《個(gè)人信息保護法》表決通過(guò) 將于11月1日起施行

據新華社消息，十三屆全國人大常委會(huì )第三十次會(huì )議20日表決通過(guò)《中華人民共和國個(gè)人信息保護法》。個(gè)人信息保護法自2021年11月1日起施行。其中明確：1、通過(guò)自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷(xiāo)，應提供不針對其個(gè)人特征的選項或提供便捷的拒絕方式；2、處理生物識別、醫療健康、金融賬戶(hù)、行蹤軌跡等敏感個(gè)人信息，應取得個(gè)人的單獨同意；3、對違法處理個(gè)人信息的應用程序，責令暫?；蛘呓K止提供服務(wù)。個(gè)人信息保護法明確了個(gè)人信息處理和跨境提供的規則、個(gè)人信息處理者的義務(wù)等內容。更明確指出了任何個(gè)人、組織不得過(guò)度搜集個(gè)人信息；不得非法買(mǎi)賣(mài)、提供或者公開(kāi)他人個(gè)人信息；不得進(jìn)行“大數據殺熟”；在公共場(chǎng)所安裝圖像采集等設備應設置顯著(zhù)提示標識。對違法處理個(gè)人信息的應用程序，責令暫?；蛘呓K止提供服務(wù);拒不改正的，并處一百萬(wàn)元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬(wàn)元以上十萬(wàn)元以下罰款。

普普點(diǎn)評

明確不得過(guò)度收集個(gè)人信息、大數據殺熟，對人臉信息等敏感個(gè)人信息的處理作出規制，完善個(gè)人信息保護投訴、舉報工作機制……這部專(zhuān)門(mén)法律充分回應了社會(huì )關(guān)切，為破解個(gè)人信息保護中的熱點(diǎn)難點(diǎn)問(wèn)題提供了強有力的法律保障。今后，個(gè)人信息保護有了法律“安全鎖”。

網(wǎng)絡(luò )釣魚(yú)讓大型企業(yè)年均損失1500萬(wàn)美元

某安全供應商委托Ponemon Institute對近600名IT和IT安全從業(yè)人員進(jìn)行了調查，編制了最新的網(wǎng)絡(luò )釣魚(yú)研究報告。報告指出，美國大型企業(yè)平均每年因與網(wǎng)絡(luò )釣魚(yú)相關(guān)的網(wǎng)絡(luò )犯罪而損失1480萬(wàn)美元，遠高于2015年的380萬(wàn)美元，過(guò)去六年來(lái)，美國大型企業(yè)的網(wǎng)絡(luò )釣魚(yú)平均成本飆升了289%，年均損失近1500萬(wàn)美元。網(wǎng)絡(luò )釣魚(yú)憑據是勒索軟件和商業(yè)電子郵件入侵 (BEC) 的常見(jiàn)起點(diǎn)。該研究稱(chēng)，勒索軟件每年給大型企業(yè)造成570萬(wàn)美元的損失，而B(niǎo)EC則為600萬(wàn)美元。網(wǎng)絡(luò )釣魚(yú)造成的損失被比勒索軟件和BEC損失的總和還多。遏制初始憑證網(wǎng)絡(luò )釣魚(yú)攻擊的平均成本從2015年的381,920美元增加到了2021年的692,531美元。企業(yè)通常每年會(huì )經(jīng)歷五次以上的此類(lèi)事件。網(wǎng)絡(luò )釣魚(yú)攻擊增加了企業(yè)數據泄露和業(yè)務(wù)中斷的可能性，公司投入的成本更多的是用于彌補生產(chǎn)力損失和問(wèn)題修復，而不是支付給攻擊者的實(shí)際贖金。

普普點(diǎn)評

由于攻擊者現在的目標是員工而不是網(wǎng)絡(luò )，因此近年來(lái)憑證泄露呈爆炸式增長(cháng)，為BEC和勒索軟件等更具破壞性的攻擊敞開(kāi)了大門(mén)。企業(yè)只有部署以人為本的網(wǎng)絡(luò )安全方法，整合安全意識培訓和集成式威脅防護，才能阻止和修復網(wǎng)絡(luò )釣魚(yú)攻擊威脅。

2021年上半年3億多次勒索軟件攻擊量創(chuàng )紀錄 已超2020全年數據

SonicWall的一份新報告發(fā)現，勒索軟件攻擊量在2021年上半年猛增，多達3.047億次。2021年上半年看到的勒索軟件攻擊總數超過(guò)了2020年全年數量總和的3.046 億，同比增長(cháng)了151%。根據2021年SonicWall網(wǎng)絡(luò )威脅報告，年初至今，該公司發(fā)現美國和英國的勒索軟件攻擊數量大幅飆升了185%和144%。在2021年上半年，美國、英國、德國、南非和巴西是受勒索軟件影響最嚴重的國家。該報告是根據SonicWall Capture Threat Network收集的信息編制的，該網(wǎng)絡(luò )系統包括215個(gè)國家和地區的超過(guò)110萬(wàn)個(gè)安全傳感器，從全球數以萬(wàn)計的防火墻和電子郵件安全設備收集惡意軟件和IP信譽(yù)數據。報告指出，2021年最常受到攻擊的是政府組織，其遭受的索軟件攻擊數量是去年的三倍。教育領(lǐng)域、醫療保健和零售組織的勒索軟件攻擊分別增長(cháng)了615%、594%和264%。報告同時(shí)指出，惡意軟件和加密劫持攻擊數量也有不同程度的大幅增長(cháng)。

普普點(diǎn)評

勒索軟件、加密劫持和其他以貨幣化為目標的獨特惡意軟件形式持續增加，它們的策略不斷演變，這表明了網(wǎng)絡(luò )犯罪活動(dòng)始終追隨金錢(qián)利益，并且能夠抓取新的機會(huì )和迅速適應不斷變化的環(huán)境。全球疫情的蔓延導致遠程工作成為常態(tài)，而企業(yè)也將繼續面臨高度的網(wǎng)絡(luò )安全風(fēng)險。

1720萬(wàn)次/秒!HTTP DDoS攻擊峰值創(chuàng )下新高

根據Cloudflare的監測報告，今年7月份的一次短暫DDoS攻擊（分布式拒絕服務(wù)攻擊）的攻擊峰值為每秒1720萬(wàn)次請求 (rps)，創(chuàng )下歷史新高。Cloudflare的DDoS保護系統記錄了此次攻擊，占2021年第二季度所有合法HTTP流量平均速率的70%左右。

7月份的這次“瞬間攻擊”持續了不到一分鐘，總共發(fā)送了超過(guò)3.3億條針對金融行業(yè)企業(yè)的請求。攻擊峰值的每秒請求數高達 1720 萬(wàn)，并在15秒的高峰期內基本保護在每秒1500萬(wàn)次左右。雖然此次攻擊的持續時(shí)間不長(cháng)，但它威力驚人，這表明DDoS攻擊者正在提高他們的攻擊能力。

Cloudflare表示，攻擊者利用了來(lái)自世界各地的至少20,000臺設備的僵尸網(wǎng)絡(luò )。產(chǎn)生攻擊流量的大多數IP地址位于印度尼西亞（15%），其次是印度和巴西（合計17%）。

據悉，Cloudflare應對的這種HTTP DDoS攻擊幾乎是我們所知道的此前攻擊的三倍。Cloudflare服務(wù)負載每秒超過(guò)2500萬(wàn)個(gè)HTTP請求，7月份的DDoS攻擊最猛烈，達到了其服務(wù)容量的68%。

普普點(diǎn)評

面對DDoS攻擊，目前還沒(méi)有完美的抵御手段。但是完全可以通過(guò)部署對應的安全措施來(lái)降低DDoS攻擊帶來(lái)的影響。在部署企業(yè)整體安全策略時(shí)可以將DDoS防御作為其重要部分，同時(shí)防惡意植入、反病毒保護等安全措施同樣不可或缺。企業(yè)要重視自身的網(wǎng)絡(luò )安全體系建設。

你知道如何應對電子郵件威脅嗎？

Area 1 Security日前發(fā)布了一份研究報告，數據顯示網(wǎng)絡(luò )釣魚(yú)電子郵件和BEC商業(yè)電子郵件欺詐正在給企業(yè)帶來(lái)高昂損失。報告還指出，安全意識培訓固然重要，但由于誤報率居高不下，仍然需要采取“人+技術(shù)+流程”多管齊下的安全措施來(lái)保障企業(yè)電子郵件應用的安全。

報告指出，網(wǎng)絡(luò )釣魚(yú)是一種有利可圖的商業(yè)模式，大多數網(wǎng)絡(luò )安全事件都始于網(wǎng)絡(luò )釣魚(yú)電子郵件。一些看似無(wú)害的普通電子郵件卻可能會(huì )導致公司范圍內的業(yè)務(wù)中斷、關(guān)鍵數據丟失以及數百萬(wàn)的財務(wù)成本。防止攻擊的一個(gè)關(guān)鍵方面是深入了解網(wǎng)絡(luò )攻擊者的行為模式，并持續監控和分析其活動(dòng)以預測未來(lái)的攻擊。

從勒索軟件、憑據收集器到商業(yè)電子郵件入侵 ( BEC ) ，這些難以發(fā)現但代價(jià)高昂的威脅，每年正在給大型企業(yè)用戶(hù)造成超過(guò) 3.54 億美元的直接損失。

報告分析師認為：大約 92% 的企業(yè)員工所報告網(wǎng)絡(luò )釣魚(yú)郵件并不是真正惡意的，而是良性的垃圾郵件或群發(fā)郵件，這通常會(huì )干擾IT團隊發(fā)現和阻止實(shí)際威脅。而有效的解決方案之一是先發(fā)制人的、基于云的電子郵件安全解決方案，可以防止網(wǎng)絡(luò )釣魚(yú)攻擊收件箱。

普普點(diǎn)評

防御電子郵件威脅的有效措施：

1.可通過(guò)增加動(dòng)態(tài)驗證碼、雙重密碼等方式來(lái)保護帳戶(hù)，切勿重復使用密碼。

2.提升安全防范意識，點(diǎn)擊電子郵件前通過(guò)發(fā)送者信息等評估郵件安全性，不點(diǎn)擊來(lái)歷不明的的電子郵件。

3.建立和培訓應對BEC的預案和流程，例如要求多個(gè)審批者或“帶外”供應商驗證才能將資金轉移到新賬戶(hù)。

巴林政府監控人權活動(dòng)家 間諜軟件實(shí)現零點(diǎn)擊感染

據外媒報道，巴林政府在利用Pegasus間諜軟件監控巴林人權活動(dòng)人士。NSO Group在這款間諜軟件上利用“Zero Click”的iMessage 漏洞，規避了蘋(píng)果的安全防護。

Pegasus是以色列公司NSO Group研發(fā)的一款用于監控手機短信、郵件、照片等隱私信息的間諜軟件，能夠入侵世界范圍內的蘋(píng)果與安卓手機，通常出售給人權信用良好的政府和執法機構。據NSO稱(chēng)，Pegasus只會(huì )用于調查及對抗犯罪和恐怖活動(dòng)。但有流言說(shuō)NSO為了利益不負責任地售賣(mài)，間諜軟件也被濫用于監視國家領(lǐng)導人、活動(dòng)家、記者等。

“Zero Click”，即 “零點(diǎn)擊”，意思是無(wú)需用戶(hù)交互即可實(shí)現攻擊，與需要用戶(hù)點(diǎn)擊鏈接才能實(shí)現攻擊的“One Click”對應。

蘋(píng)果于今年年初為iPhone和iPad增加了一個(gè)“BlastDoor”沙箱安全系統，負責在安全的環(huán)境中解析iMessage中所有不受信任的數據，檢視其中是否含有惡意代碼，以防止利用信息應用進(jìn)行的攻擊。而在本次事件中，間諜軟件通過(guò)蘋(píng)果iMessage中的一個(gè)0day漏洞，零點(diǎn)擊感染了攻擊目標的手機。研究人員將這個(gè)安全漏洞稱(chēng)為ForcedEntry。

普普點(diǎn)評

在信息技術(shù)飛速發(fā)展的今天，任何用戶(hù)都需要具備一定的信息安全意識。雖然這個(gè)間諜軟件能夠肆意侵犯蘋(píng)果與安卓手機，但其價(jià)格高昂，絕大部分人不用擔心自己的手機會(huì )遭到其攻擊。對于“Zero Click”個(gè)人也許無(wú)能為力，但對于“One Click”，防范手段則很簡(jiǎn)單，不要隨意點(diǎn)擊不明鏈接即可。

美國白宮組織網(wǎng)絡(luò )安全密會(huì ) 微軟谷歌投資300億美元

蘋(píng)果公司首席執行官蒂姆·庫克（Tim Cook）、微軟首席執行官薩蒂亞·納德拉（Satya Nadella），還有谷歌、亞馬遜和IBM的負責人于當地時(shí)間周三訪(fǎng)問(wèn)白宮，與總統拜登討論緊迫的網(wǎng)絡(luò )安全問(wèn)題。

會(huì )議的主題圍繞政府和私營(yíng)部門(mén)如何共同努力改善國家的網(wǎng)絡(luò )安全。在政府努力加強國家網(wǎng)絡(luò )安全的基礎上，政府和商界領(lǐng)袖也在關(guān)鍵領(lǐng)域發(fā)表了聲明。據悉，科技公司CEO 還與拜登內閣成員會(huì )面，探討如何建立更持久的網(wǎng)絡(luò )安全，而其他高管將專(zhuān)注于關(guān)鍵基礎設施和網(wǎng)絡(luò )安全從業(yè)人員（近50萬(wàn)個(gè)公共和私人網(wǎng)絡(luò )安全崗位仍然空缺）。

與會(huì )者宣布的相關(guān)承諾和倡議：

NIST與微軟、谷歌、IBM等合作開(kāi)發(fā)新框架；

ICS網(wǎng)絡(luò )安全計劃，擴展至天然氣管道；

蘋(píng)果：技術(shù)供應鏈安全；

谷歌：5年投資100億美元；

微軟：5年投資200億美元；

IBM：3年培訓15萬(wàn)人；

亞馬遜：免費安全意識培訓。

普普點(diǎn)評

白宮在會(huì )上宣布美國國家標準和技術(shù)研究所將與各行業(yè)合作，創(chuàng )建一個(gè)關(guān)于提升技術(shù)供應鏈安全的框架，為如何建立技術(shù)安全提供指導，并評估包括開(kāi)源軟件在內的產(chǎn)品安全性。包括谷歌、微軟、IBM在內的行業(yè)巨頭也都對此框架做出了承諾。重視網(wǎng)絡(luò )安全問(wèn)題，在大國之間已經(jīng)是公開(kāi)的秘密，相信隨著(zhù)信息技術(shù)的持續演進(jìn)，網(wǎng)絡(luò )安全行業(yè)必將迅猛發(fā)展！