西门子正紧急呼吁使用其Ruggedcom APE1808设备并集成了Palo Alto Networks (PAN) Virtual NGFW的企业采取紧急措施，以应对PAN在其新一代防火墙产品中揭露的高危零日漏洞。这一命令注入漏洞，被标记为CVE-2024-3400，影响了多个版本的PAN-OS防火墙，当特定功能被启用时，攻击者能够利用该漏洞在受影响的防火墙上部署恶意的Python后门。

黑客巧妙利用GitHub和GitLab平台中未发布的评论功能，制造出看似源自合法开源软件(OSS)项目的钓鱼链接。这一手法由Open Analysis公司的谢尔盖·弗兰科夫(Sergei Frankoff)首次揭露，使得任何人都能轻易冒充任何目标版本库，而无需其所有者知晓或同意。

伊利诺伊大学香槟分校(UIUC)的四位计算机科学家理查德·方(Richard Fang)、罗汉·宾都(Rohan Bindu)、阿库尔·古普塔(Akul Gupta)和丹尼尔·康(Daniel Kang)在最新论文中披露，他们向OpenAI的GPT-4大型语言模型(LLM)提供描述漏洞的CVE公告，该模型竟能自主利用现实世界系统中的漏洞。

在信息安全领域中，基础安全的重要性不言而喻，是整个行业稳健发展的基石所在。由于在保护信息系统完整性、可用性和防止未经授权的访问、修改等方面的关键作用，基础安全不仅被视为不可或缺的组成部分，也被各类法规和监管框架明确要求予以实施。

随着云计算和AI技术的广泛应用，网络安全在攻防两端都发生了显著的变化。一方面，AI技术带来新的安全风险，如数据泄露、欺诈攻击、隐私保护等。另一方面，AI技术提供强大的智能化能力，可以自动识别和分析网络威胁，预测潜在风险，提高安全防御的效率和准确性，降低人工干预的成本和错误率。

可观测性，一个伴随云原生兴起的概念，在2018年被引入IT领域。它能够实时地、清晰地挖掘场景化问题，利用灵活调配、协作等打破数据孤岛。从传统的基于日志、指标和APM监控到链路跟踪、服务QoS度量，系统需要具备全方位的可观测性，来及时应对故障错误对业务带来的影响。

当我们进入2023年下半年时，反思数据泄露统计数据是有帮助的，这些统计数据揭示了不断变化的威胁格局、受影响最严重的行业，以及数据泄露可能对个人和企业造成的持久后果。当我们探索将塑造未来一年网络安全格局的最著名数字时，请做好准备，清醒地了解数据安全状况。

自OpenAI去年发布ChatGPT以来，有相当多的情况是，AI聊天机器人的缺陷可能被坏人武器化或操纵，以访问敏感或私人数据。这个最新示例显示，即使在安全补丁发布后，问题仍然可能持续存在。

2023年，网络攻击和数据泄露事件继续频繁发生，波及范围广泛，对全球知名企业组织构成了严重威胁，不仅受到监管合规压力，还面临社会舆情的负面影响。本文我们就来盘点一下2023年，业内都发生了哪些骇人听闻的网络攻击事件，这些事件的背后，都有哪些团伙在作祟，攻击手法上出现了哪些变化。

各领域网络安全需求的不断增加使得社会各界认识到信息安全的重要性，近年来信息安全被提升到国家战略高度，各政府部门发布多项政策支持推进网络安全技术的自主创新。自2016年以来，中共中央办公厅、国务院办公厅、工信部等部门陆续发布了《国家信息化发展战略纲要》等鼓励行业发展的政策文件。

2013年，Gartner首次提出了终端威胁检测与响应(Endpoint Detection & Response，EDR)的概念。EDR是一种记录和存储端点系统等级行为的解决方案，并且通过多种数据分析技术检测可疑的系统行为，提供关联信息，从而阻断恶意行为并为受影响系统提供修复建议。

又到了一年一度的NordPass发布年度最常见密码列表的时候了。密码管理器供应商 NordPass 非常清楚密码质量的糟糕程度，该公司报告说，去年最失败的密码--"password"--下降到了第七位，但以前的领头羊仍然位居前列。

Microsoft在OpenAI上投资了数十亿美元。但CNBC获悉，这家软件公司的员工不允许使用这家初创公司的产品ChatGPT。微软在内部网站的更新中表示：“由于安全和数据问题，一些人工智能工具不再可供员工使用。”CNBC还查看了一张屏幕截图，该屏幕显示无法在公司设备上访问ChatGPT。

在网络人口全球第 一的中国，信息安全已经成为关系10亿用户日常工作、学习、生活的头等大事之一。有报告显示，在系列政策的刺激与技术不断进步的影响下，未来中国网络信息安全市场规模增幅将进一步扩大，预计2023年市场规模将突破1400亿元。

思科最新发布的《2023年消费者隐私调查》显示，消费者支持AI应用的同时也感到担忧。48%%的受访者相信AI可以帮助改善生活，54%%的受访者愿意分享匿名个人数据以改进AI产品。与此同时，有接近六成在受访者担心AI会对个人隐私、企业品牌信誉带来潜在风险。

10月26日，人工智能时代下的网络安全创新研讨会在线上召开。本期研讨会由思科大中华区高管和技术专家参与主讲，深入探讨在构建企业网络安全过程中可能出现的挑战和困难，分享思科安全的独特见解和有效策略，帮助企业更好地理解如何应用思科安全网络，来助力企业数字化变革。

Minecraft 玩家和那些运行 Minecraft 服务器的人面临着一个新的、危险的安全漏洞，它可以让黑客在他们的计算机上运行远程代码。该漏洞被称为 "BleedingPipe"，由一个名为MMPA（Minecraft恶意软件防范联盟）的用户组织利用Java反序列化技术感染安装了多种流行MOD之一的服务器或客户端。如果你不在安装了这些多器官功能障碍的服务器上玩 Minecraft，也不使用这些多器官功能障碍，你就不会受到感染。

谷歌Project Zero安全团队成员Tavis Ormandy撰文称，最近披露的AMD许多消费类、工作站和服务器处理器中发现的漏洞会导致芯片以每核每秒30kb的速率泄露数据。如果执行得当，所谓的Zenbleed漏洞（CVE-2023-20593）可以让攻击者从任何使用基于 AMD Zen 2 架构 CPU 的系统中获取加密密钥、根密码和用户密码以及其他敏感数据。

数据资产(Data Asset)是指由个人或企业拥有或者控制的，能够为企业带来未来经济利益的，以物理或电子的方式记录的数据资源。数据资产是拥有数据权属(勘探权、使用权、所有权)、有价值、可计量、可读取的网络空间中的数据集。数据资产的损失意味着企业价值的损失或流失，因此面向数字资产的保护意味着面向企业业务的保护。

6月17日，以“风险驱动”为主题的第三届数字安全大会在北京圆满落幕，大会吸引了500多位行业CIO和网络安全负责人、白帽子及主流安全厂商到场，共同探讨数字安全的创新发展。会议期间，IT168资深记者到场采访到数世咨询创始人&CEO李少鹏，针对数字安全、数字安全大会、中国数字安全产业年度报告等内容进行了深入交流。