网络安全相关资讯，业界发展大事要闻，安在媒体重要发布，甲方社群互动交流，都在安在 · 网安周报。与网安发展同步，采业界资讯共赏，天天见闻，周周必报。

本期焦点

台积电遭遇天价数据勒索

7月3日消息，全球最大芯片代工企业台积电在上周五表示，由于硬件供应商Kinmax Technology发生一起“安全事件”，攻击者获取了台积电企业网络中一些服务器的配置和设置信息。

此消息公布前一天，LockBit勒索软件犯罪团伙在其敲诈网站上“点名”台积电，并威胁道：如不支付7000万美元赎金，将公开所窃数据。

台积电代表表示，攻击者获取了企业网络中一些服务器的配置和设置信息，但此事件未影响公司业务运营，也没有泄露任何客户信息。

 

专家点评：

近年来，勒索软件攻击呈上升趋势，其标志性事件是2017年的WannaCry、NotPetya勒索软件攻击席卷全球，从那之后，勒索攻击使网络黑产看到了可以带来了“巨大盈利”的希望，成为了黑产们的主要获利手段。2020年3月，黑客团队利用勒索软件Doppel Paymer对特斯拉、波音、SpaceX供应商进行了攻击；同年，日本汽车制造商本田的全球网络因遭受勒索病毒攻击而被迫关闭其关于美国、土耳其等地的部分工厂；2021年3月，电脑制造商宏碁遭遇 REvil 勒索软件攻击，勒索团队开出了赎金 5000 万美元的价码，甚至还提出，如果提前付赎金，还能打8折。

从这些事件中我们可以看到，随着信息化的飞速发展，数据资产高度汇聚，价值越来越高，勒索软件攻击频发，而且愈演愈烈。至于此次事件，其实早在2018年，台积电就曾遭受过勒索攻击。台积电在中国台湾地区的北、中、南三个重要生产基地全部停摆，造成约十几亿美元的营业损失。

勒索软件攻击主要形式分为文件加密、锁屏勒索、系统锁定和数据泄露等；而传播方式中，较为常见的是钓鱼邮件，当下则发展为了更具针对性的鱼叉式钓鱼邮件，邮件内容大多和业务或合作伙伴相关，除此之外还有漏洞利用传播、网页挂马传播、供应链传播和移动介质传播。此次台积电所遭受的攻击就属于供应链传播。

通过近年来各种勒索软件事件分析，可以明确的是，未来的网络安全保护工作的重点是数据安全，随着网络的进一步开放和互联，风险只会越来越多，因为数字化转型时代下，数据成为了各行各业乃至国家的重中之重。所以，作为网络安全从业人员，在对数据进行安全防护时，一定要纠正原有的错误理念，比如把系统安全等同于数据安全，简单的把防止网络入侵和做好边界防护等同于数据安全的全部工作；数据安全，至少应该包括：防窃取、防滥用和防误用三个方面；数据安全不是简单的数据存储安全，要覆盖数据生命周期内的所有环节。因此，各行各业都要提高相应的生态“共治群防”意识和“协同防范”能力。

个人建议，可利用密码技术来做数据的保护基础支撑，密码除了能够的重要数据加密外，还可以支撑构建新的资源访问控制体系，同时对数据进行分布式的存储，即“不要把鸡蛋都放在一个篮子里”，而是在需要时调用数据的能力，做到“数据可用不可及”，“数据不动能量动”。这样在技术上所做的提升，对社会安全、国家安全都是极其重要的。

本期特邀专家

毕马宁

等级保护资深专家毕马宁

网安行业热点

安全事件

1、ChatGPT被诉侵犯隐私！16人向微软和OpenAI索赔30亿美元

近日，16名匿名人士提起诉讼，指控OpenAI和微软在没有充分通知用户或获得同意的情况下，窃取互联网用户的“大量私人信息”，据此，他们向微软和OpenAI索赔30亿美元

2、MOVEit Transfer漏洞成肉鸡收割机

据不完全统计已有超过160个已知受害组织已成为MOVEit漏洞的受害者，而且攻击规模还在不断升级。

3、人大毕业生盗取学校学生信息被刑拘

最新消息，据平安北京海淀微博通报，针对“中国人民大学部分学生信息被非法获取”的情况，海淀警方接到报警后，立即开展调查。经查，嫌疑人马某某涉嫌非法获取该校部分学生个人信息等违法犯罪行为。

4、Microsoft遭遇DDoS攻击，3000万客户数据遭窃！

匿名苏丹组织在其Telegram频道称，已经成功入侵了微软，并进入了一个包含3000多万微软账户、电子邮件和密码的大型数据库。

5、Android 应用遭重大数据泄露

一款基于 Android 的手机监控应用程序LetMeSpy披露了一个安全漏洞，该漏洞已导致未经授权的第三方窃取了数千名用户的敏感数据。

6、WordPress 社交登录插件曝出漏洞，用户账户信息遭泄露

The Hacker News 网站消息，miniOrange 的 WordPress 社交登录和注册插件中出现了一个关键安全漏洞，该漏洞可能使潜在网络攻击者登录用户帐户。

7、瑞典对两家公司处以百万欧元罚款

瑞典隐私保护局（IMY）最近对两家公司处以了约100万欧元的罚款，原因是其使用谷歌工具向美国传输了个人数据。

8、日本最大港口因勒索攻击被迫停止运营

所有使用拖车的码头的集装箱装卸作业被取消，给该港口造成了巨大的财务损失，严重干扰了往来日本的货物流通。

9、一高考生志愿被同学篡改，已过截止日期！

https://baijiahao.baidu.com/s?id=1770622279905528568&wfr=spider&for=pc

据湖北省荆州市公安局官方微博5日消息，7月2日，群众报警称自己的高考志愿被篡改，且已经过了网报志愿的截止日期。受案后，沙市区公安分局西区派出所民警立即展开工作，锁定违法行为人并积极劝投。

法规政策

1、《北京市智能网联汽车政策先行区数据分类分级管理细则（试行）》正式发布

细则为车路云一体化数据分类分级提供细化的落地指引，推动形成政府监管、市场自律的数据治理结构，为产业数据安全和数据市场化流通交易奠定基础。

2、四部门关于调整《网络关键设备和网络安全专用产品目录》的公告

国家互联网信息办公室会同工业和信息化部、公安部、国家认证认可监督管理委员会等部门更新了《网络关键设备和网络安全专用产品目录》，现予以公布，自印发之日起施行。

3、北京市人民政府印发《关于更好发挥数据要素作用进一步加快发展数字经济的实施意见》的通知

实施意见提出，形成一批先行先试的数据制度、政策和标准。推动建立供需高效匹配的多层次数据交易市场，充分挖掘数据资产价值，打造数据要素配置枢纽高地。

4、上海市监局《互联网平台企业竞争合规评价指引》征求意见

指引对于指导经营者建立有效和及时响应的反垄断合规管理体系，从领导、组织、过程、保障、评价与改进等方面提出了规范流程，互联网平台企业可参考实施。

5、《无锡市数字化转型促进条例》正式施行

《条例》提出加快培育数据要素市场，依法开展数据交易活动，促进数据要素依法有序流动；制定了推动制造业企业实现智能化改造和数字化转型相关内容。

6、国家网信办关于《网络暴力信息治理规定（征求意见稿）》公开征求意见的通知

本规定所称网络暴力信息，是指通过网络对个人集中发布的，侮辱谩骂、造谣诽谤、侵犯隐私，以及严重影响身心健康的道德绑架、贬低歧视、恶意揣测等违法和不良信息。

创投融资

1、赛博昆仑完成近亿元A轮融资

https://36kr.com/p/2327081148374656

赛博昆仑完成近亿元A轮融资，由达晨财智领投，老股东红杉中国跟投，航行资本担任独家财务顾问。

新品亮点

1、三六零天御安全合规检测平台2.0全新发布

平台能为企业提供准确、全面的掌握资产、风险情况，构建移动应用全资产、全风险、全生命周期的管理体系。

2、长亭安全大模型正式推出

3、亿赛通数据库安全审计系统版本升级

产品于新版本中在扩大了审计防护范围并增强了审计能力的同时，还新增了数据资产管理与数据风险评估能力，安全复合能力的加入能更好的保护数据资产安全，为数据库安全保驾护航。

调查报告

1、国际权威研究机构IDC发布《中国边缘云市场跟踪研究，2022H2》报告

IDC指出，在服务商与客户需求的共同推动下，边缘云市场规模、用户用量在过去三年获得大幅增长。

2、IDC发布《中国零信任网络访问解决方案技术评估，2023》报告

IDC指出，目前，零信任网络访问解决方案的供给侧市场竞争日趋激烈，技术提供商需要通过差异化的竞争特点来突出自身优势，获得企业级客户的认可。

安在有声

未来CSO训练营 | 2023第1期成功结营

诸子云 | 活动：7.2北京网络安全攻防对抗线下研讨会

在Z｜荣耀（HONOR）多地区高薪诚招云安全相关防护技术、产品开发、开发安全等工程师

社群话题

话题一：新型诈骗可能打着公益的旗号提醒用户不要上当受骗，其实是为了收集声音数据

话题二：信息安全经理考试考脑筋急转弯

话题三：美国没有单独的国家隐私法案

话题四：DLP工具的威慑力有时候比技术完美更重要

社群话题

资料详细名称列表

1、2022云原生数据库白皮书

2、2022中国产业数字化政策分析报告

3、2023XDR技术及行业发展研究报告

4、2023工业企业数字化转型报告

5、2023互联网数据中心（IDC）研究报告

6、2023欧盟数据法案对汽车行业影响力报告（英文版）

7、2023全球数字信任洞察调研中国报告

本期“在看”全文所述报告、话题、活动议题PPT等各类资料，都已在诸子云知识星球分类归档，即入可取。

RECOMMEND

推荐阅读 

■ 在看 | 特斯拉涉及大规模数据泄露

■在看 | 美光未通过网络安全审查

■在看 | 丰田泄露超200万辆汽车敏感数据

戳“原文阅读”查看往期网安精彩内容

点【在看】的人最好看

原文始发于微信公众号（安在）：在看 | 台积电遭遇天价数据勒索