5月速遞

美國眾議院提出《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全培訓(xùn)法案》，旨在加強美國的工控網(wǎng)絡(luò)安全。美國拜登總統(tǒng)簽署《國家網(wǎng)絡(luò)安全防范聯(lián)盟法案》，將用于確保關(guān)鍵基礎(chǔ)設(shè)施免受網(wǎng)絡(luò)攻擊。歐盟也推出了關(guān)鍵領(lǐng)域網(wǎng)絡(luò)安全新立法，關(guān)注關(guān)鍵基礎(chǔ)設(shè)施，對關(guān)鍵行業(yè)組織實施共同的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。美國針對供應(yīng)鏈、量子技術(shù)以及網(wǎng)絡(luò)犯罪方面也相繼出臺了新的標(biāo)準(zhǔn)。英國、意大利和印度也針對不同方面頒布了立法。

美國眾議院提出《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全培訓(xùn)法案》

美國眾議院5月16日提出了《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全培訓(xùn)法案》，以幫助加強國家的網(wǎng)絡(luò)安全保護(hù)。該法案旨在修訂2002年的《國土安全法》，以授權(quán)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)建立工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全培訓(xùn)計劃并用于其他目的。

資料來源：https://industrialcyber.co/threats-attacks/new-industrial-control-systems-cybersecurity-training-bill-works-toward-bolstering-nations-cybersecurity-posture/

美國拜登總統(tǒng)簽署《國家網(wǎng)絡(luò)安全防范聯(lián)盟法案》

5月12日，美國總統(tǒng)拜登簽署了《國家網(wǎng)絡(luò)安全防范聯(lián)盟法案》，將用于確保關(guān)鍵基礎(chǔ)設(shè)施免受網(wǎng)絡(luò)攻擊。國土安全部將和眾多大學(xué)組成國家網(wǎng)絡(luò)安全防范聯(lián)盟(NCPC)，對州及地方政府的響應(yīng)責(zé)任人和官員進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)。

資料來源：https://executivegov.com/2022/05/biden-inks-legislation-for-national-cybersecurity-preparedness-consortium/

美國總統(tǒng)拜登簽署《優(yōu)化網(wǎng)絡(luò)犯罪度量法》

5月5日，美國總統(tǒng)簽署《優(yōu)化網(wǎng)絡(luò)犯罪度量法》。該法從網(wǎng)絡(luò)犯罪分類、網(wǎng)絡(luò)犯罪報告、全國犯罪被害調(diào)查、網(wǎng)絡(luò)犯罪指標(biāo)研究四大維度出發(fā)，綜合改善了聯(lián)邦政府“追蹤、衡量、分析、起訴網(wǎng)絡(luò)犯罪的方式”，幫助執(zhí)法機構(gòu)更好地識別網(wǎng)絡(luò)安全威脅、防范黑客勒索攻擊、起訴網(wǎng)絡(luò)犯罪案件。

資料來源：https://www.securitymagazine.com/articles/97591-better-cybercrime-metrics-act-signed-into-law

美國總統(tǒng)拜登簽署兩項推進(jìn)量子技術(shù)發(fā)展的指令

2022年5月4日，美總統(tǒng)拜登簽署兩項指令《關(guān)于加強國家量子倡議咨詢委員會的行政命令》以及《國家安全備忘錄(NSM)》，旨在推動量子信息科學(xué)(QIS)的研究與開發(fā)，并幫助美國計算機網(wǎng)絡(luò)向后量子加密標(biāo)準(zhǔn)過渡。

資料來源：https://www.whitehouse.gov/briefing-room/statements-releases/2022/05/04/fact-sheet-president-biden-announces-two-presidential-directives-advancing-quantum-technologies

美國NIST推出《網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險管理》指南最終版

美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)5月5日發(fā)布了其針對系統(tǒng)和組織的基礎(chǔ)C-SCRM指導(dǎo)文件的最終版本。網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險管理(C-SCRM)文件為企業(yè)提供了有關(guān)如何識別、評估、選擇和實施風(fēng)險管理流程以及減輕整個企業(yè)控制措施的指導(dǎo)，以幫助管理整個供應(yīng)鏈中的網(wǎng)絡(luò)安全風(fēng)險。

資料來源：https://industrialcyber.co/analysis/nist-rolls-out-final-c-scrm-guidance-to-enhance-cybersecurity-secure-integrity-of-software-supply-chain/

歐盟推出關(guān)鍵領(lǐng)域網(wǎng)絡(luò)安全新立法

歐盟已就新的立法達(dá)成政治協(xié)議，將對關(guān)鍵行業(yè)組織實施共同的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，將涵蓋在關(guān)鍵領(lǐng)域運營的大中型組織，其中包括公共電子通信服務(wù)、數(shù)字服務(wù)、廢水和廢物管理、關(guān)鍵產(chǎn)品制造、郵政和快遞服務(wù)、醫(yī)療保健和公共管理的供應(yīng)商。

資料來源：https://www.infosecurity-magazine.com/news/eu-cybersecurity-legislation/?&web_view=true

英國公布《數(shù)據(jù)改革法案》

5月10日，英國公布了《數(shù)據(jù)改革法案》。該法案將用于改革英國現(xiàn)有的《通用數(shù)據(jù)保護(hù)條例》和《數(shù)據(jù)保護(hù)法案》。并且，該法案尋求簡化數(shù)據(jù)保護(hù)相關(guān)立法，通過創(chuàng)建一種更靈活的、以結(jié)果為中心的方法來減輕企業(yè)的負(fù)擔(dān)，同時還引入了更明確的個人數(shù)據(jù)使用規(guī)則。

資料來源：https://www.computerweekly.com/news/252518054/Data-Reform-Bill-announced-in-Queens-Speech

英國政府發(fā)布《2022民用核網(wǎng)絡(luò)安全戰(zhàn)略》

英國政府發(fā)布了《2022民用核網(wǎng)絡(luò)安全戰(zhàn)略》。戰(zhàn)略目標(biāo)是以協(xié)作和成熟的方式有效管理和減輕英國民用核部門的網(wǎng)絡(luò)風(fēng)險，在應(yīng)對和防范事件方面具有彈性，以加強英國民用核工業(yè)網(wǎng)絡(luò)安全態(tài)勢。資料來源：https://industrialcyber.co/threats-attacks/new-uk-2022-civil-nuclear-cyber-security-strategy-focuses-on-building-cybersecurity-across-the-sector/

意大利發(fā)布《2022至2026年國家網(wǎng)絡(luò)安全戰(zhàn)略》

意大利政府5月25日發(fā)布《2022至2026年國家網(wǎng)絡(luò)安全戰(zhàn)略》，并加強了政府應(yīng)對網(wǎng)絡(luò)威脅和提高該國抵御網(wǎng)絡(luò)攻擊的能力的承諾。戰(zhàn)略確定了三大基本目標(biāo)以更好地應(yīng)對國家面臨的挑戰(zhàn)，一是保護(hù)目標(biāo);二是響應(yīng)目標(biāo);三是發(fā)展目標(biāo)。

資料來源：https://securityaffairs.co/wordpress/131674/security/italy-national-cybersecurity-strategy.html

印度政府要求在六小時內(nèi)報告網(wǎng)絡(luò)安全事件

印度政府發(fā)布了新指令，要求組織在六小時內(nèi)向計算機應(yīng)急響應(yīng)小組(CERT-IN)報告網(wǎng)絡(luò)安全事件，即使這些事件是計算機系統(tǒng)的端口或漏洞掃描。CERT-IN小組表示已確定了導(dǎo)致安全事件分析和響應(yīng)困難的具體差距，為了解決這些問題，它需要采取更積極的措施。

資料來源：https://www.bleepingcomputer.com/news/security/india-to-require-cybersecurity-incident-reporting-within-six-hours/

北京通管局開展2022年電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)與數(shù)據(jù)安全檢查，工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全防護(hù)情況檢查包括在內(nèi)。美國能源部成立電能OT安全配置文件工作組，將提升電能OT系統(tǒng)的網(wǎng)絡(luò)安全，同時與MITRE合作成立特別興趣小組，重點關(guān)注ICS和OT框架中的安全漏洞。美國CISA擴大了愛達(dá)荷國家實驗室CELR研究區(qū)的范圍，將為ICS、OT環(huán)境提供交互式測試站點?；葑u評級表示對ICS/OT系統(tǒng)的網(wǎng)絡(luò)攻擊更有可能產(chǎn)生信用和ESG影響。以上事件表明美國政府愈發(fā)關(guān)注ICS/OT系統(tǒng)的網(wǎng)絡(luò)安全，正在著手提升維護(hù)其安全性的能力。

北京通管局開展2022年電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)與數(shù)據(jù)安全檢查

北京通管局發(fā)布關(guān)于開展2022年電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)與數(shù)據(jù)安全檢查的通知。重點檢查相關(guān)網(wǎng)絡(luò)運行單位的關(guān)鍵信息基礎(chǔ)設(shè)施和重要網(wǎng)絡(luò)單元及承載的信息系統(tǒng)，包括但不限于：通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施、工業(yè)互聯(lián)網(wǎng)平臺等。在工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全防護(hù)情況檢查方面，重點檢查工業(yè)互聯(lián)網(wǎng)服務(wù)平臺、工業(yè)互聯(lián)網(wǎng)標(biāo)識解析系統(tǒng)企業(yè)。

資料來源：https://bjca.miit.gov.cn/zwgk/tzgg/art/2022/art_6dad7c7ba2e54942bde655044f46deee.html

美國能源部成立電能OT安全配置文件工作組

美國能源部(DOE)、全球設(shè)備供應(yīng)商和其他利益相關(guān)者5月25日宣布成立電能OT安全配置文件工作組。電能OT安全配置文件將用作設(shè)計、實施、測試和維護(hù)電能OT系統(tǒng)及其網(wǎng)絡(luò)安全功能的基礎(chǔ)，還將對全球的第三方評估組織和監(jiān)管機構(gòu)發(fā)揮作用。

資料來源：https://industrialcyber.co/analysis/new-electric-energy-ot-security-profile-working-group-set-up-as-part-of-isa99-standards-committee/

美國、澳大利亞、印度和日本宣布關(guān)于軟件、供應(yīng)鏈的網(wǎng)絡(luò)安全舉措

美國和三個盟國5月24日宣布了一項伙伴關(guān)系，各國將圍繞加固軟件、供應(yīng)鏈和用戶數(shù)據(jù)，共同開展若干網(wǎng)絡(luò)安全舉措。各國領(lǐng)導(dǎo)人承諾通過分享威脅信息和識別數(shù)字產(chǎn)品和服務(wù)供應(yīng)鏈中的潛在風(fēng)險，改善關(guān)鍵基礎(chǔ)設(shè)施的集體網(wǎng)絡(luò)安全。

資料來源：https://therecord.media/us-australia-india-and-japan-announce-cybersecurity-initiatives-on-software-supply-chains/?web_view=true

普京簽署總統(tǒng)令：各部門機構(gòu)設(shè)立IT安全部門

俄羅斯當(dāng)?shù)貢r間5月1日，俄羅斯總統(tǒng)普京正式簽署了一份確保俄羅斯信息安全額外措施的總統(tǒng)令，下令俄羅斯所有部門、機構(gòu)和骨干組織都需要設(shè)立IT安全部門。根據(jù)總統(tǒng)令的實際規(guī)定，自2025年1月1日起，俄羅斯國有企業(yè)和機構(gòu)將禁止使用的不友好國家生產(chǎn)的信息和安全設(shè)備。

資料來源：https://www.163.com/dy/article/H6CV97O50511A5GF.html

韓國加入北約網(wǎng)絡(luò)防御卓越中心

5月5日，韓國正式加入北大西洋公約組織(NATO)合作網(wǎng)絡(luò)防御卓越中心(CCDCOE)，成為首個加入該機構(gòu)的亞洲國家。隨著韓國加入CCDCOE，未來國情院將參加北約的網(wǎng)絡(luò)聯(lián)合訓(xùn)練并參與相關(guān)研究，讓韓國在網(wǎng)絡(luò)攻防方面進(jìn)一步掌握發(fā)言權(quán)。

資料來源：https://world.huanqiu.com/article/47tI3EgGSDp

MITRE成立旨在加強ICS/OT網(wǎng)絡(luò)防御的特別興趣小組

MITRE與美國能源部(DOE)網(wǎng)絡(luò)安全、能源安全和應(yīng)急響應(yīng)辦公室(CESER)合作，宣布擴大通用弱點枚舉/通用攻擊模式枚舉和分類計劃，成立一個新的特別興趣小組(SIG)，重點關(guān)注工業(yè)控制系統(tǒng)(ICS)和運營技術(shù)(OT)框架中的安全漏洞。

資料來源：https://industrialcyber.co/cisa/cwe-capec-ics-ot-special-interest-group-focuses-on-security-weaknesses-within-these-environments/

愛達(dá)荷國家實驗室的CELR研究區(qū)為ICS、OT環(huán)境提供交互式測試站點

美國CISA的工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組擴大了愛達(dá)荷國家實驗室控制環(huán)境實驗室資源(CELR)研究區(qū)的范圍。實驗室環(huán)境現(xiàn)在將為ICS和OT環(huán)境提供交互式測試站點，使政府和私營行業(yè)合作伙伴能夠體驗動態(tài)信息物理攻擊的可能影響。

資料來源：https://industrialcyber.co/threats-attacks/idaho-national-laboratorys-celr-research-zone-delivers-interactive-test-site-for-ics-ot-environments/

惠譽評級表示對ICS/OT系統(tǒng)的網(wǎng)絡(luò)攻擊更有可能產(chǎn)生信用和ESG影響

在題為“美國運營技術(shù)中的網(wǎng)絡(luò)風(fēng)險(運營技術(shù)如何影響關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)風(fēng)險)”的報告中，惠譽評級探討了電力和公用事業(yè)以及供水和下水道行業(yè)的IT/OT挑戰(zhàn)。報告顯示，與對信息技術(shù)的相應(yīng)攻擊相比，對運營技術(shù)的攻擊更有可能產(chǎn)生信用和ESG影響。

資料來源：https://industrialcyber.co/utilities-energy-power-water-waste/cyberattacks-on-ics-ot-systems-more-likely-to-have-credit-esg-impact-than-a-corresponding-it-attack-fitch-ratings-says/

加拿大空軍關(guān)鍵供應(yīng)商遭勒索軟件攻擊

加拿大、德國軍方的獨家戰(zhàn)機培訓(xùn)供應(yīng)商Top Aces透露，其已遭到LockBit勒索軟件攻擊，44GB內(nèi)部數(shù)據(jù)疑似被泄露，該公司在5月11日的一份聲明中表示正在對攻擊事件開展調(diào)查。資料來源：

https://therecord.media/top-aces-ransomware-attack-lockbit/

美國農(nóng)業(yè)機械制造商AGCO遭受勒索軟件攻擊

美國農(nóng)業(yè)機械生產(chǎn)商巨頭AGCO于5月6日宣布部分生產(chǎn)設(shè)施受到影響。AGCO仍在調(diào)查攻擊的程度，但預(yù)計其業(yè)務(wù)運營將受到幾天的不利影響，甚至可能更長的時間才能完全恢復(fù)所有服務(wù)，該公司可能會關(guān)閉其部分IT系統(tǒng)以防止攻擊蔓延。

資料來源：https://www.bleepingcomputer.com/news/security/us-agricultural-machinery-maker-agco-hit-by-ransomware-attack/

5月10日，西門子和施耐德發(fā)布漏洞公告，西門子樓宇自動化控制器PXC4.E16存在DoS漏洞，其他設(shè)備存在包括可導(dǎo)致DoS攻擊、代碼執(zhí)行以及管理員賬戶劫持的高危漏洞，在真實的工業(yè)環(huán)境中將會造成嚴(yán)重的影響。信捷PLC編程軟件存在高危漏洞，攻擊者可以利用其將任意項目文件寫入PLC并獲得代碼執(zhí)行。InHand工業(yè)路由器存在17個漏洞，攻擊者可鏈接使用其中某些漏洞獲取root訪問權(quán)限。uClibc庫存在DNS漏洞，數(shù)百萬個物聯(lián)網(wǎng)產(chǎn)品面臨安全威脅。Open Automation Software自動化軟件平臺存在超危漏洞，包括能源、航天等行業(yè)在內(nèi)的眾多ICS設(shè)備受到影響。Zyxel修復(fù)防火墻設(shè)備中的操作系統(tǒng)命令注入漏洞。思科修復(fù)正在被積極利用的IOS XR漏洞。

西門子修復(fù)其產(chǎn)品中的35個漏洞

西門子在5月10日發(fā)布了12條公告，涵蓋35個漏洞。根據(jù)CVSS評分，最重要的公告涵蓋了11個影響SICAM P850和P855設(shè)備的Web服務(wù)器漏洞。該公告涵蓋的五個高危漏洞可能導(dǎo)致DoS攻擊、代碼執(zhí)行、流量捕獲和干擾設(shè)備功能、跨站腳本(XSS)攻擊或訪問設(shè)備的管理界面。

資料來源：https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-address-43-vulnerabilities

施耐德修復(fù)其產(chǎn)品中的8個漏洞

施耐德電氣在5月10日發(fā)布了3項公告，向客戶通報了8個漏洞。其中6個漏洞影響了一些Wiser Smart家庭自動化產(chǎn)品，包括一個超危硬編碼憑據(jù)漏洞，以及可用于暴力攻擊、管理員賬戶劫持、跨域攻擊和獲取身份驗證憑據(jù)的高危漏洞。

資料來源：https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-address-43-vulnerabilities

西門子樓宇自動化控制器PXC4.E16存在DoS漏洞

Nozomi研究人員發(fā)現(xiàn)西門子樓宇自動化控制器PXC4.E16設(shè)備受到可用于拒絕服務(wù)(DoS)攻擊的漏洞的影響。在創(chuàng)建或更新賬戶期間，Web應(yīng)用程序未能強制執(zhí)行PBKDF2派生密鑰的成本因子上限，具有用戶配置文件訪問權(quán)限的攻擊者可以通過以非常高的成本設(shè)置PBKDF2派生密鑰然后嘗試登錄到如此修改的賬戶來通過CPU消耗導(dǎo)致DoS條件。

資料來源：https://www.securityweek.com/hackers-can-make-siemens-building-automation-controllers-unavailable-days

信捷PLC編程軟件存在高危漏洞

信捷PLC編程軟件中存在兩個漏洞。第一個為zip slip漏洞CVE-2021-34605，該漏洞可以為攻擊者提供具有程序權(quán)限的任意寫入權(quán)限。第二個漏洞為CVE-2021-34606，一旦一個特制的惡意項目文件被信捷PLC編程軟件打開，在加載新項目的過程中，將加載惡意DLL。

資料來源：https://industrialcyber.co/threats-attacks/clarotys-team82-finds-two-vulnerabilities-in-xinje-plc-program-tool-deployed-across-critical-infrastructure-sector/

InHand工業(yè)路由器存在17個漏洞

InHand Networks制造的無線工業(yè)路由器中存在17個漏洞，可能導(dǎo)致任意文件上傳、代碼執(zhí)行、權(quán)限提升、操作系統(tǒng)命令注入和未經(jīng)授權(quán)的固件更新。攻擊者首先可以利用XSS漏洞盜取Cookie，如果沒有獲得特權(quán)訪問，可以利用其中某兩個漏洞進(jìn)行提權(quán)。

資料來源：https://www.securityweek.com/critical-vulnerabilities-provide-root-access-inhand-industrial-routers

uClibc庫的DNS漏洞影響數(shù)百萬個物聯(lián)網(wǎng)產(chǎn)品

兩個流行C庫uClibc和uClibc-ng存在DNS漏洞，這可能會使數(shù)百萬物聯(lián)網(wǎng)設(shè)備面臨安全威脅。該漏洞是由庫生成的DNS請求中包含的事務(wù)ID的可預(yù)測性引起的，這可能允許攻擊者對目標(biāo)設(shè)備執(zhí)行DNS中毒攻擊。資料來源：https://thehackernews.com/2022/05/unpatched-dns-related-vulnerability.html

Open Automation Software自動化軟件平臺存在超危漏洞

Open Automation Software公司的開放自動化軟件平臺為ICS或IoT設(shè)備、數(shù)據(jù)庫和自定義應(yīng)用程序提供連接解決方案。該平臺受到八個漏洞的影響，攻擊者可以利用這些漏洞執(zhí)行任意代碼、DoS攻擊、獲取敏感信息和其他目的。

資料來源：https://www.securityweek.com/critical-vulnerabilities-found-open-automation-software-platform

Zyxel修復(fù)防火墻設(shè)備中的操作系統(tǒng)命令注入漏洞

Zyxel防火墻設(shè)備存在一個超危漏洞，被跟蹤為CVE-2022-30525，CVSS評分9.8，該漏洞使未經(jīng)身份驗證的遠(yuǎn)程攻擊者能夠完成任意代碼執(zhí)行。某些防火墻版本的CGI程序中的命令注入漏洞可能允許攻擊者修改特定文件，然后在易受攻擊的設(shè)備上執(zhí)行一些操作系統(tǒng)命令。

資料來源：https://thehackernews.com/2022/05/zyxel-releases-patch-for-critical.html

思科修復(fù)正在被積極利用的IOS XR漏洞

思科修復(fù)了IOS XR軟件的中危漏洞CVE-2022-20821，CVSS評分6.5，攻擊者正在積極利用該漏洞進(jìn)行攻擊。攻擊者可以通過連接到開放端口上的Redis實例來利用此漏洞將任意文件寫入容器文件系統(tǒng)，并檢索有關(guān)Redis數(shù)據(jù)庫的信息。

資料來源：https://www.securityweek.com/cisco-warns-exploitation-attempts-targeting-new-ios-xr-vulnerability

微軟推出托管服務(wù)，結(jié)合技術(shù)、威脅情報和技術(shù)人員幫助企業(yè)尋找惡意感染跡象或外包檢測和響應(yīng)事件的處理。容器編排器Kubernetes將使用Sigstore項目包含加密簽名證書，以防止供應(yīng)鏈攻擊。印度科學(xué)研究所開發(fā)了一種真隨機數(shù)生成器 (TRNG)，可以改進(jìn)數(shù)據(jù)加密，提供更高的安全性。Firefox引入了改進(jìn)的進(jìn)程隔離機制，通過降低攻擊向量減少瀏覽器的攻擊面。

微軟通過托管服務(wù)來增強安全供應(yīng)商的實力

微軟針對中端市場推出了一套新的托管服務(wù)——微軟安全專家，微軟認(rèn)為人手不足的組織將需要外部幫助來減少臃腫的攻擊面并緩解危險的惡意軟件攻擊持續(xù)激增。這三項新的托管服務(wù)結(jié)合了技術(shù)、威脅情報和技術(shù)人員，可幫助企業(yè)尋找惡意感染跡象或外包檢測和響應(yīng)事件的處理。

資料來源：https://www.securityweek.com/microsoft-flexes-security-vendor-muscles-managed-services?&web_view=true

Kubernetes利用Sigstore阻止開源軟件供應(yīng)鏈攻擊

容器編排器Kubernetes將使用Sigstore項目包含加密簽名證書，以防止供應(yīng)鏈攻擊。使用Sigstore證書允許Kubernetes用戶通過“讓用戶能夠驗證簽名和對每個部署的Kubernetes二進(jìn)制文件、源代碼包和容器映像的來源有更大的信心?！?/span>

資料來源：https://www.zdnet.com/article/kubernetes-taps-sigstore-to-thwart-open-source-software-supply-chain-attacks/?web_view=true

IISc開發(fā)改進(jìn)數(shù)據(jù)加密、網(wǎng)絡(luò)安全的設(shè)備

印度科學(xué)研究所(IISc)的電氣通信工程系(ECE)開發(fā)了一種破紀(jì)錄的真隨機數(shù)生成器 (TRNG)，它可以改進(jìn)數(shù)據(jù)加密并為信用卡詳細(xì)信息等敏感數(shù)字?jǐn)?shù)據(jù)提供更高的安全性、密碼和其他個人信息，這種加密的強度取決于隨機數(shù)生成的質(zhì)量。

資料來源：https://indianexpress.com/article/cities/bangalore/iisc-develops-device-that-improves-data-encryption-cyber-security-7939587/?&web_view=true

Firefox首次推出改進(jìn)的進(jìn)程隔離以減少瀏覽器攻擊面

Firefox引入了改進(jìn)的進(jìn)程隔離機制來減少瀏覽器的攻擊面。當(dāng)用戶通過Firefox瀏覽網(wǎng)頁時，該軟件會將內(nèi)容呈現(xiàn)到單獨的進(jìn)程中，與操作系統(tǒng)隔離并由單個特權(quán)父進(jìn)程管理。該模型背后的原因是，如果內(nèi)容過程中存在錯誤，則潛在的攻擊向量是有限的。

資料來源：https://portswigger.net/daily-swig/firefox-debuts-improved-process-isolation-to-reduce-browser-attack-surface?&web_view=true