全球网络安全舆情报告(2018年5月) 《网络安全法》正式实施一周年、欧盟GDPR生效、中国企业邮箱安全报告… 政策&监管 《网络安全法》正式实施一周年观察报告 监管 安全内参 06月01日 一年来,随着各种相关配套法规制度陆续出台,各地各行业通过各种行动和措施推进《网络安全法》的落地,《网络... 公安部网络安全保卫局约谈WiFi分享类网络应用服务企业:提出加强公民个人信息保护5项要求 监管 公安部 05月18日 为加强WiFi网络账号密码分享信息安全管理,切实保护公民个人信息安全,公安部网络安全保卫局在部署各地公安机关对境内WiFi分享类网络应用服务企业开展排查,组织相关企业对... 欧盟首个数据保护条例GDPR今日生效,你可能需要它的中文版全文 法规 腾讯研究院 05月25日 在GDPR正式实施之际,严谨的阅读并理解GDPR的原文显得尤为重要。 美国DHS发布《网络安全战略》 确定五大方向及七个目标 国家安全 E安全 05月17日 该战略旨在使 DHS 的网络安全工作规划、设计、预算制定和运营活动按照优先级协调开展。该战略将致力于协调各... 美国能源部发布网络安全多年改进计划 能源 代码卫士 05月19日 为了改进能源服务的网络安全和弹性,能源部制定了《能源部制定能源部门网络安全的多年计划》,旨在为最近成立... 保护电网进行时!美监管机构要求强化电网联网便携设备安全基线 能源 安全内参 05月06日 美国监管机构正在试图解决日常电子产品(例如笔记本电脑和闪存驱动器)对电网造成的网络安全风险问题。 产业动态 Gartner:政府采用云服务情况一览 云计算 GartnerInc 05月23日 据Gartner预估,从现在到2021年,政府公有云使用量将实现两位数增长;相应开支将达到17.1%的年增长速度。 Gartner:(首份)工业物联网(IIoT)平台魔力象限 工业互联网 云头条 05月20日 工业企业的CIO们要慎重对待物联网(IoT)平台的摸底调查。采用率在增长,但实施复杂IT/OT集成的客户群很小,... 谈谈身份与访问管理(IAM)的12大趋势 趋势 FreeBuf 05月20日 对于IAM的需求一直都很高,但最近的数据泄露事件(Equifax)、新合规压力(GDPR)以及隐私泄露问题(Cambridg... 全国政府网站近一年体量“精减”一半,县级以下减少九成多 政务民生 人民日报 05月17日 相比2017年第一季度的43143家,不到一年时间,体量“精减”一半。其中,县级以下政府网站1645家,相比2017年一... 国资委党委:中央企业要在网信事业发展中发挥骨干中坚作用 监管 国资小新 05月19日 国资委党委书记、网络安全和信息化领导小组组长郝鹏强调,中央企业要充分发挥在我国网信事业发展中的骨干中坚... 2018年IT安全现状报告 趋势 安全内参 05月30日 谁在负责IT安全?他们需要向谁报告?他们掌握多少预算?调查已经帮助我们找到了答案。 2017年国际网络安全初创公司投融资概况 投融资 安全牛 05月10日 据统计,2017年海外信息安全企业所获融资额总计约:48.8亿美元。 威胁态势 工信部网安局:2018年第一季度网络安全威胁态势分析与工作综述 监管 工信部 05月19日 第一季度共监测网络安全威胁约4541万个,其中电信主管部门收集约216万个,基础电信企业监测约1168万个,网络... 我国每年发生工业信息安全事件近300起,工业领域成网络攻击重灾区 工业互联网 教育信息化 05月25日 工业信息安全和传统网络安全相比,有很大不同。工业系统目标价值高,其安全系统的复杂程度远高于传统的IT网络... 美国国家安全局:黑客可在24小时内将已知漏洞武器化 国家安全 安全内参 05月04日 怎样可以入侵美国军方防御网络呢?显然,黑客正在试图通过利用所有公开已知漏洞来实现这一目的。 新漏洞公开后,企业安全团队的响应时间比网络犯罪分子滞后7天 安全运营 E安全 05月30日 报告显示,新漏洞一旦公开,网络犯罪分子需要花6天的时间(中位数)将漏洞武器化。然而,安全团队则可能需要1... 大型企业入侵防御能力现状:87%的针对性网络攻击被成功阻止 趋势 E安全 05月19日 埃森哲2018网络弹性报告显示,大企业在阻止网络攻击方面表现得越来越好。2018年,87%的针对性网络攻击被成功... 永恒之蓝周年纪:勒索改变方向,企业服务器成重要攻击目标 病毒木马 光明网 05月14日 2017年5月WannaCry(永恒之蓝勒索蠕虫)大规模爆发以来,勒索软件已成为对网民直接威胁最大的一类木马病毒。... 中国企业邮箱安全报告:平均每日收发邮件16.1亿封,3/4非正常 趋势 360威胁情报中心 05月09日 截止2017年12月,活跃的中国政企机构独立邮箱域名约为500万个,中国境内企业级电子邮箱活跃用户规模约为1.2亿... 安全事件 江苏省特大侵犯公民信息案:每日交易精准信息上万条 一百余人被抓 公检法 江苏警方 05月29日 江苏省常州市公安局网安支队围绕精准推销电话展开侦查,最终挖出一条个人信息黑市交易链,共抓获48名内鬼和82... “黑客”入侵快递公司后台盗近亿客户信息,13名嫌犯被抓 交通物流 法制网 05月11日 近日,江苏省淮安市警方历时1年,成功侦破一起公安部督办的“黑客”非法入侵快递公司后台窃取客户信息牟利案件... 江苏省内政府网站遭黑客非法植入赌博网站链接,警方跨国抓获4人 公检法 江苏新闻 05月29日 江苏警方查明,在马来西亚有4名中国籍犯罪嫌疑人,对国内一些网站批量进行漏洞的扫描,还上传木马链接,控制... 激活工具带毒感染量近60万,北京等四城市用户不被攻击 病毒木马 火绒安全 05月18日 用户在知名下载站"系统之家"下载安装"小马激活"及"OFFICE2016"两款激活工具时,会被植入病毒"Justler",该病... 深圳证监局:联储证券被曝存在多项信息安全漏洞 漏洞 和讯网 05月22日 深圳证监局表示,根据中国信息安全测评中心出具的信息系统渗透测试报告显示,联储证券存在多项信息安全漏洞。 山东某理财网站出现漏洞,两小时被黑客划走1800万元 金融 齐鲁壹点 05月02日 截止目前,民警已抓获嫌犯18名,其中刑事拘留9人、取保候审2人,查获涉案电脑15台,手机27部,银行卡46张,冻... 关于宁夏九彩某风电场网络安全防护问题的通报 监管 电力安全生产 05月10日 该站长期将电力监控系统生产控制大区裸露于公网,给电网安全运行带来极大安全隐患,暴露出其运维单位对电力监... 利用“双杀”漏洞的APT攻击影响我国外贸企业 漏洞 360安全卫士 05月10日 “双杀”漏洞攻击是全球范围内首个使用浏览器0day漏洞的新型Office文档攻击。 光大银行信用卡“漏洞”:额度可提15万 金融 驱动之家 05月26日 光大银行被黑产发现一个业务逻辑漏洞,信用卡额度可从1万提至15万。这一漏洞被信用卡套现中介发现后火速采取... 中东地区政军企高层遭钓鱼间谍攻击,攻击者已收集逾30GB数据 APT 代码卫士 05月18日 调查显示,“Steal Mango”幕后的威胁组织通过使用这些监控软件工具成功地攻陷政府官员、军方成员、医疗专业人... 黑客如何影响军事战场:乌克兰炮兵因使用安卓民用软件被轻易定位 网络攻击 安全客 05月26日 乌克兰炮兵因使用民用安卓软件,被俄罗斯黑客轻易定位。现代战争和电子设备的愈加不可分离,乌克兰给全世界上... “褐帘石”黑客组织攻击英美电力公司的工控系统网络 APT 代码卫士 05月11日 工业网络安全公司 Dragos 指出,“褐帘石 (Allanite)”组织一直攻击英美国家电力企业的业务和工控网络。 54个国家大量路由器被僵尸网络VPNFilter控制 网络攻击 E安全 05月25日 思科和赛门铁克公司于美国时间2018年5月23日陆续发出安全预警:黑客利用一个复杂的规模化恶意软件 VPNFilter... 日本两亿条个人信息遭“暗网”贩卖,幕后嫌犯可能现居中国 数据泄漏 环球网 05月18日 美国网络安全公司火眼于17日曝出,约有2亿条以上的日本人个人信息在“暗网”上贩卖。这些个人信息的泄露程度不... 数百万巴基斯坦公民个人信息泄露,被大范围一美元贱卖 数据泄漏 黑客视界 05月09日 数百万巴基斯坦公民的个人敏感信息正在不同的社交媒体平台上被出售,而这些信息在巴基斯坦国内网站上的售价仅... 南非再次遭遇数据泄露:100万公民个人信息网上曝光 数据泄漏 cnBeta 05月24日 本次曝出的数据,涵盖了国民身份证号码、电子邮件地址、全名、以及明文密码。从分析来看,这些密码似乎与交通... 俄罗斯视频监控公司iVideon数据泄露,涉及超过82万名用户个人信息 数据泄漏 黑客视界 05月14日 Kromtech安全中心的研究人员在最近发现,一个归属于俄罗斯视频监控公司iVideon的MongoDB数据库并没有得到保护... 美国医疗公司LifeBridge Health泄露近50万患者个人信息 数据泄漏 黑客视界 05月25日 据媒体报道,LifeBridge Health公司日前向近50万位患者发出通知称,他们的个人信息可能会因为网络黑客攻击事... 美国监狱电话监控供应商Securus被黑,大量数据遭窃取 公检法 新浪科技 05月17日 一位匿名黑客从Securus窃取大量数据,里面包括用户名、安全性较差的密码,影响几千人,他们都是Securus公司在... 欧洲铁路系统遭遇黑客攻击,大量旅客数据泄露 交通物流 E安全 05月19日 旅行网站欧洲铁路(Rail Europe)公司已经向客户发布通告表示,有黑客入侵了该公司的机票预定网站,或已窃取... 墨西哥央行支付清算系统遭攻击,银行被盗款项数额不明 金融 代码卫士 05月16日 一些墨西哥媒体报道称被盗款项达到4亿比索(折合2040万美元),但 Martinez 否认了这些报告并表示目前正在分... 恶意挖矿脚本Coinhive大举入侵,400多家政企网站受波及 网络攻击 TechCrunch中文版 05月10日 研究员发现 Coinhive 代码运行在近 400 个网站上,其中包括属于圣迭戈动物园、联想集团以及美国全国劳资关系... WinstarNssmMiner:3天感染50万人的恶意挖矿软件 病毒木马 代码卫士 05月18日 360安全的研究人员检测到一个旨在传播新型挖矿机的大规模恶意软件活动,仅在3天就感染约50万名受害者。 35万台ICD和心脏起搏器因存在多个致命缺陷被召回 医疗卫生 代码卫士 05月09日 Abbott 已召回约35万台可植入性心室去颤器进行固件更新,原因是这些设备被指包含威胁生命的缺陷并易遭利用。 浅谈最近流行的三起区块链51%算力攻击 区块链 FreeBuf 05月30日 近期有三个币种分别在不同程度上遭到了 51% 算力攻击,分别是 MonaCoin、Bitcoin Gold 和 Verge ,很碰巧的是... 影响上百万台GPON路由器的漏洞正在被至少5个僵尸网络利用 网络攻击 黑客视界 05月13日 调查发现,在短短的十天时间里,至少有5个僵尸网络被发现利用了这两个漏洞,包括Mettle、Muhstik、Mirai、Haj... 微软5月安全更新修复68个漏洞,其中两个正在被黑客组织使用 漏洞 黑客视界 05月11日 有两个漏洞正在或者已经被黑客组织用于实际攻击活动,分别为CVE-2018-8174、CVE-2018-8120。 漏洞预警 国家漏洞库CNNVD:手机程序第三方解压缩库输入验证安全漏洞情况通报 漏洞 CNNVD安全动态 05月22日 成功利用该漏洞的攻击者,可以远程读取应用数据、甚至执行任意代码,具体危害与受影响应用的功能和权限相关。iOS平台内置第三方解压缩库(经验证,包括但不限于SSZipArchiv... 国家漏洞库CNNVD:Windows远程代码执行漏洞及Microsoft Excel远程代码执行漏洞通报 漏洞 CNNVD安全动态 05月10日 成功利用Windows远程代码执行漏洞的攻击者,可以在目标系统上执行任意代码。成功利用MicrosoftExcel远程代码... 国家漏洞库CNNVD:PHP输入验证安全漏洞通报 漏洞 CNNVD安全动态 05月04日 成功利用漏洞的攻击者,可在用户不知情的情况下,在该用户浏览器中执行任意代码。PHP 5.6.36之前的版本,7.0.27之前的7.0.x版本,7.1.13之前的7.1.x版本,7.2.1之前的7.2.x... 美国CERT:微软、苹果、Linux等操作系统存在严重安全漏洞 漏洞 钛媒体 05月10日 受影响的操作系统和管理程序制造商周二发布了针对普通漏洞的补丁,这些普通漏洞可能让有效的黑客攻击者“读取... Spectre-NG:多个新CPU漏洞预警 漏洞 360CERT 05月08日 研究团队向Intel 官方报告了CPU最新的8个安全漏洞,目前这些漏洞细节正在被保密中,这些安全漏洞实质上是由相... CVE-2018-10561/62:GPON光纤路由器漏洞分析预警 漏洞 360CERT 05月03日 两个漏洞形成的攻击链可以在设备上执行任意系统命令,根据360-CERT的QUAKE系统测绘显示,全球影响范围达百万... DynoRoot:Red Hat DHCP客户端命令执行漏洞预警 漏洞 360CERT 05月17日 目前相关利用代码已经公开,可用于本地网络攻击;研究员对此漏洞进行了技术分析,认为该漏洞危害等级严重,建... EFAIL:PGP/GPG和S/MIME漏洞预警 漏洞 360CERT 05月15日 安全团队进行评估,认为漏洞风险等级高,影响广泛,建议用户参照相关缓解措施进行防御,360-CERT会对漏洞进行... 开源网络监控系统Nagios XI多个漏洞分析预警 漏洞 360CERT 05月18日 4月底,Nagios XI 被爆出存在SQL注入,权限提升,命令注入等多个漏洞。CVE编号分别为CVE-2018-8733,CVE-2018... 在私有以太坊上实现针对ERC20 ProxyOverflow漏洞的攻击 区块链 腾讯湛泸实验室 05月05日 本文选择传播广泛、影响恶劣的SMT漏洞(CVE-2018–10376)作为样本进行分析,将对其攻击方法进行分析,以便于... 安全建设 从ZipperDown漏洞谈iOS App安全实践 漏洞 360CERT 05月17日 本文将和大家分享、探讨一下针对 iOS 应用的防守策略以及针对具体功能点的防守方法。 如何结合开源威胁情报排查主机安全 安全运营 川大信安 05月20日 假设我的主机已被感染,病毒程序会寻求与C&C服务器的通信。我们可以对主机对外通信的目的IP地址进行审计,基... 实战:万台服务器跨平台系统补丁自动化部署实践 安全运营 高效运维 05月12日 本文和大家分享的是关于全站跨平台系统补丁自动化部署的实践。 腾讯内网安全的挑战、应对思路和实践 安全建设 腾讯技术工程 05月28日 腾讯在企业内网或者企业安全上遇到哪些问题或者是哪些挑战,以及这些困难是如何被解决的。 互联网公司数据安全保护新探索 安全运营 美团点评技术团队 05月18日 美团点评信息安全中心进行了一些具体层面的探索。这些探索映射到IT的层面,主要包括应用系统和数据仓库,我们... 等级保护工作十大误区 监管 中国网络安全等级保护网 05月28日 在日常开展等级保护工作中,大家总会有一些误区,以下为公安部网络安全保卫局下属中国网络安全等级保护网发布... 如何在入境美国时防止重要数据信息外泄? 安全运营 保合安全 05月28日 “9.11”之后,美国政府授权海关和移民局在“认为必要”的情况下,可扣留任一过境人员的电脑和数码设备进行深度检... Docker容器安全最佳实践白皮书V1.0(附文件) 安全运营 DoSec容器安全 05月28日 Dosec根据CIS的docker安全标准整理了国内第一份关于docker最佳安全实践的白皮书,让docker安全不仅限于安全圈... 技术前线 IBM警告:量子计算机可分分钟破解现有的加密技术 量子计算 云头条 05月20日 欢迎来到数据透明的未来:量子计算机可以揭露目前加密的所有秘密数据,这一幕场景会在短短几年内出现。 AI最前线:可以假乱真的纯正视频换脸术 人工智能 量子位 05月21日 研究人员宣布已实现把替身的3D头部和面部动作整体搬运到目标主角脸上。在他们的系统里,只要输入一段替身的单... 攻防最前线:研究人员攻破AMD的虚拟机加密防线 漏洞 云头条 05月26日 研究人员称,他们已设计出一种方法,可攻破AMD的Epyc服务器芯片用来自动加密内存中虚拟机的安全机制。 攻防最前线:首个能在设备重启后存活的物联网僵尸网络 病毒木马 代码卫士 05月10日 HNS是物联网恶意软件领域的重大突破。 AI最前线:国际刑警组织的新软件凭声音就能揪出犯罪分子 公检法 云头条 05月20日 全球最大的警察网络正在评估这样一款软件:可以将来自电话通话或社交媒体帖子的语音样本与存储在诸执法机构共... GDPR视角 GDPR为提升整体安全和优化业务过程带来机会 安全运营 安全牛 05月17日 GDPR的生效,为公司企业带来了以其要求为指挥棒,强化公司整体安全和合规态势的机会。 辩论:欧盟GDPR法案是否会对网络安全产生负面影响? 互联网 黑客视界 05月24日 实施欧洲隐私法的几天前,关于即将出台的条例是否会对网络安全产生负面影响的争论仍在继续。争论的焦点是所谓... GDPR的最大困难在于其定义的个人数据 法规 安全牛 05月14日 《通用数据保护条例》把更好地管理个人数据的责任放到了企业身上。但他们知道GDPR定义的个人数据都在哪儿吗?... GDPR术语差异将导致“噩梦”般的实践体验 安全运营 安全牛 06月07日 目前世界各地的企业可能都已经在GDPR条例的严格隐私保护下运营着,但其具体需求和相关术语的差异使得安全专家... GDPR可能会杀死企业级区块链数据库! 区块链 云技术之家 05月15日 安全分类账技术听起来像是对各种数据库的天赐之物--直到你检查GDPR的PII管理获得方式。 10位安全专家谈企业对GDPR的那些误解 专家观察 至顶网 06月04日 GDPR旨在让欧盟公民和居民拥有对他们个人数据使用方式的更大控制权。用户会发现,清除数据的权利并不适用于所... 关于GDPR实效有限的4个观点 专家观察 阿里研究院 05月29日 根据笔者对近期全球企业应对GDPR的具体举措和欧盟相关实践状况的观察,GDPR的实际效用颇为有限,甚至可以推测... 世界最严数据法律来了,中国数字经济企业如何应对? 安全运营 财经杂志 05月01日 GDPR已经为数字经济企业画出一张数据保护的操作红图。与其担惊受怕抱有欧盟“执法不严、违法不究”的侥幸心理,... 德勤谈GDPR:三项特殊权利将使国内企业国际化面临巨大难题 专家观察 安在 06月07日 GDPR提出了八项要求来强调欧盟公民隐私方面的权利,这其中与国内《网络安全法》区别最大的有三项权利,分别是... 以欧盟GDPR为镜,在个人信息保护上走中国自己的路 专家观察 央广网 05月26日 在大数据时代来临之际,《条例》尊重个人隐私权利的大方向,是值得肯定的。但在具体的条款设定上,《条例》也... 国家信安标委发布《网络安全实践指南—欧盟GDPR关注点》 监管 信安标委 05月26日 全国信息安全标准化技术委员会秘书处针对欧盟GDPR的核心内容,组织相关机构和专家,编制发布了《网络安全实践... 一张图教你如何躲避GDPR雷区并做好合规 安全运营 360法律研究院 05月26日 研究人员对GDPR进行了清晰明了的图解梳理,带大家更方便地进行业务对标,以做好合规并防范法律风险。