据外媒报道，近日芬兰安全公司WithSecure 、芬兰交通和通信局以及联邦紧急事务管理局发布了其共同编写的《AI驱动的网络攻击的安全威胁》报告， 分析了人工智能、网络攻击以及两者交叉领域的当前趋势和发展。报告称在不久的将来，快节奏的人工智能进步将通过自动化、隐身、社会工程或信息收集来增强和创造更大范围的攻击技术。报告预测，在未来五年内，启用AI的攻击将在技能较低的攻击者中变得更加普遍。

据Meta近日发表的一篇博客文章，文章表示2022年Meta的漏洞赏金计划已发出总计200万美元的奖金。据了解，自该计划于2011年成立以来，总计支付1600万美元，2022年有10000起举报，有750多起获得奖金。同时，Meta还表示已向安全研究员Yaala Abdellah支付163,000美元，以表彰其发现Facebook帐户恢复流程中的漏洞。据了解，攻击者可以通过该漏洞重置密码并接管帐户，目前该漏洞已受2FA保护。

据媒体18日报道，2022游戏安全行业峰会于16日举办，会上腾讯安全联合腾讯游戏安全、广东省游戏产业协会发布了《2022 游戏安全白皮书》。白皮书中指出，2022年腾讯 PC 游戏外挂对抗激烈，样本量仍在高位，功能量对比2021年增多12%；近两年移动游戏外挂中，定制挂占比超过68%；游戏账号安全问题严峻，木马盗号量上涨 300%；游戏行业DDoS攻击为全行业最高，所占全行业总攻击比例由2021年的26%上升至42%。

近日，根据Promon的一项新调查，三分之二的网络安全专业人员表示在过去一年中因工作压力而感到精疲力尽。据了解，本次调查了300多名信息安全专业人士，以更好地了解该行业人员的心理健康状况。Promon发现，巨大的工作量是他们最大的压力来源，51%的响应网络安全专业人员每周加班超过4小时，近20%的超过10小时。同时，管理问题、同事关系、薪酬过低等也是压力来源。报告还表示，41%的受访者考虑过换工作。

谷歌12月16日宣布，它正在为网络版Gmail添加端到端加密(E2EE)，允许已注册的Google Workspace用户在其域内外发送和接收加密电子邮件。启用后，Gmail客户端加密将确保作为电子邮件正文和附件（包括内联图像）的一部分交付的任何敏感数据都不会被Google服务器解密。据了解，该功能默认情况下处于关闭状态，可以通过转到管理控制台>安全>访问和数据控制>客户端加密，将在域、组织单位和群组级别启用。

共同社17日报道称，在日本最新修改的3份安保文件中，将从平时起重视易受攻击的网络空间防御工作，在政府内新设指挥体系。此外首次写入了引入为防止网络攻击于未然的“能动性网络防御”，即可以入侵敌方服务器或解除其破坏力。报道称，围绕网络领域，文件提出了“使应对能力提升至与欧美主要国家同等及以上水平”，并将“内阁网络安全中心”进行扩充改组。

12月14日下午，《网络安全行业发展专题报告》正式发布，报告认为，网络安全状况总体较为稳定，相较去年有不同程度改善；网络安全监管力度较强，细分领域问题仍较为突出；加快研发迭代网络安全新技术、新产品，加强人才队伍建设；网络安全测评机构数量充足，测评细分服务需求旺盛；信创、工控、物联网等领域技术应用和安全风险较高；网络安全科研经费预算水平欠佳；网络安全专业人才评价和队伍建设存在问题等。

近日，微软表示，12月份的Windows Server更新会导致在部分Hyper-V主机上创建新虚拟机时触发错误。这个问题只影响到使用系统中心虚拟机管理器（SCVMM）管理的SDN环境中的Windows Server AzStack HCI主机。微软为受影响用户提供了缓解办法，在PowerShell窗口运行一组命令，或使用专用脚本来批量部署解决方法。目前，该公司正在修复问题，并将在未来的版本中提供更新。

据外媒报道，近日，研究人员发现同一个攻击者向NuGet、NPM和PyPi上传了144294个包。调查显示，这是一种新的攻击媒介，攻击者使用包含钓鱼攻击链接的软件包向开源生态系统发送垃圾邮件。研究人员称，所有包和相关用户帐户很可能是使用自动化创建的，这些包使用了相似的项目描述和自动生成的名称。该钓鱼活动链接到90个域上的65000多个唯一URL，每个域在不同路径下创建了多个钓鱼网页。

据15日消息，正在开发状态下的 Linux 6.2 在引入 TDX 访客认证支持之外，还计划为英特尔软件防护扩展（SGX）引入异步退出通知（Asynchronous Exit Notification）机制，从而进一步增强硬件安全。据了解，Linux 6.2 内核合并的最新 SGX 代码，可以安全地使用新英特尔 CPU 的异步退出（AEX）通知机制。AEX 通知路径允许在退出事件上运行一个处理程序，这样可以缓解 SGX-Step 漏洞等问题。对 AEX Notify 的支持将有助于加强英特尔SGX周围的防御，以防止整类攻击。

据16日消息，苹果今日向iPhone用户推送了iOS16.3Beta和iPadOS16.3的首个开发者预览版Beta更新（内部版本号20D5024e）。此次测试版引入了对物理安全密钥的支持，可作为Apple ID的额外保护。据了解，苹果上周宣布了这项新功能，并称该功能将在2023年推出。Apple ID的安全密钥将为用户提供向其账户添加第三方安全密钥的选项。苹果表示，物理安全密钥为防止网络钓鱼和未经授权的账户访问提供了强有力的保护。

NIST于15日发布公告，建议IT专业人员在2030年12月31日之前用更安全的SHA-2和SHA-3算法替换安全哈希算法 (SHA-1)，以保护电子信息。据了解，SHA-1通过对消息的字符执行复杂的数学运算以生成称为散列的短字符串来保护信息，但最近的碰撞攻击使用的是更复杂的计算机，所以，SHA-1不再安全。NIST已经警告机构不要使用SHA-1来保护关键流程，例如创建数字签名。

据外媒15日报道，Salt Labs的研究人员发现，乐高在线市场中的API缺陷可能允许攻击者接管用户帐户、泄露存储在平台上的敏感数据，甚至获取内部生产数据的访问权限以危害公司服务。安全研究员表示，其中一个是跨站点脚本(XSS)漏洞，该漏洞可以让攻击者在用户的机器上注入和执行代码。另一个漏洞则是允许执行XML外部实体(XXE)注入攻击，包含对外部实体的引用的XML输入由配置较弱的XML解析器处理。目前，乐高还未对此做出回应。

近日，Microsoft发布一份报告，报告认为，IT和运营技术的融合使关键基础设施的网络风险上升，从2020年到2022年生产的工业控制设备的高严重性漏洞披露增加。该报告确定了IoT和OT设备的普遍性、脆弱性和云连接性，代表着一个快速扩展的、通常不受控制的风险面将影响着一系列行业和组织。同时，随着OT与云连接的程度越来越高以及IT-OT距离的缩小，访问安全性较低的OT为破坏性基础设施攻击打开了大门。

外媒16日报道，Facebook母公司Meta悬赏30万美元以解决Android和iOS版本的Facebook、Messenger、Instagram和WhatsApp中可被利用的远程代码执行(RCE)漏洞。除了移动RCE的更新指南外，Meta本周还发布了针对帐户接管(ATO)和双因素身份验证(2FA)绕过漏洞的新漏洞赏金指南。据了解，Meta的漏洞赏金计划是寻找漏洞的一种相对经济高效的方法。

据外媒16日报道，欧洲刑警组织与英国、美国、荷兰、波兰和德国的执法部门一起参与了针对DDoS出租服务（也称为“引导服务”）的打击行动。目前，已关闭约有50个用于对关键互联网基础设施发起分布式拒绝服务(DDoS)攻击的可租用平台，并抓捕了其运营者。据了解，DDoS引导程序服务降低了进入网络犯罪的门槛，只需支付低至10欧元的费用，任何个人都可以发起DDoS攻击，通过流量拦截整个网站和网络。目前，此案还在进一步侦查中。

据外媒报道，Facebook的母公司Meta 14日表示，近期Meta禁止至少7家参与监视雇佣活动的公司进入平台。据了解，Meta已将与平台上的间谍软件作斗争作为优先事项，并正在对以色列间谍软件供应商NSO Group提起诉讼。Meta在15日发布的一份报告中附有一份政策文件，其中提供了13条应对雇佣监控行业的建议，包括禁止销售监控软件、建立机构帮助受害者寻求法律追索权以及使用出口管制清单来限制监控技术的可用性等。

据外媒15日报道，GitHub正在推出对其代码托管平台上所有公共存储库的免费扫描公开秘密（例如凭据和授权令牌）的支持。据了解，当该服务在存储库上启用，在监测到代码泄漏时GitHub将自动通知其开发人员，从而使组织能够轻松跟踪警报、识别泄漏源并迅速采取行动，以防止信息被盗用。这对于使用GitHub的组织来说，启用机密扫描是一种提高供应链安全性并保护自己免受意外泄露的简单方法。

据15日消息，微软已经禁止使用其在线服务挖掘加密货币，并表示这样做是为了保护使用其云服务的客户。据了解，微软在其12月1日生效的在线服务通用许可条款的更新中加入了这项禁令，涉及该公司多个在线服务，主要是 Azure 云计算服务。微软对许可证的修改摘要指出， “客户或通过客户访问在线服务的人，如果未经微软事先书面批准，都不得使用在线服务挖掘加密货币。”并表示，这一改变是为了进一步保护我们的客户，并减轻微软云中服务中断或受损的风险。

据外媒报道，15日网络安全公司Mandiant表示，乌克兰政府实体遭到有针对性的攻击，攻击者的手段是通过伪装成合法Windows 10安装程序的木马化ISO文件。据了解，这些恶意安装程序提供的恶意软件能够从受感染的计算机收集数据、部署其他恶意工具并将窃取的数据泄露到攻击者控制的服务器。目前，安全公司表示，证据表明此组织可能与APT28有关联。