9月14日，安全初创厂商云起无垠于今日正式对外宣布完成天使轮融资。本轮融资金额在数千万元级别，投资方为绿洲资本。据悉，云起无垠成立于2021年7月，定位为新一代智能模糊测试技术提供商，希望通过Fuzzing模糊测试技术，为企业的整个软件生命开发周期提供助力，从开发环节即帮助企业提升整体安全能力。云起无垠CEO沈凯文表示，此次融资将用于产品设计与研发，专注于技术研究与产品打磨，不断提升产品的技术能力和应用价值，为信息安全产业发展助力。

据SentinelOne称，为提高成功率，攻击者越来越多地在其勒索软件攻击中转向一种新的加密方法“间歇性加密”。自 LockBit 以来，SentinelOne 已经确定了数个采用间歇性加密的勒索软件，包括 Qyick、Agenda、BlackCat (ALPHV)、Play 和 Black Basta。SentinelOne 警告称：“我们估计更多勒索软件系列将继续采用间歇性加密。”

据外媒报道，英国PVC制造商Eurocell通知其现员工和前员工关于他们的个人信息泄露的事件。该公司解释称，未经授权的第三方访问了其系统，被泄露的数据包括：雇佣条款和条件、出生日期、亲属、银行账户、NI和税务参考号、健康和福利文件等。这些信息后续可能被钓鱼攻击或者勒索勒索利用，Eurocell表示目前尚无证据表明数据被滥用。

据外媒9月12日报道，Apple发布安全更新，修复了用于攻击iPhone和Mac的漏洞（CVE-2022-32917）。该漏洞可通过恶意制作的应用程序以内核权限执行任意代码。其为该公司自年初以来修复的第8个零日漏洞，Apple在安全通告中透露该漏洞可能已被积极利用，但尚未发布有关这些攻击的任何信息。研究人员强烈建议用户尽快进行安全更新以阻止此类攻击。

9月12日消息，夏季治安打击整治“百日行动”开展以来，江西公安网安部门持续出重拳、破大案、除团伙，严打涉网违法犯罪活动，全面整治网络乱象，共侦办涉网案件1523起，抓获犯罪嫌疑人1672人，其案件包括有偿删帖、帮信跑分、网络招嫖、刷量控评等。下一步，公安机关网安部门将继续强化责任担当，重拳严打网络犯罪，严肃整治网络乱象，全力保卫网络安全。

按照工业和信息化部办公厅《关于开展工业互联网安全深度行活动的通知》关于“加强工业互联网安全教育培训，打造地方工业互联网安全人才体系”的工作部署，推动各地方、各行业培养认定一批工业互联网安全技术技能人才，建设全国工业互联网安全人才库，中国信息通信研究院现面向全国范围开展工业互联网安全人才岗位能力评价认证工作。截止日期为2022年9月20日。

Harbor 是由云原生计算基金会 (CNCF) 和VMWare开发的开源工件注册表。据外媒报道，Oxeye 安全研究团队在 Harbor 中发现了数个高危IDOR漏洞。据悉其中一个导致了 webhook 策略的披露，而另一个导致了作业执行日志的披露。目前漏洞正在修复。

据外媒报道，Binarly安全研究团队披露了该公司在一年中发现的六个高危固件漏洞，这些漏洞影响 HP EliteBook 设备。与此同时，Binarly表示已在其GitHub 存储库中提供了针对其最新公告中惠普漏洞的 FwHunt 规则。

据外媒报道，国家网络总监Chris Inglis的团队正在制定一项计划，以解决网络安全专业人员的短缺问题，并推动更广泛的网络安全意识和教育。根据美国国家标准与技术研究院支持的项目CyberSeek的最新估计，网络安全职位空缺数量超过714000个。目前，国家网络主管办公室正在着手制定国家网络劳动力和教育战略。

据外媒9月12 日消息，在联邦贸易委员会(FTC)关于商业监控的听证会上，美国前驻OECD大使兼联邦通信委员会(FCC)执行董事Karen Kornbluh敦促监管机构采取更强有力的数据隐私措施来保护消费者。Kornbluh表示，企业的数据收集和存储做法有助于外国网络间谍。其数据可以被用于间谍活动、选民操纵和勒索软件攻击，以及人肉搜索和现实生活中的骚扰。

据Vedomosti报道 ，俄罗斯战略研究中心(CSR)提议对不可替代代币(NFT)和确保代币化产权转移的同步性和一致性以及其在区块链中的会计记录的人进行单独监管 。CSR指出，NFT概念的轮廓及其法律制度仍不清楚。因此，首先有必要修改民法典关于数字权利的条款，并在其中指出数字权利的概念可以涵盖法律未规定的代币。对于代币化物权的单独监管，CSR建议作为选项之一，引入功能类似于托管代理的代理。这样的代理可以监控代币化事物的安全性，从而确保区块链中的变化与物权转移的同一。

9月9日消息，近日，国家互联网信息办公室、工业和信息化部、国家市场监督管理总局联合发布《互联网弹窗信息推送服务管理规定》。《规定》旨在加强对弹窗信息推送服务的规范管理，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，促进互联网信息服务健康有序发展。《规定》自2022年9月30日起施行。

据外媒报道，葡萄牙武装部队总参谋部（EMGFA）与北约相关的机密文件在暗网上被出售。攻击者发布了被盗文件的样本作为攻击证据，美国信息服务部发现了这些文件，并通知葡萄牙当局。根据初步调查，这些文件是从EMGFA、秘密军队(CISMIL)和国防资源总局的系统中泄露的。研究人员发现，机密文件传输的安全规则已被破坏，攻击者能够访问军事通信综合系统(SICOM)，并接收和转发机密文件。

据外媒报道，美国网络安全和基础设施安全局 (CISA) 在其 已知利用漏洞目录中添加了 12 个新漏洞，其中包括 D-Link 路由器中的四个漏洞、两个 Chrome 零日漏洞以及最近披露的 QNAP Photo Station 漏洞。CISA 命令联邦机构在 2022 年 9 月 29 日之前修复这些漏洞。

Cisco Talos在9月7日披露新的远程访问木马MagicRAT与Lazarus有关。新RAT最初是通过暴露的VMware Horizon平台入侵目标，其具有相对简单的RAT功能，借助Qt框架构建。MagicRAT一旦安装就会执行额外的payload，例如定制的端口扫描工具。此外，MagicRAT的C2基础设施还用于托管Lazarus植入程序的变体，如TigerRAT。在野发现的MagicRAT表明Lazarus有动机快速构建新的自定义恶意软件，用于与其之前的恶意软件（如TigerRAT）一起利用，来攻击全球的组织。

9月8日，国家互联网信息办公室发布关于《网信部门行政执法程序规定（征求意见稿）》公开征求意见的通知。为了规范和保障网信部门依法履行职责，保护公民、法人和其他组织的合法权益，维护国家安全和公共利益，网信办对《互联网信息内容管理行政执法程序规定》进行修订，形成了《网信部门行政执法程序规定（征求意见稿）》，现向社会公开征求意见。意见反馈截止日期为2022年10月8日。

据外媒报道，思科针对多个产品的漏洞发布了补丁，包括CVE-2022-28199、CVE-2022-20696和CVE-2022-20863。CVE-2022-28199是由于DPDK的网络堆栈中缺乏适当的错误处理，使远程攻击者能够触发拒绝服务(DoS)条件并对数据完整性和机密性产生影响；CVE-2022-20696为消息服务器容器端口中缺乏“足够的保护机制”，利用这个漏洞可能导致配置更改或系统重启；CVE-2022-20923为Cisco Webex应用程序的消息界面中存在漏洞，该漏洞可能允许未经身份验证的远程攻击者能够修改链接或其他内容并进行网络钓鱼攻击。

据微软官方消息，研究人员将多个勒索软件攻击活动与DEV-0270联系到一起，其为黑客组织Phosphorus的一个子组织。DEV-0270利用高危漏洞获取设备访问权限，在整个攻击链中广泛使用远程二进制文件(LOLBIN)来进行发现和凭据访问，利用内置的BitLocker工具来加密受感染设备上的文件。

据信通院消息，9月7日，全国SDK管理服务平台上线仪式在中国互联网个人信息保护论坛上举行。全国SDK管理服务平台（sdk.caict.ac.cn）为SDK和APP开发运营者提供SDK政策标准发布、产品信息公示、监管问题处置、用户使用反馈等服务。目前已有50余家企业的400余款SDK向平台报送产品信息，涵盖广告类、支付类、安全风控类、第三方登录类等15个SDK类型，公示信息包括SDK名称、版本、隐私政策、接入文档、开发者、官网信息等内容。

据CCIA数安委9月8日消息，CCIA数据安全委员会组织委员单位编制了联盟技术文件《数据安全和个人信息保护社会责任指南》（征求意见稿）。该文件为组织理解数据安全和个人信息保护社会责任和实施相关活动提供指南,旨在帮助组织在遵守法律法规和基本道德规范的基础上实现更高的组织社会价值,最大限度地致力于可持续发展。