持和扩展以满足当前和未来客户的需求。
资料来源：https://g.yam.com/QnlDX