新闻动态

News information

六方云 安全态势周刊丨第283期

<<返回

2024年01月24日 08:00

01.

业界动态


1、OWASP发布开源AI网络安全知识库框架AI Exchange

面对人工智能安全相关工具、平台、法规、应用和服务的快速增长,在推出大语言模型十大漏洞TOP10列表后,OWASP近日又推出了AI开源网络安全知识库框架——AI Exchange,旨在推进全球AI安全标准、法规和知识的开发和共享。考虑到人工智能环境安全防御的复杂性,AI Exchange的导航器可帮助用户快速查询包括各种威胁、漏洞和控制的有用资源。

https://owasp.org/www-project-top-10-for-large-language-model-applications/

2、2023年全球网络安全初创公司融资金额再跌50%

安全内参1月19日消息,就在两年前,全球网络安全领域的风险投资如火如荼,超过230亿美元涌入这一领域。但是到了2023年,网络安全初创公司的融资规模缩水了将近2/3,风险投资降至2018年以来的最低水平。根据Crunchbase数据,2023年网络安全公司通过692笔风险投资交易筹得82亿美元,而在2022年共进行了941笔交易筹得163亿美元。2023年第四季度的跌幅尤为明显,初创公司仅筹得16亿美元,创下自2018年第三季度以来的最低水平,当时网络安全公司仅筹得13亿美元。

https://news.crunchbase.com/cybersecurity/funding-drops-eoy-2023/

3、Pwn2Own 2024温哥华大赛公布目标及奖金

2024年的 Pwn2Own 大赛将于2024年3月20日至22日在温哥华 CanSecWest 举行。本次大赛共分8个类别,并将简化“汽车”类别并新增“云原生/容器”类别。本次大赛的总奖金池超过100万美元,合作伙伴是特斯拉。

https://www.zerodayinitiative.com/blog/2024/1/16/pwn2own-vancouver-2024-bring-cloud-nativecontainer-security-to-pwn2own



02.

关键基础设施


1、瑞士政府网站遭亲俄黑客袭击

1月17日,乌克兰总统泽连斯基访问瑞士达沃斯后,亲俄黑客组织声称发起了网络攻击,导致瑞士政府部分网站的访问暂时中断。瑞士政府的国家网络安全中心在其声明中强调,网络攻击已被及时发现,相关专家已经采取了必要行动,将尽快恢复对网站的访问。

https://k.sina.com.cn/article_6843636559_197e99b4f001017r38.html

2、美国海军战舰造船厂遭勒索攻击:数控机床停机数天

安全内参1月15日消息,上周提交给美国缅因州监管机构的文件证实,去年4月,一家为美国海军建造自由级濒海战斗舰和星座级制导导弹护卫舰的公司遭受勒索软件攻击,有近1.7万人的信息在这次攻击中被泄露。

https://therecord.media/fincantieri-shipbuilder-us-navy-wisconsin-ransomware



03.

安全事件


1、西班牙地方政府遭勒索攻击

西班牙马略卡岛卡尔维亚市议会宣布,该市于上周六遭受勒索软件攻击,市政服务受到影响。卡尔维亚坐落于马略卡岛,历史悠久,拥有5万人口。卡尔维亚是该岛的旅游热点,年接待游客约160万人次。

https://www.bleepingcomputer.com/news/security/majorca-city-calvi-extorted-for-11m-in-ransomware-attack/

2、半导体设备上市公司京鼎遭勒索攻击

1月16日消息,据台媒报道,富士康集团旗下半导体设备大厂京鼎遭黑客入侵,并被黑客勒索100万美元!据悉黑客在京鼎官网发布信息,表示如果京鼎不支付费用,客户数据将被公开,员工也会因而失去工作。

https://www.secrss.com/articles/62875


3、印度制药巨头遭电子邮件诈骗,损失逾4500万元

安全内参1月16日消息,印度制药巨头阿尔肯实验室(Alkem Laboratories)上周五证实发生一起网络安全事件,导致旗下一家子公司向欺诈分子转账5.2亿卢比(约合人民币4500万元)。尽管公司坚称影响很小,仅限于特定事件,但这一披露令人不禁担忧,印度制药业是否有能力抵御网络攻击?

https://www.secrss.com/articles/62875



04.

漏洞事件


1、UEFI启动固件曝出大量漏洞,数百万台计算机面临数据泄漏风险

近日,安全公司Quarkslab一口气披露了UEFI固件(负责启动操作系统)TCP/IP网络协议栈的九个安全漏洞(统称Pixie Fail)。这九个漏洞存在于TianoCoreEFI开发套件II(EDK II)中,可被利用来实现远程代码执行、拒绝服务(DoS)、DNS缓存中毒和敏感信息泄露。AMI、英特尔、Insyde和Phoenix Technologies等公司的UEFI固件无一例外都受到了这些漏洞的影响,这意味着全球数以百万计的计算机正面临威胁。

https://github.com/quarkslab/pixiefail


2、Google Chrome V8越界访问漏洞 (CVE-2024-0519)

Google 发布公告Google Chrome V8越界访问漏洞(CVE-2024-0519)存在在野利用,攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而获取敏感信息或应用程序崩溃。

https://chromereleases.googleblog.com/2024/01/stable-channel-update-for-desktop_16.html


05.

安全标准


1、工业和信息化部 中央网络安全和信息化委员会办公室 国家标准化管理委员会 印发《区块链和分布式记账技术标准体系建设指南》

为深入贯彻落实《国家标准化发展纲要》,扎实推进《新产业标准化领航工程实施方案(2023-2035年)》,加强区块链标准工作顶层设计,促进区块链产业高质量发展,工业和信息化部、中央网络安全和信息化委员会办公室、国家标准化管理委员会组织编制了《区块链和分布式记账技术标准体系建设指南》。

https://www.miit.gov.cn/jgsj/kjs/wjfb/art/2024/art_b3ab010238a54377941f1dd9582ae501.html



06.

政策发布


1、山西省人民政府办公厅关于印发山西省数字政府建设规划(2023-2025年

为全面落实《国务院关于加强数字政府建设的指导意见》(国发〔2022〕14号)及山西省“十四五”规划和2035年远景目标纲要,加快推进山西省数字政府建设,结合实际,编制本规划。

https://www.shanxi.gov.cn/zfxxgk/zfxxgkzl/fdzdgknr/lzyj/szfbgtwj/202401/t20240111_9481487.shtml



—【 THE END 】—