《個(gè)人信息保護(hù)法》表決通過 將于11月1日起施行

據(jù)新華社消息，十三屆全國人大常委會(huì)第三十次會(huì)議20日表決通過《中華人民共和國個(gè)人信息保護(hù)法》。個(gè)人信息保護(hù)法自2021年11月1日起施行。其中明確：1、通過自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營銷，應(yīng)提供不針對其個(gè)人特征的選項(xiàng)或提供便捷的拒絕方式；2、處理生物識(shí)別、醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個(gè)人信息，應(yīng)取得個(gè)人的單獨(dú)同意；3、對違法處理個(gè)人信息的應(yīng)用程序，責(zé)令暫?；蛘呓K止提供服務(wù)。個(gè)人信息保護(hù)法明確了個(gè)人信息處理和跨境提供的規(guī)則、個(gè)人信息處理者的義務(wù)等內(nèi)容。更明確指出了任何個(gè)人、組織不得過度搜集個(gè)人信息；不得非法買賣、提供或者公開他人個(gè)人信息；不得進(jìn)行“大數(shù)據(jù)殺熟”；在公共場所安裝圖像采集等設(shè)備應(yīng)設(shè)置顯著提示標(biāo)識(shí)。對違法處理個(gè)人信息的應(yīng)用程序，責(zé)令暫停或者終止提供服務(wù);拒不改正的，并處一百萬元以下罰款;對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款。

普普點(diǎn)評

明確不得過度收集個(gè)人信息、大數(shù)據(jù)殺熟，對人臉信息等敏感個(gè)人信息的處理作出規(guī)制，完善個(gè)人信息保護(hù)投訴、舉報(bào)工作機(jī)制……這部專門法律充分回應(yīng)了社會(huì)關(guān)切，為破解個(gè)人信息保護(hù)中的熱點(diǎn)難點(diǎn)問題提供了強(qiáng)有力的法律保障。今后，個(gè)人信息保護(hù)有了法律“安全鎖”。

網(wǎng)絡(luò)釣魚讓大型企業(yè)年均損失1500萬美元

某安全供應(yīng)商委托Ponemon Institute對近600名IT和IT安全從業(yè)人員進(jìn)行了調(diào)查，編制了最新的網(wǎng)絡(luò)釣魚研究報(bào)告。報(bào)告指出，美國大型企業(yè)平均每年因與網(wǎng)絡(luò)釣魚相關(guān)的網(wǎng)絡(luò)犯罪而損失1480萬美元，遠(yuǎn)高于2015年的380萬美元，過去六年來，美國大型企業(yè)的網(wǎng)絡(luò)釣魚平均成本飆升了289%，年均損失近1500萬美元。網(wǎng)絡(luò)釣魚憑據(jù)是勒索軟件和商業(yè)電子郵件入侵 (BEC) 的常見起點(diǎn)。該研究稱，勒索軟件每年給大型企業(yè)造成570萬美元的損失，而BEC則為600萬美元。網(wǎng)絡(luò)釣魚造成的損失被比勒索軟件和BEC損失的總和還多。遏制初始憑證網(wǎng)絡(luò)釣魚攻擊的平均成本從2015年的381,920美元增加到了2021年的692,531美元。企業(yè)通常每年會(huì)經(jīng)歷五次以上的此類事件。網(wǎng)絡(luò)釣魚攻擊增加了企業(yè)數(shù)據(jù)泄露和業(yè)務(wù)中斷的可能性，公司投入的成本更多的是用于彌補(bǔ)生產(chǎn)力損失和問題修復(fù)，而不是支付給攻擊者的實(shí)際贖金。

普普點(diǎn)評

由于攻擊者現(xiàn)在的目標(biāo)是員工而不是網(wǎng)絡(luò)，因此近年來憑證泄露呈爆炸式增長，為BEC和勒索軟件等更具破壞性的攻擊敞開了大門。企業(yè)只有部署以人為本的網(wǎng)絡(luò)安全方法，整合安全意識(shí)培訓(xùn)和集成式威脅防護(hù)，才能阻止和修復(fù)網(wǎng)絡(luò)釣魚攻擊威脅。

2021年上半年3億多次勒索軟件攻擊量創(chuàng)紀(jì)錄 已超2020全年數(shù)據(jù)

SonicWall的一份新報(bào)告發(fā)現(xiàn)，勒索軟件攻擊量在2021年上半年猛增，多達(dá)3.047億次。2021年上半年看到的勒索軟件攻擊總數(shù)超過了2020年全年數(shù)量總和的3.046 億，同比增長了151%。根據(jù)2021年SonicWall網(wǎng)絡(luò)威脅報(bào)告，年初至今，該公司發(fā)現(xiàn)美國和英國的勒索軟件攻擊數(shù)量大幅飆升了185%和144%。在2021年上半年，美國、英國、德國、南非和巴西是受勒索軟件影響最嚴(yán)重的國家。該報(bào)告是根據(jù)SonicWall Capture Threat Network收集的信息編制的，該網(wǎng)絡(luò)系統(tǒng)包括215個(gè)國家和地區(qū)的超過110萬個(gè)安全傳感器，從全球數(shù)以萬計(jì)的防火墻和電子郵件安全設(shè)備收集惡意軟件和IP信譽(yù)數(shù)據(jù)。報(bào)告指出，2021年最常受到攻擊的是政府組織，其遭受的索軟件攻擊數(shù)量是去年的三倍。教育領(lǐng)域、醫(yī)療保健和零售組織的勒索軟件攻擊分別增長了615%、594%和264%。報(bào)告同時(shí)指出，惡意軟件和加密劫持攻擊數(shù)量也有不同程度的大幅增長。

普普點(diǎn)評

勒索軟件、加密劫持和其他以貨幣化為目標(biāo)的獨(dú)特惡意軟件形式持續(xù)增加，它們的策略不斷演變，這表明了網(wǎng)絡(luò)犯罪活動(dòng)始終追隨金錢利益，并且能夠抓取新的機(jī)會(huì)和迅速適應(yīng)不斷變化的環(huán)境。全球疫情的蔓延導(dǎo)致遠(yuǎn)程工作成為常態(tài)，而企業(yè)也將繼續(xù)面臨高度的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

1720萬次/秒!HTTP DDoS攻擊峰值創(chuàng)下新高

根據(jù)Cloudflare的監(jiān)測報(bào)告，今年7月份的一次短暫DDoS攻擊（分布式拒絕服務(wù)攻擊）的攻擊峰值為每秒1720萬次請求 (rps)，創(chuàng)下歷史新高。Cloudflare的DDoS保護(hù)系統(tǒng)記錄了此次攻擊，占2021年第二季度所有合法HTTP流量平均速率的70%左右。

7月份的這次“瞬間攻擊”持續(xù)了不到一分鐘，總共發(fā)送了超過3.3億條針對金融行業(yè)企業(yè)的請求。攻擊峰值的每秒請求數(shù)高達(dá) 1720 萬，并在15秒的高峰期內(nèi)基本保護(hù)在每秒1500萬次左右。雖然此次攻擊的持續(xù)時(shí)間不長，但它威力驚人，這表明DDoS攻擊者正在提高他們的攻擊能力。

Cloudflare表示，攻擊者利用了來自世界各地的至少20,000臺(tái)設(shè)備的僵尸網(wǎng)絡(luò)。產(chǎn)生攻擊流量的大多數(shù)IP地址位于印度尼西亞（15%），其次是印度和巴西（合計(jì)17%）。

據(jù)悉，Cloudflare應(yīng)對的這種HTTP DDoS攻擊幾乎是我們所知道的此前攻擊的三倍。Cloudflare服務(wù)負(fù)載每秒超過2500萬個(gè)HTTP請求，7月份的DDoS攻擊最猛烈，達(dá)到了其服務(wù)容量的68%。

普普點(diǎn)評

面對DDoS攻擊，目前還沒有完美的抵御手段。但是完全可以通過部署對應(yīng)的安全措施來降低DDoS攻擊帶來的影響。在部署企業(yè)整體安全策略時(shí)可以將DDoS防御作為其重要部分，同時(shí)防惡意植入、反病毒保護(hù)等安全措施同樣不可或缺。企業(yè)要重視自身的網(wǎng)絡(luò)安全體系建設(shè)。

你知道如何應(yīng)對電子郵件威脅嗎？

Area 1 Security日前發(fā)布了一份研究報(bào)告，數(shù)據(jù)顯示網(wǎng)絡(luò)釣魚電子郵件和BEC商業(yè)電子郵件欺詐正在給企業(yè)帶來高昂損失。報(bào)告還指出，安全意識(shí)培訓(xùn)固然重要，但由于誤報(bào)率居高不下，仍然需要采取“人+技術(shù)+流程”多管齊下的安全措施來保障企業(yè)電子郵件應(yīng)用的安全。

報(bào)告指出，網(wǎng)絡(luò)釣魚是一種有利可圖的商業(yè)模式，大多數(shù)網(wǎng)絡(luò)安全事件都始于網(wǎng)絡(luò)釣魚電子郵件。一些看似無害的普通電子郵件卻可能會(huì)導(dǎo)致公司范圍內(nèi)的業(yè)務(wù)中斷、關(guān)鍵數(shù)據(jù)丟失以及數(shù)百萬的財(cái)務(wù)成本。防止攻擊的一個(gè)關(guān)鍵方面是深入了解網(wǎng)絡(luò)攻擊者的行為模式，并持續(xù)監(jiān)控和分析其活動(dòng)以預(yù)測未來的攻擊。

從勒索軟件、憑據(jù)收集器到商業(yè)電子郵件入侵 ( BEC ) ，這些難以發(fā)現(xiàn)但代價(jià)高昂的威脅，每年正在給大型企業(yè)用戶造成超過 3.54 億美元的直接損失。

報(bào)告分析師認(rèn)為：大約 92% 的企業(yè)員工所報(bào)告網(wǎng)絡(luò)釣魚郵件并不是真正惡意的，而是良性的垃圾郵件或群發(fā)郵件，這通常會(huì)干擾IT團(tuán)隊(duì)發(fā)現(xiàn)和阻止實(shí)際威脅。而有效的解決方案之一是先發(fā)制人的、基于云的電子郵件安全解決方案，可以防止網(wǎng)絡(luò)釣魚攻擊收件箱。

普普點(diǎn)評

防御電子郵件威脅的有效措施：

1.可通過增加動(dòng)態(tài)驗(yàn)證碼、雙重密碼等方式來保護(hù)帳戶，切勿重復(fù)使用密碼。

2.提升安全防范意識(shí)，點(diǎn)擊電子郵件前通過發(fā)送者信息等評估郵件安全性，不點(diǎn)擊來歷不明的的電子郵件。

3.建立和培訓(xùn)應(yīng)對BEC的預(yù)案和流程，例如要求多個(gè)審批者或“帶外”供應(yīng)商驗(yàn)證才能將資金轉(zhuǎn)移到新賬戶。

巴林政府監(jiān)控人權(quán)活動(dòng)家 間諜軟件實(shí)現(xiàn)零點(diǎn)擊感染

據(jù)外媒報(bào)道，巴林政府在利用Pegasus間諜軟件監(jiān)控巴林人權(quán)活動(dòng)人士。NSO Group在這款間諜軟件上利用“Zero Click”的iMessage 漏洞，規(guī)避了蘋果的安全防護(hù)。

Pegasus是以色列公司NSO Group研發(fā)的一款用于監(jiān)控手機(jī)短信、郵件、照片等隱私信息的間諜軟件，能夠入侵世界范圍內(nèi)的蘋果與安卓手機(jī)，通常出售給人權(quán)信用良好的政府和執(zhí)法機(jī)構(gòu)。據(jù)NSO稱，Pegasus只會(huì)用于調(diào)查及對抗犯罪和恐怖活動(dòng)。但有流言說NSO為了利益不負(fù)責(zé)任地售賣，間諜軟件也被濫用于監(jiān)視國家領(lǐng)導(dǎo)人、活動(dòng)家、記者等。

“Zero Click”，即 “零點(diǎn)擊”，意思是無需用戶交互即可實(shí)現(xiàn)攻擊，與需要用戶點(diǎn)擊鏈接才能實(shí)現(xiàn)攻擊的“One Click”對應(yīng)。

蘋果于今年年初為iPhone和iPad增加了一個(gè)“BlastDoor”沙箱安全系統(tǒng)，負(fù)責(zé)在安全的環(huán)境中解析iMessage中所有不受信任的數(shù)據(jù)，檢視其中是否含有惡意代碼，以防止利用信息應(yīng)用進(jìn)行的攻擊。而在本次事件中，間諜軟件通過蘋果iMessage中的一個(gè)0day漏洞，零點(diǎn)擊感染了攻擊目標(biāo)的手機(jī)。研究人員將這個(gè)安全漏洞稱為ForcedEntry。

普普點(diǎn)評

在信息技術(shù)飛速發(fā)展的今天，任何用戶都需要具備一定的信息安全意識(shí)。雖然這個(gè)間諜軟件能夠肆意侵犯蘋果與安卓手機(jī)，但其價(jià)格高昂，絕大部分人不用擔(dān)心自己的手機(jī)會(huì)遭到其攻擊。對于“Zero Click”個(gè)人也許無能為力，但對于“One Click”，防范手段則很簡單，不要隨意點(diǎn)擊不明鏈接即可。

美國白宮組織網(wǎng)絡(luò)安全密會(huì) 微軟谷歌投資300億美元

蘋果公司首席執(zhí)行官蒂姆·庫克（Tim Cook）、微軟首席執(zhí)行官薩蒂亞·納德拉（Satya Nadella），還有谷歌、亞馬遜和IBM的負(fù)責(zé)人于當(dāng)?shù)貢r(shí)間周三訪問白宮，與總統(tǒng)拜登討論緊迫的網(wǎng)絡(luò)安全問題。

會(huì)議的主題圍繞政府和私營部門如何共同努力改善國家的網(wǎng)絡(luò)安全。在政府努力加強(qiáng)國家網(wǎng)絡(luò)安全的基礎(chǔ)上，政府和商界領(lǐng)袖也在關(guān)鍵領(lǐng)域發(fā)表了聲明。據(jù)悉，科技公司CEO 還與拜登內(nèi)閣成員會(huì)面，探討如何建立更持久的網(wǎng)絡(luò)安全，而其他高管將專注于關(guān)鍵基礎(chǔ)設(shè)施和網(wǎng)絡(luò)安全從業(yè)人員（近50萬個(gè)公共和私人網(wǎng)絡(luò)安全崗位仍然空缺）。

與會(huì)者宣布的相關(guān)承諾和倡議：

NIST與微軟、谷歌、IBM等合作開發(fā)新框架；

ICS網(wǎng)絡(luò)安全計(jì)劃，擴(kuò)展至天然氣管道；

蘋果：技術(shù)供應(yīng)鏈安全；

谷歌：5年投資100億美元；

微軟：5年投資200億美元；

IBM：3年培訓(xùn)15萬人；

亞馬遜：免費(fèi)安全意識(shí)培訓(xùn)。

普普點(diǎn)評

白宮在會(huì)上宣布美國國家標(biāo)準(zhǔn)和技術(shù)研究所將與各行業(yè)合作，創(chuàng)建一個(gè)關(guān)于提升技術(shù)供應(yīng)鏈安全的框架，為如何建立技術(shù)安全提供指導(dǎo)，并評估包括開源軟件在內(nèi)的產(chǎn)品安全性。包括谷歌、微軟、IBM在內(nèi)的行業(yè)巨頭也都對此框架做出了承諾。重視網(wǎng)絡(luò)安全問題，在大國之間已經(jīng)是公開的秘密，相信隨著信息技術(shù)的持續(xù)演進(jìn)，網(wǎng)絡(luò)安全行業(yè)必將迅猛發(fā)展！