本期摘要

政策法规方面，本周观察到国内外网络安全相关政策法规8项，值得关注的有国务院印发《数字中国建设整体布局规划》、白宫发布期待已久的国家网络安全战略等。

漏洞态势方面，本周监测到漏洞动态8条，涉及工业漏洞2条，值得关注的有日立Relion 650/670系列系列变电站设备更新机制存在缺陷、CISA就ZK Java Web框架漏洞的主动利用发出警告等。

安全事件方面，本周监测到重大网络安全事件15起，其中典型的事件有美国法警局遭遇勒索软件攻击事件导致敏感信息泄露、Blind Eagle攻击组织冒充政府税务机构针对哥伦比亚的关键行业开展活动等。

产品技术方面，AI驱动的身份验证平台Vouched融资630万美元以增强其平台能力。漏洞管理解决方案提供商Trackd Snag完成335万美元种子轮融资，计划构建自动修复软件漏洞的技术。

并购融资方面，治理、风险和合规平台初创公司Scrut Automation完成750万美元融资，以改善其GRC自动化平台。数据安全解决方案提供商Metomic获得2000万美元的A轮融资，以帮助安全团队控制敏感数据。
1.中共中央、国务院印发《数字中国建设整体布局规划》
近日，中共中央、国务院印发了《数字中国建设整体布局规划》，并发出通知，要求各地区各部门结合实际认真贯彻落实。《规划》指出，要强化数字中国关键能力，一是构筑自立自强的数字技术创新体系，二是筑牢可信可控的数字安全屏障。切实维护网络安全，完善网络安全法律法规和政策体系。增强数据安全保障能力，建立数据分类分级保护基础制度，健全网络数据监测预警和应急处置工作体系。
资料来源：http://www.gov.cn/xinwen/2023-02/27/content_5743484.htm

2.国家互联网信息办公室公布《个人信息出境标准合同办法》
2月24日，国家互联网信息办公室公布《个人信息出境标准合同办法》，自2023年6月1日起施行。国家互联网信息办公室有关负责人表示，出台《办法》旨在落实《个人信息保护法》的规定，保护个人信息权益，规范个人信息出境活动。《办法》规定，个人信息处理者通过与境外接收方订立标准合同的方式向中华人民共和国境外提供个人信息适用本办法。
资料来源：http://www.cac.gov.cn/2023-02/24/c_1678884831596384.htm

3.白宫发布国家网络战略
3月2日，白宫发布了国家网络战略，该战略概述了联邦政府利用现有权力保护关键部门免受网络攻击的愿景。该战略写道，如果相关当局存在“差距”，政府将与国会合作，为关键部门建立新的监管工具。该战略的一个关键要素是将网络安全的负担从个人、小企业和地方政府转移到软件开发商和其他拥有必要资源和专业知识的机构手中。
资料来源：https://www.cybersecuritydive.com/news/national-cyber-strategy-Biden-security/643964/

4.ENISA研究在成员国之间实施NCSS的治理框架
2月28日，欧盟网络安全局(ENISA)启动了一项研究，以对与其国家网络安全战略(NCSS)部署相关的治理模型进行系统审查。根据NIS指令，每个欧盟成员国都有义务制定和实施NCSS，以确保促进整个联盟网络和信息系统的安全。 ENISA研究披露，每个NCSS都旨在制定一项行动计划，以提高国家基础设施系统和服务的安全性和弹性。
资料来源：http://b70.f.dzxt.sbs/hOMXPPX

5.日立Relion 650/670系列IED更新机制存在缺陷
2月28日，研究人员披露了日立Relion 650/670系列变电站设备更新机制中的安全漏洞，该漏洞可能允许攻击者安装恶意程序，并使其在受害者环境中持久存在。研究人员表示，该漏洞是在使用恶意更新包更新Relion固件时触发的，但利用该漏洞有一些主要前提条件：首先，必须在设备上启用FSTAccess模式，其次，威胁参与者必须知道启动更新过程的一组凭据。由于该漏洞的补丁尚未发布，研究人员未公布所使用PoC请求的技术细节。
资料来源：http://c12.f.dzxt.sbs/yxuARAC

6.PTC多款工业物联网产品受到高危漏洞影响
PTC多款工业物联网(IIoT)软件产品受到两个高危漏洞的影响，目前PTC已发布解决这些漏洞的更新。2月28日，研究人员在Source Incite网站上发布了每个漏洞的公告，其中包含技术细节和概念验证(PoC)。漏洞被跟踪为CVE-2023-0754和CVE-2023-0755，CVSS评分9.8，是整数溢出和越界写入问题，它们可以允许远程攻击者在目标应用程序的上下文中引起DoS条件或执行任意代码。
资料来源：http://a28.f.dzxt.sbs/5G3SeQD

7.CISA就ZK Java Web框架漏洞的主动利用发出警告
美国网络安全和基础设施安全局(CISA)根据主动利用的证据，将影响ZK框架的高严重性漏洞添加到其已知被利用漏洞（KEV）目录中。该漏洞被跟踪为CVE-2022-36537，CVSS评分7.5，影响ZK框架版本9.6.1、9.6.0.1等，其允许威胁参与者通过特制的请求检索敏感信息。
资料来源：https://thehackernews.com/2023/02/cisa-issues-warning-on-active.html

8.思科修复了IP电话中的命令注入漏洞
3月1日，思科推出安全更新，解决了影响其IP Phone 6800、7800、7900和8800系列产品的命令注入漏洞。该漏洞被跟踪为CVE-2023-20078，CVSS评分9.8，被描述为基于Web的管理界面中的命令注入错误，是由于对用户提供的输入的验证不充分而引起的。成功利用该漏洞可能允许未经身份验证的远程攻击者注入任意命令，这些命令在底层操作系统上以最高权限执行。
资料来源：http://a43.f.dzxt.sbs/9jO0lyi

9.美国法警局遭遇安全漏洞导致敏感信息泄露
2月27日，多名美国高级执法官员表示，美国法警局在一周前遭遇安全漏洞，导致敏感信息泄露。在一份声明中，美国法警局发言人Drew Wade承认了这一违规行为，并表示：“受影响的系统包含执法敏感信息，包括法律程序的申报、行政信息以及与美国法警局调查对象有关的个人身份信息，其中还包含法警局的员工。”
资料来源：https://www.yahoo.com/news/u-marshals-suffers-major-security-013821120.html

10.Blind Eagle冒充政府税务机构针对哥伦比亚的关键行业
2月27日，研究人员披露了Blind Eagle针对哥伦比亚关键行业的新一轮攻击活动。研究人员于2月20日检测到该活动，威胁者冒充哥伦比亚政府税务机构，针对哥伦比亚的关键行业，包括卫生、金融、执法、移民和负责该国和平谈判的机构。基于感染媒介和有效载荷部署机制，研究人员还发现了针对厄瓜多尔、智利和西班牙的活动。
资料来源：https://blogs.blackberry.com/en/2023/02/blind-eagle-apt-c-36-targets-colombia

11.Beeline的Jira数据库遭到泄露
攻击者在黑客论坛上发布了一个包含1.5GB Beeline数据的数据库，其数据样本涉及亚马逊、瑞士信贷、3M、波音、宝马等Beeline客户，据推测这些数据是从Beeline的Jira帐户中窃取的。Jira是Atlassian开发的用于错误跟踪和项目管理活动的问题跟踪软件。攻击者声称该数据库包含Beeline的客户数据，涉及用户姓名、Beeline用户名、在公司中的角色和其他数据。黑客论坛上的帖子表明数据是在2月25日获取的。
资料来源：https://cybernews.com/news/beeline-jira-database-exposed/

12.视频营销软件Animker泄露大量用户数据
研究人员在Shodan上发现了一个配置错误的数据库，无需安全验证即可访问和下载数据。
有问题的服务器注册在域名getshow.io下，由animaker.com管理。该数据库目前包含5.3GB的数据，包括用户姓名、设备类型、IP地址和手机号码等信息，并且随着每天新添加的数据在不断增长。目前，Animker已获知此事，但未进行回应。
资料来源：https://www.hackread.com/video-marketing-software-animker-data-leak/

13.CISA发布Decider，让网络防御者更容易使用MITRE ATT&CK
网络安全和基础设施安全局( CISA )与国土安全系统工程和开发研究所( HSSEDI )合作发布了Decider，这是一种将对手行为映射到MITRE ATT&CK框架的工具。Decider是最近更新的MITRE ATT&CK映射指南最佳实践的伴侣，可帮助网络防御者、分析师和研究人员快速准确地将对手的战术、技术和程序(TTP)映射到ATT&CK。Decider通过引导用户完成一系列关于对手活动的指导性问题，使ATT&CK映射更易于访问。
资料来源：http://b26.f.dzxt.sbs/1sRljK9

14.Otorio与Compugen合作以增强OT操作的安全性
Otorio和Compugen宣布建立业务合作伙伴关系，以保护客户免受对OT环境的工业网络威胁。通过该联盟，Otoeio全面的OT解决方案和Compugen的专业服务将为全球工业客户提供强大的打击工业网络犯罪的方法。Compugen将转售Otorio市场领先的RAM2 OT安全保护监控平台和spOT Assessment合规风险评估软件解决方案，并使用后者为客户提供高效且有效的运营网络定期技术风险评估。
资料来源：http://b67.f.dzxt.sbs/xW5Bymv

15.Vouched为身份验证平台筹集了630万美元
Vouched宣布，它已经在一轮融资中筹集了630万美元。Vouched为受监管的商业企业（包括银行、金融科技和医疗保健提供商）提供身份验证解决方案，帮助他们最大程度地降低欺诈风险。该公司称，其基于人工智能的平台可帮助组织通过准确的身份验证加速入职，同时最大限度地降低欺诈风险。此外，该自动化解决方案具有高度可配置性，允许客户将Vouched的API和SDK用于现有产品。
资料来源：https://www.helpnetsecurity.com/2023/02/28/vouched-financing/

16.Trackd Snag获得335万美元的种子资金，用于自动化漏洞修复
Trackd Snag完成335万美元种子轮融资，计划构建自动修复软件漏洞的技术。总部位于弗吉尼亚州雷斯顿的Trackd正在研究新技术，以帮助解决漏洞管理和补救的棘手问题。该公司于2月28日推出了一款测试版产品，承诺帮助防御者应用补丁而不用担心中断。
资料来源：http://c16.f.dzxt.sbs/9tlyg0I