隨著網絡安全等級保護制度的全面推廣，網絡層和系統(tǒng)層的安全問題在部署防護設備、配置安全策略、升級補丁等措施的實施下日趨減少，但應用層安全問題仍然較為突出。由于“內生”于軟件開發(fā)過程，限于事后補救的手段以及成本因素，應用軟件安全已經成為網絡安全整體防護體系的最后一塊短板。若要補上這塊短板，就需要我們把安全視角由外部轉向內部，聚焦軟件開發(fā)安全，從“源頭”上尋找解決問題的思路。

首先，軟件安全的實現(xiàn)離不開各類載體的基礎保障，即，人、制度、工具、環(huán)境等方面，通過制定并完善各類管理制度、關注開發(fā)過程中各類開發(fā)工具的安全、建設和維護各類環(huán)境、規(guī)范人員操作各類開發(fā)行為等，從而支撐軟件開發(fā)安全有序進行。其次，根據目前主流的軟件安全開發(fā)生命周期模型，軟件開發(fā)生命周期主要包括需求分析、設計、實現(xiàn)、測試、發(fā)布、交付等活動。不同的開發(fā)活動對于一款應用軟件的“安全生成”都起著貫穿前后的重要作用。因此確保各個開發(fā)活動的安全開展是保障軟件安全的關鍵。

缺乏網站保護、發(fā)件人策略框架（SPF）記錄和 DNSSEC 配置使公司容易受到網絡釣魚和數(shù)據泄露攻擊。到 2022年，公司的有效數(shù)據泄露風險從上一年的平均得分30增加到100分中的44分（其中100分表示風險最大），這表明數(shù)據泄露的總體風險有所增加。這是根據 Cymulate 的排名得出的，該排名處理了100萬次滲透測試的數(shù)據，其中包括在其生產環(huán)境中進行的170萬小時的攻擊性網絡安全測試。

該公司在3月28日發(fā)布的“2022年網絡安全有效性狀況”報告中指出，存在各種持續(xù)存在的問題導致風險增加。報告指出，一方面，雖然許多公司正在提高網絡和組策略的采用率和嚴格性，但攻擊者正在適應規(guī)避此類保護措施。

而且基礎知識仍然滯后：該公司發(fā)現(xiàn)，在客戶環(huán)境中發(fā)現(xiàn)的前10個 CVE 中，有四個已存在超過兩年。其中包括可允許惡意可執(zhí)行文件通過安全檢查的高危 WinVerifyTrust 簽名驗證漏洞 (CVE-2013-2900)，以及 Microsoft Office 中的內存損壞漏洞 (CVE-2018-0798 )。

人工智能（AI）的崛起給所有行業(yè)帶來翻天覆地的變化。從醫(yī)療到金融行業(yè)的眾多企業(yè)都在使用AI工具實現(xiàn)流程自動化、改進決策以取得競爭優(yōu)勢。在信息技術（IT）行業(yè)，AI正在改變企業(yè)治理、風險與合規(guī)工作（GRC）以及安全運營的方式。

AI工具可以通過實現(xiàn)上述流程的自動化和提高速度，協(xié)助團隊快速準確地識別并應對潛在的風險和問題。團隊可訓練機器學習算法識別數(shù)據模式、檢測數(shù)據異常，也可利用自然語言處理分析電子郵件和社交媒體資料等非結構化數(shù)據源，從而更好地管理日益復雜龐大的數(shù)據、改善風險和合規(guī)管理、加強組織的整體安全態(tài)勢。

自動化是GRC工作運用AI工具的一大主要好處。GRC工作往往耗時漫長、繁重復雜，需要企業(yè)與不斷變化的法律法規(guī)保持同步。而AI工具就可以幫助團隊自動化處理許多任務，確保企業(yè)始終合規(guī)。

Bitter（蔓靈花）是一個長期活躍的南亞網絡間諜組織，主要針對能源和政府部門實施敏感資料竊取等惡意行為，過去曾攻擊過巴基斯坦、中國、孟加拉、沙特阿拉伯等國，具有明顯的政治背景。

該APT組織主要采用魚叉釣魚等攻擊方式，通常會向攻擊目標單位的個人發(fā)送嵌入攻擊誘餌的釣魚郵件。在其最近的攻擊中，網絡安全公司Intezer發(fā)現(xiàn)了七封偽裝成來自吉爾吉斯斯坦大使館的電子郵件，這些電子郵件被發(fā)送給了中國核能行業(yè)相關人員，另外還有部分核能學術界的人員也收到了這類郵件。

攻擊者在這些作為誘餌的郵件上向收件人發(fā)送了參與核能相關主題會議的邀請，實則是在誘騙收件人下載并打開其RAR附件。這些附件解壓后看似是與主題相關的常見的excel、word、jpg等文件，但在受害者運行后，受害者以為自己打開的是普通文檔，實則已暗地里執(zhí)行了惡意文件，被攻擊者接手了設備控制權。

據統(tǒng)計，在網絡安全信息泄露事件中，很多員工是因為點擊了黑客發(fā)來的虛假釣魚網址鏈接而中招。不少釣魚網站顯示頁面跟真網站頁面幾乎一模一樣，該如何識破虛假的釣魚網址鏈接呢？

域名網址識別：官方網站的域名地址大多非常容易辨認，一般采用漢語拼音、英文縮寫或者官方服務電話作為域名網址。黑客為了規(guī)避文字識別和封堵，會采用亂序的字母和數(shù)字組合作為域名網址，看起來像亂碼一樣。

查詢域名備案：官方網站的地址都需要嚴格備案，通常在官方網站的最下面就有備案信息，我們可以到工信部政務服務平臺的域名信息備案管理系統(tǒng)進行查詢，判斷網站的可信程度。

在查詢備案信息時，切記還要核對網站內容與備案主體是否一致。

域名收錄搜索：正規(guī)的網址鏈接，都會顯示大量的收錄頁面，而虛假的網址鏈接都會屏蔽搜索引擎的收錄，查不到任何信息。

反詐APP鏈接檢測：下載“國家反詐中心”APP，使用主頁面“風險查詢”功能，可以對疑似涉詐的虛假網址鏈接進行查詢檢測。

終端作為金融行業(yè)日常辦公、業(yè)務處理、系統(tǒng)維護的設備，承載著重要的金融數(shù)據。終端是企業(yè)外部與內部系統(tǒng)連接的切入點，在嚴峻的外部網絡環(huán)境下面臨非法訪問、病毒入侵、信息泄露等安全風險。隨著移動辦公、遠程辦公需求的不斷增長，終端安全面臨更大的挑戰(zhàn)。如何加強終端的安全管理，抵御外來攻擊，確保數(shù)據得到有效保護是金融行業(yè)面臨的重要課題。

金融行業(yè)經過多年的探索和建設，已逐步建立了適合自身業(yè)務發(fā)展的終端安全管理體系。但隨著計算機技術的發(fā)展及攻擊手段的提高，終端安全面臨著嚴峻的挑戰(zhàn)。

傳統(tǒng)終端使用范圍廣、終端環(huán)境復雜，是外部攻擊的重點對象。傳統(tǒng)終端安全管理大體上包括行為安全、數(shù)據安全、邊界安全、系統(tǒng)安全四大方面，內容涵蓋非授權軟件管理、互聯(lián)網訪問控制、行為監(jiān)控與處置、敏感信息掃描、文檔加密、數(shù)據外發(fā)管控、防火墻、漏洞防護、病毒查殺、網絡準入、外聯(lián)及移動存儲管控等。然而，目前金融行業(yè)仍存在游離于傳統(tǒng)安全防護體系之外的諸多信息泄露問題。

你被人欺負了，第一反應可能是還手，那在網絡世界中，被攻擊的受害者能夠采取同樣的反制措施嗎？答案是否定的。目前絕大多數(shù)國家尚未制定相關法律，來支持企業(yè)或組織對黑客發(fā)起反擊?！敖谷魏稳嗽谖传@得授權的情況下侵入別人的電腦”幾乎是所有國家法律的共識，這意味著，反擊黑客就如同黑客入侵一樣，同樣是違法行為。換句話說，你可以關門，但不能去開別人家的門，不論門后面是否藏著犯罪組織。聽起來是不是很玄幻？現(xiàn)實生活中，只要手續(xù)合法，警察可以選擇破門而入抓捕犯罪分子，但是網絡空間卻萬萬不行。“順著網線去抓你”實現(xiàn)的難點在于合法性，而非技術性。

或許正因為攻防處于不對稱的地位，導致全球網絡攻擊愈演愈烈。僅2022年一年，全球網絡攻擊數(shù)量就增長了38%，造成大量業(yè)務損失，其中包括財務和聲譽損失。勒索攻擊更是如此。

隨著近年來網絡攻擊越發(fā)猖獗，反擊黑客合法化的呼聲日益強烈。近期，深受網絡攻擊困擾的澳大利亞宣布將通過政府層面的舉措，對以該國組織為攻擊目標的黑客進行反擊，引發(fā)了行業(yè)擔憂，這一做法究竟是能真正打擊并震懾黑客，還是給網絡空間帶來更多風險和混亂？