一、政策扫描

本月观察到国内外网络安全相关政策法规19项，中国4项、涉及美国10项、欧盟2项、澳大利亚2项、英国1项，值得关注的有《麒麟软件操作系统勒索病毒防护指引》正式发布。

1、上海地区《区块链跨链通用要求DB31/T1460—2023》施行
4月1日，上海《区块链跨链通用要求DB31 T1460—2023》地方标准施行，标准规定了区块链跨链的基本要求、参考框架、数据及接口要求、应用要求和安全要求。本文件适用于上海地区开展区块链跨链互操作的组织。
资料来源：http://www.anquan419.com/knews/24/6769.html

2、《网络安全技术 网络安全运维实施指南》等3项国家标准公开征求意见
4月15日，全国网络安全标准化技术委员会归口的《网络安全技术 网络安全运维实施指南》等3项国家标准现已形成标准征求意见稿。标准相关材料已发布在网安标委网站。
资料来源：https://www.tc260.org.cn/front/bzzqyjList.html?start=0&length=10

3、英国NCSC发布网络安全评估框架CAF v3.2
4月15日，英国NCSC发布网络安全评估框架CAF v3.2 ，在CAF3.2版本中，NCSC通过分析全球关键基础设施遭受的各种网络攻击，对CAF3.1版本中有关远程访问、特权操作、用户访问级别和多因素认证的使用（均包含在框架的B2a和B2c原则中）的部分进行了重大修订。
资料来源：http://v9gfc.dwa2.sbs/0tr0erQ

4、美国五眼机构发布有关保护人工智能的指南
4月15日，美国五眼联盟国家的政府安全机构发布了安全部署人工智能系统的新指南，该指南建议在部署人工智能模型的情况下，在网络上实现检测、分析和响应功能的自动化。该指南设定了三个核心目标包括提高人工智能系统的机密性和完整性、确保已知的网络安全漏洞得到保护、并实施一系列强大的保护措施来检测和防止恶意活动。
资料来源：http://7pv2b.dwa2.sbs/4ASVb3C

5、《麒麟软件操作系统勒索病毒防护指引》正式发布
4月23日，由工业和信息化部网络安全威胁和漏洞信息共享平台信创政务产品安全漏洞专业库（以下简称“信创安全漏洞库”）牵头编制的《麒麟软件操作系统勒索病毒防护指引》正式发布。
资料来源：https://www.secrss.com/articles/65541

6、美国国防部为国防工业基地启动全面运营的漏洞披露计划
4月19日，美国国防部网络犯罪中心(DC3)当地时间宣布，它正在与国防反情报和安全局合作，建立一个全面运作的国防工业基地漏洞披露计划，也称为DIB-VDP。该计划允许独立的白帽黑客发现和分析公司及其系统的漏洞。
资料来源：http://lrdwa.dwa2.sbs/SYFwvEw

二、安全事件

本月监测到勒索事件20起、数据泄露事件30起、网络攻击55起，钓鱼攻击2起、DDOS攻击2起。其中典型的事件有以金属归档、存储和组织产品的领先制造商和供应商Hirsh Industries（赫什工业）遭受勒索攻击。
1、赫什工业公司被攻击
4月25日，据媒体报道，以金属归档、存储和组织产品的领先制造商和供应商Hirsh Industries（赫什工业）成为RansomHouse勒索软件组织的攻击目标。尽管RansomHouse勒索软件组织已提出索赔，但尚未披露有关数据泄露程度或网络攻击背后动机的进一步细节。
资料来源：https://thecyberexpress.com/cyberattack-on-hirsh-industries/

2、船舶巨头称“网络犯罪组织”窃取了客户和员工数据
4月1日，船舶巨头MarineMax向美国证券交易委员会监管机构提交了一份最新报告，警告称该事件期间客户和员工信息被盗。Rhysida勒索软件团伙声称对此次的攻击负责。MarineMax表示，这次攻击“并未对公司的运营产生重大影响，公司仍在确定该事件是否有合理可能性”对公司的财务状况或经营业绩产生重大影响。”
资料来源：http://h8ric.dwa2.sbs/GkGidR7

3、美国电信巨头Frontier Communications遭网络攻击
4月14日，美国电信提供商Frontier Communications检测到第三方未经授权访问了其部分信息技术环境，导致个人信息泄露，发现该事件后，该公司被迫部分关闭一些系统，以防止威胁行为者通过网络横向移动，这也导致了一些运营中断。
资料来源：http://zajxb.dwa2.sbs/QM6OQuZ

4、美国纽约州立法机关遭受网络攻击
4月17日，美国纽约州州长凯西·霍赫尔(Kathy Hochul)对当地一家广播电台表示，纽约州立法机关用于起草和打印法案的系统遭到网络攻击，阻碍了州预算的制定。这次袭击发生在纽约市官员处理影响数千名城市工作人员使用的平台的大范围网络事件两周后。
资料来源：https://therecord.media/new-york-state-budget-delayed-cyberattack

5、美国粮食和农业部门2023年遭受160多起勒索软件攻击
4月17日，据领先的行业组织称，美国食品和农业部门去年至少遭遇了167起勒索软件攻击。食品和农业信息共享与分析中心（Food and Ag-ISAC）在其第一份年度报告中表示，该行业是该国第七大目标行业，仅次于制造业、金融服务业和其他行业。截至2024年第一季度，该行业已发生40起攻击，较上年略有下降。
资料来源：https://therecord.media/food-and-agriculture-hit-with-ransomware-attacks

6、俄罗斯黑客入侵德克萨斯州水处理厂
4月16日，谷歌旗下的Mandian报告称，位于德克萨斯州和新墨西哥州边境附近穆勒肖的供水设施遭到俄罗斯黑客组织Sandworm攻击，联邦调查局正在调查这一活动。报告称，德克萨斯州其他城镇也发生了两起相关的黑客攻击事件。
资料来源：http://dnfmb.dwa2.sbs/oGCnQKC

三、漏洞态势

本月监测到OT漏洞113个。输入验证不当9个，文件无限制上传4个，使用假设不可变数据进行的认证绕过4个，在信任Cookie未进行验证与完整性检查4个，关键功能的认证机制缺失4个，路径遍历6个，跨界内存读4个，使用默认凭证4个，SQL注入8个，堆缓冲区溢出3个，栈缓冲区溢出3个，整数溢出或超界折返3个，命令注入6个，代码注入2个，以可恢复格式存储口令2个，敏感数据的明文存储2个，不加限制或调节的资源分配2个，空指针解引用2个，对非受控部件的依赖2个，包含未记录的特性或鸡肋2个，下载没有完整性检查的代码2个，跨界内存写2个，内存缓冲区边界内操作的限制不恰当2个，释放后使用2个，使用未经初始化的指针2个，跨界内存读2个，明文存储口令2个，路径遍历：’/../filedir’2个，不正确的指针放大2个，传统缓冲区溢出2个，内存缓冲区边界内操作的限制不恰当2个，隐藏功能2个，文件和路径信息暴露2个，访问控制不恰当2个，使用硬编码的凭证2个，不充分的会话过期机制1个，认证机制不恰当1个，敏感数据的明文传输1个，授权机制不恰当1个，跨站脚本1个，可信数据的反序列化1个，对搜索路径元素未加控制1个。
1、ICS网络控制器可供远程利用且无可用补丁
4月19日，据媒体报道，网络安全和基础设施安全局(CISA)发布安全公告提醒管理员注意两种工业控制系统设备（Unitronics Vision系列PLC和三菱电机MELSEC iQ-R系列）中的漏洞。CISA警告称，Unitronics Vision系列PLC控制器由于以可恢复格式存储密码而容易受到远程攻击。此漏洞(CVE-2024-1480)的CVSS评分为8.7。三菱电机公司MELSEC iQ-R CPU模块存在设计缺陷（根据 CVE-2021-20599进行跟踪）、敏感信息暴露（CVE-2021-20594、CVSS 5.9）；凭据保护不足（CVE-2021-20597、CVSS 7.4）；以及限制性帐户锁定机制（CVE-2021-20598、CVSS 3.7）四个漏洞。
资料来源：http://wwjha.dwa2.sbs/mkvvZKr

2、漏洞暴露致Brocade SAN设备、交换机易受黑客攻击
4月25日，安全研究员Pierre Barre警告称，Brocade SANava 存储区域网络(SAN)管理应用程序中的多个漏洞可能会被利用来危害设备和光纤通道交换机。研究人员在该设备中总共发现了18个缺陷，其中包括未经身份验证的缺陷，允许远程攻击者以root身份登录易受攻击的设备。其中，9个被分配了CVE 标识符：CVE-2024-2859和CVE-2024-29960到CVE-2024-29967。
资料来源：http://8qnuc.dwa2.sbs/Y4jv0HG

3、重大安全漏洞暴露超过10亿中文键盘应用用户的击键行为
4月24日，据公民实验室研究报告称，该实验室发现了百度、荣耀、科大讯飞、OPPO、三星、腾讯、Vivo和小米等供应商的九款应用程序中的八款存在缺陷。唯一一家键盘应用程序不存在任何安全缺陷的供应商是华为。估计有近10亿用户受到此类漏洞的影响，成功利用这些漏洞可以让攻击者完全被动地解密中国移动用户的击键，而无需发送任何额外的网络流量。经过负责任的披露，截至2024年4月1日，除荣耀和腾讯（QQ拼音）外，所有键盘应用程序开发商均已解决了这些问题。
资料来源：https://thehackernews.com/2024/04/major-security-flaws-expose-keystrokes.html

4、比特梵德修复其产品中的安全漏洞
4月2日，据报道，网络安全公司Bitdefender修复了一个可能导致权限提升的漏洞，该漏洞会影响其产品，包括Bitdefender Internet Security、Bitdefender Antivirus Plus、Bitdefender Total Security和Bitdefender Antivirus Free。该漏洞被标记为CVE-2023-6154，CVSS评分为7.8，可能导致权限提升，使攻击者完全控制他们所针对的系统。该漏洞已通过自动更新至27.0.25.115版本得到修复。
资料来源：https://cybersecuritynews.com/bitdefender-security-privilege-escalation-patch-now/

5、新的Ivanti RCE漏洞可能会影响16,000个暴露的VPN网关
4月5日，据报道，互联网上暴露的大约16,500个Ivanti Connect Secure和Poly Secure网关可能容易受到供应商本周早些时候解决的远程代码执行(RCE)缺陷的影响。该缺陷被追踪为CVE-2024-21894 ，是Ivanti Connect Secure 9.x和22.x的IPSec组件中的严重堆溢出，可能允许未经身份验证的用户导致拒绝服务(DoS)或RCE。
资料来源：http://vpjwb.dwa2.sbs/kuCxVGr

6、Imperva防火墙成为SQL注入和XSS攻击的桥梁
网络安全专家拉响警报-流行的Web应用程序防火墙(WAF)Imperva SecureSphere中发现了一个严重漏洞。该问题已分配为CVE-2023-50969。它的最高风险级别为CVSS 9.8（满分10），并允许攻击者绕过旨在防止SQL注入和跨站点脚本等Web攻击的安全规则。
资料来源：https://www.securitylab.ru/news/547162.php

四、产品方案

非营利组织MITRE为ICS版ATT&CK、移动版ATT&CK发布了新的Engage映射，同时推出了涵盖企业、移动和ICS（工业控制系统）的增强功能的ATT&CK v15。
1、MITRE为ICS版ATT&CK、移动版ATT&CK发布了新的Engage映射
4月1日，非营利组织MITRE宣布，其Engage团队已引入ATT&CK for Mobile和ICS Matrices技术的新映射。防御者现在可以应用相同的流程，从对手行为中识别参与机会，以进行基于ICS和移动环境的操作。MITRE Engage映射可以通过Engage Matrix Explorer或在Github上找到的原始数据中查看。
资料来源：http://tzuma.dwa2.sbs/IxVXY0o

2、MITRE推出ATT&CK v15
4月23日，MITRE发布公告称其推出了ATT&CK v15，引入了改进的检测、新的分析格式和跨域对手洞察。最新版本包含涵盖企业、移动和ICS（工业控制系统）的增强功能，涉及技术、组、软件、活动和防御。MITRE特别关注将检测分析和指导纳入企业ATT&CK的执行策略，以及扩大云矩阵内的防御覆盖范围。
资料来源：http://grixb.dwa2.sbs/HzZ2pZy

五、融资并购

IBM以64亿美元收购网络安全公司HashiCorp。斯考特自动化获得1000万美元的增长资本用于增强平台能力，整合风险和合规团队效率的生成式人工智能，并扩展到北美和欧洲市场。
1、IBM以64亿美元收购HashiCorp
4月24日，IBM证实了有关其将以数十亿美元的交易收购HashiCorp（纳斯达克股票代码：HCP）的报道，该交易预计将于今年年底完成。IBM同意以每股35美元的价格收购HashiCorp，总价为64亿美元。该交易使IBM能够构建一个全面的端到端混合云平台，利用HashiCorp的功能来改进生成式AI、数据安全、IT自动化和咨询等领域。
资料来源：
https://www.securityweek.com/ibm-acquiring-hashicorp-for-6-4-billion/

2、斯考特自动化获得1000万美元的增长资本
4月4日，一个帮助中型市场公司构建、管理和维护企业级风险和遵从性计划的Scrut Automation宣布，它从现有投资者那里获得了1000万美元的增长资本，这些投资者包括Lightspeed、MassMutual Ventures和Endiya Partners。这笔资金将用于增强平台能力，整合风险和合规团队效率的生成式人工智能，并扩展到北美和欧洲市场。
资料来源：http://rlerc.dwa2.sbs/4RIqGLp