根据零零信安0.zone安全开源情报平台披露，12月月初发生的美海军承包商Austal USA勒索软件攻击事件，其背后勒索组织“国际猎人”（Hunter International）已泄露被盗数据，其泄露数据总量超过10GB，文件数量超过7000份。Austal USA是美国国防部（DoD）和国土安全部（DHS）的承包商，是美国海军和美国海岸警卫队诸多型号舰船项目的主要承包商，Austal USA在月初证实了攻击事件并开展了相关调查。

根据bleepingcomputer报道，R星公司的GTA5游戏源代码在圣诞节前夕泄露，当前，下载源代码的链接在许多渠道上共享，包括Discord、暗网网站和黑客以前用来泄露被盗Rockstar数据的Telegram频道。此前，Rockstar Games于2022年被Lapsus$ 黑客组织的成员入侵，他们获得了公司内部部分服务的访问权限，而据安全组织挖掘披露，此次源代码的泄露时间比预期的要早。另据了解，R星对此次数据泄露事件暂无置评。

根据Corvus最新的勒索威胁数据，2023年11月份共观察到484名受害者被公布于勒索组织的泄密站点，这一数量比10月增加了39.08%，与2022年11月相比增加了110.43%。Corvus评价称勒索软件组织似乎在11月卷土重来，受害者人数创下历史新高，11月的显著增长可能归因于CitrixBleed漏洞。Corvus还预测到，12月份的勒索受害者也会高于2022年12月。

信安标委近日发布《网络安全标准实践指南——大型互联网平台网络安全评估指南（征求意见稿）》公开征求意见的通知，该意见稿反馈时间至2024年1月5日。该评估指南将帮助大型互联网平台在网络安全合规基础上，进一步增强抗风险能力，意见稿对大型互联网平台提出每年组织开展相关安全评估工作，评估内容包括关键业务弹性、容灾备份能力、关键软硬件产品供应链安全性、对外提供数据的可控性、数据泄露事件发生后应急处置、平台控制权、用户权益保护。

据外媒报道，英国排名前20的会计师事务所Xeinadin遭到勒索软件攻击，Lockbit 勒索组织已在其数据泄露网站上发布相关页面，并称到12月25日，如Xeinadin不支付赎金，就将泄露窃取的1.5GB的Xeinadin客户数据。Xeinadin服务超过6万名客户，主要客户来在英格兰和爱尔兰两地。

据外媒报道，游戏厂商育碧（Ubisoft）正在调查有关涉嫌数据泄露的报道，此前研究人员分享了黑客攻击的证据，据称，一个未知的威胁行为者访问了育碧的基础设施大约48个小时。威胁行为者向安全研究组织声称其已获得了育碧内部部分服务的访问权，并且此次可能会存在后续数据泄露的可能性。

12月24日，在中国数据要素X生态大会上，中国电子数据产业集团发布了旗下数据要素系列产品，包括基础产品：数据金柜、数据要素加工交易中心、智能政务一体化平台，以下应用产品：安全可信数据空间；辅助产品：数据分类分级管理系统，系列产品可让各企业用户在全生命周期安全合规的场景应用下，充分发挥数据要素价值。

全国公安机关视频会议12月23日召开。会议指出，要严格落实网上巡控等措施，快速查处网络谣言和有害信息，依法打击查处各类涉网违法犯罪活动，有效治理网络乱象。要严打电信网络诈骗等突出犯罪，坚持“四专两合力”思路，持续组织区域会战、发起集群战役，推动相关行业完善反诈技防体系，全力斩断犯罪链条，切实保护好群众的“钱袋子”。

本周三，印度IT巨头HCL Technologies向监管机构披露了一起网络安全事件，其在某一个独立的云环境项目遭到勒索软件攻击，由于云环境的隔离性，尚未观察到对整个HCL网络存在任何影响。资源显示，HCL是一家全球性IT服务公司，是亚洲百强企业，2023财年收入达130亿美元。此次网络攻击发生后，该公司股价下跌3.24%。

据外媒报道，美国第二大产权保险公司第一美国金融公司（First American Financial Corporation）已将其部分系统下线，以遏制网络攻击的影响。“First American经历了网络安全事件，”该公司在专门针对网络攻击的网站上发表的一份声明中表示。在本文发表之前，其官方网站已下线。

据bleepingcomputer报道，Lapsus$网络犯罪和勒索集团成员Arion Kurtaj被英国法官无限期判处在“医院监管”中。现年18岁的Kurtaj是Lapsus$的主要成员，其参与了GTA6相关的资源泄露。据法官的说法，因为患有自闭症，但鉴于Kurtaj的能力和实施网络犯罪的愿望，他仍然是公众的“高风险”。因此，除非医生证明他不再构成危险，否则他应“安全”的留在医院。

12月20日下午，中国网络空间安全协会人工智能安全治理专业委员会在京召开发布会，面向社会发布用于大模型的首批中文基础语料库。首批发布的120G中文基础语料，包括1亿余条数据，500亿个token。用户登录中国网络空间安全协会网站（https: www.cybersac.cn newhome），点击“中文基础语料库”链接，通过注册、认证等程序，就能够下载相关语料。

咨询公司S-RM发布了一份基于年超5亿美元的600名企业高管的调研报告，该报告指出，2023年，严重的网络安全事件的平均直接成本同比增长11%，达到了170万美元，企业规模越大，IT系统越复杂，数据泄露和被勒索软件攻击的可能性就越高。报告还展现了一定的IT预算数据，过去一年，企业将绝大部分预算分配在了IT基础设施换代升级上，以迎合数据字转型，而在网络安全上的预算仅增长了3%。

漏洞管理公司Qualys发布2023网络威胁安全回顾报告指出，2023年全球共披露26447个计算机漏洞，为“历年之最”，相比去年的25050个漏洞，多了5.2%。在攻击利用方面，25%的漏洞在公布的当天就能被攻击者迅速利用，今年受到黑客广泛利用的漏洞数量有115个，在“战果”方面，LockBit及Clop勒索组织利用这些漏洞对上千家企业开展公司。

谷歌已发布紧急更新，以解决其Chrome浏览器中一个新的零日漏洞，该漏洞被跟踪为 CVE-2023-7024。该漏洞是WebRTC中的堆缓冲区溢出问题。该漏洞由谷歌威胁分析小组的于2023年12月19日报告，并在一天内修复。根据谷歌TAG发现该漏洞已被攻击者利用，像往常一样，谷歌没有公布有关利用该漏洞的攻击的详细信息。

商务部等12部门关于加快生活服务数字化赋能的指导意见提出，严格落实数据安全法、个人信息保护法等相关法规要求，落实数据分类分级保护制度，推进网络身份认证公共服务建设，保护个人信息权益，规范个人信息处理活动。在国家网络安全等级保护制度的基础上，落实数据安全保护措施，健全完善全生命周期安全保护体系。加强数据安全监督管理、检测评估、通报预警和应急处置等工作，严厉打击危害数据安全违法犯罪活动，有效防范网络和数据安全风险。

12月21日，工信部发布关于组织开展网络安全保险服务试点工作的通知，本次试点险种主要包括网络安全财产类保险和网络安全责任类保险两大类，试点内容包括面向电信和互联网、工业互联网、车联网等重点行业的企业类保险和网络安全产品、信息技术产品，以及网络安全服务类保险。主要试点内容对象方面分为两类，一是企业类：以企业法人为被保险方；产品服务类：以产品服务的购买方为保障对象。两者均主要保障因网络安全事件造成的财产损失或赔偿责任。     原文链接

安全419获悉，为助力政企单位开展数据安全检查工作，360正式推出一体化便携式检查专用设备——360数据安全检查工具箱，面向数据安全风险评估场景，提供数据安全检查管理系统及配套技术检查工具，帮助政企单位快速开展高质量数据安全合规性分析，实现资产可视、风险可知、行为可管。

由数字政府网络安全产业联盟发布的《数字政府网络和数据安全能力评估白皮书（2023）》指出，数字政府建设已经成为建设网络强国战略的重要组成部分，而网络和数据安全则是数字政府建设中的底线。报告提出建议，数字政府网络安全建设工作不断推向前进，亟需建立和健全安全能力评估机制，持续深化和完善数字政府安全能力评估模型，不断优化和提升网络与数据安全能力评估方法手段，同时持续加强评估结果成效应用。

2023年，中国信息通信研究院安全研究所“大数据应用与安全创新实验室”为支撑“数据安全产品能力验证计划”启动并开展了勒索软件防范能力检验项目，其中华为技术有限公司生产的“万华化学防勒索安全平台”产品率先通过了该项测评。勒索软件防范能力检验中使用的评测技术方案及内容依据CCSA数据安全技术行业标准《电信网和互联网勒索软件防范指南》。技术评测结果形成正式报告和证书向受测企业提供。