要闻速览

1、欧盟就全球首个AI监管《人工智能法案》达成历史性协议
2、我国牵头提出的国际标准《信息技术 网络安全 第7部分：网络虚拟化安全指南》正式发布
3、《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》发布
4、赛迪顾问发布《中国网络安全测评服务市场研究报告 (2023)》
5、Microsoft 宣布捣毁 Storm-1152——创建 7.5 亿个欺诈帐户的网络犯罪服务
6、瑞士法院因黑客攻击瘫痪：4.5万名公民数据可能被盗

一周政策要闻
欧盟就全球首个AI监管《人工智能法案》达成历史性协议

近日，经过马拉松式的谈判之后，欧洲议会、欧洲理事会和欧盟委员会三方就《人工智能法案》达成协议。该法案将成为全球首部人工智能领域的综合性监管法规。据了解，这项法案最早将于明年初生效。专家分析认为，《人工智能法案》具有全面性和综合性。未来，法案颁布实施，将对人工智能的研发、产品和服务的设计与运行带来巨大影响。

信息来源：环球时报
https://baijiahao.baidu.com/s?id=1784769760688215212&wfr=spider&for=pc

我国牵头提出的国际标准《信息技术 网络安全 第7部分：网络虚拟化安全指南》正式发布

近日，我国牵头提出的国际标准ISO/IEC 27033-7：2023《信息技术 网络安全 第7部分：网络虚拟化安全指南》（Information technology – Network security — Part 7: Guidelines for network virtualization security）正式发布。该提案于2018年9月提交至ISO/IEC JTC1/SC27，后经研究，于2020年9月正式立项。2023年11月正式发布。

ISO/IEC 27033-7是ISO/IEC 27033网络安全系列标准的第7部分，其中第1至6部分主要介绍了网络安全的基本概念和防护方法，以及安全网关、无线IP安全接入等基础网络安全技术的实现指南。ISO/IEC 27033-7分析了网络虚拟化的安全挑战，提出了网络虚拟化的安全模型和安全原则，并为网络虚拟化的安全实施提供指引。该国际标准适用于5G、算力网络等网络虚拟化场景，可指导相关方防范新型网络环境下的安全风险。

需要获取安全指南请在评论区留言“安全指南”，小铭哥会第一时间为您提供相关资料。
信息来源：全国信息安全标准化技术委员会
https://www.tc260.org.cn/front/postDetail.html?id=20231213105421

业内新闻速览

《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》发布

为落实《中华人民共和国国家互联网信息办公室与香港特别行政区政府创新科技及工业局关于促进粤港澳大湾区数据跨境流动的合作备忘录》关于“共同制定粤港澳大湾区个人信息跨境标准合同并组织实施，加强个人信息跨境标准合同备案管理”的合作措施，国家互联网信息办公室与香港创新科技及工业局共同制定《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》，于近日正式公布。

消息来源：中华人民共和国国家互联网信息办公室
http://www.cac.gov.cn/2023-12/13/c_1704042786237103.htm

赛迪顾问发布《中国网络安全测评服务市场研究报告 (2023)》

近日，赛迪顾问正式发布《中国网络安全测评服务市场研究报告（2023）》，报告分析了近几年来中国网络安全测评与认证服务市场、等级保护测评与商用密码应用性评估市场的发展现状，并对未来市场发展趋势做出了预测。

2022年，赛迪顾问统计的中国网络安全测评及认证服务市场规模为54.8亿元，增长率为17.3%。随着网络安全的法律法规不断出台，网络安全产业发展环境逐渐优化，合规性的审查和测评机制愈加完善，网络安全测评与认证作为审查手段，合规范围逐渐扩大，市场将迎来高速增长。赛迪顾问预测，到2025年，中国网络安全测评及认证服务市场将达到126.6亿元。

消息来源：安全内参
https://www.secrss.com/articles/61712

Microsoft 宣布捣毁 Storm-1152——创建 7.5 亿个欺诈帐户的网络犯罪服务

近日，微软数字犯罪部门查获了越南网络犯罪团伙Storm-1152使用的多个域名，该团伙注册了超过 7.5 亿个欺诈账户，并通过在网上向其他网络犯罪分子出售这些账户赚取了数百万美元。

Storm-1152 是一家网络犯罪即服务提供商，也是欺诈性 Outlook 账户以及其他非法 "产品 "的头号销售商，其供应的非法 "产品 "包括绕过微软验证码挑战并注册更多欺诈性微软电子邮件账户的验证码自动解决等多种服务。
Storm-1152 团伙运营着自己的非法网站和社交媒体网页，并销售欺诈性微软账户和工具，以及一些绕过知名技术平台上的身份验证软件。微软数字犯罪部门总经理Amy Hogan-Burney表示：这些服务提高了犯罪分子在网上实施一系列犯罪和滥用行为的效率。

至少从 2021 年起，Storm-1152 团伙就开始以虚构用户的名义获取了数百万个 Microsoft Outlook 电子邮件账户，然后将这些欺诈账户出售给恶意行为者，用于各种类型的网络犯罪。
据微软威胁情报部门称，许多参与勒索软件、数据盗窃和敲诈勒索的网络组织都曾购买并使用 Storm-1152 提供的账户进行攻击。

例如，出于经济动机的Storm-0252、Storm-0455和Octo Tempest（又名Scattered Spider）网络犯罪团伙使用Storm-1152欺诈账户渗透到全球各地的组织，并在其网络上部署勒索软件。

据微软估计，由此导致的服务中断造成了数亿美元的损失。

据悉，微软在本案调查中迄今收集到的证据显示，微软电子邮件账户被被告以欺诈手段获得并出售给网络犯罪分子，被微软称为 Storm-0252、Storm-0455 和 Octo Tempest 的有组织网络犯罪团伙用于从事网络犯罪活动，包括电子邮件网络钓鱼诈骗，这些诈骗经常被用作传播勒索软件和其他恶意软件的工具。

上周四（12 月 7 日），在获得纽约南区法院的命令后，微软查封了 Storm-1152 位于美国的基础设施，并关闭了以下网站：
Hotmailbox.me，专门销售欺诈性微软 Outlook 账户的网站；
1stCAPTCHA、AnyCAPTCHA 和 NoneCAPTCHA，专门用于销售其他技术平台的身份验证绕过工具等。

此外，微软公司还起诉了 Duong Dinh Tu、Linh Van Nguyen（又名 Nguyen Van Linh）和 Tai Van Nguyen，指控他们曾在这些网站上参与网络犯罪活动。

正如诉状中提到的，Storm-1152 团伙管理并开发了被查封网站的代码并参与发布如何使用欺诈 Outlook 账户的视频指南，还向使用其欺诈服务的 "客户 "提供了聊天支持。

Hogan-Burne表示：今天的行动是微软战略的延续，战略的最终目标是捣毁网络犯罪生态系统。

消息来源：FREEBUF
https://www.freebuf.com/news/386692.html

瑞士法院因黑客攻击瘫痪：4.5万名公民数据可能被盗

该国政府正在逐渐失去对网络安全的控制。

受到网络攻击的法院位于瑞士中部的马奇德语区，为大约 45,000 人提供服务。

该事件的细节尚未公布，但法院网站上的有限描述暗示了勒索软件攻击的可能性。“为了保护数据，整个 IT 系统都被关闭。目前尚不清楚何时可以再次使用，但可能需要几天时间，”法院网站称。

法院的电话线路目前无法使用，但预定的听证会应正常进行。

黑客加密了法院管理数据，之后官员们不得不关闭其计算机网络作为预防措施。

事件凸显了政府机构面对网络威胁时的脆弱性。即使是实行中立政策的国家的小型地方法院也可能成为黑客攻击的目标。这些攻击可能会直接影响相关组织的运营，并危及数千人的敏感数据。

为了确保公民的安全和政府服务的连续性，此类政府组织需要优先考虑各级网络安全。近几个月发生的事件表明，瑞士在这方面仍有大量工作要做。

消息来源：安全客
https://www.anquanke.com/post/id/291937

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！