以下是本周回顾：

美国战争部公布新的网络安全框架

美国陆军部宣布了一项新的网络安全风险管理框架（CSRMC），旨在实现其网络防御的现代化。CSRMC是一个包含五个阶段、十项原则的框架，旨在以动态自动化方法取代手动流程，确保持续监控和实时防御。其目标是将网络安全融入系统开发和运营的每个阶段，使作战人员在应对不断变化的威胁时拥有技术优势。

Dragos推出重大平台更新

工业控制系统/运营技术(ICS/OT)网络安全公司Dragos宣布推出Dragos平台3.0版，这是一项重大更新，新增功能，使防御者能够更快、更自信地采取行动。更新后的平台带来了一个全新的Insights Hub，用于整合警报、简化的工作流程、AI增强的漏洞处理流程以及占用空间更小的部署选项。

韩国信用卡公司遭黑客攻击，300万人受害

韩国信用卡公司乐天卡最近遭遇黑客攻击，近300万人的信息被泄露。被盗数据包括居民登记号码、虚拟支付码等信息，其中28万名客户还涉及高度敏感的信用卡信息，这些信息可能被用于欺诈。

勒索软件LockBit 5.0

继执法部门严厉打击LockBit勒索软件活动后，网络犯罪分子最近宣布发布LockBit5.0。趋势科技的研究人员已经分析了LockBit 5.0，包括该勒索软件的Windows、Linux和ESXi变种。该安全公司指出，新变种使用随机的16个字符文件扩展名，配置为避开俄语系统，并在加密后清除事件日志。

马里兰州交通管理局成为勒索软件组织的目标

马里兰州交通管理局(MTA)披露了一起网络安全事件，该事件涉及其部分系统遭到未经授权的访问。此次事件导致部分在线服务中断，MTA确认部分数据在此次攻击中被盗。Rhysida勒索软件组织声称对此次攻击负责。

影响OnePlus智能手机的漏洞被披露，但未提供补丁

Rapid7未能负责任地向一加智能手机厂商报告其发现，因此披露了该漏洞的技术细节。该安全漏洞(CVE-2025-10184)影响OxygenOS，它允许恶意应用在无需任何用户交互的情况下读取短信/彩信数据和元数据，从而可能泄露MFA代码。在Rapid7发布博客文章描述其发现后，一加告知Rapid7正在调查此问题。

微软称人工智能检测到了人工智能辅助的网络钓鱼活动

微软表示，其基于人工智能的安全系统能够检测并阻止一场利用人工智能混淆有效载荷以规避防御的网络钓鱼活动。微软Security Copilot对恶意代码的分析表明，该代码“由于其复杂性、冗长性以及缺乏实用性，通常不会由人类从头编写”。

超过27万份印度银行转账记录被曝光

UpGuard的研究人员发现了一个未受保护的Amazon S3存储桶，其中包含超过27万份文档，每份文档都详细记录了印度38家银行的汇款记录。泄露的信息包括银行账号、交易金额、姓名、电话号码和电子邮件地址。UpGuard尚未确定泄露源头。

合作社因网络攻击损失2.06亿英镑销售额

Co-op本周报告称，近期的网络攻击已造成其2.06亿英镑（约合2.75亿美元）的销售损失。此次网络攻击导致数据泄露，影响了650万会员的信息。事件造成的中断导致数字支付出现问题，商店货架空空如也。玛莎百货(Marks&Spencer)也遭遇了同样的攻击，该公司在5月份估计，此次攻击将使其损失3亿英镑（约合4亿美元）。

职场政治会构成网络安全风险

职场政治会带来风险。而风险的引入，反过来又使职场政治成为一个安全问题。为什么呢？

决策：持续做出正确的决策绝非易事。但有一点是肯定的：决策必须基于准确的数据和事实。当意识形态和信念成为决策因素时，就可能带来严重风险。决策应尽可能客观、科学。当然，没有任何人工流程能够 100% 客观，但组织可以采取一些措施来减轻意识形态和信念的影响。在主观且不科学的业务决策被引入之前，安全团队的工作已经够艰巨的了。
分裂性：根据维基百科，“政治中的‘分而治之’一词指的是一个实体通过使用分裂手段获得并维持政治权力。” 同样，《大英百科全书》将“分而治之”定义为“一种通过系统地分离社会和文化群体来治理殖民社会的策略，部分原因是这些群体可能会团结起来，压倒殖民势力。” 我想你明白我的意思了。政治具有分裂性，这已不是什么秘密。在安全领域，成功取决于一个团结协作的团队。政治只会损害这种凝聚力，并可能给企业带来重大风险。
排斥：如今人们都在谈论包容，但我们有时会忘记，如果商业环境充斥着政治，我们完全可以排除那些不认同主流政治观点的人。思想多元化和观点多元化都是成功团队的重要组成部分。如果我们排除那些与我们看法不同的人，就有可能失去可能有益于团队的宝贵意见。在安全领域尤其如此。虽然我们不应该将政治引入任何工作环境，但我们需要确保来自不同政治阵营的团队成员都能感到舒适自在。毕竟，一个人看待世界的方式很可能赋予他们独特的视角，从而解决团队一直困扰的难题。
群体思维：维基百科将群体思维定义为“一种发生在群体中的心理现象，群体中对和谐或一致性的渴望导致了非理性或功能失调的决策结果。” 换句话说，即使掌握了与主流观点和/或思维方式相悖的证据，人们也可能不敢发声，这可能会导致灾难性的后果。对于安全领导者来说，营造一个让大家能够自在地提出可能不受欢迎、可能引发分歧和/或可能违背传统观念的问题的环境已经非常困难。当政治因素介入时，营造这样的环境几乎是不可能的。然而，正是这种环境才能在安全方面始终如一地产生最佳效果。
资源有限：如果你在安全领域工作过一段时间，你就会知道资源往往非常稀缺。当然，我们经常听到招聘和留任的问题。但即使安全团队配备了所有经过适当培训的合适人员，资源仍然捉襟见肘。鉴于此，安全团队怎么能承受在政治或意识形态问题上浪费任何时间呢？他们当然不能，最成功的安全团队也深知这一点。