據nextgov.com消息，美國商務部工業與安全局（BIS）正式發布了針對網絡安全領域的最新的出口管制規定（以下簡稱“新規”），2022年5月26日，該規定已經發布在美國政府公報網站《聯邦公報》上。

BIS新規將全球國家分為ABDE四類，其中D類是最受關注、限制的國家和地區，我國被劃分在D類里。根據新規的要求，各實體在與D類國家和地區的政府相關部門或個人進行合作時，必須要提前申請，獲得許可后才能跨境發送潛在網絡漏洞信息。當然條款也有例外，如果出于合法的網絡安全目的，如公開披露漏洞或事件響應，無需提前申請。

微軟認為，BIS發布的這一規定將嚴重阻礙與安全研究人員和漏洞獎勵計劃參與者的跨境合作，但美國BIS堅持認為，目前該條款的范圍比較狹窄，執行這一規定對于保障美國國家安全很有好處。

REVIEW

普普點評

5月27日消息，安全公司Team Cymru的研究人員表示，越來越多的威脅參與者正在使用免費的瀏覽器自動化框架作為其攻擊活動的一部分。

事實上，這并非Bablosoft第一次被記錄在案。早在F5 Labs針對撞庫攻擊的研究以及NTT針對GRIM SPIDER黑客組織所用工具包的研究中就已經發現了它的蹤影。

研究人員指出，根據已使用Bablosoft網站所提供工具的惡意行為者數量，我們預計Browser Automation Studio（簡稱BAS）將成為威脅參與者工具包中更常見的元素。BAS是Bablosoft的自動化工具，它允許用戶使用瀏覽器、HTTP客戶端、電子郵件客戶端和其他庫創建應用程序。

F5 Labs在其關于撞庫攻擊的報告中指出，“我們認為BAS將在惡意活動中日益普及的原因之一是，Bablosoft社區的活躍狀態以及該軟件的分發和銷售形式都會加速它的應用?！?/span>

REVIEW

普普點評

數字化讓世界變得越來越小，信息變的越來越有價值，數字化也增加了帳號信息泄露、計算機遭竊取及劫持等風險，主要是惡意軟件攻擊、勒索錢財，不過并非沒有辦法，跟隨五項安全基本原則幫您抵御惡意/勒索軟件攻擊。

1.了解常見的網絡釣魚例子。用來網絡釣魚的電子郵件通常還包含附件或鏈接，建議不要打開這些可疑的電子郵件并且立即將它刪除。

2. 設置雙重身份驗證。大多數的服務現在都提供雙重身份驗證功能，尤其是涉及敏感個人數據時，以防黑客攻擊。

3. 部署SSL證書以確保安全。部署SSL證書，網站實現https加密，可以驗證網站的真實性，辨別釣魚網站。

4. 避開可疑鏈接、郵件和附件。平時在上網時一定要謹慎，千萬要避開這些不安全的鏈接、郵件或附件。

5. 彌補系統漏洞。定期全面檢查企業現行辦公系統和應用，發現漏洞后，及時進行系統修復，避免漏洞被黑客利用造成機密泄露。

REVIEW

普普點評

邏輯炸彈是一種非常傳統的惡意代碼攻擊形式之一，其雛形可追溯到上世紀80年代美蘇冷戰時期。雖然隨著APT、勒索病毒、供應鏈攻擊等新型威脅的出現，邏輯炸彈攻擊看似銷聲匿跡，淡出人們的視野，但從數字經濟時代網絡安全的發展形勢來看，邏輯炸彈的攻擊邏輯一直存在并在不斷增長。畢竟，對于敏感的信息系統而言，一旦交付應用就會產生巨大的商業價值，而同時它也會受到多重安全措施的保護，此時邏輯炸彈則成為最難被發現和有效防護的攻擊方式。

邏輯炸彈的觸發器(一種有記憶功能的邏輯部件)一般分為積極觸發器和消極觸發器兩種形式。如果某個事件發生，積極的觸發器就會引爆;反之，如果某個事件沒有發生，也可能會引爆消極的觸發器。邏輯炸彈的危害范圍很廣，包括文件或硬盤驅動器刪除，作為贖金威脅或報復行為，數據泄露等?？梢哉J為，邏輯炸彈的危害性完全取決于惡意攻擊設計者的專業技能和想象力。

REVIEW

普普點評

個性化推薦的核心在于聯系用戶和信息（包括商品、內容、服務等），對于用戶而言，幫助用戶找到感興趣的信息；對于企業而言，幫助企業將信息推送到可能感興趣的用戶面前，增加用戶黏性，提升營收。據數據分析，Netflix上三分之二被觀看的電影來自個性化推薦，Google新聞上38%的點擊來自個性化推薦。個性化推薦被廣泛運用于各個互聯網業務場景，包括音樂推薦、信息流推薦、商品推薦、外賣店鋪推薦等。

個性化推薦的實現原理簡單來說，是通過用戶畫像來設定人群特征，再加上算法模型，決策選出相應的該用戶感興趣的信息。例根據該用戶的畫像標簽：90后、喜歡傷感歌曲和喜歡周杰倫，選出其感興趣的歌曲，結合點擊率預估模型（即預測提供給用戶的歌曲用戶會不會點擊），就形成了每日推薦等推薦欄目。算法模型的類型比較多，包括基于相似的人、基于相似的信息等?？偠灾?，個性化推薦是用戶畫像和算法模型相結合，以個性化展示為結果。

REVIEW

普普點評

隨著企業安全系統開發步伐的加快，新的和更復雜的網絡攻擊類型正在出現。據世界經濟論壇報道，企業采取的保護措施瞬間過時。與前一年相比，攻擊數量增加了30%，這種驚人的趨勢仍在繼續。市場缺少約272萬網絡安全專業人員來應對越來越多的威脅。這就是人工智能可以幫助企業的地方。

AI通過分析DNS流量自動對域進行分類，以識別C&C，惡意，垃圾郵件，網絡釣魚和克隆域等。以前，為了管理這個環境，擁有良好的黑名單就足夠了。他們應付了他們的任務，盡管定期更新和大量。如今，域名在1-2分鐘內創建，在半小時內使用不超過2-3次，然后犯罪分子切換到其他域名。為了跟蹤他們，黑名單是不夠的：你需要使用AI技術。智能算法學習檢測這些域并立即阻止它們。

其次，AI 可以在程序中查找漏洞并檢查應用程序接口。如果它在計算機上發現勒索軟件，它會立即將其用戶與網絡斷開連接，從而使公司的其余部分免受危險的感染。

REVIEW

普普點評

在《中華人民共和國網絡安全法》這部法律實施5周年之際，由中國網絡空間安全協會、中國安全防范產品行業協會、北京網絡空間安全協會、天津市網絡空間安全協會、光明網共同舉辦的網絡安全法實施5周年座談會在線上舉行。專家學者及一線從業者深入剖析了新發展階段網絡空間面臨的風險與挑戰，探討了數字化轉型中推進網絡空間安全法治化、提升國家治理能力現代化水平的方向路徑。

行業發展面臨新風險、新挑戰。居家辦公、遠程學習推動網絡環境開放、用戶角色增加、防護邊界擴張，帶來各類新安全風險；5G商用推進工業互聯網發展，企業內外網關聯增加了工業互聯網安全風險；智慧城市、物聯網和車聯網在開啟萬物互聯的同時，城市安全越來越受重視，

針對具體風險場景，鄔賀銓介紹，勒索病毒上升為主要威脅，形成了相對完整的商業產業鏈；數據安全問題嚴峻，尤其去年以來，跨境數據安全問題頻發；開源代碼安全面臨隱患，很多共享代碼沒有經過安全設計和安全測試，常包含大量漏洞。

REVIEW

普普點評