嵌入式系統：CPS最一般的特征之一是，由于與物理世界直接接口的幾臺計算機（傳感器，控制器或執行器）僅執行很少有具體的行動，它們不需要經典計算機（甚至移動系統）的一般計算能力，因此它們往往資源有限。

實時系統：對于安全關鍵系統，執行計算的時間對于確保系統的正確性非常重要。實時程序語法語言可以幫助開發人員為其系統指定時序要求，實時操作系統（RTOS）保證接受和完成的時間來自應用程序的任務

網絡協議：CPS的另一個特征是這些嵌入式系統相互通信，越來越多地通過IP兼容網絡進行通信。雖然電力系統等許多關鍵基礎設施都使用串行通信來監控其SCADA系統中的遠程操作，但直到最近二十年，系統不同部分之間的信息交換已從串行通信遷移到IP兼容網絡。

無線：雖然大多數長途通信是通過有線網絡完成的，但無線網絡也是CPS的共同特征。嵌入式系統的無線通信在2000年代初以傳感器網絡的形式引起了研究界的極大關注。

控制：最后，大多數CPS觀察并嘗試控制物理世界中的變量。反饋控制系統已經存在了兩個多世紀，包括1788年推出的蒸汽調速器等技術。

普普點評

Fortinet近日發布《2022 下半年度全球威脅態勢研究報告》。報告指出，相對于組織攻擊面的不斷擴大以及全球威脅態勢的持續演進，網絡犯罪分子設計、優化技術與戰術的能力也隨之與日俱增，全球各行業及各類規模企業將持續面臨重大風險。

1、2022 年破壞性雨刷惡意軟件等類似APT攻擊數量激增

2、CVE映射表明，漏洞紅區助力CISO精準判定威脅優先級

3、謀取非法暴利的網絡犯罪和勒索軟件威脅活動仍高居不下

4、代碼復用成網絡攻擊者的“錦囊妙計”

5、傳統僵尸網絡復活增加攻擊供應鏈彈性

6、Log4j 漏洞肆虐，已成眾矢之的

7、惡意軟件傳送方式改變，用戶安全意識亟待提高

隨著當今網絡防御策略的不斷升級，企業網絡安全防線更加牢不可破。網絡攻擊者為持續獲得非法訪問并成功繞過安全檢測，必然需借助更多偵察技術，部署更為復雜的替代攻擊方案，以有效利用雨刷惡意軟件或其他高級攻擊載荷等類似高級持續性威脅（APT）攻擊方法，對特定目標發起更具持續性和破壞性攻擊。

普普點評

如今，網絡安全正迅速成為各大組織關注的焦點。由于對數字化系統的依賴性越來越強，網絡威脅對于各種規模的企業來說都是主要的挑戰。網絡攻擊可能導致數據泄露、敏感信息被竊取、財產損失和企業名譽受損。

IT基礎架構安全性分為4個層級

1、數據

2、應用程序

3、網絡

4、物理

防范網絡攻擊的十大安全措施

1、網絡安全策略

2、用戶準入審查

3、安全協議

4、經過驗證的軟硬件

5、強大的防火墻系統

6、遵循安全開發規則的代碼

7、數據加密

8、備份副本

9、定期系統測試

10、聘請網絡安全專家

普普點評

根據安全機構 FlashPoint 官方博文，在密碼管理器 Bitwarden 的瀏覽器擴展程序中發現了一個高危漏洞，可以泄露用戶的密碼信息。

惡意網站可以利用該漏洞，在受信任頁面中嵌入 IFRAME 代碼。用戶訪問這些惡意網站，并使用 Bitwarden 自動填充之后，就可以獲取用戶的憑證信息。

IT之家從博文中獲悉，導致這個漏洞的關鍵是 Bitwarden 以非典型方式處理網頁中的嵌入式 iframe。

瀏覽器通過同源策略，分開 iframe 嵌入頁面和父頁面。也就是說，iframe 嵌入頁面和父頁面應該是互相隔離的狀態，無法訪問其內容。目前包括 Firefox、Chrome 等主要瀏覽器均采用了這個安全概念。

Bitwarden 瀏覽器擴展還在通過 iframe 嵌入來自其他域的第三方內容的頁面上使用自動填充功能。通過 iframe 嵌入的網頁無權訪問父頁面的內容。

但安全研究人員寫道無需進一步的用戶交互，該頁面可以等待登錄表單的輸入，并將輸入的憑據轉發到遠程服務器。

Bitwarden 文檔確實包含一條警告，即“受感染或不受信任的網站”可能會利用此來竊取憑據。安全研究人員表示，如果網站本身受到威脅，擴展幾乎無法阻止竊取憑據。

普普點評

近日，根據 Fortinet 最新報告：不明來源的的攻擊者利用零日漏洞針對政府和大型組織，導致操作系統和文件損壞以及數據丟失。

數據竊取惡意軟件

該事件是在被攻擊的Fortigate設備中斷后發現的，由于FIPS錯誤，系統進入錯誤模式并無法重新啟動。

Fortinet說，發生這種情況是因為其支持FIPS的設備驗證了系統組件的完整性，而且它們被設置為自動關閉并停止啟動，以便在檢測到破壞時阻止網絡入侵。

這些Fortigate防火墻是通過受害者網絡上的FortiManager設備被破壞的，因為它們同時停止，并且FortiGate路徑遍歷漏洞與通過FortiManager執行的腳本同時啟動。

用來攻擊政府網絡的零日

Fortinet認為，這些攻擊具有很強的針對性，主要針對政府網絡。攻擊者還具有很強的攻擊手段及能力，包括反向設計FortiGate設備的部分操作系統。因為該漏洞需要對FortiOS和底層硬件有深入的了解。

今年1月，Fortinet披露了一系列非常類似的事件，2022年12月打了補丁并被追蹤為CVE-2022-42475的FortiOS SSL-VPN漏洞也被用作針對政府組織和政府相關實體的零日漏洞。

普普點評

3 月 15 日消息，最近 ChatGPT 光速走紅，很多網友都爭相嘗試它智能的交互效果。但騙子也緊隨科技熱點，與 ChatGPT 相關的騙局最近呈現高發趨勢，支付寶安全中心發布了相關提醒。

一些不法分子借此機會，在網上發布代注冊 ChatGPT 賬號服務和山寨版 ChatGPT 應用，并收取費用，牟取非法利益。很多網友并不清楚 ChatGPT 的訪問方法，從而誤入了山寨版 ChatGPT 應用。

山寨版 ChatGPT 收費套路多，還過度索取注冊信息，網友的個人隱私得不到保障。高價代注冊 ChatGPT 賬號或販賣 ChatGPT 賬號算是黃?；咎茁?，一些黃牛還會借機索取網友的身份證、銀行卡等身份信息轉手販賣給黑灰產。各種山寨版 ChatGPT 更是層出不窮，以免費試用為噱頭，吸引用戶注冊使用后，再推出收費服務。這主要有兩種模式：一種是聲稱取得 ChatGPT 官方接口，以“中間人”角色搬運問題和回復，通俗來說就是“二道販子”；另一種則是純粹的“山寨”應用，服務質量堪憂。

在收費方面，有的按對話次數充值收費，有的收取會員費。但這些山寨應用，熱度過了就卷款跑路，網友們的付費權益得不到保障。一些頁面甚至還有“加入代理賺錢”的選項，助其推廣，涉嫌刷單。有的則需要觀看 30 秒、60 秒廣告方可提問一次，想跳過廣告則需另付費。

普普點評

網絡安全公司 SpyCloud 發布了 2023 年身份暴露報告，揭示了 2022 年網絡數據泄露的嚴重情況。該報告顯示，該公司的研究人員在網上發現了 7.215 億個被泄露的密碼，其中有一半是來自僵尸網絡（即被惡意軟件感染并被黑客控制的計算機網絡，用于部署竊取信息的惡意軟件）。

更令人擔憂的是，該研究發現，在 2022 年數據泄露中被暴露的用戶中有 72% 仍然在重復使用之前被泄露過的密碼。此外還有其它一些有趣的發現，例如超過 32.7 萬個被暴露的密碼與 Taylor Swift 和 Bad Bunny 有關，26.1 萬個與流媒體服務如 Netflix 和 Hulu 有關，超過 16.7 萬個與英國王室和伊麗莎白女王去世有關。

該研究還發現，在 2022 年有 86 億個可識別個人身份信息資產被暴露。其中包括 14 億個全名、3.32 億個國家身份證 / 完整社會保障號碼和 6700 萬張信用卡號碼。

普普點評