据美国国防部网络犯罪中心(DC3)于2024年3月15日发布的报告，自2016年11月推出众包道德黑客计划以来，已经收到了超过5万个漏洞报告。与其他漏洞赏金计划不同，DC3的漏洞披露计划(VDP)是一项持续进行的计划，欢迎道德黑客和安全研究人员发现美国军方IT系统中的漏洞并向国防部报告。该计划于2016年11月推出，此前HackerOne曾托管过“黑掉五角大楼”的漏洞悬赏计划。2018年，DC3在VDP中引入了一个名为漏洞报告管理网络的新报告系统。该系统允许DC3自动化、跟踪和处理所有报告，从而大大提高了效率。DC3在一份公开声明中解释说：“该计划的进展使VDP能够扩展其缓解范围，不仅可以处理国防部网站和应用程序上发现的漏洞，还覆盖了由联合部队总部国防部信息网络拥有和运营的所有可公开访问或可用的信息技术资产。”2021年，DC3和国防部反情报和安全局合作，制定了一个为期12个月的试点计划，专门用于寻找参与国防工业基地(DIBCOs)的中小企业系统中的漏洞。DC3通过该计划收到并处理了1019份漏洞报告。DC3指出：“该计划通过发现和修复对手针对DIB参与者的公开资产的400多个活动漏洞和非机密信息泄露威胁，估计为纳税人节省了6100万美元。”该试点计划使DC3赢得了美国国防部的首席信息官年度奖项。与此同时，美国国防部还继续与HackerOne、Bugcrowd和Synack合作运行独立的漏洞悬赏计划，其中包括“黑掉五角大楼”竞赛，涵盖空军、海军陆战队、陆军和国防旅行系统等其他部门的资产。参考链接：https://content.govdelivery.com/bulletins/gd/USDODDC3-390288eEND相关阅读美国网络安全“崩盘”：2023年漏洞、数据泄露双创历史新高留神AI屎山，36%的Copilot生成代码有漏洞微软Exchange服务器曝出高危漏洞，近10万台服务器面临风险！DNS安全爆出史诗级漏洞，可导致全球互联网大面积瘫痪

近日，日本科技巨头富士通(Fujitsu)披露了一起重大网络安全事件，该公司的一些系统遭到恶意软件感染，客户的敏感信息可能已经被窃取。作为全球第六大IT服务提供商，富士通拥有12.4万名员工，年营业收入达239亿美元。其业务范围涵盖服务器、存储系统等计算产品、软件、电信设备以及云解决方案、系统集成和IT咨询等一系列服务。富士通在全球市场拥有强大影响力，业务遍及100多个国家和地区。同时，该公司还与日本政府保持着多方面的合作关系，不仅承担公共部门项目，参与政府资助的研发项目，而且在国家安全方面发挥着重要作用。上周晚些时候，富士通在其公司新闻门户发布了一份公告，披露了此次网络安全事件。公告称：“我们确认公司多台计算机感染了恶意软件，经过内部调查发现，客户的个人信息和相关文件可能已被非法窃取。”“发现恶意软件后，我们迅速隔离了受影响的商务电脑，并采取了加强其他商务电脑监控等措施。”富士通表示将继续调查恶意软件是如何侵入其业务系统以及窃取了哪些数据。虽然该公司表示没有收到客户数据被滥用的报告，但他们已经将此事件通知了日本个人信息保护委员会，并正在为受影响的客户准备单独的通知函。过去几年多次发生数据泄漏作为一家全球知名的IT服务商，富士通公司的安全记录非常糟糕，以下是过去几年该公司发生的重大数据泄漏事件：2023年6月，日本总务省公开批评了即将与其母公司合并的富士通株式会社旗下子公司富士通云技术公司，并要求富士通云技术和富士通有限公司立即实施安全措施，以保护通信机密并提高网络安全态势。两家公司被责令整改的原因是曾多次发生数据泄露事件：2022年，富士通有限公司为政府和大型企业提供的云服务FENICS遭到入侵，被未经授权的各方访问和利用，导致敏感信息泄露。2020年5月发生的一起事件涉及其云服务中使用的受感染设备以及随后导致机密通信泄露的事件。此外，2021年5月富士通还遭到供应链攻击，该公司使用的ProjectWEB信息共享工具被恶意利用，导致日本多个政府机构办公室遭到网络入侵，7.6万个电子邮件地址和专有数据被窃取。被盗数据包括来自政府系统的敏感信息，以及成田国际机场的空中交通管制数据。2021年12月的后续调查结果显示，黑客利用窃取的ProjectWEB凭证实现了入侵。调查还发现ProjectWEB存在多个漏洞，该工具随后被停用，并被包含零信任安全措施的新信息共享工具取代。参考链接：https://pr.fujitsu.com/jp/news/2024/03/15-1.htmlEND相关阅读人工智能导致网络钓鱼攻击暴增12倍迄今最详细的人工智能网络攻击分类指南2023年网络攻击事件盘点美国房地产市场接连“爆雷”，美国产权保险巨头遭网络攻击下线

网络安全公司Enea近日发布的一份报告指出，随着以人工智能驱动的的语音钓鱼(vishing)和短信钓鱼(smishing)攻击激增，自2022年11月OpenAI发布ChatGPT以来，网络钓鱼(phishing)攻击整体增加了惊人的1265%。移动欺诈损失惨重安全性成企业采购电信服务关键依据报告显示，61%的企业因移动欺诈遭受了重大损失，其中短信钓鱼和语音钓鱼是最普遍且造成损失最多的攻击手段。51%的企业期望电信运营商保护他们免受语音和移动消息欺诈，他们认为电信运营商在欺诈防护中扮演的角色比云提供商、托管IT提供商、系统集成商或软件供应商更重要，85%的企业表示安全性是他们在电信服务采购决策中的重要考量因素。但另一方面，多达61%的企业表示移动欺诈带来的损失居高不下，超过四分之三的企业表示没有投资短信垃圾邮件或语音诈骗/欺诈保护。电信运营商安全态势不容乐观尽管大多数企业表示安全性是他们在电信采购决策中的重要考量因素，但只有59%的受访电信运营商表示部署了消息防火墙，51%表示他们实施了信令防火墙。只有46%的受访电信运营商采用了某种威胁情报服务，这意味着大多数电信运营商无法（及时）识别新的安全威胁。人工智能时代网络安全是电信运营商的核心竞争力报告强调，重视安全的电信运营商通常具备更强的安全能力、更好的资金支持和更高的安全优先级，其安全漏洞未被发现或未得到缓解的可能性只有追随者的一半不到(12%vs25%)。此外，网络安全能力领先的电信运营商更可能将网络安全视为创造收入的机会(31%vs19%)。Enea公司网络安全部门高级副总裁兼主管John

近日，美国国防部承认今年在伊拉克和叙利亚的85次空袭行动中使用了机器学习算法来识别目标，这是美国军方首次承认人工智能技术被用于实战。人工智能首次用于实战据彭博社报道，负责中东、中亚和部分南亚地区的美国中央司令部在今年2月2日的7次空袭行动中使用了军用人工智能项目Maven中的目标识别算法，覆盖了伊拉克和叙利亚的多个地点。美国中央司令部首席技术官舒勒·摩尔(Schuyler

所谓软件安全债务，通常指修复时间延误超过一年的漏洞，根据Veracode最新发布的软件安全报告，42%的应用程序和71%的组织中普遍存在软件安全债务，而AI生成代码的激增将导致安全债务问题恶化并对软件供应链构成重大风险。更令人担忧的是，46%的组织持续存在高危漏洞，这些漏洞构成“关键”安全债务，使企业在机密性、完整性和可用性方面面临严重风险。报告称，63%的应用程序存在第一方代码漏洞，而70%包含通过第三方库引入的第三方代码漏洞。这凸显了在整个软件开发生命周期中测试这两种类型的代码的重要性。修复率也因漏洞类型而异-修复第三方漏洞的时间要长50%，已知漏洞中只有一半在11个月后修复，而第一方漏洞则为7个月。留神AI“屎山”然而，也有好消息：应用程序中的高危漏洞数量自2016年以来减少了一半，这表明软件安全实践取得了进步，并且修复速度对关键安全债务产生了重大影响。报告显示，修复漏洞最快的开发团队将关键安全债务减少了75%——应用程序高危漏洞从22.4%降低到略高于5%。此外，这些快速行动的团队让关键安全债务出现在其应用程序中的可能性要低四倍。Veracode首席研究官Chris

微软Exchange服务器近日曝出高危漏洞，编号为CVE-2024-21410，该漏洞严重威胁到全球大量邮件服务器的安全，目前已经有黑客开始积极野外利用。据悉，该漏洞影响了全球近9.7万台Exchange服务器，这些服务器广泛用于企业环境，提供邮件、日历、联系人管理和任务管理等服务。攻击者利用该漏洞可以提升权限，访问敏感数据，甚至将服务器作为跳板进行进一步攻击。微软宣称于2月13日修复了该漏洞，当时该漏洞已被作为零日漏洞利用。但是，根据本周一威胁监控服务Shadowserver的扫描结果，目前全球仍有大约9.7万台Exchange服务器易受攻击。据Shadowserver统计，在总共9.7万台服务器中，估计有6.85万台服务器的易受攻击状态取决于管理员是否应用了缓解措施，其余2.85万台服务器被确认容易受到CVE-2024-21410的攻击。受影响最严重的国家是德国（22,903例）、美国（19,434例）、英国（3,665例）、法国（3,074例）、奥地利（2,987例）、俄罗斯（2,771例）、加拿大（2,554例）和瑞士（2,119例），中国也有超过1000台服务器在线暴露。漏洞详情：漏洞编号：CVE-2024-21410漏洞等级：严重（Critical）影响版本：Exchange

在刚刚结束的慕尼黑安全大会期间，对技术（尤其是人工智能技术）的监管、治理和使用是热点话题之一。为了向来自世界各地的政府领导人展示捍卫人工智能安全的决心和信心，谷歌、微软和OpenAI三大人工智能巨头推出了一系列的重大举措和计划。在大会召开一天前，微软和OpenAI发布了关于国家黑客组织对ChatGPT对抗性使用的研究报告，并承诺支持“安全和负责任”的人工智能使用。随后，大会期间，谷歌推出了一个人工智能防御综合计划，包括承诺投资“人工智能就绪基础设施”，为防御者发布新工具，向教育系统提供研究补助金，启动新的研究和人工智能安全培训等。谷歌表示：“这将有助于通过国际化战略、人工智能工具及其使用技能来加强跨大西洋网络安全生态系统。”最令业界瞩目的行动来自微软和OpenAI，二者在本周发布联合声明，宣称已经终止了来自伊朗、朝鲜和俄罗斯等国的威胁行为者相关账户，并声称这些组织滥用ChatGPT从事以下活动：调试代码并生成脚本创建可能用于网络钓鱼活动的内容翻译技术论文检索有关漏洞和多个情报机构的公开信息研究恶意软件逃避检测的常见方式对卫星通信协议和雷达成像技术进行开源研究不过，微软在随后的报告中表示ChatGPT对网络攻击的帮助有限：：“我们的研究结果表明，我们的模型（ChatGPT）仅为恶意网络安全任务提供有限的增量功能。”微软和OpenAI还承诺确保“安全和负责任地使用”包括ChatGPT在内的技术。微软公布的原则包括：识别恶意威胁行为者的使用并采取行动，例如禁用账户或终止服务。通知其他人工智能服务提供商并共享相关数据。与其他利益相关者就威胁行为者对人工智能的使用进行合作。向公众通报在其系统中检测到的人工智能使用情况以及针对它们采取的措施。对于国家黑客滥用AI的行为，OpenAI在公告中承诺将：监视和破坏恶意国家附属行为者（使用其AI服务）。这包括确定恶意行为者如何与其平台交互并评估更广泛的意图。与“AI生态系统”合作。分享有关国家附属恶意行为者使用人工智能的性质、程度，提高针对他们采取的反制措施的公开透明度。谷歌则在最新发布的威胁情报公告中指出，进攻性网络能力现在是地缘政治的首要任务，全球网络攻击威胁呈现以下趋势：攻击者正在不断提升专业化操作和程序进攻性网络能力现在是地缘政治的首要任务威胁行为者的最新策略经常能逃避标准安全控制俄乌战争的事态发展标志着网络战首次在战争中发挥了重要作用对手国家在进攻性和防御性人工智能方面投入巨资，开发更复杂的网络钓鱼、短信和其他诱饵工具、从事个人数据和知识产权盗窃，制造虚假新闻和深度伪造内容，将人工智能用于社会工程和信息操作。参考链接：https://blog.google/technology/safety-security/google-ai-cyber-defense-initiative/https://openai.com/blog/disrupting-malicious-uses-of-ai-by-state-affiliated-threat-actorsEND相关阅读恶意代码识别率提升95%！谷歌开源人工智能网络安全防御工具惠普被黑，微软之后第二家科技巨头曝出“邮件门”OpenAI紧急发布AI文本检测工具年度最大安全事件：MOVEit黑客攻击波及2600多家企业

2023年科技行业大裁员和业绩下滑导致恐慌和悲观情绪在网络安全行业蔓延，但IDC最新发布的报告显示，2024年IT市场将迎来“龙抬头”，进入新一轮强劲增长周期，AI和网络安全是未来三年IT市场的“广谱催化剂”和长期热点。IDC指出，2024年的IT市场充满机遇，尽管通胀和经济等因素带来隐忧，但整体增长势头强劲。数字化的浪潮推动着对结构化数据和人工智能(AI)的需求，企业逐渐意识到数据带来的巨大价值，以及利用AI和自动化管理数据、进行高级数据处理的重要性。IDC市场研究公司总裁Crawford

近日，谷歌日前宣布发起网络安全人工智能防御计划，旨在利用人工智能技术提升网络安全水平，扭转困扰网络安全行业的“防守困境”。该计划的核心举措是开源Magika，这是一款用于文件类型识别的AI工具，能够帮助检测恶意软件。目前，Magika已被用于保护多个谷歌产品。谷歌在博客文章中写道：“Magika的表现优于传统的恶意文件识别方法，整体准确率提升了30%，在识别传统方法难以识别的VBScript、JavaScript和Power

近日，网络安全研究人员发现了一个可导致全球互联网瘫痪的名为KeyTrap的严重漏洞。该漏洞隐藏在域名系统安全扩展(DNSSEC)功能中，可被攻击者利用发动DoS攻击，长时间阻断应用程序访问互联网。KeyTrap漏洞分配的CVE编号为CVE-2023-50387，属于DNSSEC设计缺陷，影响几乎所有主流域名系统(DNS)实现或服务。攻击者仅需发送一个恶意DNS数据包，便能使易受攻击的解析器陷入长期拒绝服务(DoS)状态。DNSSEC是域名系统(DNS)的一个安全扩展功能，通过加密签名为DNS记录提供身份验证，确保DNS数据来自权威名称服务器，且没有在路由过程中被篡改，从而保护用户免于被引导至恶意网站。可瘫痪全球大部分互联网的漏洞KeyTrap漏洞由来自德国国家应用网络安全研究中心ATHENE的研究人员联合歌德大学法兰克福特分校、弗劳恩霍夫安全信息技术研究所和达姆施塔特工业大学的专家共同发现。据研究人员介绍，该漏洞源于DNSSEC需要发送所支持密文的所有相关加密密钥以及验证签名。即使某些DNSSEC密钥配置错误、不正确或属于不受支持的密文，也会执行相同的流程。攻击者利用此漏洞开发了一种新的基于DNSSEC的算法复杂性DoS攻击，可以将DNS解析器中的CPU指令计数增加200万倍，从而延迟其响应。这种DoS攻击状态的持续时间取决于解析器实现，但研究人员表示，单个攻击请求可以使响应延迟56秒到16个小时。KeyTrap攻击中单次请求导致的DNS解析延迟ATHENE在披露报告中写道：“利用此攻击将对任何使用互联网的应用程序产生严重后果，包括网络浏览、电子邮件和即时消息等技术可能无法使用。”研究人员表示：“利用KeyTrap，攻击者可以完全瘫痪全球互联网的大部分地区。”有关漏洞的完整详细信息以及其在现代DNS实现中如何复现的技术报告已于本周早些时候发布。容易受到KeyTrap攻击影响的DNS软件、服务、工具和代码库研究人员从2023年11月初开始演示KeyTrap攻击如何影响谷歌和Cloudflare等DNS服务提供商（上图），并与这些公司合作开发缓解措施。漏洞存在近25年ATHENE表示，KeyTrap漏洞自1999年以来就存在于广泛使用的标准中，近25年来一直未被发现，主要原因是DNSSEC验证的复杂性。尽管受影响的厂商已经推送了修复程序或正在缓解KeyTrap风险，ATHENE表示，从根本上解决问题可能需要重新评估DNSSEC的设计理念。作为对KeyTrap威胁的回应，Akamai在2023年12月至2024年2月期间开发并部署了针对其DNSi递归解析器（包括CacheServe和AnswerX）以及其云和托管解决方案的缓解措施。Akamai指出，根据APNIC的数据，大约35%的美国互联网用户和全球30%的互联网用户依赖使用DNSSEC验证的DNS解析器，因此易受KeyTrap攻击。尽管Akamai没有披露太多缓解措施细节，但根据ATHENE的论文，Akamai的解决方案是将加密失败限制在最多32个，基本上可以防止攻击者通过耗尽CPU资源来延迟或瘫痪网络。目前，谷歌和Cloudflare也都已经开始着手修复其DNS服务。参考链接：https://www.athene-center.de/en/news/press/key-trapEND相关阅读超过10%的企业存在恶意DNS流量一个强大的漏洞检索和分级工具：CVEMap企业安全态势的七大常见漏洞美国网络安全“崩盘”：2023年漏洞、数据泄露双创历史新高

根据思科2024年数据隐私基准研究，超过四分之一(27%)的组织出于隐私和数据安全风险的考虑，暂时禁止在员工中使用生成式人工智能。大多数组织还对此类工具实施了控制。近三分之二(63%)的受访者对可以输入的数据进行了限制，61%的受访者对员工可以使用哪些GenAI工具进行了限制。尽管有这些限制，许多组织承认已经将敏感数据输入到生成人工智能应用程序中。其中包括内部流程的信息(62%)、员工姓名或信息(45%)、有关公司的非公开信息(42%)以及客户名称或信息(38%)。大多数受访者(92%)认为生成式人工智能是一种全新的技术，带来新的挑战，需要采用新技术来管理数据和风险。受访者对人工智能技术最大的担忧是：可能会损害组织的法律和知识产权（69％）输入的信息可能会公开泄漏或与竞争对手共享（68％）返回给用户的信息可能是错误的（68%）对人类有害（63%）可能会代替其他员工（61%）可能会代替自己（58%）员工的人工智能账户泄漏和滥用也是企业面临的重大风险。根据卡巴斯基的调查，大量被盗ChatGPT账户在暗网热销，对用户和公司构成重大威胁。此外，ChatGPT等流行大语言模型的训练数据和生成数据还可能存在违反GDPR等数据保护法规的风险。91%的安全和隐私专业人士承认，他们需要采取更多措施，让客户放心使用人工智能的数据。然而，思科的调研显示，下列帮助建立AI信任的工作中没有任何一项获得超过50%的受访者的采用：解释AI应用如何工作50%确保流程中有人员干预50%制定AI道德管理计划49%审计AI应用偏差33%思科首席法务官DevStahlkopf评论道：“超过90%的受访者认为人工智能需要新技术来管理数据和风险。AI安全治理对建立客户信任至关重要。”END相关阅读人工智能时代网络安全的六大趋势迄今最详细的人工智能网络攻击分类指南微软的大棋局：人工智能+零信任2024年人工智能安全发展十大预测

根据谷歌威胁分析小组的报告，2023年重大零日漏洞利用事件大幅增长，零日漏洞攻击重新升温，从商业间谍到勒索软件攻击，零日漏洞正在从“小众奢侈品”走向“大众快销品”。2024年，零日漏洞+供应链攻击仍将是让全球企业闻风丧胆网络攻击“黄金拍档”。面对新的“零日危机”，谷歌近日作出重大决定，宣布免费提供其零日漏洞“挖洞神器”——模糊测试框架OSS-Fuzz（链接在文末）。谷歌声称此举是为了帮助开发者和研究人员更轻松地发现软件漏洞。模糊测试的智能化和自动化模糊测试是一种通过向软件输入意外数据来模拟恶意攻击，从而发现潜在漏洞的技术。业界专家普遍认为模糊测试是一个强大的软件安全工具，不仅可以发现常见的低危漏洞，还能识别像缓冲区溢出这类高危问题。Synopsys

CVEMap是一个用于评估漏洞真实严重性的开源命令行界面工具，提供简洁但用户友好的漏洞数据库查询界面，可检索常见漏洞和暴露(CVE)。漏洞管理最常见的两大挑战是：CVE数量快速增长分散了安全团队的注意力，以及CVE漏洞严重性评分经常会失真。夸大的严重性评分往往会误导安全团队的漏洞优先级排序，导致资源分配不当并忽视真正关键的漏洞。而这，正是CVEMap试图解决的问题。CVEMap整合了多维度的漏洞信息资源，帮助安全团队更准确地评估漏洞严重性/紧迫性：已知被利用的漏洞目录(KEV)：该目录由CISA管理，列出了被主动利用的漏洞和关键期限，有助于确定紧急威胁的优先级。利用预测评分系统(EPSS)：该模型预测漏洞被利用的可能性，提供概率评分并结合真实世界数据，这超出了对漏洞特征的传统关注。概念验证(POC)：包括官方PoC、广泛的参考资料以及来自GitHub和其他平台的顶级PoC，提供对可利用性的见解。HackerOne

网络安全是一场跌宕起伏，永无止境的拉锯战。攻击者的技术和手法不断花样翻新，主打一个“避实就虚”和“出奇制胜”；防御者的策略则强调“求之于势，不责于人”，依靠整体安全态势和风险策略的成熟度和韧性来化解风险。此外，经常被忽视的一点是，基础安全策略和实践同样重要。根据微软2023年数字防御风险报告，良好的基础安全实践可以防御99%的网络攻击。例如，漏洞管理、安全意识培训以及定期的安全评估工作。本文我们将重点介绍安全评估工作的重要性及常见的七大企业安全态势漏洞。定期评估安全态势的重要性企业建设弹性安全态势始于发现和识别现有漏洞。然而，大多数企业的漏洞可见性都很差。当被问及所在企业的漏洞可视性时，只有不到一半的网络安全专业人员表示拥有高（35%）或完全（11%）的可视性。超过半数（51%）的企业对自身的漏洞只有中等的可见性。定期的安全评估是企业了解自身安全态势和风险的主要方式之一。这些评估会全面审查企业的网络安全实践和基础设施，评估的范围和频率取决于企业的需求和风险管理计划的成熟度。安全成熟度和与安全评估频率的关系未成熟或无风险策略：不定期进行评估，或仅按临时计划进行评估。初始或临时风险策略：通常每季度或每月进行一次评估。成熟或既定策略：通常每月进行一次评估。高级策略：定期评估会纳入整体风险管理计划，每月或每周进行一次。不同安全成熟度的安全评估频率

2023年，美国的漏洞和数据泄露数量大幅飙升，双双创下历史新高。根据Bugcrowd的最新报告，2023年Bugcrowd平台内Web漏洞提交量激增30%、API漏洞提交量增加18%、Android漏洞提交量增加21%、iOS漏洞提交量增加17%年。政府安全漏洞暴增151%其中美国政府部门的众包安全漏洞增长最为显著，漏洞提交量增长了151%。零售业（+34%）、企业服务（+20%）和计算机软件（+12%）行业的漏洞提交量也显著增加。ITRC还报告称，2023年，近11%的上市公司受到攻击，虽然大多数行业的攻击数量略有增加，但医疗、金融服务和运输行业报告的攻击数量比2022年增加了一倍多。开源普及导致零日漏洞利用爆发应用安全公司Apona

继上周微软高管电子邮件被黑后，科技巨头惠普企业(HPE)本周四也披露遭到类似黑客攻击，俄罗斯APT组织在其网络中潜伏了长达六个月之久，窃取了包括电子邮件在内的敏感信息。SEC披露新规引发“连环暴雷”去年12月SEC（美国证券交易委员会）安全事件披露新规正式开始实施，美国上市公司必须在四日内披露重大网络攻击事件。结果不到一个月内，微软和惠普接连“暴雷”，相继披露黑客攻击事件，成为新规生效后的首批重大披露（去年11月勒索软件组织BlackCat曾举报其受害者——上市软件公司MeridianLink未按SEC规定披露事件，但当时该披露规则尚未生效），凸显了上市公司安全事件披露政策的必要性和重要性。根据惠普在1月24日向SEC提交的8-K披露表格，其系统遭到大名鼎鼎的俄罗斯高级持续威胁组织APT29（又名Cozy

2023年生成式AI技术的异军突起，给动荡的全球网络安全威胁态势增加了不确定性、不对称性和复杂性。在2024年，随着生成式AI攻防对抗、网络犯罪规模化、全球大选与地缘政治动荡和新型网络威胁的快速增长，网络安全也将迎来一次重大变革和洗牌。以下是人工智能时代网络安全市场值得关注的六个关键发展趋势：1.生成式AI将助长勒索软件攻击生成式AI技术的应用将加速漏洞识别速度，使网络犯罪分子更容易发起复杂的勒索软件攻击。过去，黑客需要耗费大量时间来识别企业的攻击面和可利用的漏洞，通常针对面向互联网的应用和服务。然而，随着恶意大语言模型(LLM)的大量涌现和发展，这一格局发生了彻底改变。如今，黑客只需简单提问：“以表格形式列出（某组织）所有防火墙的漏洞”，下一个命令可能是：“帮我开发针对该防火墙的漏洞利用代码”，任务变得轻而易举。生成式AI还可以帮助攻击者识别企业供应链合作伙伴的漏洞以及攻击企业网络的最佳路径。值得注意的是，即使企业加强了自己的安全防御，漏洞仍可能存在于其他入口点，总之，在人工智能时代，瞄准和攻击企业的难度正在快速下降。此外，社会工程漏洞与生成式AI技术的结合将导致网络安全漏洞激增，其特点是漏洞的质量、多样性和数量的大幅提升。这将形成一个可怕的攻击反馈循环，加速迭代改进，使攻击更快速、更复杂，难以缓解。关键防御策略:攻击面管理、零信任、安全意识与安全文化培训。2.用AI对抗AI2024年最令人振奋的趋势之一是，安全供应商将利用AI来应对不断发展的AI增强网络攻击。企业每天都生成大量日志，其中包含可能指向潜在攻击的信号。然而，由于信号与噪声的干扰，及时分离这些信号一直是一项挑战。随着生成式AI技术的出现，企业现在能够高效识别潜在攻击途径。通过利用生成式AI和机器学习工具，企业还可以抢在黑客之前快速发现那些最可能被利用的漏洞，并有针对性地实施优先级分类和防护措施。此外，AI技术还能使企业近乎实时地检测攻击者和漏洞利用行为。因此，2024年云安全供应商将争相开发基于AI的工具来主动防止潜在的漏洞利用。3.无防火墙企业崛起企业意识到，尽管多年来在传统防火墙和VPN上投入巨资，其安全状况仍然脆弱不堪，唯一的出路是实施真正的零信任架构。企业意识到基于防火墙的安全方法存在固有的安全风险和虚假安全感，将不再把防火墙和VPN作为其主要的安全技术。在未来几年，防火墙将像大型机一样被时代淘汰。企业正在觉醒，需要更全面和有效的网络安全战略。未来几年，我们将见证零信任架构的采用和实施取得重大进展，以及“无防火墙企业”的崛起。这种转型标志着网络安全市场格局的一个关键转折点。4.零信任微隔离得到广泛采用勒索软件攻击屡屡得手的主要原因之一是企业网络的扁平化结构。一旦黑客进入网络，就可以轻松横向移动，找到高价值资产并加密它们，然后索要赎金。企业一直在尝试实施基于网络的分段/微隔离来消除横向移动。传统的网络分段/微隔离面临的最大阻碍是过于复杂。Zscaler调查过数百位CISO，居然没有一位CISO成功完成基于网络的分段或微隔离，因为部署和操作太过复杂。2023年，大量企业已经成功实施了零信任架构的第一阶段。在2024年，预计零信任微隔离将得到更广泛的采用。因为零信任方法大大简化了微隔离的实施，企业无需创建网络段，而是使用零信任技术完成用户到应用程序或应用程序到应用程序的分段。5.零信任SD-WAN开始取代传统SD-WANSD-WAN基于互联网（一种更便宜的传输方式）帮助企业节省企业组网成本。但SD-WAN本身并不能提高网络安全性，因为它不能组织威胁的横向移动。因此零信任SD-WAN将成为2024年SD-WAN的热点，零信任SD-WAN有以下两大优点：零信任SD-WAN不会将用户直接接入网络，而是在用户和应用程序之间建立点对点连接，从而消除横向威胁移动。这可以保护企业免受勒索软件攻击。因此，零信任SD-WAN将成为提供高可靠、高安全和无缝连接的重要技术。零信任SD-WAN还减少了开销，因为企业不再需要担心管理路由表。零信任SD-WAN使每个分支机构都像网吧或咖啡店一样，您的员工可以访问任何应用程序，而无需将网络扩展到每个分支机构。6.董事会和CFO更多参与，打造“自上而下”的网络安全管理大多数企业的网络安全发展模式属于“自下而上”，举步维艰，收效甚微，难以打造全局性的网络安全能力和业务弹性（竞争力）。根据Commvault的最新调查，只有33%的总经理、CEO或董事长，21%的其他企业高管积极参与企业的网络安全和风险计划。52%的企业高管没有参与（处理）公司的网络安全事件。随着人工智能时代网络安全攻防平衡被打破，“自下而上”的网络安全模式将难以应对新的威胁和风险。为了帮助企业推动“自上而下”的高效网络安全和风险管理，近日，美国证券交易委员会(SEC)发布规定要求企业董事会成员和首席财务官更积极参与降低网络安全风险。推动关键利益相关者更多参与到网络安全计划和决策过程。首席财务官和董事会对网络安全的参与度提高，意味着这样一种共识的达成：网络安全不仅仅是首席信息官(CIO)或首席信息安全官(CISO)的责任，而是整体企业韧性和风险管理的重要组成部分。此外，SEC新颁布的企业数据泄露披露要求也将成为董事会积极推动网络安全计划的催化剂。2024年，越来越多的企业将要求配备至少一位具有强大网络安全背景的董事会成员。END相关阅读迄今最详细的人工智能网络攻击分类指南微软的大棋局：人工智能+零信任2024年人工智能安全发展十大预测人工智能进入强监管时代

VPN和IPS设备上执行任意命令，在目标网络内横向移动、窃取数据并通过部署后门建立持久的系统访问权限。根据威胁监控服务Shadowserver的最新数据，目前有超过16.2万个在线暴露的ICS

II)中，可被利用来实现远程代码执行、拒绝服务(DoS)、DNS缓存中毒和敏感信息泄露。AMI、英特尔、Insyde和Phoenix

ExchangeAI战争迫近，ChatGPT解除军用禁令分享照片有风险！斯坦福大学新AI模型可根据照片快速定位

根据安全厂商Egress的最新发布的《2024年电子邮件安全风险报告》，2023年电子邮件安全仍然是企业网络安全人士最关心的问题，因为超过九成(94%)的网络安全决策者遭遇过网络钓鱼攻击，这一数字比上一年增长了2%，2023年电子邮件安全的重要统计数据如下：94%的企业发生过邮件安全事件，91%的企业发生过数据泄漏事件79%的账户接管攻击始于网络钓鱼95%的网络安全领导者对邮件安全感到心力交瘁（由于传统方法失效以及AI新威胁的迫近）91%的网络安全领导者对邮件安全网关产品感到极度失望90%的网络安全领导者对邮件DLP产品的局限性表示关切91%的网络安全领导者质疑传统安全意识培训方法的有效性调查显示，2023年使用最多的三种网络钓鱼技术分别是：恶意URL恶意软件或勒索软件附件从供应链受感染邮件帐户发送恶意邮件该报告还显示，大多数网络安全领导者意识到网络钓鱼是企业面临的一个严重问题。其中高达95%的受访者表示，他们对电子邮件安全感到压力。其中，受感染供应链邮件账户对企业威胁最大，半数网络钓鱼攻击都是通过供应链或企业内部受感染邮件帐户发起，企业安全主管最担心的五种网络钓鱼邮件如下（受访人数占比）：此外，网络钓鱼攻击者变得更加高效，高达96%企业因网络钓鱼攻击蒙受损失，2022年这一比例为86%。值得注意的是，网络钓鱼也是账户接管攻击的主要手段之一，2023年58%的企业发生账户被盗，其中79%来自通过网络钓鱼获取的凭据。83%的账户接管攻击中发生多因素认证被绕过

普华永道近日对全球CEO进行的一项新调查显示，尽管生成式人工智能技术潜力巨大，但也带来重大安全风险。该调查采访了全球4700多名企业CEO，以了解他们计划如何使用人工智能技术重塑业务模式，为客户和员工创造价值。其中77%的受访者认为人工智能可能会增加网络安全漏洞的风险。投资人工智能可在12个月内产生回报随着ChatGPT等生成式人工智能技术在企业应用市场的普及，受访CEO们普遍预计该技术将在今年开始带来回报。在调查中，58%的受访者预计生成式人工智能将在未来12个月内提高其产品质量，70%的受访者认为，从长远来看，人工智能将显著改变公司创造、交付和获取价值的方式。CEO们认为当前生成式人工智能技术最大的价值体现在员工生产力方面，多达64%的高管预计在未来几个月，员工将能够借助生成式人工智能提高生产力。近60%的受访CEO认为人工智能也能提高自己的工作效率。44%的CEO表示，人工智能的带来的这些改变将最终转化为利润。他们预计GenAI在未来12个月内推动利润净增长。人工智能技术的双刃剑：内卷加剧但是，生成式人工智能提升企业产品和团队的同时也会在行业内引入新的“内卷”，加剧竞争。多达68%的CEO预计这将在未来三年内发生。届时，员工的（人工智能）技能以及借助人工智能创造价值的能力将成为差异化因素。普华永道指出，截至目前，新一代人工智能的社会影响仍不清楚，一些高管计划在实施人工智能技术时继续招聘人才，但也有一些高管则希望借助人工智能裁减员工数量。普华永道认为表示，企业最明智的做法应该是寻找精通人工智能的人才，同时积极培训和鼓励现有员工利用人工智能技术自动化和增强日常任务，从而腾出更多时间从事更高价值工作。对生成式人工智能安全性的普遍担忧虽然培训和鼓励可以推动员工接受生成式人工智能，但在人工智能系统的输入和输出中建立有机信任仍然是高管们最关心的问题之一。调查显示，网络安全漏洞的风险仍然是建立信任的最大障碍之一。77%的CEO认为人工智能技术会增加违规的可能性。此外，他们还表达了其他的担忧，例如公司内部错误信息的传播（63%）以及生成人工智能可能造成的法律或声誉损害（55%）。参考链接：https://www.pwc.com/gx/en/issues/c-suite-insights/ceo-survey-2024.htmlEND相关阅读OWASP发布开源AI网络安全知识库框架

Exchange还率先提出了一些通用AI安全建议，包括实施人工智能治理、将安全和开发实践扩展到数据科学以及根据人工智能的具体用例。覆盖AI威胁、攻击面、生命周期和资产的AI安全矩阵

上周末，人工智能领头羊企业OpenAI悄悄从ChatGPT使用政策中删除了禁止应用于军事用途的条款，这标志着人工智能武器化的潘多拉盒子已经打开。值得注意的是，在OpenAI新政策曝光前不到一个月，美国国防部副部长希克斯在访问加州期间曾宣称，美国军方与硅谷联手是“击败”中国的关键。过去多年，硅谷科技巨头始终与军方刻意保持距离，例如谷歌为了避免卷入军火生意选择出售军方颇感兴趣的机器人公司波士顿动力（Boston

虽然大语言模型(LLM)应用正在全球快速普及，但企业对大语言模型的威胁态势仍然缺乏全面了解。面对大语言模型风险的不确定性，企业希望在保障其安全性的基础上加快应用脚步，用人工智能提升企业核心竞争力，这意味着企业的CISO面临着理解和应对新兴人工智能威胁的巨大压力。人工智能威胁态势每天都在变化，企业安全团队应当优先关注和处理那些对企业运营构成重大风险的大语言模型漏洞。如果网络安全团队能够深入了解这些漏洞及其缓解措施，企业就可以大胆放手一搏，利用大语言模型加速创新，而无需过度担心风险。以下，我们将简要介绍四类大语言模型重大风险及其缓解措施：一、提示注入攻击和数据泄露对于大语言模型来说，数据泄露是最受关注的重大风险。大语言模型可能会被“诱骗”披露敏感的企业或用户信息，从而导致一系列隐私和安全问题。提示泄漏是另一个大问题，如果恶意用户访问系统提示，公司的知识产权可能会受到损害。这两个漏洞都与提示注入有关，直接和间接提示注入攻击如今都变得越来越普遍，并且会带来严重的后果。成功的提示注入攻击可能会导致跨插件请求伪造、跨站点脚本编写和训练数据提取，这些都会使公司机密、个人用户数据和重要训练数据面临风险。因此，企业需要在整个人工智能应用开发生命周期中实施检查系统。从采购和处理数据到选择和训练应用程序，每一步都应该受到限制，以降低违规风险。与大语言模型打交道时，沙箱、白名单和API网关等常规安全实践同样有价值（如果不是更有价值的话）。除此之外，在将插件与大语言模型应用程序集成之前，安全团队应仔细审查所有插件，并人工审核批准所有高权限任务，这一点至关重要。二、模型数据中毒攻击人工智能模型的有效性取决于数据质量。但在整个模型开发过程中——从预训练到微调和嵌入——训练数据集很容易受到黑客的攻击。大多数企业利用第三方模型，由未知人员管理数据，网络团队不能盲目相信数据没有被篡改。无论使用第三方还是自有模型，总会存在不良行为者带来“数据中毒”的风险，这可能会对模型性能产生重大影响，从而损害品牌声誉。开源AutoPoison框架（https://github.com/azshue/AutoPoison/blob/main/assets/intro.png）清楚地描述了数据中毒攻击如何在指令调整过程中影响模型。此外，以下是网络安全团队可以实施的一系列风险环节策略，可以以降低风险并最大限度地提高人工智能模型的性能：供应链审查：通过严密的安全措施审查供应链，以验证数据源是否干净。提出诸如“数据是如何收集的？”之类的问题。以及“是否征得用户同意和并符合道德规则？”此外，还需要询问数据标注者的身份、他们的资格以及标签中是否存在任何偏差或不一致。此外，解决数据所有权和许可问题，包括谁拥有数据以及许可条款和条件。数据清理和清理：在数据进入模型之前，请务必检查所有数据和来源。例如，PII在放入模型之前必须进行编辑。红队演习：在模型生命周期的测试阶段进行以大语言模型为重点的红队演习。具体包括：优先考虑涉及操纵训练数据以注入恶意代码、偏见或有害内容的测试场景，并采用各种攻击方法，包括对抗性输入、中毒攻击和模型提取技术。三、互联系统的API风险GPT-4等高级模型经常会被集成到与其他应用程序通信的系统中。但只要涉及API，下游系统就会面临风险，一个恶意提示就可能会对互连系统产生多米诺骨牌效应。为了降低这种风险，请考虑以下事项：如果允许大语言模型调用外部API，请在执行潜在破坏性操作之前请求用户确认。在不同系统互连之前审查大语言模型输出。检查它们是否存在可能导致远程代码执行(RCE)等风险的潜在漏洞。请特别注意这些输出促进不同计算机系统之间交互的场景。为互连系统中涉及的所有API实施强大的安全措施。使用强大的身份验证和授权协议来防止未经授权的访问和数据泄露。监控API活动是否存在异常和可疑行为迹象，例如异常请求模式或尝试利用漏洞。四、大模型DoS攻击网络带宽饱和漏洞可能被攻击者利用实施拒绝服务(DoS)攻击，可导致大语言模型使用成本飙升。在模型拒绝服务攻击中，攻击者以过度消耗资源（例如带宽或系统处理能力）的方式使用模型，最终损害目标系统的可用性。反过来，此类攻击可导致大模型服务质量下降和天价账单。由于DoS攻击对于网络安全领域来说并不新鲜，因此可以采用多种策略来防御模型拒绝服务攻击并降低成本快速上升的风险：速率限制：实施速率限制以防止系统因过多请求而不堪重负。确定应用程序的正确速率限制取决于模型大小和复杂性、硬件和基础设施以及平均请求数和峰值使用时间。字符限制：对用户可以在查询中包含的字符数设置限制，以米便大模型的API资源耗尽。框架提供商的方法：利用框架提供商提供的方法来加强对攻击的防御。例如，如果您使用LangChain，请考虑使用max_iterations参数。保护大语言模型需要采取多种方法，涵盖数据处理、模型训练、系统集成和资源使用。通过实施以上建议策略并保持警惕，企业无需因噎废食，在充分利用大语言模型能力的同时，最大限度地降低相关风险。END相关阅读集体暴雷！自动化攻击可一分钟内越狱主流大语言模型主流大语言模型集体曝出训练数据泄露漏洞网络安全领域的12个大语言模型用例大语言模型的七大网络安全热门应用

生成式人工智能的飞速发展正在不断制造新的个人隐私焦虑，例如语音和人脸样本的泄露可被用于深度伪造和网络钓鱼等犯罪活动。近日，斯坦福大学公布了一种新的AI模型，可以根据用户在社交媒体上分享的环境照片快速定位用户位置，准确率高达92%。过去，在很多媒体报道中，只有一些高智商的专业玩家才能通过键盘声音识别密码，或者通过一张没有明显地标特征的环境照片锁定拍摄者位置，但随着大语言模型的快速发展，此类分析工作都已经“傻瓜化”，能在几秒钟内完成专业人士数小时的工作。能“看图寻址”的AI模型由斯坦福大学的一群研究生开发，该项目背后的AI模型经过10万个随机位置、50万个街景图片以及其他图片训练而成。可以快速准确找出图片中的位置，准确率目前是92%，还可以在40%的猜测中将真实地点缩小到25公里范围内。这个项目在自动驾驶、视觉调查、安全方面有巨大应用前景，同时也对个人隐私构成巨大威胁。为此，该项目团队决定不公开该模型、仅基于学术目的共享代码。但是，考虑到大语言模型的飞速发展，提供类似功能的开源模型或者在线服务的出现只是时间问题，对于个人和涉密企业员工来说，在社交媒体分享照片需谨慎，传统的去除照片exif和GPS坐标信息等“图片脱敏”方法不再能够确保隐私安全。论文地址：https://t.co/higtkXOZIqEND相关阅读15位大咖预测：2024年AI将改变网络安全游戏规则DLP的下一个引爆点：AI数据安全CISO的噩梦：影子AIAI教父：企业应将三成AI预算用于管理安全风险

2023年，随着勒索软件和APT组织纷纷调整攻击策略，零日漏洞攻击快速升温并有望在2024年延续这一趋势。根据谷歌威胁分析小组今年7月发布的报告，2021年野外利用零日漏洞数量（69个）创下历史新高后，2022年有所下滑，但2023年随着重大零日漏洞利用事件的大幅增长，零日漏洞攻击重新升温，从商业间谍到勒索软件攻击，零日漏洞被广泛使用。零日漏洞利用对攻击者的财力或技能有着很高要求，但是“零日漏洞+供应链攻击”产生的倍增效应使得零日漏洞攻击的“投入产出比”极速飙升。赛门铁克首席情报分析师Dick

近日，NIST发布了可能是迄今最详细的针对人工智能系统的网络攻击分类指南——对抗性机器学习：攻击和缓解的分类和术语”(NIST.AI.100-2)），并指出：当人工智能系统接触到不可信的数据时，可能会出现故障，而攻击者正在利用这个问题。新指南记录了这些攻击的类型以及缓解方法。目前尚不存在万无一失的方法来保护人工智能免受误导，人工智能开发人员和用户应该警惕任何提出其他说法的人人工智能网络攻击分为四大类NIST的指南将人工智能网络攻击分为四大类型：逃避、投毒、隐私和滥用攻击。指南还根据攻击者的目标、能力和知识等多种标准将每一类攻击类型细分为多个自类别：逃避攻击。发生在人工智能系统部署后，通过对抗性输入改变系统的响应方式。例如，在停车标志上添加标记，使自动驾驶车辆将其误解为限速标志，或者创建令人困惑的车道标记，使车辆偏离道路发生车祸（编者：有些非人为或非故意的视觉信息也可能产生类似的效果）。中毒攻击。在训练阶段引入损坏的数据。一个例子是将大量不恰当语言的实例放入对话记录中，误导聊天机器人以为是常用语并在用户交互中使用。隐私攻击。隐私攻击发生在部署期间，通过提出绕过现有护栏的问题来收集有关系统或其训练数据的敏感信息。对手可以向聊天机器人提出许多貌似合理的问题，然后使用答案对模型进行逆向工程，以找到其弱点，或猜测其来源。在这些在线资源中添加不需要的示例可能会使人工智能行为不当，并且在事后让人工智能忘记“有毒”示例可能很困难。滥用攻击。将不正确的信息插入到源中，例如网页或在线文档，然后让人工智能吸收这些信息。与前面提到的中毒攻击不同，滥用攻击通过篡改或污染合法来源向人工智能提供不正确的信息，以重新调整人工智能系统的预期用途。东北大学教授、合著者阿丽娜·奥普雷亚(Alina

根据奇安信《2023年中国企业勒索病毒攻击态势分析报告》显示，截至2023年10月，全球勒索软件数量同比增长37.75%，勒索软件有效攻击载荷更是激增了57.5%，再次创下历史新高。2023年，生成式人工智能等一批新技术在应用端获得了令世界瞩目的进步，而新技术进步带来巨大机遇的同时，也意味着其在安全性上会产生更多挑战。人工智能大幅降低了网络攻击的门槛，给安全防护带来更大挑战。2024年全球网络攻击事件依旧不容乐观，根据Cybersecurity

AI是否会导致网络安全人员大规模失业？生成式AI带来哪些新的威胁和挑战？网络安全能否“用魔法打败魔法”，从AI技术中受益？随着AI技术的突破性发展，攻击者正在加速AI的武器化，结合社会工程技术让企业防不胜防；与此同时，在防御侧，AI也是CISO赢得人工智能军备竞赛的关键武器。2024年，AI将如何改变网络安全的游戏规则？近日，科技媒体VentureBeat采访了13家公司的15位网络安全领导者，汇总了他们对2024年的预测。受访者普遍认为，2024年CISO的首要目标是建立安全人员与AI和合作关系。AI需要人类的洞察力才能充分发挥其抵御网络攻击的潜力，以下为安全大咖们的主要预测观点：人工智能带来检测能力的提升和挑战——Ericom网络安全部门Peter

Bionic处理器中未知的MIMO（内存映射I/O）寄存器，可能与该芯片的GPU协处理器相关联，但未在设备树中列出：三角测量攻击的MIMO范围

根据苹果公司近日发布的数据泄露报告，2021和2022年，全球泄露了惊人的26亿条个人记录，仅2022年一年就泄漏了约15亿条个人记录。2023年全球数据泄漏规模将创下历史新高，前九个月有3.6亿人的敏感数据遭泄漏，比2022年全年高出20%。12月15日，工信部《工业和信息化领域数据安全事件应急预案（试行）（征求意见稿）》将数据安全事件分为特别重大、重大、较大和一般四个级别。此外，工业和信息化领域数据处理者一旦发生数据安全事件，应当立即先行判断，对自判为较大以上事件的，应当立即向地方行业监管部门报告，不得迟报、谎报、瞒报、漏报，此举凸显了政府部门对境内大规模数据泄露和黑客攻击的担忧。GoUpSec深入统计分析了2023年全球各地数据泄露事件，其中政府部门、科技公司、数码产品生产商、汽车制造商、学校、手机制造商、医疗机构、门户网站、银行业、航空公司等十大行业已成为数据泄露重灾区，GoUpSec根据受影响的企业/机构主体、事件原因、泄露数据数量等方面对发生在或者查明在2023年世界各地发生的重大数据泄露事件按照发生时间进行了收集整理。希望网络安全工作者以史为鉴、开创未来，埋头苦干、勇毅前行！1月BitKeep遭网络攻击，数字货币损失超900万美元区块链加密钱包BitKeep证实了一次网络攻击，该攻击允许攻击者分发带有欺诈性的Android应用程序，目的是窃取用户的数字货币。该次网络攻击通过恶意植入的代码，更改的APK导致用户私钥泄露，使黑客能够转移资金，估计已有价值990万美元的资产被掠夺。日产北美公司再次曝出数据泄露严重事件日产公司曝出数据泄露严重事件，日产（NISSAN）北美公司发送数据泄露通知，通知客户其第三方服务提供商发生泄露客户信息的安全事件。Twitter回应，2亿用户数据不是通过系统漏洞流出Bleeping

World遭网络攻击，数千集装箱滞留码头巴以冲突相关网络攻击活动暴增2023年80%的网络攻击来自三大木马程序

2023年，随着疫情平稳转段、相关政策法规和标准规范相继落地、网络安全治理日臻完善、网络安全技术加快迭代升级等正向激励效能显现，网络安全市场需求持续扩大。根据CCIA发布的《中国网络安全产业分析报告（2023年）》显示，2022年，我国网络安全市场规模约为633亿元，同比增长3.1%，预计未来三年产业增速将保持在10%以上，到2025年市场规模预计将超过800亿元。2023年，数据安全治理、智能网联汽车、关键信息基础设施保护、隐私计算技术、国产密码技术、网络安全云化服务、人工智能网络攻防等方面已成为发展趋势。2023年，数字经济发展势头强劲，成为稳增长促转型的重要引擎；网络法治化程度不断提高，未成年人网络保护等重点领域网络立法取得突破；网络空间国际交流合作深化拓展，积极搭建国际交流平台，有力推动构建网络空间命运共同体。据GoUpSec统计，截至2023年12月14日，2023年度国内外网络安全领域融资企业共计106家，融资金额由数千万元至数十亿元，主要资金均用于拓展市场、产品研发、完善技术、扩充团队、建设人才等方向。从细分领域分析，人工智能、零信任、数据安全、物联网安全、智能汽车、云安全、商用密码等方向较为受市场青睐。1月甄零科技完成7000万A+轮融资业财法一体化合同管理平台甄零科技宣布完成7000万元A+轮融资，该轮融资由红点中国领投，老股东云启资本、蓝湖资本跟投，毅仁资本担任本轮独家财务顾问。据介绍，本轮融资将用于拓展市场和产品研发。墨云科技获国有资本新一轮战略投资墨云科技获国内头部国有资本新一轮战略投资，投资方为中信证券旗下专业私募股权投资平台金石投资。本轮融资资金将主要用于持续加大研发投入，巩固智能自动化攻防产品矩阵，为客户提供全方位的信息安全服务，引领新一代以攻促防的安全服务模式。丈八网安完成数千万元A轮融资1月6日，北京丈八网络安全科技有限公司正式宣布完成数千万元A轮融资，由泓沣北京私募基金管理有限公司和广州白云金融控股集团有限公司共同投资，投后公司估值数亿元人民币。本轮融资将用于加大网络靶场产品及仿真技术的研发投入，加速推进产品的市场化。天防安全获数千万Pre-A轮融资物联网安全创新者天防安全完成数千万Pre-A轮融资。本轮融资由行业知名投资机构天鹰资本领投，主要用于新产品开发和全国市场体系的搭建以及团队人才引进等方面。为辰信安完成新一轮融资广东为辰信息科技有限公司完成新一轮融资，投资方为国投招商。本轮投资后，为辰信安将与国投招商一同推动产业链企业之间的协同合作，拓展业务边界，构筑智能汽车网络安全防护体系。亿智云完成2000万A轮融资北京亿智云科技有限公司完成2000万A轮融资，由雷石独家投资。本轮融资后，亿智云将加强对数影系列等产品的研发，提升多云、跨云、分布式的环境下对数据进行高效的保护、治理及备份能力。

近日，研究者发现全球超过1000台存在严重漏洞的pfSense设备在线暴露，面临攻击风险。pfSense是Netgate推出的一款流行的开源防火墙解决方案，基于FreeBSD，可安装于实体电脑或虚拟机，能够在网络中充当独立的防火墙及路由器。Netgate提供pfSense

根据苹果公司近日发布的数据泄露报告，2023年全球数据泄漏规模将创下历史新高，前九个月有3.6亿人的敏感数据遭泄漏，比2022年全年高出20%。苹果公司在报告中强调了使用端到端加密来保护敏感数据的重要性。报告显示，过去两年中，勒索软件攻击和针对“可信”技术供应商的供应链攻击是导致数据泄露急剧增加的两个主要原因。数十亿记录遭到泄露根据报告，2021和2022年，全球泄露了惊人的26亿条个人记录，仅2022年一年就泄漏了约15亿条个人记录。2023年将创下新的数据泄漏记录。仅2023年前9个月的数据泄露总数就已经比2022年全年总数高出20%。截至2023年8月底，企业和机构一共泄露了约3.6亿人的敏感记录。苹果公司在报告中引用的IBM和Forrester的研究数据显示，在最近发生过数据泄露的组织中，95%之前已经发生过一次泄露。75%的受访者在过去12个月内至少经历过一次数据泄露事件。勒索软件和针对技术厂商的供应链攻击是导致近年来数据泄露急剧增加的主要原因。2023年前9个月的勒索软件攻击数量比2022年同期增加了70%。2023年上半年遭遇勒索软件攻击的组织数量同比暴增了约50%，下半年的数据可能还会更高。研究还发现，98%的组织与最近至少经历过一次数据泄露的技术供应商建立了合作关系。因数据泄漏事件影响众多组织和个人的主要技术供应商包括Fortra、3CX、ProgressSoftware和微软等。苹果在报告中表示：“消费者数据面临的威胁日益增加，是企业和其他组织收集和明文存储个人数据数量不断增加的结果，特别是在云端。组织应该对网络中存储的数据进行加密，只有拥有解密密钥的人才能读取，从而降低黑客滥用或出售消费者数据的可能性。”大规模数据泄漏刺激加密需求组织需要对正在使用、传输和静态的数据进行加密，这是一个长期共识。各国的多项法规和行业指令（例如PCIDSS、HIPAA、GLBA和欧盟的GDPR）都要求或建议加密，特别是对于存储和传输中的数据。即便如此，许多组织出于各种原因在数据加密方面继续拖延。Ontinue安全运营副总裁CraigJones表示，这些因素包括加密系统的复杂性、潜在成本、对性能影响的担忧以及缺乏有效管理加密系统的内部专业知识。“实施端到端加密的难度在中等难度到非常具有挑战性之间，具体取决于组织的规模、现有基础设施以及加密数据的类型，”Jones说：“这需要仔细规划、投资正确的工具和技术，并且通常需要组织建立新的数据安全文化。此外，组织在实施加密时还经常会遇到与密钥管理和系统兼容性有关的问题。”云计算的快速增长是组织考虑加密的另一个重要因素。苹果公司的研究数据显示，80%的数据泄露来自存储在云端的数据，加密云端数据可能比加密本地数据更具挑战性。组织可能犯的另一个错误是仅仅依赖云提供商进行数据加密，Ben-Ari表示：“虽然云提供商提供了有价值的安全措施，但组织必须承担加密数据的直接责任。”参考链接：https://www.apple.com/newsroom/2023/12/report-2-point-6-billion-records-compromised-by-data-breaches-in-past-two-years/END相关阅读主流大语言模型集体曝出训练数据泄露漏洞勒索软件攻击导致加拿大政府发生大规模数据泄露精工证实勒索软件攻击，近6万客户数据泄露IBM泄露强生公司患者数据

随着互联网的快速发展与普及，人们的日常生活和社会的整体运转已越来越离不开网络，而网络安全问题也逐渐为全社会关注的焦点，成为各个国家乃至全球所面临的严峻挑战。为了保障网络安全，各国纷纷出台了相关的法规和政策，以确保网络空间的稳定和安全。个人方面，数字化时代个人信息被广泛应用的同时也存在泄露和滥用的风险。网络安全法规，可以保护个人隐私不被侵犯，防止个人敏感信息被非法获取和使用。国家层面，网络安全法规的重要性还在于维护国家安全，通过制定网络安全法规，国家可以建立起一套完善的网络安全体系，能够有效预防和遏制网络攻击行为，维护国家的政治稳定和经济发展。那么，2023年具体发布了哪些网络安全相关的法律法规和政策文件？截至发稿日GoUpSec共收集整理国内外共计221条网络安全相关政策法规，涵盖数据安全、人工智能、未成年保护、电信诈骗、工业互联网、物联网、车联网、商用密码、移动互联网、智慧城市等方面。网络安全法规的重要性不容忽视，更需要各方共同努力，提高公众的网络安全意识，加强技术创新和发展，共同应对网络安全挑战，为社会创造一个更安全、更可靠的网络环境。1月工信部拟出台措施规范APP安装卸载行为工业和信息化部在官方网站公开征求对《工业和信息化部关于进一步提升移动互联网应用服务能力的通知（征求意见稿）》的意见。《征求意见稿》对安装卸载行为、优化服务体验、加强个人信息保护以及响应用户诉求等方面作出了相关规定。最高法发文

大语言模型应用面临的两大安全威胁是训练数据泄漏和模型滥用（被应用于网络犯罪、信息操弄、制作危险品等违法活动）。本周内，这两大安全威胁相继“暴雷”。本周一，GoUpSec曾报道研究人员成功利用新的数据提取攻击方法从当今主流的大语言模型（包括开源和封闭，对齐和未对齐模型）中大规模提取训练数据。本周四，Robust

近日，安全研究人员发布的一篇论文给“百模大战”的生成式人工智能开发热潮浇了一盆冷水。研究发现，黑客可利用新的数据提取攻击方法从当今主流的大语言模型（包括开源和封闭，对齐和未对齐模型）中大规模提取训练数据。论文指出，当前绝大多数大语言模型的记忆（训练数据）可被恢复，无论该模型是否进行了所谓的“对齐”。黑客可以通过查询模型来有效提取训练数据，甚至无需事先了解训练数据集。研究者展示了如何从Pythia或GPT-Neo等开源语言模型、LLaMA或Falcon等主流半开放模型以及ChatGPT等封闭模型中提取数以GB计的训练数据。研究者指出，已有技术足以攻击未对齐的模型，对于已经对齐的ChatGPT，研究者开发了一种新的发散数据提取攻击，该攻击会导致大语言模型改变聊天机器人的内容生成方式，以比正常行为高150倍的速率疯狂输出训练数据（下图）：图1:发散攻击导致对齐后的chatGPT以150倍的速度输出训练数据研究者表示：发散数据提取攻击方法在实际攻击中可恢复的训练数据大大超出了事前的预期，同时也证明当前的大语言模型对齐技术并不能真正消除记忆。研究者利用偏差攻击提取训练数据中的隐私信息据研究者介绍，大型语言模型（LLMs）会从其训练数据集中记忆样本，可被攻击者利用提取隐私信息（上图）。先前的安全研究工作已经对开源模型记忆的训练数据总量进行了大规模研究，并且通过手动标注示记忆和非记忆样本，开发并验证了针对（相对）小型模型如GPT-2的训练数据提取攻击。在最新发布的论文中，研究者将“成员推断攻击”（用于确定数据样本是否训练数据）和数据提取攻击两种方法统一起来，对语言模型中的“可提取记忆”进行了大规模研究。研究者开发了一种可扩展方法，通过与TB级数据集比对，检测模型输出的数万亿个token的记忆内容，并对流行的开源模型（例如Pythia，GPT-Neo）和半开源模型（例如LLaMA，Falcon）进行了分析。研究者发现，无论开源还是闭源的大语言模型都无法避免新的数据提取攻击，而且参数和Tokens规模更大、性能更强劲的模型更容易受到数据提取攻击：九个开源大语言模型测试结果九个半开源（训练算法和训练数据不公开）大语言模型的测试结果研究者发现，“对齐模型”也不能避免新的数据提取攻击。例如，gpt-3.5-turbo对常规数据提取攻击免疫，看上去似乎成功“忘记了”训练数据。研究者推测是因为ChatGPT已经通过RLHF进行了对齐，目的是使其成为“安全高效”的，可推向市场（生产环境）的个人聊天助手。但研究者开发了新的提示策略（仅适用于GPT3.5turbo），成功绕过了gpt-3.5-turbo的对齐技术，使其“偏离”预设的聊天机器人风格，表现得像一个基础语言模型，以典型的web文本格式大量输出文本。为了检查这些输出的文本是否是此前从互联网上采集的训练数据，研究者将几个公开可用的大型网络训练数据集合并成一个9TB大小的数据集。通过与这个数据集匹配，研究者以200美元的查询成本从ChatGPT对话中恢复了一万多个训练数据集样本。研究者粗略估计，通过更多的查询可以提取超过10倍的（训练）数据。研究者在论文中透露，在7月11日发现该漏洞后，通知了包括OPT、Falcon、Mistral和LLaMA等模型开发者，并在8月30日向OpenAI披露了其漏洞，并根据90天漏洞披露规则，于11月30日发布论文，希望能唤起业界对大语言模型数据安全和对齐挑战的关注。最后，研究者警告大语言模型应用开发者，渗透测试结果表明现有的大语言模型安全措施（模型对齐和内容记忆测试）难以发现大语言模型的隐私漏洞，更不用说那些隐藏在模型算法代码中的“休眠漏洞”。如果没有极端的安全措施，现阶段不应训练和部署涉及隐私和敏感信息的大模型应用（编者：例如医疗、法律、工程）。论文链接：https://arxiv.org/abs/2311.17035END相关阅读网络安全领域的12个大语言模型用例大语言模型的七大网络安全热门应用主流大语言模型威胁检测能力评测：GPT4不敌开源模型可用于生产环境的大语言模型开源安全工具：LLM

美国办公用品巨头Staples本周一遭遇的网络攻击导致了严重的业务中断，至今未能完全恢复。Staples在美国和加拿大拥有994家门店以及40个用于全国产品存储和配送的配送中心。业务系统瘫痪多日自周一遭受攻击以来，Staples内部运营陷入混乱，员工无法使用Zendesk、VPN、员工门户、电子邮件甚至电话。一位Staples员工在Reddit上吐槽说：“一切仍处于瘫痪状态。我在线下店面工作，我们无法访问电子邮件、bizfit、pogs、电子帮助台。DM表示他们昨晚正在整夜修复，但显然什么都没有修复。”另一位员工表示：“这太疯狂了。我在Staples工作20年里从未见过这样的事情。”此外，有未经证实的报道称，Staples员工已被指示避免使用单点登录(SSO)登录Microsoft365，并且呼叫中心员工已连续两天无法上班。Staples发言人在接受Bleepingcomputer采访时透露：“11月27日，Staples公司的网络安全团队发现攻击后迅速采取了积极主动的措施，努力减轻影响并保护客户数据。我们的迅速响应导致后端处理和交付能力以及我们的通信渠道和客户服务线路暂时中断。”勒索软件攻击被成功阻止？截至本周四，Staples线下商店已开放并运营，但由于业务系统仍处于关闭状态，staples.com上的订单可能无法按预定时间处理。“我们所有的系统都在恢复上线过程中，我们预计会在短时间内恢复正常功能。在此期间，我们可能会遇到轻微的延误，但预计会运送所有已下订单。”发言人补充道。Staples网站上也发布了类似的通知，就意外中断向用户致歉，并承诺迅速恢复正常运营。据BleepingComputer报道，此次攻击中没有部署勒索软件，也没有文件被加密。可能是因为Staples安全团队快速反应、处置果断（拔网线、断开VPN），在攻击进入最后阶段之前阻止了攻击。但是，目前还没有证据表明此次攻击没有发生数据泄露，这可能需要关注后继是否有黑客在泄露站点上公开威胁索要赎金。2023年3月，Staples旗下分销商Essendant也经历了多天的业务中断，导致客户和供应商无法下达或履行在线订单。三年前（2020年9月）Staples还曾遭遇过一次严重网络攻击，黑客利用未修补的VPN端点上的漏洞获取访问权限后，窃取了包括敏感客户数据和订单信息。END相关阅读物流巨头DP

网络安全是人工智能最大的细分市场，过去几年网络安全厂商纷纷宣称整合了人工智能技术（当然也有很多仅仅是炒作），其中大部分是基于基线和统计异常的机器学习。随着ChatGPT和类似生成式人工智能技术的飞速发展，基于大语言模型的生成式人工智能安全用例已经成为网络安全智能化的主流趋势。以下，我们整理介绍网络安全领域的12个大语言模型应用：1.威胁情报与分析大语言模型可以从安全报告、威胁源和论坛中获取大量文本数据，识别模式并提取可操作的情报。它们可以帮助分析师了解新出现的威胁，提供潜在漏洞的背景，甚至根据历史数据预测攻击向量。2.恶意软件检测和分类通过对恶意软件数据集进行大语言模型培训，网络安全研究人员可以创建识别和分类恶意软件的模型。这些模型可以检测新的恶意软件毒株，有助于早期检测，并使分析过程自动化，从而实现更快的响应时间。3.网络钓鱼检测和预防网络钓鱼攻击仍然是组织和个人面临的主要威胁。大语言模型可用于分析电子邮件内容、识别可疑模式并对合法和恶意电子邮件分类，快速响应用户的报告，这有助于阻止网络钓鱼攻击并提高用户的安全认识。4.漏洞管理大语言模型可以自动解析和解释安全建议和补丁说明，提升漏洞管理的效率和水平。大语言模型还可以帮助安全团队根据漏洞的严重性、潜在影响和可用的缓解措施确定漏洞的优先级，从而简化修补过程。5.安全策略生成制定全面的安全策略和指南是一项耗时的任务。大语言模型可以根据最佳实践和合规标准协助制定此类政策。他们可以分析现有政策、找出差距并提供增强安全态势的建议。6.网络流量分析通过处理网络日志和流量数据，大语言模型可以识别异常行为，检测与恶意活动相关的模式，并提供对潜在网络入侵的洞察。这有助于主动进行威胁搜寻和事件响应。7.密码强度评估弱密码会给系统和帐户带来重大风险。大语言模型可以根据复杂性、熵和常见模式评估密码强度。他们可以提供更强的密码建议，从而降低未经授权访问的风险。8.用于社交媒体监控的自然语言处理（NLP）社交媒体平台在塑造公众舆论方面发挥着至关重要的作用，但它们也是传播错误信息和协调网络攻击的途径。大语言模型可以分析社交媒体数据、标记潜在有害内容、识别趋势并支持威胁情报工作。9.事件响应自动化在网络安全事件响应期间，大语言模型可以帮助提高事件响应工作流程的自动化水平。例如，处理日志、识别攻击模式、推荐缓解步骤并生成事件报告。这缩短了响应时间并减少了手动工作量。10.安全代码审查安全编码实践对于开发弹性应用程序至关重要。大语言模型可以分析源代码、识别潜在漏洞并提出修复技术建议。这增强了代码审查过程并帮助开发人员编写更安全的软件。11.威胁追踪大语言模型可以通过分析大型数据集、识别可疑指标和关联事件来帮助主动寻找威胁。它们可以帮助检测高级持续威胁(APT)并发现容易被忽视的秘密攻击活动。12.安全意识培训对员工进行网络安全最佳实践教育对于最大限度地减少与人相关的安全风险至关重要。大语言模型可以生成交互式培训材料，模拟网络钓鱼场景，并提供个性化的安全意识内容，从而提高员工的整体安全意识。结论大语言模型(LLM)在网络安全各个领域都有颠覆性的应用潜力，正在彻底改变网络安全市场。从威胁情报分析到安全意识培训，大模型为网络安全专业人员带来自动化、效率和增强的决策能力。充分利用大模型的潜力可以帮助企业领先网络威胁一步，确保企业资产安全。END相关阅读大语言模型的七大网络安全热门应用主流大语言模型威胁检测能力评测：GPT4不敌开源模型可用于生产环境的大语言模型开源安全工具：LLM

据Cyberexpress报道，GE（通用电气）近日疑遭黑客攻击，包含大量敏感军事机密信息数据被黑客在论坛中出售。GE是一家美国跨国公司，业务涉及电力、可再生能源和航空航天行业，同时也是美国国防部的重要承包商。本月早些时候，一个名为IntelBroker的黑客在黑客论坛上以500美元的价格出售通用电气“软件开发管道”的访问权限。在没能出售所谓的访问权限后，该黑客再次发帖称，他们开始出售GE的网络访问权限和被盗数据。“我之前列出了GE网络的访问权限，但是，没有真正的买家真正回复我或跟进。我现在在这里单独出售整个东西，包括访问权限（SSH、SVN等），”IntelBroker在黑客论坛发帖称：“数据包括大量与DARPA相关的军事信息、文件、SQL文件、文档等。”来源：BleepingComputer作为泄露的证据，黑客还公布了GE被盗数据的屏幕截图，数据样本包括GE

Entra进行互联网、私有访问控制，使用Defender防护云应用程序。“企业必须始终假设攻击已经发生，这意味着需要持续监控并产生大量的日志文件，”微软身份和网络访问副总裁亚历克斯·西蒙斯(Alex

近日工商银行、波音公司、迪拜环球港务集团等巨头因未能及时修复暴露资产的高危漏洞或错误配置而接连遭遇勒索软件攻击，再次凸显了攻击面管理（ASM）的重要性。根据Sevco最新发布的《2023年企业攻击面调查报告》11%的企业IT资产缺少端点保护，15%的IT资产未被企业补丁管理解决方案覆盖，31%的IT资产未被企业漏洞管理系统覆盖。中小企业的情况更糟，未使用托管安全服务的中小企业中，21%的IT资产缺少端点保护。攻击面管理是加强主动防御能力的关键所在，但对于大多数企业（尤其是中小企业）来说，随着数字化和云计算应用的不断深入，资产增长、迁移、变动加剧，提高攻击面可见性变得越来越有挑战性。雪上加霜的是，很多企业安全团队往往缺乏足够的人才和预算实施成熟的商业攻击面管理解决方案。为了帮助缺乏足够资源的企业提高攻击面管理能力，本文我们将介绍“DIY”攻击面管理方案的工具和方法。如何修补和强化未知资产？今天，企业的资产规模不断扩大，除经营实体外，还蔓延到云和第三方托管设施。不同规模的企业资产，例如域名、子域名和企业IP地址范围内的资产数量动辄数千、数十万甚至数百万不等。临时的错误配置或暴露可能随时出现，虽然可以很快修复，但检测难度很大。因此，攻击面管理工具必须有极高的可扩展性和速度，才能平衡可接受的准确性损失水平，缩短查找资产和检测短暂风险的时间。对于数百万资产规模的攻击面，传统的慢速扫描已经过时了。攻击面管理可以看作是一种递归发现练习，不断地以新知识（信息）为基础来识别更多的资产和组织环境。通常只需一个初始域名或“种子数据点”即可开始。用于发现资产的许多数据源可以完全被动地运行，且无需与目标组织的基础设施交互。在执行基本的资产发现任务时，企业安全团队需要回答一些初始问题：外部攻击者如何观察我的企业？例如历史收购、垂直行业、历史事件等，以及：我的企业控制多少个域名？我的企业有多少个子域名？我的企业有多少个网段？资产分布在哪些云提供商上？在已发现的资产中，有多少拥有活跃的DNS记录？在发现的资产中，有多少拥有开放端口/可定位服务？其中有多少资产已登记在资产清单中？安全团队可以通过无数途径来获取企业的攻击面信息，可谓“条条大道通罗马”，这也意味着企业完全可以DIY自己的攻击面管理用例。如何用开源工具DIY攻击面管理方案攻击面管理如今已经从“小众”网络安全市场迅速成长为大多数企业安全策略的“刚需”和重要组成部分。用户市场关注度的飙升推动了攻击面识别方法和技术的创新和研究。大量的开源工具套件已被开发出来，可通过SaaS平台甚至第三方专业人士提供攻击面管理服务。企业可以使用开源命令行工具快速深入了解其攻击面的全貌，这些工具可用于搭建简单、可重复和可扩展的攻击面管理工作流程，帮助识别资产边界变化。如果企业无法获得商业攻击面管理供应商的支持，那么利用开源工具自行搭建这些工作流程和方案也可以支持许多安全用例，其效果和竞争力甚至不比某些付费工具差。以下是企业可以使用流行开源工具轻松创建的安全用例：发现与企业主域名关联的子域名：使用开源工具（例如Project

根据新西兰网络安全公司Emsisoft的最新报告，今年5月以来，文件传输服务MOVEit遭黑客攻击后波及了约2620家企业用户和7720万人。俄罗斯勒索软件团伙Cl0p于6月6日声称对此次攻击负责。攻击背景及影响美国组织受到的冲击最大，受影响组织中有78.1%来自美国。加拿大受影响比例为14%，德国占1.4%，英国占0.8%。Emsisoft的调查结果基于公开披露信息，包括SEC文件、州级泄露通知以及Clop网站的数据。行业统计结果显示，受影响组织主要集中在教育领域，占比高达40.6%，其次是卫生（19.2%）和金融与专业服务（12.1%）。这次网络攻击波及范围之广极为罕见，甚至杀毒软件巨头Gen

本周三，美国爱达荷国家实验室(INL)确认遭受网络攻击，此前黑客组织“SiegedSec”在网上泄露了INL的人力资源数据。INL是美国能源部运营的核研究中心，拥有5700名原子能、综合能源和国家安全领域的专家（此次数据泄漏的对象）。INL综合体占地2310平方公里，拥有50座实验核反应堆，其中包括历史上第一座产生可用电力的核反应堆和第一座为核潜艇设计的发电厂。目前，INL正致力于下一代核电站、轻水反应堆、工控系统网络安全、先进车辆测试、生物能源、机器人、核废料处理等方面的研究。数十万个人数据遭泄漏本周一，黑客组织SiegedSec宣布已获得INL数据的访问权限，其中包括“数十万”员工、系统用户和公民的详细信息。正如之前针对北约组织和Atlassian的攻击一样，SiegedSec直接在黑客论坛和该组织运营的Telegram频道上公开泄露被盗数据，而不是与受害者谈判或索要赎金。SiegedSec泄露的INL人力资源数据包括：全名出生日期电子邮件地址电话号码社会安全号码(SSN)物理地址就业信息SiegedSec在Telegram上公布了INL内部用于文档访问和公告创建的工具屏幕截图，作为攻击得手的证据。SiegedSec还展示了在INL系统上发布的自定义公告，以便让INL的每个人都知道此次网络攻击。据EastldahoNews.com报道，INL媒体发言人洛里·麦克纳马拉表示：“今天早上，爱达荷国家实验室确定成为网络安全数据泄露的目标，运行Oracle

加拿大政府近日宣布，其两家承包商遭到黑客攻击，导致数量不明的政府雇员敏感信息泄露。数据泄漏发生在上个月，两家加拿大政府雇员提供搬家服务的承包商——Brookfield

本周四，丰田金融服务公司(TFS)证实遭遇Medusa（美杜莎）勒索软件组织的攻击，该公司在欧洲和非洲的系统上检测到未经授权的访问。丰田金融服务公司是丰田汽车公司的子公司，作为一家全球性企业，其业务覆盖丰田汽车90%的市场，为丰田客户提供汽车融资服务。黑客索要800万美元赎金周四下午，Medusa勒索软件组织在其暗网数据泄漏站点的受害者名单中添加了丰田金融服务公司，要求后者支付800万美元赎金来删除泄漏数据（下图）：Medusa给了丰田10天时间做出回应，并可以选择延长期限，但每天需要支付1万美元的“滞纳金”。为了证明攻击成果，Medusa发布了丰田金融的样本数据，其中包括财务文件、电子表格、采购发票、哈希帐户密码、明文用户ID和密码、协议、护照扫描、内部组织结构图、财务绩效报告、员工电子邮件地址等。Medusa还提供了一个.TXT文件，其中包含他们声称从丰田系统窃取的所有数据的文件树结构。这些文件大多数都是德语，表明黑客成功访问了丰田在中欧的业务系统。在发给安全媒体BleepingComputer的声明中，丰田发言人表示：“丰田欧洲和非洲金融服务公司最近在其有限数量的地点发现了未经授权的系统活动。”“我们关闭了某些系统以调查这一活动并降低风险，并已开始与执法部门合作。”“到目前为止，这一事件仅限于丰田金融服务欧洲和非洲地区。”“大多数国家/地区已经启动系统恢复流程。”又一个Citrix

近日，勒索软件组织ALPHV（又称BlackCat，前身是攻击殖民地管道的DarkSide组织）向美国证券交易委员会（SEC）提交投诉，举报其受害者——上市软件公司MeridianLink未按规定披露数据泄漏事件。这是勒索软件组织首次向监管部门“实名举报”其受害者的违规行为，可谓开了行业先河。ALPHV声称在11月7日侵入了MeridianLink的网络并窃取了公司数据，但并未加密系统。并威胁后者在24小时不支付赎金就泄露所窃取的数据。ALPHV表示，尽管MeridianLink似乎有意与其接触进行赎金谈判，但尚未收到公司的正式回应。MeridianLink的拖延战术激怒了ALPHV，后者愤然向SEC提交投诉，称MeridianLink未按政策要求披露影响“客户数据和运营信息”的网络安全事件。为了证明投诉行为的真实性，ALPHV在其网站上发布了他们在SEC投诉页面上填写表格的屏幕截图：SEC的“四日”新规由于美国机构频繁遭受网络安全事件，今年7月份SEC颁布了安全事件报告规则，要求上市公司在确定网络攻击属于重大事件后的四个工作日内披露信息。新规要求上市公司必须在报告文件中（特别是8-K表格）披露有关网络攻击的详细信息（包括事件的性质、范围和时间），规模较小的公司可延期180天披露。SEC要求公司披露的网络安全事件详细信息具体如下（在提交表格8-K时可用）：发现日期和事件状态（正在进行或已解决）。对事件性质和范围的简要描述。未经授权可能被泄露、更改、访问或使用的任何数据。该事件对公司经营的影响。有关公司正在进行或已完成的补救措施的信息。然而，ALPHV可能没有注意到，该新规的生效日期是2023年12月15日。SEC新规让CISO成为高危职业MeridianLink对此事件回应称：在确认事件后，公司立即采取行动以控制威胁，并聘请了第三方专家进行调查。公司还在努力确定是否有消费者个人信息受到此次网络攻击的影响，并将在确认后通知受影响方。根据目前的调查，未发现未经授权访问其生产平台的证据，且此事件对业务造成的中断影响很小。那么问题来了，如果ALPHV声称的攻击是事实，那么MeridianLink向SEC提交的报告就有瞒报事件的可能，而MeridianLink的CISO可能面临触犯法律的风险。根据SEC的新规，如果企业瞒报网络攻击，而该企业的CISO看到SEC报告最终版本并意识到该文件误导了SEC，那么该CISO就有责任向SEC检举揭发，否则将面临欺诈从犯的指控。今年10月份，SEC对SolarWinds席信息安全官Timothy