政策法规方面，本周观察到国外网络安全相关政策法规10项，值得关注的有全国网络安全标准化技术委员会发布了《人工智能安全治理框架》1.0版，旨在鼓励AI创新发展的同时，有效防范和解决AI安全风险。

漏洞态势方面，本周监测到漏洞动态10条，值得关注的有研究人员发现了电动车充电器多个严重安全漏洞，成功利用这些漏洞可以实现免费充电。

安全事件方面，本周监测到重大网络安全事件16起，其中典型的事件有英国图克斯伯里自治市议会遭网络攻击，服务中断，居民数据安全受关注。

安全技术方面，Tenable推出了AI Aware，这是一个高级检测功能，用于在Tenable Vulnerability Management中识别人工智能解决方案、漏洞和弱点。

风险预警方面，Claroty Team82的最新研究揭示了运营技术（OT）环境中使用远程访问工具会增加网络安全风险。

融资并购方面，全球性的支付科技公司万事达卡宣布计划以26亿美元收购网络安全和威胁情报的公司Recorded Future。

政策法规

1.全国网安标委发布《人工智能安全治理框架》1.0版
9月9日，全国网络安全标准化技术委员会发布了《人工智能安全治理框架》1.0版，旨在鼓励AI创新发展的同时，有效防范和解决AI安全风险。该框架提出了包容审慎、确保安全、风险导向、敏捷治理、技管结合、协同应对、开放合作、共治共享等原则，针对AI技术特性，分析了风险来源和表现形式，并提出了技术应对和综合防治措施。框架的发布为AI安全提供了基础性、框架性技术指南，推动了全球范围内的人工智能安全治理国际合作。
资料来源：https://www.tc260.org.cn/upload/2024-09-09/1725849142029046390.pdf

2.工信部发布《中小企业数字化水平评测指标(2024年版)》
9月9日，工业和信息化部近日发布《中小企业数字化水平评测指标（2024年版）》。《评测指标（2024年版）》延续2022年版整体架构，从数字化基础、经营、管理、成效四个维度综合评估中小企业数字化发展水平，并对评测方式进行了调整优化，其中，数字化基础、管理和成效三个维度采用评分的方式确定等级，数字化经营部分用场景等级判定的方式确定等级。
资料来源：http://o42kc.dwa5.sbs/PK1yNrg

3.俄罗斯企业和FSTEC合作制定匿名数据保护标准
9月12日，据媒体报道，俄罗斯大数据协会（BDA）与俄罗斯联邦安全技术监管局（FSTEC）正在讨论制定新的国家标准，目的是保护匿名数据并减少去匿名化风险。BDA成员包括Sberbank、Yandex、VK等公司，他们已向FSTEC提交了提高数据保密性的提案。提案内容包括记录数据处理和交换技术，以及描述风险评估方法。这些措施旨在提高数据安全性，帮助政府机构做出更有效的决策。
资料来源：https://www.securitylab.ru/news/551986.php

4.英国将数据中心指定为重要的国家基础设施
9月12日，据媒体报道，英国政府将数据中心指定为“关键国家基础设施”（CNI），与能源和水系统同等重要，以支持经济发展并确保数据安全。这包括物理数据中心和云运营商如Microsoft、Amazon和Google。英国还计划对数据中心投资37.5亿英镑，创造就业并保护关键数据免受网络攻击。新措施将增强企业投资信心，促进经济增长，同时提高英国在全球数据安全排名中的地位。
资料来源：http://psnya.dwa2.sbs/IpeJZJE

安全漏洞

5.西门子、施耐德电气、ABB等工业控制系统（ICS）供应商发布安全补丁
9月12日，据媒体报道，西门子、施耐德电气、ABB及CISA针对工业控制系统（ICS）发布多项安全补丁。西门子修复了17个安全问题，包括身份验证绕过和远程代码执行漏洞，并为无补丁漏洞提供缓解措施。施耐德电气修复了Vijeo Designer的权限提升和XSS漏洞。ABB通报了Relion保护继电器的DoS问题。CISA关注了Viessmann产品中的多个严重漏洞，并发布了相关安全公告，显示了工控系统在网络安全方面的挑战和供应商及监管机构的应对努力。
资料来源：http://ijtic.dwa5.sbs/L64yfJ1

6.电动车充电器蓝牙漏洞曝光，可免费充电
9月10日，据媒体报道，在2024年东京的Pwn2Own汽车大赛中，研究人员发现了电动车充电器Autel MaxiCharger的多个严重安全漏洞。最关键的漏洞是CVE-2024-23958，它允许攻击者通过蓝牙绕过充电器的验证机制，无需任何密码或PIN码即可连接并完全控制设备。此外，还发现了两个缓冲区溢出漏洞CVE-2024-23959和CVE-2024-23967，这些漏洞可能使攻击者能够执行任意代码，甚至重新编程充电器，可能导致车辆或充电器损坏。由于Autel MaxiCharger支持公共使用功能，攻击者还可能操纵能源消耗数据进行欺诈。尽管Autel公司迅速发布了补丁，但研究人员仍强调了定期更新固件的重要性，以确保电动车充电基础设施的安全性，防止潜在的大规模电力系统攻击。
资料来源：https://www.securitylab.ru/news/551935.php

7.英特尔警告20多个漏洞，建议更新固件
9月10日，英特尔发布安全公告，告知客户处理器和其他产品中发现的20多个漏洞。该芯片巨头发布了四份新公告，其中一份公告涉及11个漏洞，这些漏洞影响部分服务器、工作站、移动和嵌入式处理器的UEFI固件，包括Atom、Xeon、Pentium、Celeron和Core系列产品。超过半数的安全漏洞被评为“高危”。这些漏洞可被用于本地权限提升，部分漏洞甚至可导致DoS攻击或信息泄露。
资料来源：http://ez9sc.dwa5.sbs/9YqkkQI

安全事件

8.英国图克斯伯里市议会遭到网络攻击
9月12日，据媒体报道，英国图克斯伯里市议会近期遭受了网络攻击，导致其系统暂时关闭。议会首席执行官表示，目前情况已得到控制，并且没有迹象显示数据已经泄露。在此期间，居民被建议不要向议会发送电子邮件，同时，议会暂停了工作面试，并且在问题解决期间无法处理正式投诉或信息请求。在确保安全的前提下，议会计划逐步恢复服务，并在恢复过程中进行密切监控。
资料来源：https://www.bbc.com/news/articles/cg4y7gxxnddo

9.伦敦交通局证实部分客户数据泄露
9月12日，据媒体报道，伦敦交通局（TfL）确认在9月1日遭受的网络攻击中，客户数据包括姓名、联系方式、电子邮件地址和家庭住址被泄露。此外，攻击者可能访问了部分Oyster卡退款数据和大约5000名客户的银行账号及分类代码。目前没有勒索组织声称对此次攻击负责。尽管事件对运营影响有限，TfL已采取措施保护系统并正在与相关机构合作应对。
资料来源：http://xjk1a.dwa2.sbs/pW9KBdc

10.医疗保健提供商因勒索软件攻击支付6500万美元和解金
9月12日，据媒体报道，宾夕法尼亚州的医疗保健提供商Lehigh Valley Health Network (LVHN)在2023年遭受网络攻击，导致患者信息泄露。该事件涉及超过130,000名患者和员工，其中600多人的医疗记录照片被黑客发布在互联网上。LVHN与律师事务所Saltz Mongeluzzi Bendesky达成了6500万美元的和解协议。每位集体诉讼成员将获得50至70000美元的赔偿，具体金额取决于其数据泄露的严重程度。
资料来源：http://jspna.dwa5.sbs/T1dGhLK

11.哥伦布市遭大规模网络攻击，联邦政府介入调查
9月11日，据媒体报道，今年7月，美国哥伦布市遭遇了严重的网络攻击，导致大量敏感个人信息泄露并被发布在暗网上。市议会在联邦调查局和国土安全部的支持下积极应对，强调了网络安全的重要性，并对居民提供了预防措施建议，如注册免费信用监控服务，避免点击可疑链接。市议会还计划举行公开听证会，以提高透明度并让居民了解事件进展。此次攻击不仅威胁到个人信息安全，也影响了公众对市政府网络安全措施的信心。
资料来源：https://thecyberexpress.com/columbus-city-cyberattack/

12.IT服务巨头凯捷公司遭遇数据安全事件
9月10日，据媒体报道，法国跨国IT服务巨头凯捷公司（Capgemini）被以“grep”为别名的威胁行为者入侵，导致重要数据泄露。泄露的20GB数据包含公司数据库、源代码、私钥、凭证、API密钥及员工信息。入侵者在暗网发布了这些数据，并声称虽然可以访问更多信息，但选择公开了最敏感的文件，如项目文件、Terraform数据等。凯捷公司，成立于1967年，是全球数字化转型领域的重要合作伙伴，年营收接近300亿美元，LinkedIn上有近700万粉丝。此次事件不仅暴露了公司的关键数据，还对其网络安全提出了严峻挑战。
资料来源：https://dailydarkweb.net/threat-actor-allegedly-breached-capgemini/

安全技术

13.Tenable AI Aware提供对AI应用程序、库和插件的曝光洞察
9月11日，据媒体报道，Tenable推出了AI Aware，这是一个高级检测功能，用于在Tenable Vulnerability Management中识别人工智能解决方案、漏洞和弱点。AI Aware提供了对AI应用程序、库和插件的深入洞察，帮助企业在不影响业务运营的情况下，自信地揭露和关闭AI风险。该功能利用代理、被动网络监控、动态应用程序安全测试和分布式扫描引擎来检测已批准和未批准的AI软件及其相关漏洞，从而降低被利用、数据泄露和未经授权的资源消耗风险。AI Aware还包括仪表板视图、影子软件开发检测、AI检测筛选器和以资产为中心的AI清单等功能，以提供全面的AI检测和安全管理。
资料来源：https://www.helpnetsecurity.com/2024/09/11/tenable-ai-aware/

风险预警

14.Claroty报告：远程访问工具使用增加OT网络安全风险
9月11日，据媒体报道，Claroty Team82的最新研究揭示了运营技术（OT）环境中远程访问工具的广泛使用所带来的安全风险。研究发现，55%的OT环境使用了四个或更多远程访问工具，这不仅增加了攻击面，也增加了运营的复杂性。更令人关注的是，79%的组织在OT网络设备上安装了两个以上的非企业级工具，这些工具缺少基本的安全管理功能，如会话记录、审计和基于角色的访问控制，甚至缺乏多因素身份验证（MFA）等基本安全特性。这些工具的过度使用和管理不善可能导致安全漏洞，为潜在的网络攻击提供了机会。研究强调了对远程访问工具进行严格管理和控制的必要性，以减少安全风险并提高运营效率。
资料来源：http://4uuvb.dwa5.sbs/D8BUXZu

融资并购

15.万事达卡将以26亿美元收购威胁情报公司Recorded Future
9月12日，全球性的支付科技公司万事达卡宣布计划以26亿美元收购Recorded Future，这是一家专注于网络安全和威胁情报的公司。此次收购将增强万事达卡在网络安全服务方面的能力，尤其是在保护其金融服务生态系统方面。Recorded Future的客户遍及75个国家，包括45个国家的政府，是全球最大的威胁情报公司之一。预计此次收购将在2025年第一季度完成。
资料来源：http://fpdya.dwa5.sbs/umH9KD6

16.ColorTokens宣布收购PureID
9月11日，据媒体报道，企业微细分公司ColorTokens宣布收购访问管理和身份安全公司PureID。PureID基于AI的访问法规将有助于进一步提高ColorToken的Xshield微分段平台的安全性，并为客户提供基于身份的云和容器化环境、物联网和IT环境，以及更广泛的基于用户的环境，在这些环境中可以轻松维护用户特定的策略。
资料来源：http://gnvka.dwa2.sbs/qcEi6q4