据外媒10月31日消息，欧盟政策制定者对开源软件以及即将出台的《网络弹性法案》中的支持期限的态度正在逐渐清晰。《网络弹性法案》立法提案引入了联网设备的安全要求。草案目前已经进入立法过程的最后一步。根据外媒Euractiv看到的妥协版文本，欧盟政策制定者正在就文本的两个关键部分达成一致：如何监管开源软件、如何定义支持期限（制造商保证安全更新的期限）。如果得到确认，这些文本内容可能会在11月8日的下一轮三方会谈上得到政治层面的认可。

据外媒报道，2023年 10 月 28 日，欧盟和日本就跨境数据流达成了协议。欧盟委员会表示，该协议将取消数据本地化要求，使金融服务、运输、机械和电子商务等多个行业的企业受益，让它们无需繁琐且成本高昂的管理即可处理数据。

根据《中华人民共和国密码法》、《商用密码管理条例》等法律法规，国家密码管理局研究制定了《商用密码应用安全性评估管理办法》（以下简称“办法”），旨在规范商用密码应用安全性评估工作，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益。办法已经在2023年9月11日国家密码管理局局务会议审议通过，自2023年11月1日起施行。

10月31日，Google发布安全公告，修复了Chrome中的一个释放后使用漏洞（CVE-2023-5472）。版本118.0.5993.117之前的Google Chrome在Profiles中存Use-After-Free（UAF）漏洞，远程威胁者可以通过恶意设计的HTML页面利用该漏洞，成功利用可能导致代码执行、拒绝服务或数据损坏等。

10月31日，工信部发布 2023 年前三季度互联网和相关服务业运行情况，前三季度，互联网业务收入增速小幅提升，利润总额较快增长，研发经费持续下滑。我国规模以上互联网和相关服务企业完成互联网业务收入 10294 亿元，同比增长 3.4%。我国规模以上互联网企业营业成本同比增长 7%，增速较上半年回落 0.4 个百分点。

10月26日，Cloudflare发布第三季度DDoS攻击态势的报告。第三季度，Cloudflare解决了数千起大规模HTTP DDoS攻击。其中，89起超过1亿rps，最大峰值为2.01亿rps，是之前最大规模攻击的三倍，这些攻击通过HTTP 2 Rapid Reset实现。Q3的HTTP DDoS攻击流量环比增长65%，L3 4 DDoS攻击也增加了14%。Cloudflare还观察到，mDNS攻击增加了456%，CoAP DDoS攻击增加了387%，ESP DDoS攻击增加了303%，勒索DDoS攻击呈下载趋势。

据外媒10月27日称，美国加利福尼亚州维克多维尔透露其遭到了勒索攻击。该市发布通知称，黑客在8月12日至9月26日入侵了他们的系统，居民社会安全号码和医疗信息等泄露。市政员工于9月25日在Facebook上称，正在处理影响电话和网站系统的中断问题，之后表示已于10月3日恢复电话和网站服务，但基于网络的系统仍无法运行。上周二，NoEscape将该市添加到其列表中，声称已从市政系统中窃取了200GB的数据。

据外媒10月30日报道，勒索团伙RansomedVC宣布因“个人原因”解散，并将出售其整个网络基础设施。RansomedVC于今年8月首次出现，针对公司、政府机构和教育机构等。此次出售的资产数量惊人，包括各种域名和论坛、勒索软件生成器、附属团伙的访问权限、社交媒体账户、Telegram频道、多家公司的VPN访问权限和价值超过1000万美元的数据库等。研究人员推测解散的原因，可能是来自执法机构的压力，也可能是一个新的更复杂的行动正在酝酿之中。

据外媒10月29日报道，Miranda Media ISP在上周五宣布正面临大规模DDoS攻击。IT Army of Ukraine组织并策划了针对俄罗斯三大互联网提供商执行DDoS攻击。Miranda Media称，自10月27日上午9:05以来，运营商Miranda-Media记录了来自乌克兰团伙的大规模DDoS攻击，Miranda-Media、Krymtelecom和MirTelecom的服务暂时不可用。该事件不仅影响到克里米亚，还影响到赫尔松、扎波罗热、顿涅茨克和卢甘斯克地区的部分地区。

近日，Pwn2Own 2023 黑客大赛落下帷幕，参赛团队在为期3天的比赛时间里，针对消费类产品进行了58次零日漏洞利用（以及多次漏洞碰撞），共获得了103.85万美元的奖金。Pwn2Own是全世界最著名、奖金最丰厚的黑客大赛，由美国五角大楼网络安全服务商、惠普旗下TippingPoint的项目组ZDI（Zero Day Initiative）主办。此次Pwn2Own，安全研究人员主要以移动设备和物联网设备为攻击目标。三星Galaxy S23和小米13 Pro则在比赛首日就被成功入侵，其中打满补丁的Galaxy S23在整个比赛期间更是四次被攻破。

据数字媒体调查网站404 Media近日报道称，《信息自由法案》从美国国防安全局（DSS，现名“国防反情报和安全局”，DCSA）获取的内部文件显示，这家联邦反情报机构正从一家私营互联网公司手中购买数据，以便对黑客活动进行更快速、更便捷的追踪。

网信北京发布公告，近日，根据国家网信办移交的问题线索，北京市网信办依据《数据安全法》对属地三家企业涉嫌存在网络数据安全违法行为进行立案调查并作出行政处罚。经查实，三家企业违反《数据安全法》第二十七条规定，未履行数据安全保护义务，部署的ElasticSearch数据库存在未授权访问漏洞，造成部分数据泄露。

近日，ESET发布了2023年第二季度至第三季度APT活动的分析报告。在4月至9月，检测到APT团伙利用已知漏洞从政府机构或相关实体窃取数据的策略。Sednit、Sandworm、Konni、Winter Vivern和SturgeonPhisher，抓住机会利用了WinRAR、Roundcube、Zimbra和Outlook中漏洞，针对乌克兰、欧洲和中亚等地区。GALLIUM可能利用了Microsoft Exchange服务器或IIS服务器的漏洞，MirrorFace利用了Proself在线存储服务中的漏洞，TA410利用了Adobe ColdFusion应用服务器中的漏洞。

据外媒报道，近日，PwC检测到伊朗攻击团伙Tortoiseshell的新一轮水坑攻击，旨在分发IMAPLoader。该团伙自2018年以来一直活跃，2022年至2023年的最新活动在目标网站中嵌入恶意JavaScript，来收集用户的位置、设备信息和访问时间等信息，主要针对地中海的海事、航运和物流领域。攻击活动分发的IMAPLoader是一种.NET恶意软件，能够使用本机Windows程序对目标系统进行指纹识别，并充当下一步payload的下载程序。

今日，中国信息安全测评中心正式启动数据安全类一级资质的申请工作，可通过中心官网下载申请资料。信息安全服务资质是对信息系统安全服务的提供者的技术、资源、法律、管理等方面的资质和能力，以及其稳定性、可靠性进行评估，并依据公开的标准和程序，对其安全服务保障能力进行认定的过程。

据10月27日报道，法国国家信息系统安全局ANSSI称，APT28自2021年下半年以来一直攻击其政府机构、企业、大学、研究机构和智库等。大多数APT28活动都利用了鱼叉式钓鱼攻击和基于恶意软件的攻击，并使用至少了3种攻击方式：搜索零日漏洞、攻击路由器和个人电子邮件帐户以及使用开源工具和在线服务。ANSSI调查确认，APT28利用了Outlook漏洞(CVE-2023-23397)和漏洞“Follina”（CVE-2022-30190）等，使用了Mimikatz和reGeorg等工具，还使用了一系列VPN客户端。

据外媒10月27日报道，Lockbit声称入侵了航空航天制造商和国防承包商波音公司。波音公司在2022年的销售额为666.1亿美元。Lockbit已将波音添加到其Tor网站中，表示已从该公司窃取了大量数据，并威胁如果不在截止日期（11月2日）内与他们联系，将公布这些数据。截至目前，该团伙尚未公开任何样本。赎金要求尚未披露，研究人员称，如果LockBit采用新的收入模式，那么赎金可能会高达18亿美元左右。

Kaspersky在10月27日发布报告，披露了Lazarus利用已知漏洞多次攻击软件供应商的活动。研究人员称，Lazarus多次攻击同一目标表明，其目的可能是窃取源代码或尝试供应链攻击。此次攻击于7月中旬被发现，针对的是用于加密网络通信的合法安全软件，但是攻击者所采用的具体利用方法仍然未知。攻击活动采用了复杂的技术来提高其隐蔽性并绕过检测，最终安装了SIGNBT和LPEClient等恶意软件。

据外媒10月27日报道，斯坦福大学正在调查其公共安全系内的网络安全事件。在周五早上，Akira 勒索软件团伙声称它袭击了斯坦福大学并窃取了 430 GB 的数据。自今年3月出现以来，该团伙已经对美国大学和义务教育内的学校发动了几次袭击。该大学的一位发言人在声明中解释说学校正试图弄清事件的来龙去脉。

近日，HackerOne宣布，自该平台成立以来，其漏洞赏金计划已向道德黑客（专门模拟黑客攻击，并为客户提出改进建议的网络安全专家）和漏洞研究人员提供了超过300亿美元的奖励。其中，30名黑客因提交的漏洞报告获得了超过100万美元的收入，其中一人打破了记录，因为他的漏洞报告获得了超过400万美元的收入。