18日报道，甘肃省市场监管局联合省委网信办、工信厅、公安厅和通信局共同印发《甘肃省市场监督管理局等五部门关于推进网络安全服务认证工作的通知》。《通知》明确，全省各级部门根据职责，坚持“统一管理、共同实施、统一标准、规范有序”的基本原则加强网络安全服务认证工作的组织实施和监督管理，鼓励网络运营者等广泛采信网络安全服务认证结果。各部门及认证机构强化监管，确保网络安全服务认证工作规范性和有效性，促进网络安全服务产业健康有序发展。

16日，微软安全响应中心（MSRC）发布博客文章，表示近期发现一些针对其云服务和在线服务的第七层DDoS攻击，其中一些攻击使用了复杂的技术，如HTTP 2协议、TLS 1.3加密等，以增加检测和防御的难度。微软表示，攻击可能是由同一组织或个人发起的，因为其具有相似的特征和模式。微软采取了利用其全球网络边缘的能力，通过多种技术来识别和过滤恶意流量，如IP黑名单、请求速率限制、内容检测等措施来应对这些攻击。

17日，美国国务院“正义奖励”计划宣布，将为提供与外国政府有关的Clop勒索软件攻击的信息提供高达1000万美元的奖金。Clop曾袭击过包括美国大型肉类加工商JBS、韩国电子巨头LG、德国软件公司Software AG、法国零售商E.Leclerc等在内的多个目标。这一举措是美国政府打击勒索软件威胁的一部分，旨在追踪和阻止加密货币支付，以及提高企业和公众的安全意识和防御能力。

近日，瑞典隐私保护局（简称IMY）发布公告称，由于著名流媒体音乐服务平台Spotify未能充分保障用户的个人数据访问权，违反了欧盟《通用数据保护条例》（GDPR）相关要求，决定对其处以5800万瑞典克朗的罚款。据报道，Spotify很快对此作出回应，称其已为所有用户提供有关个人数据处理方式的全部信息，IMY在调查期间发现的只是他们认为需要改进的一个小问题。因此，Spotify坚决反对该决定，并计划提出上诉。

6月15日，2023工业互联网大会成功召开，中国信通院安全所信息通信网络安全响应中心副主任张倩表示，我国工业企业数量众多、涉及行业广泛，安全需求差异化显著，安全防护难以“一纵到底”。她认为，在新的形势下，未来针对工业互联网安全开展分类分级管理将更加深化。相关部门在摸清企业底数、排查安全风险基础上将推动更多细化标准研制发布，同时，技术保障能力将更加完善，打造网络安全态势感知、信息共享和应急协同能力。

IDC报告数据显示，2022年，中国工控安全审计市场的规模约为1亿美金，规模同比增长27.9%，市场进入发展快速期。到2026年，全球工控安全市场规模将达到67.6亿美元，年复合增长率将达到28.4%。IDC表示，近年来，工业领域安全事件的不断频发、数字化转型大背景下IT与OT融合的持续加深，政策监管力度的不断增强都在驱动着中国工控安全市场的发展。其中，工控防火墙、工控网闸、工控安全审计、工控安全管理平台等产品均迎来了市场的快速发展期。

据外媒近日报道，美国多个政府机构遭到了勒索组织、Clop的攻击。攻击者利用了MOVEit文件传输工具中的漏洞，CISA称其正在和FBI努力为使用MOVEit的联邦机构提供帮助，确认攻击的影响并及时补救。官方拒绝透露受影响的机构的名称和数量，但一位能源部发言人透露，该部门是遭到入侵的多个联邦机构之一。此外，英国石油和天然气公司壳牌在本周四透露其也遭到了Clop勒索攻击。

Patchstack研究人员披露了WooCommerce Stripe网关插件存在一个未授权的不安全直接对象引用(IDOR)漏洞，该漏洞可能导致用户的个人身份信息(PII)泄露。该漏洞影响了WooCommerce Stripe网关插件的5.8.0版本及以下版本，该插件是一个允许WordPress网站接受Stripe支付的插件。该插件在处理付款请求时没有正确验证用户身份，导致攻击者可以通过修改URL中的参数来访问其他用户的敏感信息。目前，该程序开发者已在2023年2月发布了5.8.1版本来修复该漏洞。

近日，微软 Azure Bastion 和 Azure Container Registry 披露了两个严重的安全漏洞，这些漏洞可能被利用来执行跨站脚本攻击 (XSS) 。Orca 安全研究员在一份报告中表示，这些漏洞允许在受感染的 Azure 服务 iframe 中未经授权访问受害者的会话，从而导致未经授权的数据访问、未经授权的修改以及 Azure 服务 iframe 的中断。Orca 发现的两个缺陷利用了 postMessage iframe 中的一个漏洞，从而实现 Window 对象之间的跨域通信，这意味着该漏洞可能会被滥用。目前，微软已推出了安全修复程序来修复这些漏洞。

据法新社报道，德国联邦政府首次出台《德国国家安全战略》，该文件全面系统地分析了德国的安全环境，重点聚焦“时代变革”，内容主要涵盖外交、警务、救灾、国际发展、网络安全和供应链等，并提出一是积极防御，承诺达到北约设定国防开支占GDP2%的高额军事开支；二是复原力，核心是德国及其盟国保护其价值观的能力，阻止网络攻击，捍卫《联合国宪章》等；三是可持续性，包括气候变化、能源和粮食危机等方面。

近日，CRIL研究人员披露了一种云挖矿诈骗攻击，主要利用网络钓鱼来分发Roamer银行木马，目标是Android平台的加密货币钱包和银行应用。Roamer银行木马是一种恶意软件，利用辅助功能服务来执行恶意操作，一旦安装授予后，就会滥用该服务来提取加密货币钱包和银行应用中的敏感信息，如账户余额、货币类型、交易金额等。据悉，该恶意软件主要通过网络钓鱼网站来诱骗用户下载一个名为“CloudMining.apk”的恶意应用来进行下一步活动。

据外媒报道，在 LockBit 勒索软件联合咨询报告中，CISA表示自2020 年以来，该组织对美国实体发动了约 1700 次攻击，成功勒索了约 9100 万美元。此外，LockBit 勒索软件即服务（RaaS）行动是 2022 年全球“领先”的勒索软件威胁，受害目标数量最多。联邦调查局（FBI）网络部助理主任 Bryan Vorndran 指出联邦调查局鼓励所有组织审查这项 CSA，实施缓解措施，以更好地抵御使用 LockBit 的网络攻击。

微软近日追踪到一波来自黑客组织“Cadet Blizzard”的网络攻击，这些攻击从2023年2月开始，主要针对乌克兰的政府机构和IT服务提供商。微软还将2022年1月针对乌克兰发动的破坏性“WhisperGate”擦除攻击归咎于“Cadet Blizzard”。据悉，“Cadet Blizzard”通常通过使用盗取的凭证来访问位于目标网络边缘的互联网服务器从而入侵目标。一旦进入，就会“利用现有资源”技术，也就是说，通常使用合法的命令，而不是恶意软件，在目标网络中横向移动，获取更多信息或干扰网络。

据公安部网安局消息，2023年3月，浙江温州公安网安部门经查发现，浙江某科技有限公司为浙江某县级市政府部门开发运维信息管理系统的过程中，未经建设单位同意，将建设单位采集的敏感业务数据擅自上传至租用的公有云服务器上，且未采取安全保护措施，造成了严重的数据泄露。浙江温州公安机关根据《中华人民共和国数据安全法》相关规定，对公司及项目主管人员、直接责任人员分别作出罚款100万元、8万元、6万元的行政处罚。

16日，第八届安全创客汇复赛成功举办，通过对参赛企业进行多维度、细致评审，安般科技、塞讯验证、鼎链数科、未岚科技、蜚语安全、物盾安全、灰度安全、熠数信息、凯馨科技、雨燕安全云、酷德啄木鸟、原语科技、齐安科技、云驰未来、谦川科技、云集至、犬安科技、云智信安、软极网络、众智维科技成功入选年度20强企业。安全创客汇作为我国网络安全领域的专业创投大赛，已经成为初创企业寻求行业认可和获取资本助力的有效平台。

15日，由商务部、科技部、国家知识产权局和上海市人民政府共同主办的第九届中国（上海）国际技术进出口交易会于上海世博展览馆举办。本届上交会的数字技术展区将围绕“数字中国”建设，聚焦商用密码、智能机器人、数字智造等领域，展示最新数字技术应用成果。此外，大会首次设立商用密码展区，展区面积约1200平方米，展览范围涵盖商用密码产品和服务、新兴场景密码应用解决方案和应用案例等。

13日报道，研究人员披露了WordPress的WooCommerce Stripe Gateway插件中的漏洞（CVE-2023-34000）。这是电商网站的支付网关插件，目前有超过900000的安装量。该漏洞是未经身份验证的不安全直接对象引用(IDOR)漏洞，会影响7.4.0及以下版本，已于5月30日被修复。漏洞源于订单对象的不安全处理以及插件的javascript_params和payment_fields函数中缺乏适当的访问控制措施，可被攻击者用来绕过授权并访问敏感信息。

13日，Bolster披露针对上百个服装品牌的大规模钓鱼活动，旨在窃取目标的账户凭证和财务信息。该活动自2022年6月以来一直活跃，在2022年11月至2023年2月达到峰值。钓鱼网站冒充的品牌包括耐克、彪马、万斯、阿迪达斯、哥伦比亚、和卡西欧等，Bolster称已识别出3000多个活跃的域名。与此活动相关的域名被追溯到自主系统编号AS48950，由两个特定的互联网服务提供商Packet Exchange Limited和Global Colocation Limited托管。

15日，欧洲议会通过了一项名为《AI 法案》的法律草案，其采取了一种“基于风险”来监管 AI 的方式，重点关注对人类危害最大的应用领域，包括 AI 系统被用于运营水或能源等关键基础设施等。《AI 法案》将严重限制人脸识别软件的使用，同时要求 ChatGPT 聊天机器人等 AI 系统的开发商披露更多用于创建程序的数据。根据当前的草案，如果企业不遵守《AI 法案》，将最多面临全球营收 6% 的罚款。

纽约时报报道，根据麦肯锡全球研究所发布的《生成式人工智能的经济潜力:下一个生产力前沿》报告显示，在其研究的63种应用中使用生成式AI，将为全球经济每年带来2.6万亿至4.4万亿美元的增长。报告还发现，生成式AI带来的价值增长，主要（约75%）落在四个领域：客户运营、营销和销售、软件工程和研发。报告还指出，生成式AI“将对所有行业产生重大影响”。其中，银行业、高科技和生命科学等行业所受的影响最大。