1.28億iOS用戶(hù)被攻擊，蘋(píng)果卻對此進(jìn)行隱瞞

2021年3月，Hackread.com報告了一次供應鏈攻擊，在此次攻擊活動(dòng)中，網(wǎng)絡(luò )犯罪分子使用了XcodeSpy惡意軟件來(lái)攻擊那些使用Xcode集成開(kāi)發(fā)環(huán)境的開(kāi)發(fā)人員，而2015年也曾出現過(guò)類(lèi)似的惡意軟件。該惡意軟件代號為XcodeGhost，它將允許攻擊者使用從第三方網(wǎng)站下載的惡意版本Xcode在合法應用程序中插入惡意代碼。需要注意的是，Xcode是蘋(píng)果的官方應用程序開(kāi)發(fā)工具。在當時(shí)，有報道稱(chēng)蘋(píng)果很快就終止了相關(guān)的攻擊活動(dòng)。

然而，根據一份最新報告，Epic Games在跟蘋(píng)果打官司的過(guò)程中層提交過(guò)一份電子郵件內容，并披露了關(guān)于這一特定攻擊的令人吃驚的新細節。結果顯示，近1.28億iOS用戶(hù)下載了包含XcodeGhost惡意軟件的應用程序，而蘋(píng)果方面卻對此次惡意軟件攻擊一直保密，沒(méi)有透露任何關(guān)于此次攻擊活動(dòng)的細節內容。

蘋(píng)果公司選擇不通知用戶(hù)大規模泄密的事實(shí)，肯定會(huì )損害其六年前聲稱(chēng)自己專(zhuān)注于隱私的公司聲譽(yù)。

拜登簽署加強國家網(wǎng)絡(luò )安全的行政命令

2021年5月12日，美國總統拜登簽署名為“加強國家網(wǎng)絡(luò )安全的行政命令”（Executive Order on Improving the Nation’s Cybersecurity）以加強網(wǎng)絡(luò )網(wǎng)絡(luò )安全和保護聯(lián)邦政府網(wǎng)絡(luò )。行政命令9個(gè)主要部分內容：

（1）政策

（2）移除威脅信息共享的障礙

（3）聯(lián)邦政府網(wǎng)絡(luò )安全現代化

（4）增強軟件供應鏈的安全

（5）成立網(wǎng)絡(luò )安全審查委員會(huì )

（6）聯(lián)邦政府網(wǎng)絡(luò )安全漏洞和事件應急響應標準化（7）加強聯(lián)邦政府網(wǎng)絡(luò )中網(wǎng)絡(luò )安全漏洞的檢測能力（8）加強聯(lián)邦政府網(wǎng)絡(luò )安全事件的調查

（9）修復能力、國家安全系統

SolarWinds供應鏈攻擊事件、微軟exchange漏洞、COLONIAL PIPELINE輸油管道事件等近期發(fā)生的網(wǎng)絡(luò )安全事件使得美國政府和人民意識到來(lái)自網(wǎng)絡(luò )的復雜惡意活動(dòng)，暴露出網(wǎng)絡(luò )安全防御能力不足等問(wèn)題，使得公私部門(mén)使得更容易受到相關(guān)事件的影響

美國土安全部警告——

針對中小企業(yè)的勒索軟件攻擊已超過(guò)50%

美國國土安全部部長(cháng)Alejandro Mayorkas5月12日在演講中表示，美國的勒索軟件攻擊中約有50%到70%是針對中小企業(yè)的，去年總計造成3.5億美元的損失。他指出，這也是為什么國土安全部不斷與勒索軟件斗智斗勇的原因。

美國國土安全部（DHS）通過(guò)美國網(wǎng)絡(luò )安全和基礎設施安全局（CISA）以及美國特勤局提供了相關(guān)的工具和教育程序，小型企業(yè)可以使用它們來(lái)幫助企業(yè)更好地抵御勒索軟件攻擊。Mayorkas表示，國土安全部將與中小公司一同協(xié)手對抗勒索軟件的攻擊。他指出，在過(guò)去的一年中，針對小型企業(yè)的勒索軟件攻擊增加了300%。3月，Mayorkas宣布美國國土安全部將進(jìn)行為期60天的演練，重點(diǎn)是與勒索軟件作斗爭。隨后的4月，司法部成立了勒索軟件和數字勒索工作組，其中包括司法部官員以及美國聯(lián)邦調查局和美國檢察官執行辦公室的代表“在網(wǎng)絡(luò )安全領(lǐng)域，我們有一系列的打擊計劃。

小型企業(yè)是美國經(jīng)濟的支柱，因此它們也是勒索軟件團伙的主要目標。關(guān)注小型企業(yè)網(wǎng)絡(luò )安全至關(guān)重要。

網(wǎng)絡(luò )安全屆的年度盛會(huì )召開(kāi)

網(wǎng)絡(luò )安全屆的年度盛會(huì )RSA Conference 2021已于美國時(shí)間2021年5月17日8：00正式召開(kāi)（北京時(shí)間5月17日20：00）。此次RSA大會(huì )不同以往，采用了網(wǎng)絡(luò )虛擬會(huì )議的形式進(jìn)行全線(xiàn)上展示，圍繞著(zhù)本次大會(huì )的主題——Resilience（彈性）分享一系列干貨滿(mǎn)滿(mǎn)的新觀(guān)點(diǎn)、新方法、新技術(shù)。

RSA會(huì )議是一系列IT安全會(huì )議。每年約有上萬(wàn)人次參加，其主打事件是每年在舊金山舉行的安全會(huì )議。RSA 會(huì )議始于1991年，當時(shí)只是以“密碼，標準和公共政策”為主題的小型加密會(huì )議，為密碼學(xué)家收集和分享互聯(lián)網(wǎng)安全領(lǐng)域的最新知識和進(jìn)步的論壇。從1995年開(kāi)始，RSA大會(huì )每年都會(huì )定下一個(gè)精煉的主題。這些主題一定程度上反映了全球安全市場(chǎng)的趨勢變化。

關(guān)注網(wǎng)絡(luò )安全屆的年度盛會(huì )可以收獲各路大牛的觀(guān)點(diǎn)、學(xué)到最新的方法與技術(shù)、掌握網(wǎng)絡(luò )安全最新趨勢。

美國陸軍開(kāi)發(fā)出深度偽造檢測技術(shù)：DefakeHop

深度偽造（Deepfake）不僅是社工釣魚(yú)攻擊、BEC商務(wù)郵件攻擊的下一個(gè)“熱點(diǎn)”，同時(shí)也對業(yè)務(wù)欺詐檢測、生物特征身份認證等安全技術(shù)構成嚴重威脅，更是未來(lái)“毫秒級”數字化現代戰爭的重大隱患。而對抗“深度偽造”最好的方法就是“深度檢測”，用AI來(lái)檢測惡意AI。

近日，陸軍研究人員宣布開(kāi)發(fā)出一種深度偽造檢測方法，可以開(kāi)發(fā)出先進(jìn)的軍用技術(shù)來(lái)幫助士兵快速檢測和識別深度偽造相關(guān)威脅。這項研究工作的目標是開(kāi)發(fā)出輕量化的、低訓練成本、高性能的面部生物特征識別技術(shù)，可以滿(mǎn)足士兵在戰斗中對隨身設備的尺寸、重量和功率要求。美國陸軍作戰能力發(fā)展指揮部（DEVCOM）、陸軍研究實(shí)驗室（ARL）與南加州大學(xué)教授c-c Jay Kuo的研究小組著(zhù)手解決深度偽造對社會(huì )和國家安全構成的重大威脅。研究成果就是一個(gè)稱(chēng)為DefakeHop的創(chuàng )新技術(shù)解決方案。

深度偽造技術(shù)對軍事和日常生活都有影響（威脅），而在對抗深度偽造的研究領(lǐng)域，DefakeHop方案相比現有技術(shù)有著(zhù)顯著(zhù)優(yōu)勢，為人工智能、計算機視覺(jué)、智能場(chǎng)景理解和面部生物特征識別等人工智能領(lǐng)域的研究提供了全新的范型和知識。