普普安全資訊一周概覽(0821-0827)

作者:

時間:
2021-08-27
NO.1

《個人信息保護法》表決通過 將于11月1日起施行


據(jù)新華社消息,十三屆全國人大常委會第三十次會議20日表決通過《中華人民共和國個人信息保護法》。個人信息保護法自2021年11月1日起施行。其中明確:1、通過自動化決策方式向個人進行信息推送、商業(yè)營銷,應提供不針對其個人特征的選項或提供便捷的拒絕方式;2、處理生物識別、醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個人信息,應取得個人的單獨同意;3、對違法處理個人信息的應用程序,責令暫停或者終止提供服務。個人信息保護法明確了個人信息處理和跨境提供的規(guī)則、個人信息處理者的義務等內(nèi)容。更明確指出了任何個人、組織不得過度搜集個人信息;不得非法買賣、提供或者公開他人個人信息;不得進行“大數(shù)據(jù)殺熟”;在公共場所安裝圖像采集等設備應設置顯著提示標識。對違法處理個人信息的應用程序,責令暫?;蛘呓K止提供服務;拒不改正的,并處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

普普安全資訊一周概覽(0821-0827)
普普點評

明確不得過度收集個人信息、大數(shù)據(jù)殺熟,對人臉信息等敏感個人信息的處理作出規(guī)制,完善個人信息保護投訴、舉報工作機制……這部專門法律充分回應了社會關切,為破解個人信息保護中的熱點難點問題提供了強有力的法律保障。今后,個人信息保護有了法律“安全鎖”。


普普安全資訊一周概覽(0821-0827)
普普安全資訊一周概覽(0821-0827)
NO.2

網(wǎng)絡釣魚讓大型企業(yè)年均損失1500萬美元


某安全供應商委托Ponemon Institute對近600名IT和IT安全從業(yè)人員進行了調(diào)查,編制了最新的網(wǎng)絡釣魚研究報告。報告指出,美國大型企業(yè)平均每年因與網(wǎng)絡釣魚相關的網(wǎng)絡犯罪而損失1480萬美元,遠高于2015年的380萬美元,過去六年來,美國大型企業(yè)的網(wǎng)絡釣魚平均成本飆升了289%,年均損失近1500萬美元。網(wǎng)絡釣魚憑據(jù)是勒索軟件和商業(yè)電子郵件入侵 (BEC) 的常見起點。該研究稱,勒索軟件每年給大型企業(yè)造成570萬美元的損失,而BEC則為600萬美元。網(wǎng)絡釣魚造成的損失被比勒索軟件和BEC損失的總和還多。遏制初始憑證網(wǎng)絡釣魚攻擊的平均成本從2015年的381,920美元增加到了2021年的692,531美元。企業(yè)通常每年會經(jīng)歷五次以上的此類事件。網(wǎng)絡釣魚攻擊增加了企業(yè)數(shù)據(jù)泄露和業(yè)務中斷的可能性,公司投入的成本更多的是用于彌補生產(chǎn)力損失和問題修復,而不是支付給攻擊者的實際贖金。

普普安全資訊一周概覽(0821-0827)
普普點評

由于攻擊者現(xiàn)在的目標是員工而不是網(wǎng)絡,因此近年來憑證泄露呈爆炸式增長,為BEC和勒索軟件等更具破壞性的攻擊敞開了大門。企業(yè)只有部署以人為本的網(wǎng)絡安全方法,整合安全意識培訓和集成式威脅防護,才能阻止和修復網(wǎng)絡釣魚攻擊威脅。

普普安全資訊一周概覽(0821-0827)
普普安全資訊一周概覽(0821-0827)
NO.3

2021年上半年3億多次勒索軟件攻擊量創(chuàng)紀錄 已超2020全年數(shù)據(jù)


SonicWall的一份新報告發(fā)現(xiàn),勒索軟件攻擊量在2021年上半年猛增,多達3.047億次。2021年上半年看到的勒索軟件攻擊總數(shù)超過了2020年全年數(shù)量總和的3.046 億,同比增長了151%。根據(jù)2021年SonicWall網(wǎng)絡威脅報告,年初至今,該公司發(fā)現(xiàn)美國和英國的勒索軟件攻擊數(shù)量大幅飆升了185%和144%。在2021年上半年,美國、英國、德國、南非和巴西是受勒索軟件影響最嚴重的國家。該報告是根據(jù)SonicWall Capture Threat Network收集的信息編制的,該網(wǎng)絡系統(tǒng)包括215個國家和地區(qū)的超過110萬個安全傳感器,從全球數(shù)以萬計的防火墻和電子郵件安全設備收集惡意軟件和IP信譽數(shù)據(jù)。報告指出,2021年最常受到攻擊的是政府組織,其遭受的索軟件攻擊數(shù)量是去年的三倍。教育領域、醫(yī)療保健和零售組織的勒索軟件攻擊分別增長了615%、594%和264%。報告同時指出,惡意軟件和加密劫持攻擊數(shù)量也有不同程度的大幅增長。

普普安全資訊一周概覽(0821-0827)
普普點評

勒索軟件、加密劫持和其他以貨幣化為目標的獨特惡意軟件形式持續(xù)增加,它們的策略不斷演變,這表明了網(wǎng)絡犯罪活動始終追隨金錢利益,并且能夠抓取新的機會和迅速適應不斷變化的環(huán)境。全球疫情的蔓延導致遠程工作成為常態(tài),而企業(yè)也將繼續(xù)面臨高度的網(wǎng)絡安全風險。

普普安全資訊一周概覽(0821-0827)
普普安全資訊一周概覽(0821-0827)
NO.4

1720萬次/秒!HTTP DDoS攻擊峰值創(chuàng)下新高


根據(jù)Cloudflare的監(jiān)測報告,今年7月份的一次短暫DDoS攻擊(分布式拒絕服務攻擊)的攻擊峰值為每秒1720萬次請求 (rps),創(chuàng)下歷史新高。Cloudflare的DDoS保護系統(tǒng)記錄了此次攻擊,占2021年第二季度所有合法HTTP流量平均速率的70%左右。

7月份的這次“瞬間攻擊”持續(xù)了不到一分鐘,總共發(fā)送了超過3.3億條針對金融行業(yè)企業(yè)的請求。攻擊峰值的每秒請求數(shù)高達 1720 萬,并在15秒的高峰期內(nèi)基本保護在每秒1500萬次左右。雖然此次攻擊的持續(xù)時間不長,但它威力驚人,這表明DDoS攻擊者正在提高他們的攻擊能力。

Cloudflare表示,攻擊者利用了來自世界各地的至少20,000臺設備的僵尸網(wǎng)絡。產(chǎn)生攻擊流量的大多數(shù)IP地址位于印度尼西亞(15%),其次是印度和巴西(合計17%)。

據(jù)悉,Cloudflare應對的這種HTTP DDoS攻擊幾乎是我們所知道的此前攻擊的三倍。Cloudflare服務負載每秒超過2500萬個HTTP請求,7月份的DDoS攻擊最猛烈,達到了其服務容量的68%。

普普安全資訊一周概覽(0821-0827)
普普點評

面對DDoS攻擊,目前還沒有完美的抵御手段。但是完全可以通過部署對應的安全措施來降低DDoS攻擊帶來的影響。在部署企業(yè)整體安全策略時可以將DDoS防御作為其重要部分,同時防惡意植入、反病毒保護等安全措施同樣不可或缺。企業(yè)要重視自身的網(wǎng)絡安全體系建設。

普普安全資訊一周概覽(0821-0827)
普普安全資訊一周概覽(0821-0827)
NO.5

你知道如何應對電子郵件威脅嗎?


Area 1 Security日前發(fā)布了一份研究報告,數(shù)據(jù)顯示網(wǎng)絡釣魚電子郵件和BEC商業(yè)電子郵件欺詐正在給企業(yè)帶來高昂損失。報告還指出,安全意識培訓固然重要,但由于誤報率居高不下,仍然需要采取“人+技術+流程”多管齊下的安全措施來保障企業(yè)電子郵件應用的安全。

報告指出,網(wǎng)絡釣魚是一種有利可圖的商業(yè)模式,大多數(shù)網(wǎng)絡安全事件都始于網(wǎng)絡釣魚電子郵件。一些看似無害的普通電子郵件卻可能會導致公司范圍內(nèi)的業(yè)務中斷、關鍵數(shù)據(jù)丟失以及數(shù)百萬的財務成本。防止攻擊的一個關鍵方面是深入了解網(wǎng)絡攻擊者的行為模式,并持續(xù)監(jiān)控和分析其活動以預測未來的攻擊。

從勒索軟件、憑據(jù)收集器到商業(yè)電子郵件入侵 ( BEC ) ,這些難以發(fā)現(xiàn)但代價高昂的威脅,每年正在給大型企業(yè)用戶造成超過 3.54 億美元的直接損失。

報告分析師認為:大約 92% 的企業(yè)員工所報告網(wǎng)絡釣魚郵件并不是真正惡意的,而是良性的垃圾郵件或群發(fā)郵件,這通常會干擾IT團隊發(fā)現(xiàn)和阻止實際威脅。而有效的解決方案之一是先發(fā)制人的、基于云的電子郵件安全解決方案,可以防止網(wǎng)絡釣魚攻擊收件箱。

普普安全資訊一周概覽(0821-0827)
普普點評

防御電子郵件威脅的有效措施:

1.可通過增加動態(tài)驗證碼、雙重密碼等方式來保護帳戶,切勿重復使用密碼。

2.提升安全防范意識,點擊電子郵件前通過發(fā)送者信息等評估郵件安全性,不點擊來歷不明的的電子郵件。

3.建立和培訓應對BEC的預案和流程,例如要求多個審批者或“帶外”供應商驗證才能將資金轉(zhuǎn)移到新賬戶。

普普安全資訊一周概覽(0821-0827)
普普安全資訊一周概覽(0821-0827)
NO.6

巴林政府監(jiān)控人權活動家 間諜軟件實現(xiàn)零點擊感染


據(jù)外媒報道,巴林政府在利用Pegasus間諜軟件監(jiān)控巴林人權活動人士。NSO Group在這款間諜軟件上利用“Zero Click”的iMessage 漏洞,規(guī)避了蘋果的安全防護。

Pegasus是以色列公司NSO Group研發(fā)的一款用于監(jiān)控手機短信、郵件、照片等隱私信息的間諜軟件,能夠入侵世界范圍內(nèi)的蘋果與安卓手機,通常出售給人權信用良好的政府和執(zhí)法機構。據(jù)NSO稱,Pegasus只會用于調(diào)查及對抗犯罪和恐怖活動。但有流言說NSO為了利益不負責任地售賣,間諜軟件也被濫用于監(jiān)視國家領導人、活動家、記者等。

“Zero Click”,即 “零點擊”,意思是無需用戶交互即可實現(xiàn)攻擊,與需要用戶點擊鏈接才能實現(xiàn)攻擊的“One Click”對應。

蘋果于今年年初為iPhone和iPad增加了一個“BlastDoor”沙箱安全系統(tǒng),負責在安全的環(huán)境中解析iMessage中所有不受信任的數(shù)據(jù),檢視其中是否含有惡意代碼,以防止利用信息應用進行的攻擊。而在本次事件中,間諜軟件通過蘋果iMessage中的一個0day漏洞,零點擊感染了攻擊目標的手機。研究人員將這個安全漏洞稱為ForcedEntry。

普普安全資訊一周概覽(0821-0827)
普普點評

在信息技術飛速發(fā)展的今天,任何用戶都需要具備一定的信息安全意識。雖然這個間諜軟件能夠肆意侵犯蘋果與安卓手機,但其價格高昂,絕大部分人不用擔心自己的手機會遭到其攻擊。對于“Zero Click”個人也許無能為力,但對于“One Click”,防范手段則很簡單,不要隨意點擊不明鏈接即可。

普普安全資訊一周概覽(0821-0827)
普普安全資訊一周概覽(0821-0827)
NO.7

美國白宮組織網(wǎng)絡安全密會 微軟谷歌投資300億美元


蘋果公司首席執(zhí)行官蒂姆·庫克(Tim Cook)、微軟首席執(zhí)行官薩蒂亞·納德拉(Satya Nadella),還有谷歌、亞馬遜和IBM的負責人于當?shù)貢r間周三訪問白宮,與總統(tǒng)拜登討論緊迫的網(wǎng)絡安全問題。

會議的主題圍繞政府和私營部門如何共同努力改善國家的網(wǎng)絡安全。在政府努力加強國家網(wǎng)絡安全的基礎上,政府和商界領袖也在關鍵領域發(fā)表了聲明。據(jù)悉,科技公司CEO 還與拜登內(nèi)閣成員會面,探討如何建立更持久的網(wǎng)絡安全,而其他高管將專注于關鍵基礎設施和網(wǎng)絡安全從業(yè)人員(近50萬個公共和私人網(wǎng)絡安全崗位仍然空缺)。

與會者宣布的相關承諾和倡議:

NIST與微軟、谷歌、IBM等合作開發(fā)新框架;

ICS網(wǎng)絡安全計劃,擴展至天然氣管道;

蘋果:技術供應鏈安全;

谷歌:5年投資100億美元;

微軟:5年投資200億美元;

IBM:3年培訓15萬人;

亞馬遜:免費安全意識培訓。

普普安全資訊一周概覽(0821-0827)
普普點評

白宮在會上宣布美國國家標準和技術研究所將與各行業(yè)合作,創(chuàng)建一個關于提升技術供應鏈安全的框架,為如何建立技術安全提供指導,并評估包括開源軟件在內(nèi)的產(chǎn)品安全性。包括谷歌、微軟、IBM在內(nèi)的行業(yè)巨頭也都對此框架做出了承諾。重視網(wǎng)絡安全問題,在大國之間已經(jīng)是公開的秘密,相信隨著信息技術的持續(xù)演進,網(wǎng)絡安全行業(yè)必將迅猛發(fā)展!