安全快讯 | 中国信通院发布《勒索攻击安全防护要点》

1、中国信通院发布《勒索攻击安全防护要点》

10月14日消息，为强化勒索攻击防范应对，中国信息通信研究院研究发布《勒索攻击安全防护要点》，旨在聚焦风险化解重点环节，夯实风险防范基础，切实加强勒索攻击应急处置、安全加固等重点工作。

2、市场监管总局组织开展 2022 年网络交易突发事件应急实战演练

IT之家10月13日消息，10 月 10 日上午，市场监管总局组织开展 2022 年网络交易突发事件应急实战演练。演练模拟线上出现违法销售禁限售商品的突发事件，运用数字化手段，通过“实景拍摄 + 现场模拟”相结合的形式，全过程演练突发事件的事件发生、事件调查、分析研判、III 级应急响应、事件处置、跟踪督导、舆论引导、响应终止等环节。此次演练由总局网监司主办，总局办公厅、新闻宣传司，竞争政策与大数据中心，北京、上海、浙江等地市场监管部门及阿里、京东、拼多多等平台企业参加演练。 

3、工信部通报 38 款侵害用户权益 App 涉及 2345 浏览器、丁香医生等

IT之家 10 月 13 日消息，为巩固治理成效，营造共同维护消费者权益的良好环境，近期工信部开展 App 侵害用户权益整治“回头看”，组织第三方检测机构对信息弹窗违规推送、App 过度索取权限等问题进行重点抽测，共发现 38 款 App 存在问题。其名单包括智慧树、2345 浏览器、映客直播、丁香医生、惠头条、免费全本小说书城、铃声多多、YOWA 云游戏等。

4、邮件安全公司IINKY称以COVID-19为主题的钓鱼攻击活动在美国激增

据外媒报道，邮件安全公司INKY指出，以COVID-19为主题的钓鱼活动在美国激增。在最近的攻击中，钓鱼邮件冒充美国小企业管理局(SBA)并滥用Google表单来托管用于窃取企业主个人信息的钓鱼页面。该活动使用的诱饵是针对COVID-19的金融支持计划，旨在窃取目标的Google帐户凭据、SSN、EIN、State ID、驾驶执照信息以及银行帐号。INKY还透露，与前三个月相比，9月份的垃圾邮件数量翻了一番，预计还会进一步上升。

5、Aruba修复EdgeConnect中RCE和身份验证绕过等漏洞

据外媒报道，Aruba发布了EdgeConnect Enterprise Orchestrator的安全更新，修复了多个严重的漏洞。其中包括基于Web的管理界面中的身份验证绕过漏洞（CVE-2022-37913和CVE-2022-37914）；以及基于Web的管理界面中未经身份验证的远程代码执行漏洞（CVE-2022-37915，CVSS评分9.8）。为了最大限度地减少利用上述漏洞的可能性，供应商建议用户将CLI和基于Web的管理界面限制在专用的第2层网段/VLAN，或将防火墙策略设置为第3层及以上。

6、2022年度全球高薪IT认证榜单发布 4项网络安全认证入选Top15

日前，全球IT人才培训机构Global Knowledge发布了2022年度全球高薪IT认证排名榜。榜单上，网络安全和云计算领域的认证依然名列前茅，共有4个网络安全方面的专业认证进入榜单的前15名，分别为，Top2，CISM（国际注册信息安全经理认证）；Top4，CISSP（国际认证信息系统安全专业人员）；Top7，PMP（项目管理专业认证）；Top11，CISA（国际注册信息系统审计师认证）

END