【华安星安全资讯】半月精选集（2023.1.30-2023.2.12）

1.【政策法规】《数据安全风险治理成熟度评价模型》发布

       近期，在第二届数据安全治理峰会上，《数据安全风险治理成熟度评价模型》标准正式发布。《数据安全风险治理成熟度评价模型》标准立足于数据安全风险层出不穷、危害严重的现状，历经4个月的理论研究与多轮专家研讨论证，由中国信通院牵头十余家单位专家共同编制，现已进入评估单位征集阶段。该标准实现了事前明确数据安全风险关键要素，事中建立全面的风险治理体系，事后健全风险治理的监控与管理改进体系。

3.【行业分析】2023年WAF技术应用的五个趋势

      随着网络攻击的演进，Web应用防火墙（WAF）的应用也在发生变化。企业组织部署WAF不仅要对网站进行保护，还要对逐渐普及的Kubernetes、微服务、API和无服务器部署等新兴应用进行保障和支撑。WAF是现代企业做好网络安全工作的基础技术，本文收集整理了多位行业专家对2023年WAF技术应用发展的看法，以帮助企业了解这种传统解决方案的发展动态，主要趋势包括WAF市场仍将快速发展、增强基于身份的安全防护能力、实时的威胁检测和防护、从WAF向WAAP演进、加强WAF自身的安全防护。

4.【行业分析】近20年全球网络安全专利数据分析：美国第一、中国第二

       过去十年来，全球网络安全专利申请激增，其中美国企业处于领先地位，中国位列第二但差距较大。根据法国软件公司IS Decisions公布的数据，21世纪以来全球共提交约2270项网络安全专利申请。该数据基于世界知识产权组织PATENTSCOPE检索系统统计，统计的主要关键词有“cyber security”和“cybersecurity”。绝大多数网络安全专利申请（约97%）都是自2010年之后提交的，这也正是全球网络攻击激增的标志性一年。

5.【安全事件】安徒生公司泄露客户私密信息

       近日，Cybernews研究团队发现了一个未受保护的Azure存储 blob，其中包含大约一百万个文件，这些文件属于跨国公司Andersen Corporation的子公司Renewal by Andersen。云上近 30 万份文件暴露了该公司客户的家庭地址、联系方式和家庭装修订单，包括来自美国各州的客户家庭的内部和外部照片。最早的文件可以追溯到 2016年。Andersen Corporation是北美最大的门窗制造商，在全球拥有约12000名员工。

6.【安全事件】Reddit遭钓鱼攻击，攻击者已获得内部权限

       据报道，全球最大社交新闻站点Reddit近期遭到了网络钓鱼攻击。该公司表示，攻击者使用了一种针对Reddit员工的网络钓鱼诱饵，通过冒充其内部网站的登陆页面，试图窃取双因素验证码，从而获得员工账户凭证。目前已有一名员工的凭证不慎被窃取，攻击者因此获得了对一些内部文档、代码以及一些内部后台和业务系统的访问权限。Reddit称，这名员工在主动报告异常后，安全团队迅速做出反应，取消了攻击者的访问权限并进行内部调查。Reddit表示，虽然公司相关联系人以及员工的部分信息被窃取，但没有迹象表明攻击者破坏了用于运行网站的生产系统，用户个人数据也未监测到泄露。

7.【安全事件】Google Fi数据泄漏，黑客发起SIM卡交换攻击

       近日，谷歌通知Google Fi用户，由于其主要移动网络提供商发生数据泄漏，Google Fi用户的个人数据也遭到泄漏。目前已经有Google Fi用户在社交媒体上反映遭到了SIM卡交换攻击。虽然谷歌没有透露发生数据泄漏的主要网络提供商名称，但业内人士普遍猜测是T-Mobile。T-Mobile上个月披露，它在2022年11月发生API数据泄露，暴露了大约3700万用户的个人信息。根据Google本周向Google Fi用户发送的数据泄露通知，该事件泄露了用户的电话号码、SIM卡序列号、帐户状态（活跃或不活跃）、帐户激活日期和移动服务计划详细信息。

8.【安全技术】OpenAI发布ChatGPT人工智能文本生成检测工具

         ChatGPT是OpenAI 2022年11月推出的交互式自然语言对话模型。近期，OpenAI宣布推出人工智能文本分类器，旨在检测输入内容是否是由ChatGPT这样的人工智能工具生成的。OpenAI称其分类器并不完全可靠。在英文文本测试时，分类器正确识别了26%人工智能生成的文本，约9%人类写出的内容错误标记为人工智能生成的。随着输入文本长度的增加，分类器的性能有所提高。与之前其他分类器相比，该分类器的准确率高于其他检测分类器。