近期网络安全热点2023.5.23

password

icon

URL

type

date

summary

status

slug

1. IBM收购数据安全初创公司Polar Security，据称交易金额达6000万美元

IBM宣布收购Polar Security，这是一家专注于保护云端数据的初创公司，其产品可以帮助企业发现、分类和保护存储在云服务中的敏感数据，防止数据泄露和滥用。据悉，这笔交易的金额约为6000万美元，是IBM继收购云安全公司Spanugo后的又一次收购行动，显示了IBM对云安全市场的重视和投入。

2. 微软 VSCode 现恶意扩展，已被下载近5万次

网络安全研究人员发现，在微软的 VSCode Marketplace中存在3个恶意扩展，分别是Java Debug Manager、Java Language Support和Java Test Runner。这些扩展利用VSCode的自动更新功能，在用户不知情的情况下下载并执行恶意代码，从而窃取用户的Cookie、密码、密钥等敏感信息，并将其发送给攻击者控制的服务器。据统计，这些扩展已被Windows 开发人员下载了 46600 次。微软已经下架了这些扩展，并建议用户尽快卸载并检查自己的系统是否受到影响。

3. 网络安全和身份访问管理的三大发展趋势

随着远程办公、云计算、物联网等技术的普及和发展，企业组织面临着更加复杂和多样化的网络环境和威胁场景。如何保证用户、设备和应用程序之间的安全访问成为了一个重要而紧迫的问题。根据Gartner等机构的分析和预测，未来网络安全和身份访问管理领域将出现以下三大发展趋势：

零信任：零信任是一种安全模型，它假设所有用户、设备和应用程序都可能受到威胁，在默认情况下不应该被信任。零信任要求对资源的所有访问都在每个用户和每个设备的基础上进行验证和授权。

SASE：SASE（Secure Access Service Edge）是一种将网络和安全功能集成到一个云服务中的架构模式，它可以根据用户身份、设备状态、应用程序敏感性等因素动态地调整访问策略和安全控制。

密码无关：密码无关是一种消除或减少对密码依赖的身份验证方法，它可以利用生物特征、手机应用、硬件令牌等多种因素来验证用户身份，提高用户体验和安全性。

这些趋势将引领企业组织实现更高效、更灵活、更可靠的网络安全防护能力，并适应数字化转型带来的挑战和机遇。

4. 网安行业「iPhone时刻」！深信服首秀安全GPT技术应用

5月18日，深信服正式对外首秀安全GPT技术应用。深信服科技董事长何朝曦在现场分享了安全GPT技术应用的研发背景、技术应用特点及未来设想。深信服科技研发总经理梁景波、深信服安全攻防专家演示了安全GPT技术应用在XDR平台上的效果，包括高级威胁检测、安全监测调查、热门漏洞排查等，并在问答环节详细解答了媒体提问。安全GPT技术是基于自然语言处理和机器学习的一种人工智能技术，它可以根据海量的网络安全数据和知识，自动生成网络安全分析报告、建议和预警，提升网络安全防御的效率和效果。

5. 瑞星发布基于ChatGPT的EDR、NDR两大新品提升网络安全防御能力

5月18日，瑞星公司于北京香格里拉饭店隆重召开“瑞智安全新一代瑞星网络安全平台暨产品发布会”与“共享星海 2023年度瑞星公司合作伙伴大会”。瑞星公司在此次盛会上，重磅发布了瑞星终端威胁检测与响应系统（EDR）、瑞星网络威胁检测与响应系统（NDR）两款新品，同时宣布新一代瑞星网络安全平台的推出。这两款新品都基于ChatGPT技术，可以实现对网络中的异常行为和威胁事件的智能识别、分析和处置，有效提升企业组织的网络安全防御能力。

6. 可泄露主密码，密码管理工具KeePass被曝安全漏洞

名为“vdohney”的网络专家近日在密码管理工具 KeePass 中发现漏洞，追踪编号为 CVE-2023-32784，可以内存中检索出该软件的主密码。KeePass 是一款开源免费的密码管理工具，可以帮助用户生成和保存各种网站和应用程序的密码，并通过一个主密码进行加密和解密。该漏洞利用了 KeePass 的自动类型功能，该功能可以根据用户设置的快捷键或窗口标题，在不同的网站或应用程序中自动输入用户名和密码。攻击者可以通过构造一个特殊的窗口标题或快捷键，触发 KeePass 的自动类型功能，并将主密码输出到任意位置。该漏洞已经被报告给 KeePass 的开发者，并建议用户暂时关闭自动类型功能以避免风险。

7. 调查表明汽车行业的一些员工并没有意识到数据安全风险

网络安全是汽车行业日益关注的问题，特别是随着企业存储和使用越来越多的数据来驱动联网汽车功能。然而，根据 Upstream 公司的调查，汽车行业的一些员工并没有意识到数据安全风险。调查显示，有28%的受访者表示他们从未接受过任何形式的数据安全培训，有24%的受访者表示他们不知道他们所在的组织是否有数据保护政策或程序，有18%的受访者表示他们经常或偶尔使用个人设备来访问公司数据。这些行为都可能导致数据泄露或被恶意利用。调查建议汽车行业加强数据安全意识教育和培训，并制定和执行相应的数据保护措施。

新闻标题	参考链接
韩国超导托卡马克先进研究（KSTAR）实验室成功实现了超过1亿摄氏度的核聚变反应，并持续了30秒	https://www.newscientist.com/article/2336385-korean-nuclear-fusion-reactor-achieves-100-millionc-for-30-seconds/
Inside ‘holy grail’ fusion experiments to create a mini Sun after breakthrough in race for unlimited energy	https://www.the-sun.com/news/4381435/holy-grail-fusion-experiments-breakthrough-race-unlimited-energy/
Sun Fact Sheet - NASA	https://nssdc.gsfc.nasa.gov/planetary/factsheet/sunfact.html
Nuclear fusion breakthrough as reactor runs seven times hotter than the Sun	https://news.yahoo.com/nuclear-fusion-breakthrough-reactor-runs-130157687.html
IBM收购数据安全初创公司Polar Security，据称交易金额达6000万美元	https://www.freebuf.com/articles/web/316183.html
微软 VSCode 现恶意扩展，已被下载近5万次	https://www.freebuf.com/news/316181.html
可泄露主密码，密码管理工具KeePass被曝安全漏洞	https://www.freebuf.com/news/316180.html
调查表明汽车行业的一些员工并没有意识到数据安全风险	https://www.freebuf.com/news/316179.html