全球动态

1. 央行：鼓励数据处理者在保障安全合规前提下 积极促进数据高效流通和创新应用

中国人民银行7月24日发布《中国人民银行业务领域数据安全管理办法（征求意见稿）》并公开征求意见。此举旨在落实《中华人民共和国数据安全法》有关要求，加强中国人民银行业务领域数据安全管理。【阅读原文】

2. 美发布网络安全战略实施计划

7月中旬，美国国家网络总监办公室公布《国家网络安全战略实施计划》（以下简称《计划》）。《计划》详细阐述了相关职能部门在确保美国网络安全方面的举措和要求，并设定具体时间节点，体现了美国抢占“第五空间”制高点的战略图谋。【阅读原文】

3. 银行业正成为开源软件供应链攻击的目标

网络安全研究人员表示，他们发现了首次专门针对银行业的开源软件供应链攻击。【外刊-阅读原文】

4. 亚马逊同意支付因Alexa 儿童隐私侵犯行为被处以的2500 万美元罚款

美国司法部和联邦贸易委员会 (FTC) 宣布，亚马逊已同意支付 2500 万美元罚款，以解决与该公司 Alexa 语音助理服务相关的涉嫌违反儿童隐私法的行为。【外刊-阅读原文】

5. 苹果将下架 iMessage 和 FaceTime 以抗议英国新的隐私法案

近日苹果公司表示宁愿停止在英国提供 iMessage 和 FaceTime 服务，也不愿屈服英国政府对数字监控的新提案。【外刊-阅读原文】

6. AI 公司承诺将为 AI 生成内容打上水印

拜登政府7月21日表示，美国主要 AI 公司如 OpenAI、Alphabet、Meta Platform、亚马逊、Anthropic、Inflection 和微软已经向白宫承诺将自愿为 AI 生成内容实现水印等措施，以帮助提高 AI 技术的安全性。【阅读原文】

安全事件

1. CISA 警告美国政府机构修补 Adob​​e ColdFusion 服务器

美国网络安全和基础设施安全局 (CISA) 已给联邦机构三周的时间来保护其网络上的 Adob​​e ColdFusion 服务器免受两个关键安全漏洞的影响，其中之一是零日漏洞。【外刊-阅读原文】

2. Netscaler ADC 漏洞被利用来破坏美国关键基础设施组织

美国政府警告称，攻击者在利用目前被识别为 CVE-2023-3519 的零日 RCE 漏洞来破坏美国关键基础设施领域网络。【外刊-阅读原文】

3. 超过 15000台 Citrix 服务器容易受到 CVE-2023-3519 RCE 攻击

研究人员报告称，超过 15000 台在线暴露的 Citrix 服务器可能容易受到利用 CVE-2023-3519 漏洞的攻击。【外刊-阅读原文】

4. 新的 OpenSSH 漏洞使 Linux 系统遭受远程命令注入攻击

有关 OpenSSH 中现已修补的缺陷的详细信息现已披露，Qualys 漏洞研究经理 Saeed Abbasi 表示，该漏洞允许远程攻击者在易受攻击的SSH代理上执行任意命令。【外刊-阅读原文】

5. 针对阿联酋企业的 Rootkit 攻击大幅增加

根据卡巴斯基的研究，检测到的针对阿拉伯联合酋长国 (UAE) 商业目标的 Rootkit 攻击尝试显着增加，与 2022 年同期相比，攻击数量增加了 2.6 倍。【外刊-阅读原文】

6. 利用MOVEit 漏洞，Clop 勒索软件赎金收入将达上亿美元

随着近期Clop 勒索软件组织利用 MOVEit Transfer 文件传输工具漏洞进行大规模攻击，Coveware发布报告称，Clop将从中获得7500万美元至1亿美元的赎金收入。【外刊-阅读原文】

优质文章

1. 每月被攻击4000万次，全球最不安全的关键基础设施实锤了

根据联合国贸易和发展会议（UNCTAD）的数据显示，超过80%的国际贸易货物经由海上运输，而这个比例在发展中国家甚至来得更高。整个行业依赖一系列复杂的“及时”供应链，只要一个环节遭到破坏，可能会产生巨大的影响。【阅读原文】

2. 安全专业人员爱用的11款顶级搜索引擎

这些网络安全搜索引擎提供有关每个设备或服务的信息，如操作系统、开放端口和IP地址。以下是安全研究人员用来查找有关暴露的物联网设备、安全漏洞、泄露的个人数据等特定信息的11款搜索引擎。

【阅读原文】

3. 攻防演练：渗透测试云上初体验

在laravel框架的.env配置文件中，默认调试功能debug是开启的。当使程序报错时。在前台会返回报错详情、环境变量、服务器配置等敏感信息。【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。