普普安全資訊一周概覽(0821-0827)

作者:

時間:
2021-08-27
NO.1

《個人信息保護法》表決通過 將于11月1日起施行


據(jù)新華社消息,十三屆全國人大常委會第三十次會議20日表決通過《中華人民共和國個人信息保護法》。個人信息保護法自2021年11月1日起施行。其中明確:1、通過自動化決策方式向個人進行信息推送、商業(yè)營銷,應(yīng)提供不針對其個人特征的選項或提供便捷的拒絕方式;2、處理生物識別、醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個人信息,應(yīng)取得個人的單獨同意;3、對違法處理個人信息的應(yīng)用程序,責(zé)令暫停或者終止提供服務(wù)。個人信息保護法明確了個人信息處理和跨境提供的規(guī)則、個人信息處理者的義務(wù)等內(nèi)容。更明確指出了任何個人、組織不得過度搜集個人信息;不得非法買賣、提供或者公開他人個人信息;不得進行“大數(shù)據(jù)殺熟”;在公共場所安裝圖像采集等設(shè)備應(yīng)設(shè)置顯著提示標(biāo)識。對違法處理個人信息的應(yīng)用程序,責(zé)令暫?;蛘呓K止提供服務(wù);拒不改正的,并處一百萬元以下罰款;對直接負責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款。

普普安全資訊一周概覽(0821-0827)
普普點評

明確不得過度收集個人信息、大數(shù)據(jù)殺熟,對人臉信息等敏感個人信息的處理作出規(guī)制,完善個人信息保護投訴、舉報工作機制……這部專門法律充分回應(yīng)了社會關(guān)切,為破解個人信息保護中的熱點難點問題提供了強有力的法律保障。今后,個人信息保護有了法律“安全鎖”。


普普安全資訊一周概覽(0821-0827)
普普安全資訊一周概覽(0821-0827)
NO.2

網(wǎng)絡(luò)釣魚讓大型企業(yè)年均損失1500萬美元


某安全供應(yīng)商委托Ponemon Institute對近600名IT和IT安全從業(yè)人員進行了調(diào)查,編制了最新的網(wǎng)絡(luò)釣魚研究報告。報告指出,美國大型企業(yè)平均每年因與網(wǎng)絡(luò)釣魚相關(guān)的網(wǎng)絡(luò)犯罪而損失1480萬美元,遠高于2015年的380萬美元,過去六年來,美國大型企業(yè)的網(wǎng)絡(luò)釣魚平均成本飆升了289%,年均損失近1500萬美元。網(wǎng)絡(luò)釣魚憑據(jù)是勒索軟件和商業(yè)電子郵件入侵 (BEC) 的常見起點。該研究稱,勒索軟件每年給大型企業(yè)造成570萬美元的損失,而BEC則為600萬美元。網(wǎng)絡(luò)釣魚造成的損失被比勒索軟件和BEC損失的總和還多。遏制初始憑證網(wǎng)絡(luò)釣魚攻擊的平均成本從2015年的381,920美元增加到了2021年的692,531美元。企業(yè)通常每年會經(jīng)歷五次以上的此類事件。網(wǎng)絡(luò)釣魚攻擊增加了企業(yè)數(shù)據(jù)泄露和業(yè)務(wù)中斷的可能性,公司投入的成本更多的是用于彌補生產(chǎn)力損失和問題修復(fù),而不是支付給攻擊者的實際贖金。

普普安全資訊一周概覽(0821-0827)
普普點評

由于攻擊者現(xiàn)在的目標(biāo)是員工而不是網(wǎng)絡(luò),因此近年來憑證泄露呈爆炸式增長,為BEC和勒索軟件等更具破壞性的攻擊敞開了大門。企業(yè)只有部署以人為本的網(wǎng)絡(luò)安全方法,整合安全意識培訓(xùn)和集成式威脅防護,才能阻止和修復(fù)網(wǎng)絡(luò)釣魚攻擊威脅。

普普安全資訊一周概覽(0821-0827)
普普安全資訊一周概覽(0821-0827)
NO.3

2021年上半年3億多次勒索軟件攻擊量創(chuàng)紀(jì)錄 已超2020全年數(shù)據(jù)


SonicWall的一份新報告發(fā)現(xiàn),勒索軟件攻擊量在2021年上半年猛增,多達3.047億次。2021年上半年看到的勒索軟件攻擊總數(shù)超過了2020年全年數(shù)量總和的3.046 億,同比增長了151%。根據(jù)2021年SonicWall網(wǎng)絡(luò)威脅報告,年初至今,該公司發(fā)現(xiàn)美國和英國的勒索軟件攻擊數(shù)量大幅飆升了185%和144%。在2021年上半年,美國、英國、德國、南非和巴西是受勒索軟件影響最嚴重的國家。該報告是根據(jù)SonicWall Capture Threat Network收集的信息編制的,該網(wǎng)絡(luò)系統(tǒng)包括215個國家和地區(qū)的超過110萬個安全傳感器,從全球數(shù)以萬計的防火墻和電子郵件安全設(shè)備收集惡意軟件和IP信譽數(shù)據(jù)。報告指出,2021年最常受到攻擊的是政府組織,其遭受的索軟件攻擊數(shù)量是去年的三倍。教育領(lǐng)域、醫(yī)療保健和零售組織的勒索軟件攻擊分別增長了615%、594%和264%。報告同時指出,惡意軟件和加密劫持攻擊數(shù)量也有不同程度的大幅增長。

普普安全資訊一周概覽(0821-0827)
普普點評

勒索軟件、加密劫持和其他以貨幣化為目標(biāo)的獨特惡意軟件形式持續(xù)增加,它們的策略不斷演變,這表明了網(wǎng)絡(luò)犯罪活動始終追隨金錢利益,并且能夠抓取新的機會和迅速適應(yīng)不斷變化的環(huán)境。全球疫情的蔓延導(dǎo)致遠程工作成為常態(tài),而企業(yè)也將繼續(xù)面臨高度的網(wǎng)絡(luò)安全風(fēng)險。

普普安全資訊一周概覽(0821-0827)
普普安全資訊一周概覽(0821-0827)
NO.4

1720萬次/秒!HTTP DDoS攻擊峰值創(chuàng)下新高


根據(jù)Cloudflare的監(jiān)測報告,今年7月份的一次短暫DDoS攻擊(分布式拒絕服務(wù)攻擊)的攻擊峰值為每秒1720萬次請求 (rps),創(chuàng)下歷史新高。Cloudflare的DDoS保護系統(tǒng)記錄了此次攻擊,占2021年第二季度所有合法HTTP流量平均速率的70%左右。

7月份的這次“瞬間攻擊”持續(xù)了不到一分鐘,總共發(fā)送了超過3.3億條針對金融行業(yè)企業(yè)的請求。攻擊峰值的每秒請求數(shù)高達 1720 萬,并在15秒的高峰期內(nèi)基本保護在每秒1500萬次左右。雖然此次攻擊的持續(xù)時間不長,但它威力驚人,這表明DDoS攻擊者正在提高他們的攻擊能力。

Cloudflare表示,攻擊者利用了來自世界各地的至少20,000臺設(shè)備的僵尸網(wǎng)絡(luò)。產(chǎn)生攻擊流量的大多數(shù)IP地址位于印度尼西亞(15%),其次是印度和巴西(合計17%)。

據(jù)悉,Cloudflare應(yīng)對的這種HTTP DDoS攻擊幾乎是我們所知道的此前攻擊的三倍。Cloudflare服務(wù)負載每秒超過2500萬個HTTP請求,7月份的DDoS攻擊最猛烈,達到了其服務(wù)容量的68%。

普普安全資訊一周概覽(0821-0827)
普普點評

面對DDoS攻擊,目前還沒有完美的抵御手段。但是完全可以通過部署對應(yīng)的安全措施來降低DDoS攻擊帶來的影響。在部署企業(yè)整體安全策略時可以將DDoS防御作為其重要部分,同時防惡意植入、反病毒保護等安全措施同樣不可或缺。企業(yè)要重視自身的網(wǎng)絡(luò)安全體系建設(shè)。

普普安全資訊一周概覽(0821-0827)
普普安全資訊一周概覽(0821-0827)
NO.5

你知道如何應(yīng)對電子郵件威脅嗎?


Area 1 Security日前發(fā)布了一份研究報告,數(shù)據(jù)顯示網(wǎng)絡(luò)釣魚電子郵件和BEC商業(yè)電子郵件欺詐正在給企業(yè)帶來高昂損失。報告還指出,安全意識培訓(xùn)固然重要,但由于誤報率居高不下,仍然需要采取“人+技術(shù)+流程”多管齊下的安全措施來保障企業(yè)電子郵件應(yīng)用的安全。

報告指出,網(wǎng)絡(luò)釣魚是一種有利可圖的商業(yè)模式,大多數(shù)網(wǎng)絡(luò)安全事件都始于網(wǎng)絡(luò)釣魚電子郵件。一些看似無害的普通電子郵件卻可能會導(dǎo)致公司范圍內(nèi)的業(yè)務(wù)中斷、關(guān)鍵數(shù)據(jù)丟失以及數(shù)百萬的財務(wù)成本。防止攻擊的一個關(guān)鍵方面是深入了解網(wǎng)絡(luò)攻擊者的行為模式,并持續(xù)監(jiān)控和分析其活動以預(yù)測未來的攻擊。

從勒索軟件、憑據(jù)收集器到商業(yè)電子郵件入侵 ( BEC ) ,這些難以發(fā)現(xiàn)但代價高昂的威脅,每年正在給大型企業(yè)用戶造成超過 3.54 億美元的直接損失。

報告分析師認為:大約 92% 的企業(yè)員工所報告網(wǎng)絡(luò)釣魚郵件并不是真正惡意的,而是良性的垃圾郵件或群發(fā)郵件,這通常會干擾IT團隊發(fā)現(xiàn)和阻止實際威脅。而有效的解決方案之一是先發(fā)制人的、基于云的電子郵件安全解決方案,可以防止網(wǎng)絡(luò)釣魚攻擊收件箱。

普普安全資訊一周概覽(0821-0827)
普普點評

防御電子郵件威脅的有效措施:

1.可通過增加動態(tài)驗證碼、雙重密碼等方式來保護帳戶,切勿重復(fù)使用密碼。

2.提升安全防范意識,點擊電子郵件前通過發(fā)送者信息等評估郵件安全性,不點擊來歷不明的的電子郵件。

3.建立和培訓(xùn)應(yīng)對BEC的預(yù)案和流程,例如要求多個審批者或“帶外”供應(yīng)商驗證才能將資金轉(zhuǎn)移到新賬戶。

普普安全資訊一周概覽(0821-0827)
普普安全資訊一周概覽(0821-0827)
NO.6

巴林政府監(jiān)控人權(quán)活動家 間諜軟件實現(xiàn)零點擊感染


據(jù)外媒報道,巴林政府在利用Pegasus間諜軟件監(jiān)控巴林人權(quán)活動人士。NSO Group在這款間諜軟件上利用“Zero Click”的iMessage 漏洞,規(guī)避了蘋果的安全防護。

Pegasus是以色列公司NSO Group研發(fā)的一款用于監(jiān)控手機短信、郵件、照片等隱私信息的間諜軟件,能夠入侵世界范圍內(nèi)的蘋果與安卓手機,通常出售給人權(quán)信用良好的政府和執(zhí)法機構(gòu)。據(jù)NSO稱,Pegasus只會用于調(diào)查及對抗犯罪和恐怖活動。但有流言說NSO為了利益不負責(zé)任地售賣,間諜軟件也被濫用于監(jiān)視國家領(lǐng)導(dǎo)人、活動家、記者等。

“Zero Click”,即 “零點擊”,意思是無需用戶交互即可實現(xiàn)攻擊,與需要用戶點擊鏈接才能實現(xiàn)攻擊的“One Click”對應(yīng)。

蘋果于今年年初為iPhone和iPad增加了一個“BlastDoor”沙箱安全系統(tǒng),負責(zé)在安全的環(huán)境中解析iMessage中所有不受信任的數(shù)據(jù),檢視其中是否含有惡意代碼,以防止利用信息應(yīng)用進行的攻擊。而在本次事件中,間諜軟件通過蘋果iMessage中的一個0day漏洞,零點擊感染了攻擊目標(biāo)的手機。研究人員將這個安全漏洞稱為ForcedEntry。

普普安全資訊一周概覽(0821-0827)
普普點評

在信息技術(shù)飛速發(fā)展的今天,任何用戶都需要具備一定的信息安全意識。雖然這個間諜軟件能夠肆意侵犯蘋果與安卓手機,但其價格高昂,絕大部分人不用擔(dān)心自己的手機會遭到其攻擊。對于“Zero Click”個人也許無能為力,但對于“One Click”,防范手段則很簡單,不要隨意點擊不明鏈接即可。

普普安全資訊一周概覽(0821-0827)
普普安全資訊一周概覽(0821-0827)
NO.7

美國白宮組織網(wǎng)絡(luò)安全密會 微軟谷歌投資300億美元


蘋果公司首席執(zhí)行官蒂姆·庫克(Tim Cook)、微軟首席執(zhí)行官薩蒂亞·納德拉(Satya Nadella),還有谷歌、亞馬遜和IBM的負責(zé)人于當(dāng)?shù)貢r間周三訪問白宮,與總統(tǒng)拜登討論緊迫的網(wǎng)絡(luò)安全問題。

會議的主題圍繞政府和私營部門如何共同努力改善國家的網(wǎng)絡(luò)安全。在政府努力加強國家網(wǎng)絡(luò)安全的基礎(chǔ)上,政府和商界領(lǐng)袖也在關(guān)鍵領(lǐng)域發(fā)表了聲明。據(jù)悉,科技公司CEO 還與拜登內(nèi)閣成員會面,探討如何建立更持久的網(wǎng)絡(luò)安全,而其他高管將專注于關(guān)鍵基礎(chǔ)設(shè)施和網(wǎng)絡(luò)安全從業(yè)人員(近50萬個公共和私人網(wǎng)絡(luò)安全崗位仍然空缺)。

與會者宣布的相關(guān)承諾和倡議:

NIST與微軟、谷歌、IBM等合作開發(fā)新框架;

ICS網(wǎng)絡(luò)安全計劃,擴展至天然氣管道;

蘋果:技術(shù)供應(yīng)鏈安全;

谷歌:5年投資100億美元;

微軟:5年投資200億美元;

IBM:3年培訓(xùn)15萬人;

亞馬遜:免費安全意識培訓(xùn)。

普普安全資訊一周概覽(0821-0827)
普普點評

白宮在會上宣布美國國家標(biāo)準(zhǔn)和技術(shù)研究所將與各行業(yè)合作,創(chuàng)建一個關(guān)于提升技術(shù)供應(yīng)鏈安全的框架,為如何建立技術(shù)安全提供指導(dǎo),并評估包括開源軟件在內(nèi)的產(chǎn)品安全性。包括谷歌、微軟、IBM在內(nèi)的行業(yè)巨頭也都對此框架做出了承諾。重視網(wǎng)絡(luò)安全問題,在大國之間已經(jīng)是公開的秘密,相信隨著信息技術(shù)的持續(xù)演進,網(wǎng)絡(luò)安全行業(yè)必將迅猛發(fā)展!