1.28億iOS用戶被攻擊，蘋果卻對此進行隱瞞

2021年3月，Hackread.com報告了一次供應鏈攻擊，在此次攻擊活動中，網(wǎng)絡犯罪分子使用了XcodeSpy惡意軟件來攻擊那些使用Xcode集成開發(fā)環(huán)境的開發(fā)人員，而2015年也曾出現(xiàn)過類似的惡意軟件。該惡意軟件代號為XcodeGhost，它將允許攻擊者使用從第三方網(wǎng)站下載的惡意版本Xcode在合法應用程序中插入惡意代碼。需要注意的是，Xcode是蘋果的官方應用程序開發(fā)工具。在當時，有報道稱蘋果很快就終止了相關的攻擊活動。

然而，根據(jù)一份最新報告，Epic Games在跟蘋果打官司的過程中層提交過一份電子郵件內容，并披露了關于這一特定攻擊的令人吃驚的新細節(jié)。結果顯示，近1.28億iOS用戶下載了包含XcodeGhost惡意軟件的應用程序，而蘋果方面卻對此次惡意軟件攻擊一直保密，沒有透露任何關于此次攻擊活動的細節(jié)內容。

蘋果公司選擇不通知用戶大規(guī)模泄密的事實，肯定會損害其六年前聲稱自己專注于隱私的公司聲譽。

拜登簽署加強國家網(wǎng)絡安全的行政命令

2021年5月12日，美國總統(tǒng)拜登簽署名為“加強國家網(wǎng)絡安全的行政命令”（Executive Order on Improving the Nation’s Cybersecurity）以加強網(wǎng)絡網(wǎng)絡安全和保護聯(lián)邦政府網(wǎng)絡。行政命令9個主要部分內容：

（1）政策

（2）移除威脅信息共享的障礙

（3）聯(lián)邦政府網(wǎng)絡安全現(xiàn)代化

（4）增強軟件供應鏈的安全

（5）成立網(wǎng)絡安全審查委員會

（6）聯(lián)邦政府網(wǎng)絡安全漏洞和事件應急響應標準化（7）加強聯(lián)邦政府網(wǎng)絡中網(wǎng)絡安全漏洞的檢測能力（8）加強聯(lián)邦政府網(wǎng)絡安全事件的調查

（9）修復能力、國家安全系統(tǒng)

SolarWinds供應鏈攻擊事件、微軟exchange漏洞、COLONIAL PIPELINE輸油管道事件等近期發(fā)生的網(wǎng)絡安全事件使得美國政府和人民意識到來自網(wǎng)絡的復雜惡意活動，暴露出網(wǎng)絡安全防御能力不足等問題，使得公私部門使得更容易受到相關事件的影響

美國土安全部警告——

針對中小企業(yè)的勒索軟件攻擊已超過50%

美國國土安全部部長Alejandro Mayorkas5月12日在演講中表示，美國的勒索軟件攻擊中約有50%到70%是針對中小企業(yè)的，去年總計造成3.5億美元的損失。他指出，這也是為什么國土安全部不斷與勒索軟件斗智斗勇的原因。

美國國土安全部（DHS）通過美國網(wǎng)絡安全和基礎設施安全局（CISA）以及美國特勤局提供了相關的工具和教育程序，小型企業(yè)可以使用它們來幫助企業(yè)更好地抵御勒索軟件攻擊。Mayorkas表示，國土安全部將與中小公司一同協(xié)手對抗勒索軟件的攻擊。他指出，在過去的一年中，針對小型企業(yè)的勒索軟件攻擊增加了300%。3月，Mayorkas宣布美國國土安全部將進行為期60天的演練，重點是與勒索軟件作斗爭。隨后的4月，司法部成立了勒索軟件和數(shù)字勒索工作組，其中包括司法部官員以及美國聯(lián)邦調查局和美國檢察官執(zhí)行辦公室的代表“在網(wǎng)絡安全領域，我們有一系列的打擊計劃。

小型企業(yè)是美國經(jīng)濟的支柱，因此它們也是勒索軟件團伙的主要目標。關注小型企業(yè)網(wǎng)絡安全至關重要。

網(wǎng)絡安全屆的年度盛會召開

網(wǎng)絡安全屆的年度盛會RSA Conference 2021已于美國時間2021年5月17日8：00正式召開（北京時間5月17日20：00）。此次RSA大會不同以往，采用了網(wǎng)絡虛擬會議的形式進行全線上展示，圍繞著本次大會的主題——Resilience（彈性）分享一系列干貨滿滿的新觀點、新方法、新技術。

RSA會議是一系列IT安全會議。每年約有上萬人次參加，其主打事件是每年在舊金山舉行的安全會議。RSA 會議始于1991年，當時只是以“密碼，標準和公共政策”為主題的小型加密會議，為密碼學家收集和分享互聯(lián)網(wǎng)安全領域的最新知識和進步的論壇。從1995年開始，RSA大會每年都會定下一個精煉的主題。這些主題一定程度上反映了全球安全市場的趨勢變化。

關注網(wǎng)絡安全屆的年度盛會可以收獲各路大牛的觀點、學到最新的方法與技術、掌握網(wǎng)絡安全最新趨勢。

美國陸軍開發(fā)出深度偽造檢測技術：DefakeHop

深度偽造（Deepfake）不僅是社工釣魚攻擊、BEC商務郵件攻擊的下一個“熱點”，同時也對業(yè)務欺詐檢測、生物特征身份認證等安全技術構成嚴重威脅，更是未來“毫秒級”數(shù)字化現(xiàn)代戰(zhàn)爭的重大隱患。而對抗“深度偽造”最好的方法就是“深度檢測”，用AI來檢測惡意AI。

近日，陸軍研究人員宣布開發(fā)出一種深度偽造檢測方法，可以開發(fā)出先進的軍用技術來幫助士兵快速檢測和識別深度偽造相關威脅。這項研究工作的目標是開發(fā)出輕量化的、低訓練成本、高性能的面部生物特征識別技術，可以滿足士兵在戰(zhàn)斗中對隨身設備的尺寸、重量和功率要求。美國陸軍作戰(zhàn)能力發(fā)展指揮部（DEVCOM）、陸軍研究實驗室（ARL）與南加州大學教授c-c Jay Kuo的研究小組著手解決深度偽造對社會和國家安全構成的重大威脅。研究成果就是一個稱為DefakeHop的創(chuàng)新技術解決方案。

深度偽造技術對軍事和日常生活都有影響（威脅），而在對抗深度偽造的研究領域，DefakeHop方案相比現(xiàn)有技術有著顯著優(yōu)勢，為人工智能、計算機視覺、智能場景理解和面部生物特征識別等人工智能領域的研究提供了全新的范型和知識。