一份报告显示，英国关键国家基础设施（CNI）的“普遍”容易受到勒索软件的攻击，因为其中许多服务运行过时的IT系统，包括传统的运营技术（OT）。为此，国家安全战略联合委员会为英国政府提出了一系列建议，以改善其对勒索软件威胁的应对，其中包括：定期举行全国性演习，为影响多个CNI部门的重大国家勒索软件攻击做好准备；向NCSC提供资金，以建立增强地方当局网络安全计划等措施。

MITRE计划推出EMB3D威胁模型框架，适用于负责保护运营技术（OT）和工业控制系统（ICS）的防御者。EMB3D为工业环境中使用的嵌入式设备提供了网络威胁的知识库，旨在供整个安全生态系统使用，从设备供应商和制造商到资产所有者、安全研究人员和测试组织。EMB3D目前处于发布前审查阶段，将于2024年初公开发布。

12月13日下午，中国网络空间安全协会召开第二届理事会第一次会议，中央宣传部副部长、中央网信办主任、国家网信办主任庄荣文出席会议并讲话。中央网信办副主任、国家网信办副主任王京涛，第十四届全国政协委员、经济委员会委员赵泽良，中国科学院院士冯登国出席会议。会议选举赵泽良担任第二届理事会理事长，王小云、王芸、卢卫、冯登国、齐向东、李雪莹、李湘宁、李慧镝、张熙伟、陈益民、孟丹、倪行军担任副理事长，郝晓伟担任秘书长。

据外媒报道，乌克兰最大的电信运营商基辅之星于近日因遭遇网络攻击导致服务瘫痪，该运营商为乌克兰约2600万移动客户和超过100万宽带固定互联网客户提供服务，攻击已导致所有移动通信和互联网接入暂时中断。基辅之星首席执行官奥列克桑德·科马罗夫表示，战争也在网络空间发生，基辅之星的IT基础设施已被“部分摧毁”。

近日，Tenable Research团队统计了2023年微软星期二补丁数据指出，2023年，微软共修补了909个漏洞，比2022年的917个漏洞略微下降0.87%。该团队评价指出：“回顾2023年的补丁星期二，我们看到补丁的CVE数量与2022年的数字一致，与2020年的峰值相差甚远。尽管总体数字如此，但由于各种微软产品中存在几个零日漏洞和一些关键漏洞，2023年的补丁星期二仍然是多事之秋。”

2023年12月13日，亚马逊云科技在2023re:Invent全球大会上，宣布推出四项Amazon Supply Chain新功能。Amazon Supply Chain是亚马逊云科技的一项完全托管服务，可持续帮助客户优化供应链管理。新推的四项新功能将于2024年正式可用，它们扩展了现有的数据湖、提供了需求规划以及由机器学习（ML）驱动的洞察。Amazon Supply Chain通过提供全新的供应计划、协作、可持续性和生成式AI功能，支持上游供应链流程（如供应商订单），从而使包括制造商在内的客户能够从中受益。

2023年12月13日，国家互联网信息办公室与香港创新科技及工业局共同制定的《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》正式发布，该实施指引自发布之日起生效。     原文链接

12月12日，中央网信办发布通知，将在未来一个月开展“清朗·整治短视频信息内容导向不良问题”专项行动，据了解，这是中央网信办2023年至今开展的第六次规模化“清朗”网络内容专项行动，本次专项行动再次对互联网企业平台审核提出强化要求，互联网企业做好内容安全工作已成为合法开展业务的前提和保障。

12月13日，工业和信息化部办公厅、国家发展改革委办公厅、市场监管总局办公厅发布关于组织开展2023年度重点行业能效“领跑者”企业遴选工作的通知，通知已将三年无安全（含网络安全、数据安全）违法违规行为作为遴选基本要求。

12月11日晚间，美亚柏科发布公告称，厦门市美亚柏科信息股份有限公司于2023年12月8日召开第五届董事会第二十二次会议、第五届监事会第十八次会议，审议通过《关于拟变更公司名称、证券简称、住所的议案》，公司名称“厦门市美亚柏科信息股份有限公司”拟变更为“国投智能（厦门）信息股份有限公司”，证券简称“美亚柏科”拟变更为“国投智能”，公司证券代码“300188”保持不变。

据网信渝中12月11日消息，近日，根据上级部门移交的线索，渝中区网信办在重庆市网信办指导下，依法对属地一科技公司涉数据泄露等违法违规行为进行立案查处，经查，该公司开发运营的某OA信息系统因未履行好网络数据安全保护义务，导致大量数据泄露。现已对该公司作出责令限期五日改正，给予行政警告，并处10万元罚款的行政处罚。

至《网络安全事件报告管理办法（征求意见稿）》发布以来，安全419关注到多家网络安全企业已经发声，对发声重大安全事件1小时上报表示能够在技术上予以支持。

欧盟网络安全局（ENISA）与美国网络安全和基础设施安全局（CISA）近日签署了一项合作协议，以加强在能力建设、最佳实践交流和态势感知方面的合作。据报道，两个实体将联合以应对未来的网络安全，关基保护、数字安全等方面开展工作，另外协议涵盖网络安全政策和实施方法方面的短期和长期合作。

据报道，Valve 修复了 CS2 中的一个 HTML 注入漏洞，该漏洞一度被严重滥用，用于将图像注入游戏并获取其他玩家的 IP 地址。虽然该漏洞在利用方面并无实质危害，但能够轻易暴露玩家 IT 地址，其后续可导致恶意使用 DDoS 攻击以迫使玩家断开与比赛的连接，存在后续滥用可能。目前，Valve 已迅速行动修复了该漏洞。

Apache Software Foundation 发布了安全性更新，以应对Struts 2开源框架中的关键文件上传漏洞。成功利用该漏洞（跟踪为 CVE-2023-50164）可导致远程代码执行。Apache未确认该漏洞已在攻击中被积极利用，但建议用户应立即升级到 Struts 2.5.33 或 Struts 6.3.0.2或更高版本。

12月7日，丰田金融服务已向其客户发送了数据泄露警告，公开承认了此前的数据泄露事件，并宣布受攻击系统已逐步恢复。丰田金融服务 （TFS） 是丰田汽车子公司，为丰田全球客户和经销商提供一系列金融服务。2023年11月17日，美杜莎勒索软件团伙声称对这次攻击负责，并威胁说，如果该公司不支付赎金，将泄露据称被盗的数据。据报道，勒索组织已在其 Tor泄漏网站上发布了被盗数据。

Akumin是一家美国医学服务供应商，其为全美48个州的1000多家医院提供外包放射学服务，而据外媒披露，这家已经申请破产保护寻求重组的医疗服务商再遭重创，两家勒索组织BlackSuit、BianLian先后于今年10月中旬和11月初先后成功实施了攻击，其媒体评价称，两次勒索软件的成功攻击只会使一家被迫面临严重财务问题的公司更加雪上加霜。

网络安全公司Claroty发布的一项最新研究表明，勒索软件攻击对OT环境的影响正在赶上对IT环境的影响。Claroty之前在2021年进行的调查显示，32%的勒索软件攻击仅影响IT，而27%同时影响IT和OT。如今，21%仅影响IT，而37%影响IT和OT，后者在短短两年内大幅增长了10%。这一趋势说明了IT OT融合带来的攻击面不断扩大以及运营中断的风险。报告指出，攻击工业公司有吸引力的原因之一是：运营中断导致支付赎金的可能性更大。

Norton Healthcare是美国肯塔基州路易斯维尔地区（含周边）的庞大的医疗机构，该机构由40多家诊所和医院所组成。近日，该机构已确认了发生在2023年5月7日至2023年5月9日期间的勒索软件攻击，并披露了具体的敏感信息泄露的具体细节。此前，BlackCat组织已声称对攻击负责，其数据窃取量高达4.7TB。

国家安全部微信公众号12月11日发文称，近期，国家安全机关工作发现，我国有关重要行业领域使用的境外地理信息系统软件存在搜集外传地理信息数据的情况，部分数据重要敏感，甚至涉及国家秘密，对我国家安全构成严重威胁。针对上述情况，国家安全机关会同有关部门开展地理信息数据安全风险专项排查治理，指导、协助涉事单位开展清查整改，及时消除重大数据窃密、泄密等安全隐患。