《個人信息保護(hù)法》表決通過 將于11月1日起施行

據(jù)新華社消息，十三屆全國人大常委會第三十次會議20日表決通過《中華人民共和國個人信息保護(hù)法》。個人信息保護(hù)法自2021年11月1日起施行。其中明確：1、通過自動化決策方式向個人進(jìn)行信息推送、商業(yè)營銷，應(yīng)提供不針對其個人特征的選項或提供便捷的拒絕方式；2、處理生物識別、醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個人信息，應(yīng)取得個人的單獨同意；3、對違法處理個人信息的應(yīng)用程序，責(zé)令暫?；蛘呓K止提供服務(wù)。個人信息保護(hù)法明確了個人信息處理和跨境提供的規(guī)則、個人信息處理者的義務(wù)等內(nèi)容。更明確指出了任何個人、組織不得過度搜集個人信息；不得非法買賣、提供或者公開他人個人信息；不得進(jìn)行“大數(shù)據(jù)殺熟”；在公共場所安裝圖像采集等設(shè)備應(yīng)設(shè)置顯著提示標(biāo)識。對違法處理個人信息的應(yīng)用程序，責(zé)令暫停或者終止提供服務(wù);拒不改正的，并處一百萬元以下罰款;對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款。

普普點評

明確不得過度收集個人信息、大數(shù)據(jù)殺熟，對人臉信息等敏感個人信息的處理作出規(guī)制，完善個人信息保護(hù)投訴、舉報工作機(jī)制……這部專門法律充分回應(yīng)了社會關(guān)切，為破解個人信息保護(hù)中的熱點難點問題提供了強(qiáng)有力的法律保障。今后，個人信息保護(hù)有了法律“安全鎖”。

網(wǎng)絡(luò)釣魚讓大型企業(yè)年均損失1500萬美元

某安全供應(yīng)商委托Ponemon Institute對近600名IT和IT安全從業(yè)人員進(jìn)行了調(diào)查，編制了最新的網(wǎng)絡(luò)釣魚研究報告。報告指出，美國大型企業(yè)平均每年因與網(wǎng)絡(luò)釣魚相關(guān)的網(wǎng)絡(luò)犯罪而損失1480萬美元，遠(yuǎn)高于2015年的380萬美元，過去六年來，美國大型企業(yè)的網(wǎng)絡(luò)釣魚平均成本飆升了289%，年均損失近1500萬美元。網(wǎng)絡(luò)釣魚憑據(jù)是勒索軟件和商業(yè)電子郵件入侵 (BEC) 的常見起點。該研究稱，勒索軟件每年給大型企業(yè)造成570萬美元的損失，而BEC則為600萬美元。網(wǎng)絡(luò)釣魚造成的損失被比勒索軟件和BEC損失的總和還多。遏制初始憑證網(wǎng)絡(luò)釣魚攻擊的平均成本從2015年的381,920美元增加到了2021年的692,531美元。企業(yè)通常每年會經(jīng)歷五次以上的此類事件。網(wǎng)絡(luò)釣魚攻擊增加了企業(yè)數(shù)據(jù)泄露和業(yè)務(wù)中斷的可能性，公司投入的成本更多的是用于彌補(bǔ)生產(chǎn)力損失和問題修復(fù)，而不是支付給攻擊者的實際贖金。

普普點評

由于攻擊者現(xiàn)在的目標(biāo)是員工而不是網(wǎng)絡(luò)，因此近年來憑證泄露呈爆炸式增長，為BEC和勒索軟件等更具破壞性的攻擊敞開了大門。企業(yè)只有部署以人為本的網(wǎng)絡(luò)安全方法，整合安全意識培訓(xùn)和集成式威脅防護(hù)，才能阻止和修復(fù)網(wǎng)絡(luò)釣魚攻擊威脅。

2021年上半年3億多次勒索軟件攻擊量創(chuàng)紀(jì)錄 已超2020全年數(shù)據(jù)

SonicWall的一份新報告發(fā)現(xiàn)，勒索軟件攻擊量在2021年上半年猛增，多達(dá)3.047億次。2021年上半年看到的勒索軟件攻擊總數(shù)超過了2020年全年數(shù)量總和的3.046 億，同比增長了151%。根據(jù)2021年SonicWall網(wǎng)絡(luò)威脅報告，年初至今，該公司發(fā)現(xiàn)美國和英國的勒索軟件攻擊數(shù)量大幅飆升了185%和144%。在2021年上半年，美國、英國、德國、南非和巴西是受勒索軟件影響最嚴(yán)重的國家。該報告是根據(jù)SonicWall Capture Threat Network收集的信息編制的，該網(wǎng)絡(luò)系統(tǒng)包括215個國家和地區(qū)的超過110萬個安全傳感器，從全球數(shù)以萬計的防火墻和電子郵件安全設(shè)備收集惡意軟件和IP信譽(yù)數(shù)據(jù)。報告指出，2021年最常受到攻擊的是政府組織，其遭受的索軟件攻擊數(shù)量是去年的三倍。教育領(lǐng)域、醫(yī)療保健和零售組織的勒索軟件攻擊分別增長了615%、594%和264%。報告同時指出，惡意軟件和加密劫持攻擊數(shù)量也有不同程度的大幅增長。

普普點評

勒索軟件、加密劫持和其他以貨幣化為目標(biāo)的獨特惡意軟件形式持續(xù)增加，它們的策略不斷演變，這表明了網(wǎng)絡(luò)犯罪活動始終追隨金錢利益，并且能夠抓取新的機(jī)會和迅速適應(yīng)不斷變化的環(huán)境。全球疫情的蔓延導(dǎo)致遠(yuǎn)程工作成為常態(tài)，而企業(yè)也將繼續(xù)面臨高度的網(wǎng)絡(luò)安全風(fēng)險。

1720萬次/秒!HTTP DDoS攻擊峰值創(chuàng)下新高

根據(jù)Cloudflare的監(jiān)測報告，今年7月份的一次短暫DDoS攻擊（分布式拒絕服務(wù)攻擊）的攻擊峰值為每秒1720萬次請求 (rps)，創(chuàng)下歷史新高。Cloudflare的DDoS保護(hù)系統(tǒng)記錄了此次攻擊，占2021年第二季度所有合法HTTP流量平均速率的70%左右。

7月份的這次“瞬間攻擊”持續(xù)了不到一分鐘，總共發(fā)送了超過3.3億條針對金融行業(yè)企業(yè)的請求。攻擊峰值的每秒請求數(shù)高達(dá) 1720 萬，并在15秒的高峰期內(nèi)基本保護(hù)在每秒1500萬次左右。雖然此次攻擊的持續(xù)時間不長，但它威力驚人，這表明DDoS攻擊者正在提高他們的攻擊能力。

Cloudflare表示，攻擊者利用了來自世界各地的至少20,000臺設(shè)備的僵尸網(wǎng)絡(luò)。產(chǎn)生攻擊流量的大多數(shù)IP地址位于印度尼西亞（15%），其次是印度和巴西（合計17%）。

據(jù)悉，Cloudflare應(yīng)對的這種HTTP DDoS攻擊幾乎是我們所知道的此前攻擊的三倍。Cloudflare服務(wù)負(fù)載每秒超過2500萬個HTTP請求，7月份的DDoS攻擊最猛烈，達(dá)到了其服務(wù)容量的68%。

普普點評

面對DDoS攻擊，目前還沒有完美的抵御手段。但是完全可以通過部署對應(yīng)的安全措施來降低DDoS攻擊帶來的影響。在部署企業(yè)整體安全策略時可以將DDoS防御作為其重要部分，同時防惡意植入、反病毒保護(hù)等安全措施同樣不可或缺。企業(yè)要重視自身的網(wǎng)絡(luò)安全體系建設(shè)。

你知道如何應(yīng)對電子郵件威脅嗎？

Area 1 Security日前發(fā)布了一份研究報告，數(shù)據(jù)顯示網(wǎng)絡(luò)釣魚電子郵件和BEC商業(yè)電子郵件欺詐正在給企業(yè)帶來高昂損失。報告還指出，安全意識培訓(xùn)固然重要，但由于誤報率居高不下，仍然需要采取“人+技術(shù)+流程”多管齊下的安全措施來保障企業(yè)電子郵件應(yīng)用的安全。

報告指出，網(wǎng)絡(luò)釣魚是一種有利可圖的商業(yè)模式，大多數(shù)網(wǎng)絡(luò)安全事件都始于網(wǎng)絡(luò)釣魚電子郵件。一些看似無害的普通電子郵件卻可能會導(dǎo)致公司范圍內(nèi)的業(yè)務(wù)中斷、關(guān)鍵數(shù)據(jù)丟失以及數(shù)百萬的財務(wù)成本。防止攻擊的一個關(guān)鍵方面是深入了解網(wǎng)絡(luò)攻擊者的行為模式，并持續(xù)監(jiān)控和分析其活動以預(yù)測未來的攻擊。

從勒索軟件、憑據(jù)收集器到商業(yè)電子郵件入侵 ( BEC ) ，這些難以發(fā)現(xiàn)但代價高昂的威脅，每年正在給大型企業(yè)用戶造成超過 3.54 億美元的直接損失。

報告分析師認(rèn)為：大約 92% 的企業(yè)員工所報告網(wǎng)絡(luò)釣魚郵件并不是真正惡意的，而是良性的垃圾郵件或群發(fā)郵件，這通常會干擾IT團(tuán)隊發(fā)現(xiàn)和阻止實際威脅。而有效的解決方案之一是先發(fā)制人的、基于云的電子郵件安全解決方案，可以防止網(wǎng)絡(luò)釣魚攻擊收件箱。

普普點評

防御電子郵件威脅的有效措施：

1.可通過增加動態(tài)驗證碼、雙重密碼等方式來保護(hù)帳戶，切勿重復(fù)使用密碼。

2.提升安全防范意識，點擊電子郵件前通過發(fā)送者信息等評估郵件安全性，不點擊來歷不明的的電子郵件。

3.建立和培訓(xùn)應(yīng)對BEC的預(yù)案和流程，例如要求多個審批者或“帶外”供應(yīng)商驗證才能將資金轉(zhuǎn)移到新賬戶。

巴林政府監(jiān)控人權(quán)活動家 間諜軟件實現(xiàn)零點擊感染

據(jù)外媒報道，巴林政府在利用Pegasus間諜軟件監(jiān)控巴林人權(quán)活動人士。NSO Group在這款間諜軟件上利用“Zero Click”的iMessage 漏洞，規(guī)避了蘋果的安全防護(hù)。

Pegasus是以色列公司NSO Group研發(fā)的一款用于監(jiān)控手機(jī)短信、郵件、照片等隱私信息的間諜軟件，能夠入侵世界范圍內(nèi)的蘋果與安卓手機(jī)，通常出售給人權(quán)信用良好的政府和執(zhí)法機(jī)構(gòu)。據(jù)NSO稱，Pegasus只會用于調(diào)查及對抗犯罪和恐怖活動。但有流言說NSO為了利益不負(fù)責(zé)任地售賣，間諜軟件也被濫用于監(jiān)視國家領(lǐng)導(dǎo)人、活動家、記者等。

“Zero Click”，即 “零點擊”，意思是無需用戶交互即可實現(xiàn)攻擊，與需要用戶點擊鏈接才能實現(xiàn)攻擊的“One Click”對應(yīng)。

蘋果于今年年初為iPhone和iPad增加了一個“BlastDoor”沙箱安全系統(tǒng)，負(fù)責(zé)在安全的環(huán)境中解析iMessage中所有不受信任的數(shù)據(jù)，檢視其中是否含有惡意代碼，以防止利用信息應(yīng)用進(jìn)行的攻擊。而在本次事件中，間諜軟件通過蘋果iMessage中的一個0day漏洞，零點擊感染了攻擊目標(biāo)的手機(jī)。研究人員將這個安全漏洞稱為ForcedEntry。

普普點評

在信息技術(shù)飛速發(fā)展的今天，任何用戶都需要具備一定的信息安全意識。雖然這個間諜軟件能夠肆意侵犯蘋果與安卓手機(jī)，但其價格高昂，絕大部分人不用擔(dān)心自己的手機(jī)會遭到其攻擊。對于“Zero Click”個人也許無能為力，但對于“One Click”，防范手段則很簡單，不要隨意點擊不明鏈接即可。

美國白宮組織網(wǎng)絡(luò)安全密會 微軟谷歌投資300億美元

蘋果公司首席執(zhí)行官蒂姆·庫克（Tim Cook）、微軟首席執(zhí)行官薩蒂亞·納德拉（Satya Nadella），還有谷歌、亞馬遜和IBM的負(fù)責(zé)人于當(dāng)?shù)貢r間周三訪問白宮，與總統(tǒng)拜登討論緊迫的網(wǎng)絡(luò)安全問題。

會議的主題圍繞政府和私營部門如何共同努力改善國家的網(wǎng)絡(luò)安全。在政府努力加強(qiáng)國家網(wǎng)絡(luò)安全的基礎(chǔ)上，政府和商界領(lǐng)袖也在關(guān)鍵領(lǐng)域發(fā)表了聲明。據(jù)悉，科技公司CEO 還與拜登內(nèi)閣成員會面，探討如何建立更持久的網(wǎng)絡(luò)安全，而其他高管將專注于關(guān)鍵基礎(chǔ)設(shè)施和網(wǎng)絡(luò)安全從業(yè)人員（近50萬個公共和私人網(wǎng)絡(luò)安全崗位仍然空缺）。

與會者宣布的相關(guān)承諾和倡議：

NIST與微軟、谷歌、IBM等合作開發(fā)新框架；

ICS網(wǎng)絡(luò)安全計劃，擴(kuò)展至天然氣管道；

蘋果：技術(shù)供應(yīng)鏈安全；

谷歌：5年投資100億美元；

微軟：5年投資200億美元；

IBM：3年培訓(xùn)15萬人；

亞馬遜：免費安全意識培訓(xùn)。

普普點評

白宮在會上宣布美國國家標(biāo)準(zhǔn)和技術(shù)研究所將與各行業(yè)合作，創(chuàng)建一個關(guān)于提升技術(shù)供應(yīng)鏈安全的框架，為如何建立技術(shù)安全提供指導(dǎo)，并評估包括開源軟件在內(nèi)的產(chǎn)品安全性。包括谷歌、微軟、IBM在內(nèi)的行業(yè)巨頭也都對此框架做出了承諾。重視網(wǎng)絡(luò)安全問題，在大國之間已經(jīng)是公開的秘密，相信隨著信息技術(shù)的持續(xù)演進(jìn)，網(wǎng)絡(luò)安全行業(yè)必將迅猛發(fā)展！