俄烏沖突可能會推動主要的網絡安全立法的變革

美國聯邦政府前首席信息安全官Grant Schneider說，“隨著在烏克蘭發生的一切，我認為人們有更多的動機通過一些立法。任何人都很難對特定條款的細微差別掉以輕心?！?/span>

美國參議院通過的立法結合了三項先前以類似形式通過美國眾議院或正在這樣做的法案。該法案中最值得關注的條款是，要求私營部門關鍵基礎設施實體在72小時內向網絡安全和基礎設施安全局報告遭遇網絡安全事件，其中包括勒索軟件攻擊。這些實體在支付勒索軟件贖金之前必須在24小時內報告。議員們表示，美國眾議院在去年通過了一項類似的法案，但由于時間限制，美國參議院未能完全實現他們的目標。美國聯邦調查局也表達了對該法案將他們排除在事件報告之外的擔憂。

《加強美國網絡安全法案》還包括編纂和資助美國總務管理局計劃的規定，以通過獨立的第三方審計來證明美國政府云計算服務提供商的安全性。

普普點評

俄烏沖突的潛在后果可能有助于美國立法者克服時間和管轄權的障礙，并通過立法要求關鍵基礎設施的私營部門所有者向政府報告網絡安全事件，并更新《聯邦信息安全現代化法案》。俄烏沖突已經影響到了我們未來幾年的聯邦網絡安全態勢，我們必須抓住每一個機會來保護聯邦網絡免受每天面臨網絡攻擊的影響，共同致力于實現這一目標。

零信任如何緩解5G安全挑戰？

5G 時代，移動網絡的商業環境、應用場景、技術形態、網絡環境、監管要求等都發生了改變，移動網絡生態發生了變化。從商業環境上看，移動網絡從單主體網絡演進為一個多主體的網絡，存在更多不同的信任關系;從應用場景看，面向人的連接向面向機器的連接演變，承載了更多業務;從技術上看，引入基礎設施云化、網絡功能虛擬化、軟件定義網絡、網絡切片、邊緣計算、能力開放等技術，使網絡的架構和層次復雜化、邊界模糊化;從安全治理上看，國家對移動網絡提出更高的安全要求;需要從被動防御到主動防御的轉變。

移動網絡從可信可控網絡向非可信網絡發展，而目前移動網絡安全架構還是按照安全域和安全層進行設計的，采用傳統的基于位置和區域的安全設計方法和安全技術。因此，網絡無邊界和傳統安全防護之間巨大的鴻溝會給網絡、應用都帶來極大的安全風險。5G 時代云網融合需要新的解決方案適應無邊界無處不在的網絡時代。

普普點評

新一代零信任網絡空間防護體系對于5G網絡的全域安全防護體系建設，遵循“先驗證用戶和設備、后訪問業務”的產品邏輯，實現針對終端域安全、邊緣域安全、核心域安全、應用域安全和管理域安全的全覆蓋。通過傳統安全產品和技術的升級和改造，以及針對性的創新研究和突破，實現安全能力與5G安全需求的完美適配。著力打造智能、敏捷的5G安全運營閉環。

網絡攻擊從1G到5G的一個嬗變

1G網絡攻擊是病毒感染，主要是軟盤污染。20世紀80年代后期，軟盤在獨立PC之間傳輸文件。反病毒產品在世界上這個時候出現。

2G始于20世紀90年代中期，互聯網開始流行。由于所有企業都渴望與互聯網連接，一旦連接到互聯網，任何人都可以進入網絡。為阻止這種情況發生，防火墻應運而生。

3G二十一世紀初開始，網絡犯罪開始傾向于有組織犯罪。攻擊的目標已經變得特別像郵件服務器、網絡服務器和應用程序。防火墻在此時就出現不足，入侵防御產品走向市場。

2007年網絡攻擊進入4G時代。這個時代的攻擊是使用可以輕松進入任何易受攻擊的機器并從中竊取數據的工具完成的。

當2017年勒索病毒爆發，首當其沖的是英國的醫療、和我國的教育行業大面積受影響。專家認為這些攻擊特征之一，是由國家贊助的，并使用由國家組織開發的技術。

普普點評

網絡攻擊的發展已經成為規模，并且穩健的增長著，正應了尤金卡巴斯基的一個觀點，基本上是如果我們面對網絡攻擊，一味單打獨斗最終必然面臨的是失敗。如何綜合考慮應對網絡攻擊，打組合拳變得十分重要。信息技術發展是迅猛的，而帶來的變革也是日新月異的。近現代計算機信息技術的短短幾十年間的變化，計算機時代之前千百年的變化，其速度不得不令人嘆服。

區塊鏈如何提高數據安全性？

提供加密和驗證：毫無疑問，區塊鏈提供了下一級加密，因為上面發生的一切都是加密的。同樣，不可能更改駐留在區塊鏈上的數據。用戶可以驗證網絡中所有分類帳的所有節點上的文件簽名，確保它們沒有更改以確保安全。如果有人通過更改記錄來達到目的，則簽名將無效。

提供安全的數據存儲：讓區塊鏈脫穎而出的是它的數據保護功能，可以保護共享社區的數據。因此，任何人都無法窺探或查看存儲在區塊鏈上的任何敏感數據。就商業模式而言，他們可以在區塊鏈上保存數據的加密簽名或大量數據。

更難破解：幾乎不可能，攻擊或破解區塊鏈是不可能的，因為數據是分散的，加密的，并由整個網絡進行交叉檢查。一旦信息存儲在分類賬上，黑客就無法在不使簽名無效的情況下更改數據。網絡上的多個節點必須確認每筆合法交易。

普普點評

區塊鏈仍然是一項新興技術，會隨著時間的推移而擴展。必須密切關注其潛在的問題和局限性。在實施區塊鏈之前，應該了解網絡規模的重要性。如果數據分布不均，它可能會成為黑客和其他網絡犯罪分子的蜜罐。然而，區塊鏈具有所有正確的屬性，可以在未來幾年為數據安全做出持久的貢獻。區塊鏈的流行用例即使不是靈丹妙藥，也值得研究。

安全成云計算的競爭新領域？

從思科到微軟再到谷歌，各大云巨頭都不約而同地盯上了網絡安全領域，紛紛布局云安全這一新賽道。

云安全為何如此重要？

(1) 安全漏洞：當公司使用公有云或者混合云時，安全漏洞的風險會加大，這無疑會給企業造成經濟損失，并使其陷入困境。

(2) 數據攻擊：云計算可以讓用戶隨時隨地訪問數據。將敏感文檔上傳到云服務器上，以供其他員工訪問。這種簡單的信息交換為減少復雜的數據交換操作提供了效率和靈活性。但與此同時，這些數據也非常容易受到網絡攻擊。

(3) 災難恢復：數據丟失很常見，尤其是在云服務器上。數據丟失可能是由多種因素和事故造成的，這可能會使企業業務陷入停頓。

(4) 訪問級別：向公眾泄露數據很常見，但不是因為網絡攻擊，而是因為安全實踐不佳。向公眾泄露數據可能不如數據被盜那么嚴重，但可能會損害企業的品牌聲譽。

普普點評

當前，云安全正成為繞不開的話題。為確保不會遇到網絡攻擊問題，上云企業的關注點必將更加聚焦于云廠商對抗網絡安全威脅的能力。網絡安全是全球安全問題的當務之急，而“云”代表著一種改變安全模式的新方式。

可以預見的是，哪家云廠商的整體安全能力更強，則更容易在云計算市場未來的競爭中勝出。

避免常見的物聯網問題的技巧

物聯網的核心是全球的數字信息交換。如果沒有這種信息交換，就無法實現其目的。然而，物聯網確實會帶來需要徹底保護的安全威脅。任何連接到互聯網或依賴于連接性的物品都可能被黑客入侵，從顯示屏到手機再到智能恒溫器。

企業可以采取以下兩種預防措施來降低物聯網出現安全漏洞的風險：

(1)定期更新軟件和設備

網絡攻擊者很容易通過網絡漏洞滲透到系統中，但大多數軟件和應用程序都包含更新以修補這些漏洞。如果企業定期更新設備和軟件，就可以及時了解網絡中的任何薄弱環節。

(2)對物聯網安全漏洞進行風險評估

物聯網的風險評估將掃描網絡、云平臺和設備，尋找網絡攻擊者可能滲透的潛在漏洞。雖然風險評估并非萬無一失，但它們可以為物聯網安全保護提供基礎保障，并顯著地降低物聯網網絡的安全風險。

普普點評

總的來說，有很多方法可以克服潛在的物聯網陷阱。雖然可能沒有解決物聯網風險和問題的靈丹妙藥，但這些指南可以幫助降低風險，并將富有洞察力的計劃付諸行動，以防止出現物聯網問題。通過采取預防措施和意識，企業不會在安全或隱私方面再走捷徑。

2022年315晚會信息安全事件盤點

免費WIFI連接是假，騙你下載垃圾軟件是真

很多應用打著免費連接WIFI的旗號誘導用戶下載，列出來的WIFI每個連不上，并且還彈出按鈕，只要用戶點擊，沒有任何提示，后臺就會悄悄下載垃圾軟件。更可怕的是，這些免費WIFI應用還會在后臺提取用戶隱私信息。

捆綁下載害人不淺，全靠用戶睜大雙眼

很多下載頁面都有“高速下載”和“普通下載”兩個選項，點了“高速下載”就會先下載一款“下載器”，然后才會下載用戶想要的軟件。其實“高速下載”和“普通下載”在下載速度上是完全一樣的，“高速下載”只是一個噱頭。

瀏覽網頁就能泄露手機號，陌拜黑產年入一個億

一些公司可以在用戶瀏覽網頁后給用戶打陌生拜訪電話，即騷擾電話。因為每個人手機上對應著一個MAC號(手機識別碼)，可以匹配到這個手機，每條收取3元費用。還可以破解用戶真實手機號碼，這樣一條信息則收取15元費用。

普普點評

今年315晚會所曝光的信息安全陷阱，與我們每個人都切實相關。不法分子利用網絡對大眾進行詐騙和竊取信息，我們能做的就是擦亮雙眼，不被迷惑，讓信息竊取黑灰產無機可乘。同時，國家和政府正積極出臺相關政策，完善網絡安全行業法律法規，不讓犯罪分子鉆空子。