周刊 | 网安大事回顾（2023.4.10—2023.4.16）

政策法规：国家互联网信息办公室关于《生成式人工智能服务管理办法（征求意见稿）》公开征求意见的通知；中央网信办等五部门印发《2023年数字乡村发展工作要点》…

热点新闻：2023年中国网络安全行业《开发安全产品及服务购买决策参考》发布；2023年Q1外部攻击面分析系列报告发布…

融资动态：Cybereason获得1亿美元的融资；Strivacity获得2000万美元的A2轮融资…

网络攻击：现代汽车发生数据泄露事件；iPhone曝出“末日”漏洞…

为促进生成式人工智能技术健康发展和规范应用，根据《中华人民共和国网络安全法》等法律法规，国家互联网信息办公室起草了《生成式人工智能服务管理办法（征求意见稿）》，向社会公开征求意见。

一周网安风云回顾，GoUpSec带你安全看世界。

1、政策法规

关键词：人工智能 数字乡村 数据保护

国家互联网信息办公室关于《生成式人工智能服务管理办法（征求意见稿）》公开征求意见的通知

为促进生成式人工智能技术健康发展和规范应用，根据《中华人民共和国网络安全法》等法律法规，国家互联网信息办公室起草了《生成式人工智能服务管理办法（征求意见稿）》，向社会公开征求意见。

中央网信办等五部门印发《2023年数字乡村发展工作要点》

近日，中央网信办、农业农村部、国家发展改革委、工业和信息化部、国家乡村振兴局联合印发《2023年数字乡村发展工作要点》。《工作要点》明确了工作目标：到2023年底，数字乡村发展取得阶段性进展，部署了10个方面26项重点任务。

英国发布《数据保护和数字信息法案》修正案

近日，英国在议会提交了新的《数据保护和数字信息法案》（Data Protec-tion and Digital Information Bill）。《数据保护和数字信息法案》被视为英国版的《通用数据保护条例》（GDPR），修改涉及减轻数据跨境义务、消除国际贸易壁垒、鼓励自动化决策等多个方面。

2、热点新闻

关键词：开发安全 外部攻击面 访谈 数据泄露

2023年中国网络安全行业《开发安全产品及服务购买决策参考》发布

为了帮助CISO拨开营销迷雾，提高市场能见度，全面了解潜在开发安全战略合作伙伴。GoUpSec深入调研了14家国内开发安全“酷厂商”（包括专业厂商和综合安全厂商），从产品功能、应用行业、成功案例、安全策略等维度对各厂商开发安全产品及服务进行调研了解，整理发布了2023年中国网络安全行业《开发安全产品及服务购买决策参考》。

银行业网络安全的黑暗森林法则：2023年Q1外部攻击面分析系列报告

为了帮助广大行业用户“打开攻击者视角”，提升暴露资产能见度和数字风险保护能力，GoUpSec联合零零信安调研并发布“外部攻击面分析系列行业报告”，以“纯黑盒、零输入”的方式展现不同行业或地区的暴露面和泛攻击面。本期报告聚焦网络攻击的重点目标——银行业。

从云科技专访：打造零摩擦的零信任解决方案

近日，GoUpSec有幸邀请到国内数据安全产品方案和服务代表性企业——从云科技合伙人，产研VP，王维，围绕零信任与数据安全、端点安全、主动安全、应用场景等热点话题，结合从云科技自身的业务和数字方舟解决方案做了零信任在线沟通与访谈。

肯德基、必胜客母公司报告数据泄露事件

旗下拥有肯德基、必胜客和Taco Bell快餐连锁品牌的百胜集团近日发布通告，披露在今年1月13日遭遇的勒索软件攻击中失窃的个人信息被泄露。此前该公司曾表示：“尽管一些数据从其网络中被盗，但没有证据表明攻击者泄露了任何客户信息。”在上周四开始发送给信息遭泄露的个人的数据泄露通知信中，百胜集团透露已经发现攻击者窃取了一些个人隐私信息，包括姓名、驾驶执照号码和其他身份证号码。

3、融资动态 

关键词：Cybereason Strivacity Push Security

Cybereason获得1亿美元的融资

Cybereason近日宣布获得1亿美元的融资，投资方为SoftBank Group。该公司的平台可以检测每个端点的行为模式，并在用户友好的界面中显示恶意操作，使企业能够以最小的人工工作量识别网络攻击的根本原因和范围，并在攻击生命周期的各个阶段实时发现攻击者的行为。

Strivacity获得2000万美元的A2轮融资

Strivacity近日宣布获得2000万美元的A2轮融资，投资方为SignalFire领投，Ten Eleven Ventures等跟投。该公司是一家客户身份和访问管理(CIAM)供应商，它使全球各地的客户能够保持安全和合规性标准，从集中管理和存储客户身份到强制执行数据主权，遵守GDPR和CCPA等隐私法规。

Push Security获得1533万美元的A轮融资

Push Security近日宣布获得1533万美元的A轮融资，投资方为GV领投，Decibel Partners、Dug Song、Rich Waldron跟投。该公司的主要产品Push SaaS安全平台发现员工使用第三方业务应用程序引起的安全问题并进行修复。

4、网络攻击 

关键词：数据泄露 漏洞 网络攻击

现代汽车发生数据泄露事件

现代汽车近日披露发生数据泄漏事件，意大利和法国车主以及预订试驾数据遭泄露。根据Twitter上的多份报道以及“HaveIBeenPwned”创始人Troy Hunt分享的通知样本，该事件暴露的个人数据类型包含：电子邮件地址、物理地址、电话号码、车辆底盘编号。现代汽车表示，他们聘请了IT专家来处理数据泄露事件，已经将受影响的系统脱机，直到实施额外的安全措施。

iPhone曝出“末日”漏洞

近日，微软和公民实验室发现以色列公司QuaDream制造的商业间谍软件使用了名为“末日”（ENDOFDAYS）的零点击漏洞来入侵高价值目标的个人iPhone手机。存在该零日漏洞的iPhone操作系统包括iOS1.4至14.4.2版本。研究人员发现攻击者在2021年1月至11月期间通过“不可见的iCloud日历邀请”利用该漏洞。

网络攻击致使德国药物研发巨头生产延误

4月14日消息，德国药物研发巨头Evotec遭受网络攻击，目前正努力恢复被迫离线的IT系统。这起网络攻击发生在上周四（4月6日），导致Evotec公司断开了与互联网的连接，旨在“保护[其系统]免遭数据损坏或入侵。”在本周的消息更新中，该公司表示已经安排网络安全专家等对系统进行取证检查。Evotec还就此次攻击事件联系了德国执法机构。