个电子邮件地址和专有数据。被盗数据包括来自政府系统的敏感信息以及来自成田国际机场的潜在空中交通管制数据。2021

网络安全是数字时代的基石，是国家安全的重要组成部分，备受社会各界的关注。嘶吼安全产业研究院开展了《2023中国网络安全产业势能榜》的评选，旨在深入研判和展望中国网络安全产业的发展趋势，赋能网安领域头部厂商担负起自主创新、乘势而上的产业责任。嘶吼安全产业研究院历时数月深入调研、分析，广泛征集各方意见，确保《嘶吼2023中国网络安全产业势能榜》客观呈现行业风云变化。本次评选选取十大热门行业（政务、金融、能源、制造、运营商、互联网、电力、教育、医疗、交通）以及三大厂商类型（“综合型”、“专精型”、“创新型”），从参与报名的300多家厂商调中，最终评选出105家优秀的行业安全厂商予以表彰并颁发荣誉奖牌。本次势能榜是嘶吼安全产业研究院第三届评选，相较于上一届，本次榜单从五大主要行业扩展为十大行业。范围的扩大，是希望更多在细分行业默默深耕的厂商们得到关注。本次评选中，政务、金融、能源、制造和运营商的竞争尤为激烈，特别是申报上述五类中的专精型厂商，分析师看到很多优秀的专精型厂商因为客观原因未能入选，深表遗憾。最后，衷心感谢大家的支持与关注，让我们共同见证网络安全产业的崭新篇章！《嘶吼2023中国网络安全产业势能榜》评选结果公示《嘶吼2023中国网络安全产业势能榜》[政府]行业名单《嘶吼2023中国网络安全产业势能榜》[金融]行业名单《嘶吼2023中国网络安全产业势能榜》[能源]行业名单《嘶吼2023中国网络安全产业势能榜》[制造]行业名单《嘶吼2023中国网络安全产业势能榜》[运营商]行业名单《嘶吼2023中国网络安全产业势能榜》[互联网]行业名单《嘶吼2023中国网络安全产业势能榜》[电力]行业名单《嘶吼2023中国网络安全产业势能榜》[教育]行业名单《嘶吼2023中国网络安全产业势能榜》[医疗]行业名单《嘶吼2023中国网络安全产业势能榜》[交通]行业名单高清版获奖名单图片下载方式：关注公众号“嘶吼专业版”，回复“势能榜2023”即可下载获奖名单高清图片。

当你凝视深渊时，深渊也在凝视你——尼采很多年前，我们认识黑客，是因为他们神行般的技术，凭借一串串字符代码，他们游走在赛博世界的最深处。而技术的背后是黑灰产交易下铤而走险的暴利收益，让很多人即使命悬一线，也愿意纵身一试。因为在深渊处，黑暗会蒙蔽光明，邪恶会肆意贪婪。很多年后，我们认识了更多的黑客，他们的技术更加卓越，他们依旧坚守着赛博世界最深处的那片阵地。但与以往不同，他们不再为冒险的私利拼杀，而是将技术炼铸成守护者的铠甲。向网络空间中的攻击，锐意宣战，在“知己知彼”的攻防对抗中，直面深渊。他们无畏黑暗与诱惑，因为内心深处，一份关于“守正出奇”的信仰茂然生长。于是黑暗中有了微弱的光，而光又让每一次与深渊的对望更赋力量。“GEEKCON2023”中国站比赛现场“1024——程序员节”，中国上海·西岸艺术中心，“GEEKCON2023·新极棒”中国站比赛成功举办。赛博世界中的“白帽黑客”又等来了一年一度的盛大狂欢。从全球首个探索人工智能与专业安全的前沿平台，到今天一个聚焦安全对抗，旨在让更多人了解白帽黑客，展示优秀白帽技术实力，专注提升白帽价值，助推科技、产业及数字经济高质量有序发展的开放场域。GEEKCON用十年的时间完成了品牌的升级蜕变，秉承“只为极棒的人”的创立初衷，让安全极客的身份被更多人正视，能力被企业与行业认可。GEEKCON

第一个攻击变体示意图（图片来源：Sophos）在另一种变体中，第二阶段的干净加载程序是“KingdomTwoCrowns.exe”，它没有经过数字签名，Sophos

随着ChatGPT横空出世，AI大模型时代到来。人工智能已经跨越感知智能阶段，正在快速向认知智能和通用人工智能进化，大模型技术的突破和发展一直在拓宽我们的想象边界。2023年6月28日。“天擎”美亚公共安全大模型在2023美亚柏科“智会”生态合作大会上重磅发布，是国内首个公共安全大模型。美亚柏科作为国投集团参与国家数字经济安全稳定发展平台，依托在公共安全领域20多年经验形成的行业知识体系、警务标准件、行业数据，研发发布了“天擎”公共安全大模型。致力于打造公共安全领域业务智能化基座，重构公共安全的业务、产品和生态新模式。一、“天擎”大模型是什么？“天擎”

最近趋势科技的研究人员发现了自2022年7月以来针对中国台湾、泰国和印度尼西亚的Android手机用户的持续恶意软件活动，并将其命名为TgToxic。该恶意软件窃取用户的凭证和资产，如数字钱包中的加密货币，以及银行和金融应用程序中的资金。通过分析恶意软件的自动化功能，研究人员发现了攻击者滥用了合法的测试框架Easyclick，为点击和手势等功能编写了基于javascript的自动化脚本。研究人员发现攻击者的目标是通过嵌入多个虚假应用程序的银行木马，趋势科技根据其特殊的加密文件名将其检测为AndroidOS_TgToxic，该木马从金融和银行应用程序(如加密货币钱包、手机上官方银行应用程序的凭据和存款)中窃取受害者的资产。虽然之前针对的是中国台湾的用户，但在撰写本文时，研究人员已经观察到针对泰国和印度尼西亚用户的欺诈活动和网络钓鱼。建议用户小心打开来自未知电子邮件和消息发送者的嵌入链接，并避免从第三方平台下载应用程序。发现过程自2022年下半年以来，研究人员一直在监测这个活动，发现它的基础设施和目标在不断变化。以下是该活动时间表：2022年7月：Facebook上出现了欺诈性帖子，通过社交工程在社交媒体平台上嵌入了针对中国台湾省用户的钓鱼链接；2022年8月下旬至10月：色情欺诈还针对中国台湾和印度尼西亚用户，诱使他们注册，以便攻击者窃取他们的证件；2022年11月至2023年1月：短信钓鱼(SMiShing)针对泰国用户，在此期间使用的一些网络钓鱼网站还显示，攻击者通过加密货币骗局将其活动进一步扩展到印度尼西亚。早期活动：通过Facebook进行欺诈2022年7月，研究人员发现两个可能被黑客入侵的Facebook账户在一些台湾社区团体上发布了诈骗信息，声称用户可以获得飓风、洪水和新冠疫情的救助补贴。这些帖子告诉用户可以在download.tw1988[.]link中注册申请，而这实际上是一个钓鱼网站。不知情的用户可能会成为受害者，因为该链接伪装成政府官方网站https://1988.taiwan.gov.tw/，该官方网站用于向困难人群提供补贴。Facebook上发布的诈骗帖子示例，文字翻译为“夏季将发放28000项福利，现在输入https[:]//st7[.]fun/20就可以收到你的劳工补贴”。该应用程序还显示了潜在受害者就业类别的选项：“农民和渔民的生活津贴”、“无固定雇主的自营职业工人和劳动生活津贴”，以及“旅游巴士、出租车司机、导游、领队和其他补贴”。色情诈骗和加密货币通过追踪TgToxic使用的网络基础设施，研究人员随后发现了中国台湾和印度尼西亚色情和加密货币诈骗的幕后黑手。这些恶意应用程序也可以通过down[.]tw1988[.]link从同一网站下载，并伪装成约会、消息、生活方式或加密货币相关应用程序，诱骗用户安装并启用其权限。虚假应用程序在下载后立即启动注册页面以诱导用户，恶意软件TgToxic开始在后台运行在印度尼西亚，虚假应用程序诱导潜在受害者进入色情勒索和加密货币诈骗钓鱼网站针对泰国的网络钓鱼活动当研究人员继续监控TgToxic恶意软件及其网络基础设施时，他们发现，在2022年底至2023年1月初的几周内，该活动背后的攻击者开始以泰国用户为目标，并观察到类似的色情和网络钓鱼诱饵针对中国台湾用户，该组织开始添加恶意代码，以窃取银行应用程序中的凭据。研究人员还发现，这两个攻击已经引起了当地媒体的关注，并在Facebook上受到了大众社区的报道。泰国当地流行的社交媒体账户讨论了使用流行聊天和约会应用程序的假冒版本的网络钓鱼计划(左)，以及与一名受害者的对话，该受害者也证实了恶意软件是通过smishing发送的(右)网络钓鱼、色情和加密货币骗局与TgToxic恶意软件的最新部署样本都有关系，因为它们都是从同一个网站下载的，下载链接为down[.]tw1988[.]link。通过观察命令和控制（C&C）服务器之间的通信，这些应用程序和恶意软件的C&C从api[.]tw1988[.]link更改为test[.]ja7[.]site，后来更改为us[.]ja7[.]site。TgToxic的技术分析研究人员分析了恶意软件TgToxic是基于一个名为Eacyclick的合法自动化测试框架开发的，该框架支持通过JavaScript编写自动化脚本。该脚本可用于自动劫持Android设备的用户界面（UI），以自动执行诸如监视用户输入、执行点击和手势等功能。使用上述框架，TgToxic可以开发自己的自动化脚本，通过窃取受害者放置用户名和密码的用户凭据来劫持加密货币钱包和银行应用程序。一旦获得了凭证，攻击者就可以在不需要用户批准或确认的情况下，使用官方应用程序进行小额交易。与其他银行恶意软件一样，TgToxic还可以通过短信和安装的应用程序窃取用户的个人信息，这些信息可以用来通过进一步扫描设备是否存储了攻击者感兴趣的应用程序来选择目标受害者。目前，TgToxic仍在快速发展，并继续添加新功能，复制更多应用程序以窃取凭据并适应不同的应用程序UI，并从受害者那里收集更多信息。在这次分析中，研究人员选取了针对泰国移动用户的最新样本进行分析。代码混淆和有效负载加密TgToxic恶意软件使用两种方法来逃避检测和分析，研究人员将其分为两部分：代码混淆：TgToxic混淆了类名、方法名和字段名，这使得一些分析师更难进行逆向工程。有效负载加密：TgToxic将Easylick脚本放在一个名为“tg.iapk”的资产文件中，该文件是一个加密的Zip文件，并将在应用程序启动时动态读取其中的内容。该恶意软件实现了一种无文件的方式来解密和加载负载，并在解压缩后添加了一个额外的逻辑。APK结构和有效负载解密有效负载并滥用辅助功能服务劫持设备UItg.iapk加密过程正如McAiden的研究人员所指出的，tg.iapk是一个加密的.zip文件。通过静态分析，研究人员发现解压密码经过特殊编码并存储在.zip注释部分，该部分通常用于记录.zip描述。此部分的内容不会影响压缩后的内容。要获得.zip文件的密码，注释部分的内容将按照代码中指定的方式进行解码。Zip密码解码功能解压缩后，研究人员发现所有文件都是二进制文件，所有文件的前四个字节都是“0x00092383”，这是专门加密的文件。通过反向分析，研究人员找到了解密函数。为了隐藏解密细节，使用反射调用密钥类和密钥方法，并加密相关的符号名称。特殊加密文件加密文件解密功能通过分析解密函数，研究人员得到了加密文件的格式。加密文件对密码进行了编码，并将其保存在文件的开头（紧跟魔术数字），同时将加密数据保存在文件末尾。密码的解码方式与zip密码的解码方法相同。特殊加密文件格式运行时引擎中运行的预编译脚本自动化脚本被预编译为Java，并使用Rhino的运行时，Rhino是一个在Java中运行JavaScript的开源引擎。调用函数中的每个开关分支都是一个JavaScript函数，研究人员将解释代码如何使用来自恶意软件的简单函数运行。从一个Javascript函数编译的Java字节码此函数用于收集设备信息并发送到C&C服务器。它首先遍历一个预定义的变量“walletListAry”，其中包含攻击者感兴趣的加密货币钱包的包名列表。然后，恶意软件调用“isAppExist”来检查应用程序是否在系统中。如果确认，包名称将被推送到数组中。然后，恶意软件以同样的方式检查电子邮件应用程序，并创建一个.json对象，其中包含它收集的信息。“apps”字段包含已安装的加密货币钱包的包名称，“mails”字段包含安装的电子邮件应用的包名称。最后，它调用“JSON.stringify”将.JSON对象序列化为字符串，并调用“emitEnc”通过WebSocket将信息发送到C&C服务器。C&C通信和数据泄露恶意软件使用WebSocket作为脚本执行的C&C通道。它将调用“StartWs”连接到WebSocket服务器，然后设置“new_msg”事件侦听器以接收和解析C&C命令。完整的C&C命令列表如下所示：另一个值得注意的细节是，TgToxic将根据受感染设备的地区连接到不同的C&C服务器。虽然研究人员仍在继续跟踪，但除了目前确定的三个国家之外，还没有在其他地区或国家发现TgToxic活动，但他们认为，这次攻击背后的攻击者正试图根据这些不同服务器的可用性将其活动扩展到其他国家。根据设备区域获取C&C主机前缀数据通过C&C通道泄露。以短信窃取为例，恶意软件首先调用“getSmsInPhone”从邮件收件箱中提取所有短信，然后通过WebSocket

2023年2月8日，由嘶吼安全产业研究院主办的“至人无己

从隔离设备发出的信息也可以被附近的智能手机或笔记本电脑接收到，即使两者之间有一堵墙相隔。COVID-bit攻击是由本-古里安大学的研究员Mordechai

研究人员在Ping服务中发现一个栈缓存溢出漏洞，攻击者利用该漏洞可接管FreeBSD操作系统。Ping是使用ICMP消息测试远程主机可达性的程序。为发送ICMP消息，ping使用原始socket，因此需要较高的权限。为使非特权用户能够使用ping功能，安装了setuid

附有下载恶意压缩包的链接的网络钓鱼电子邮件（来源：BleepingComputer）点击链接后，会下载一个受密码保护的ZIP压缩包，压缩包含有另一个ZIP文件和一个IMG文件。在Windows

Ratel和其他C&C框架的兴起与CobaltStrike一样,BruteRatel是一种攻击模拟工具，是商业C&C框架领域的相对新的工具，它在该领域与更成熟的竞争者如Cobalt

知名密码管理公司LastPass两周前遭到了黑客攻击，结果攻击者窃取了这家公司的源代码和专有的技术信息。IT安全外媒BleepingComputer上周从LastPass的内部人员处获悉了这起攻击事件，并在8月21日联系了这家公司，但当时未收到相关回复。知情人士告诉BleepingComputer，在LastPass被黑客攻击后，其员工拼命遏制这起攻击。在回复有关此攻击的相关问题后，LastPass近日发布了一份安全公告，证实了它因开发者帐户被闯入而遭到攻击，黑客利用这个泄密的帐户访问了该公司的开发者环境。虽然LastPass表示没有证据表明客户数据或加密的密码库遭到了破坏，但攻击者确实窃取了其部分源代码和专有的LastPass技术信息。LastPass的安全公告解释，为了应对这起事件，该公司已部署了遏制和缓解措施，并聘请了一家知名的网络安全和取证分析公司。虽然调查在进行中，但LastPass已遏制住了势态，实施了额外的强化安全措施，没有看到表明未经授权活动的进一步证据。LastPass没有透露有关这次攻击、攻击者如何闯入开发者帐户以及哪些源代码被盗的更多详细信息。下面是通过电子邮件发送给LastPass客户的完整的安全公告。图1.

2022年7月13日，嘶吼安全产业研究院联合国家网络安全产业园区（通州园）正式发布《嘶吼2022网络安全产业图谱》。近年来，在强调自主可控的网络安全理念的背景下，网络安全产业迎来新的机遇与变革，行业正以全新的安全生态理念，逐步构建安全领域新高地。在政策加持与引导下，业内各企业快速布局重点细分赛道，提高企业战略优势。嘶吼安全产业研究院根据当前网络安全发展规划与趋势，在原《网络安全产业图谱》基础上进行了再分类，进一步规划网安产业布局。图谱概况嘶吼2022网络安全产业图谱（全图）【文末附高清版下载方式】本次图谱调研成功收录312家网络安全企业，共分为六大类别，其中囊括102个细分领域。根据嘶吼安全产业研究院调研数据显示，威胁对抗与安全管理收录占比29.1%、应用与产业安全收录占比25.0%、数据安全收录占比15.4%，是网络安全产业三大主流方向。热度较高的细分领域为零信任、数据防泄露、数据综合治理、数据库安全、演练保障收录占比分别为3.3%、2.8%、2.6%、2.6%、2.3%。报告精析根据调研，嘶吼安全产业研究院针对企业营收、客户类别、涉及领域、创新能力、投入情况等数据进行深度剖析，出品《嘶吼2022网络安全产业图谱研究报告》。产业仍处于蓬勃发展的上升期2020年中国网络安全厂商的安全总营收达到591亿元，同比增长36%；根据嘶吼安全产业研究院调研数据显示，2021年中国网络安全厂商总营收达到868亿元，同比增长47%。并且，近10年中国网络安全厂商成立迎来集中爆发增长期。行业迎来革新与创新最佳时机随着互联网、移动互联网、云计算、大数据等科技不断演进与发展，网络安全产业也在不断更新迭代。根据嘶吼安全产业研究院调研发现，近年来云安全、数据安全、产业安全成为企业快速布局的热门领域。并且在参与调研中，有46%的厂商在2021年有创新产品推出。产业资本投入仍保持平稳趋势网络安全领域受疫情影响相对较小，2022年上半年投融资事件同比去年同期仅减少7.4%，相比于其他产业/领域平均30%的降幅，已算影响很小了。受益于在政策环境中安全产业的发展趋势，产业资本投入体量保持稳定。根据嘶吼安全产业研究院调研发现，目前，有融资需求厂商占比达到79%，未有融资需求厂商占比为21%，且无融资需求厂商大多为上市企业。嘶吼2022网络安全产业图谱全图分解：1.

已解散的REvil勒索软件团伙声称对最近针对云网络提供商Akamai的一位酒店客户的分布式拒绝服务（DDoS）活动负责。然而，研究人员表示，这次袭击很有可能不是臭名昭著的网络犯罪集团的死灰复燃，而是一些爱好者的模仿行动。Akamai在周三的一篇博客文章中透露，自5月12日以来，Akamai研究人员一直在监控DDoS攻击，当时一名客户告知该公司的安全事件响应团队（SIRT）——一个声称与REvil有关联的团体的袭击未遂。Akamai

现下，互联网及移动互联网的发展与广泛应用导致企业安全边界消失，提升数据安全治理能力成为数字经济时代的紧迫议题。由于数据分布在云、数据中心、终端、移动设备等各个位置，传统的基于防火墙、入侵防御系统构建的企业安全边界防护手段失效，很难进行有效的数据保护，数据安全存在极大的隐患。对此，嘶吼对北京天空卫士网络安全技术有限公司董事、合伙人、高级技术总监杨明非进行了人物专访，就企业如何建设数据安全治理体系进行了深度访谈。

2022年5月12日，由嘶吼安全产业研究院主办的“博观约取·精微入神：2022数据安全产业竞合力洞察报告发布会”线上直播活动成功举行。在国家政策的支持及约束下，数据安全产业的发展态势日盛，传统安全服务商、云服务商、专业数据安全服务商等层出不穷，产品细分和应用也越来越多，与业务的结合也越发紧密。在这样的背景下，《博观约取·精微入神：2022数据安全产业竞合力洞察报告》应运而生，通过对参与厂商的竞合力洞察分析，提供了数据安全厂商及其产品、服务和解决方案的竞合视角，深挖数据安全产业的真实发展情况，为资方和甲方提供参考。报告指出，2015年和2021年为数据安全产业两个关键时间节点，在2015年，数据安全纳入国家规划范畴，而2021年《数据安全法》的正式实施，标志着数据安全产业发展的元年。2021年数据安全产业市场规模达到88亿元，同比增长91%。预计2025年，数据安全产业有望达到478亿元，用6年时间（2020-2025年）达到传统网络安全20年（1999-2018年）所创造的市场规模。经过前期考察调研，嘶吼安全产业研究院对六家不同类型并具有代表性的数据安全厂商——观安信息、思维世纪、深信服、天空卫士、天融信、腾讯安全的具体业务进行了解读剖析，在本次发布会上，厂商代表围绕数据安全产业发展的现状、实践和趋势等话题也依次带来了精彩分享。活动伊始，嘶吼安全产业研究院首席分析师王盈对《2022数据安全产业竞合力洞察报告》进行了全面解读。她主要围绕数据安全产业为核心展开详细阐述，包括数据安全及产业界定、数据安全PEST分析、SCP分析框架数阐释数据安全产业情况等干货内容。与此同时，本报告倾心打造2021年数据安全综合型、专精型、原生型、创新型企业厂商竞合力图和数据安全产业需求行为全景图谱以及数据安全产业需求行为细分图谱，并集合了年度数据安全重点行业政策及国家技术标准、数据安全企业投融资情况等，以下选取部分报告重点内容以飨读者。一、数据安全产业PEST分析在政策环境方面，数据安全顶层设计逐步完善，地方与行业开始推行落地；在经济环境方面，数据产量与数字经济持续增长，带来持续动能；在社会环境方面，客户认知、场景和需求复杂多变、产品和服务水平低是当前数据安全产业发展的现实境况；在技术环境方面，技术在不断成熟分批次演进过程中，百花齐放态势尽显。二、数据安全厂商竞合力分析嘶吼安全产业研究院根据数据安全厂商不同，分为四大类别：专精型、创新型，综合型、原生型、代表厂商占比依次分别为34%、28%、24%、14%。本次数据安全厂商竞合力分为三大评价纬度：上层建设、中层产品、下层落地。1、综合型企业更倾向于选择“搭房子”的系统安全思路2、数据安全专精型厂商竞合力图：更需尽早关注上层建筑进行资源倾斜3、原生型企业具有先天优势，看好其未来安全发展4、创新型厂商两极化趋势明显，to

目前，微软公司和Okta公司都在调查核实黑客组织Lapsus$早先宣称破坏攻击他们系统的说法是否真实。黑客组织Lapsus$声称自己获得了访问Okta公司内部系统的“超级用户/管理员”权限。并且还在Telegram频道发布了近40GB的文件，其中包括了据说来源于微软内部项目以及系统的屏幕截图和源代码。这则令人震惊的消息最早由Vice和路透社报道。Okta公司周二证实，该公司确实遭受了网络黑客的攻击，且一些用户也受到了不同程度的影响。尽管此次网络安全漏洞的范围尚未明晰，但不容乐观的是漏洞可能是巨大的。根据该公司的说法，他们正在为数亿用户提供网络平台服务，其中就包括了联邦快递、穆迪公司（债权评级机构）、T-Mobile公司（德国电信的子公司）、惠普公司和GrubHub公司（美国大型食品配送公司）等数千家大型公司的员工。一位微软公司的发言人告诉Threatpost，在公司内部调查时发现一个具有访问权限的公司账户被盗。微软公司的网络安全响应团队正在迅速地对被盗账户进行补救，亡羊补牢，犹未为晚，以防止黑客组织利用该账户进行下一步的活动。该发言人同时表示他们并不将代码的保密性作为唯一的网络安全防范措施，查看源代码的行为与公司内的风险提升并无直接的联系。微软的威胁情报团队在周二发布了一个博客，详细介绍了其观察Lapsus$的活动，微软将其标记为DEV-0537。“非常令人担忧”被泄露的Okta屏幕截图内容包括Okta公司Slack频道以及其Cloudflare界面。Lapsus$组织在随后的一条消息中表示，他们仅仅关注Okta的使用客户。独立安全研究员Bill

day漏洞受到高级持续性威胁（APT）组织的主动攻击后，联邦调查局甚至还发出了官方警报。该漏洞（CVE-2021-44515）可以让远程攻击者运行ManageEngine

12月24日，《安全平行切面白皮书》（以下简称“白皮书”）首次对外全文发布。白皮书由蚂蚁集团与信息产业信息安全测评中心共同编写，结合十余位海内外专家意见与建议重磅发布。白皮书系统分析了数字化转型及业务复杂性爆炸背景下安全体系建设所面临的严峻挑战与发展困境，在深度结合安全体系建设新要求的基础上，提出了具备与业务融合且解耦的下一代原生安全基础设施——安全平行切面体系。安全平行切面体系在应急攻防、安全治理与布防、数据安全治理等场景下提供精准内视能力和高效干预能力，显著提升应急攻防与安全治理效能，为原生安全的实现提供了解决路径，为企业数字化转型提供安全保障。【《安全平行切面白皮书》目录】安全平行切面体系（以下简称安全切面）是下一代原生安全基础设施，通过端—管—云各层次切面使安全管控与业务相互融合且解耦，并依托标准化接口为业务提供精准内视与高效干预能力，具备感知覆盖能力强、应急攻防响应快、安全治理高效和安全布防灵活的核心优势。在业务复杂性爆炸的背景下，安全切面可以有效解决传统外挂式安全体系隔靴搔痒、内嵌式安全体系业务与安全相互束缚的行业痛点。安全切面具备“精准感知、及时管控、保障有力、稳健发展”等特点，以“分层建设、多层联动、稳定及安全保障、碎片化适配”为要则构建与业务平行的安全空间，将安全能力分层融入业务体系，建立起基于安全切面的各种保障机制，通过碎片化场景适配拉平基础设施环境差异。安全切面支持从应用和基础设施构建不同层级的防御能力，以实现各层级间的安全管控，同时也支持多层级安全切面相互联动形成整体的防御体系，达到更好的安全治理、防护、对抗效果。在建设要则的指导下，白皮书里展现了安全平行切面的三类主要架构。12月爆发的log4j2漏洞事件处置工作中，安全切面表现优异：可以通过下发安全策略实现log4j2漏洞小时级的快速修复，有效切断漏洞攻击路径。在生产环境中，还可以进一步将攻击者实时引入主动网络蜜罐，对其进行反制和溯源；在测试环境中，进一步采用基于切面的IAST技术实现对JNDI调用链路进行分析，在更大范围内检测潜在攻击行为。除此之外，安全切面还应用于“数据服务海关”，以实现数据流通过程中的尽责与合规。“数据服务海关”是蚂蚁自主研发的数据流通管控基础设施，通过切面体系的植入，将传统的数据网关API转发升级为完整的从数据申报、清关到审计的全链路合规尽责的数据服务模式。在切面技术支撑下，数据流动管控可以达到字段粒度，有效支撑数据安全与隐私保护的合规要求。经过两年来的探索与实践，安全平行切面体系已在蚂蚁集团全面落地，广泛应用于应急攻防、安全治理与布防、数据安全与隐私保护等业务场景，成效显著，性能、稳定性、安全性均表现出色。现在，蚂蚁集团将把安全平行切面体系的建设实践经验与业界分享，未来还会以开源的方式将成果分享到开源社区，并与信息产业信息安全测评中心等权威安全机构，与业界同仁并肩携手，共同构建更加完善、智能的安全平行切面生态，以技术创新落实原生安全核心理念，落地原生安全最后一公里，一同为建设平安数字中国砥砺前行！点击左下角“阅读原文”，即可下载完整版《安全平行切面白皮书》。

2021年12月22日，由中国软件评测中心、国家信息中心《信息安全研究》、蚂蚁集团联合编写的《数据安全复合治理与实践白皮书》正式发布。白皮书在对现阶段全球数据安全产业发展格局及治理态势进行充分调研与深度剖析的基础上，从引导企业建设与升级数据安全治理体系的视角出发，以“战略要位、实战牵引、全员参与、技术破局”为核心指导思想，强调数据安全的“复合”治理，即：对治理框架搭建中战略、管理和技术进行统筹规划与设计，形成基线设定、心智运营、原生设计、安全度量、可证溯源、红蓝对抗、测评认证等丰富的治理环节，强化治理过程的联动，将安全与业务复合、管理与技术复合，形成有机整体，充分发挥复合协同效能，构建体系化、准确量化、持续优化的数据安全复合治理模式。此次蚂蚁集团与国家权威单位联合，结合自身丰富的业务应用场景与实践经验，深度参与白皮书的调研与编写工作。面对我国数据安全法制元年的政策背景，针对数据安全产业规模快速激增，应对敏感数据泄露、数据非法贩卖、数据滥用等安全风险，总结性提出“数据安全复合治理模式”，旨在为企业开展数据安全治理工作提供更加有价值的参考与建议，并为数据安全治理体系与科技能力的建设、优化与升级提供实践路径。【图一

网络安全流行词和流行短语多不胜数。为了简化复杂的专业术语或推动营销，流行语是信息安全等创新和快节奏行业不可避免的现实问题。不过，这些术语并非总是有效的，相反地，它们可能会不准确、过时、误导甚至造成潜在伤害。例如，利用恐惧、不确定性和怀疑（FUD）来最大化盈利的流行语可能具有潜在破坏性；而继续使用和依赖一个过时的（合理且曾有效过）流行语，可能会阻碍人们对根本问题的更深入理解。以下是2021年应该紧急“叫停”的11个网络安全流行词和短语：勒索软件；零信任；白名单和黑名单；人工智能驱动的安全；网络9/11；数字化转型；安全信息与事件管理（SIEM）；人是最薄弱的环节；网络安全意识；网络杀伤链；黑客1.

Server）是一种可随时自动获取、计算能力可弹性伸缩的云服务器，可以为用户提供可靠、安全、灵活、高效的应用环境，确保服务持久稳定运行，提升运维效率。Trend

我们最近发现流行软件的虚假安装程序被用来将恶意软件捆绑包传送到受害者的设备上。这些安装程序被广泛使用，诱使用户打开恶意文档或安装不需要的应用程序。众所周知，在网络安全方面，用户的安全操作环节通常被认为是最薄弱的环节。这意味着它们成为攻击的入口并经常成为黑客的常见社会工程目标。通过终端用户，黑客再逐步地发起对企业的攻击。员工有时并不知道是否受到网络攻击，或者不熟悉网络安全最佳实践，而攻击者则确切地知道如何利用这种安全漏洞。攻击者欺骗用户的一种方式是使用未经授权的应用程序或带有恶意载荷的安装程序来发起攻击。我们最近发现其中一些虚假安装程序被用来将恶意软件捆绑包传送到受害者的设备上。这些虚假安装程序并不是攻击者使用的新技术。事实上，它们是一种古老且广泛使用的诱饵，可诱使用户打开恶意文档或安装不需要的应用程序。一些用户在互联网上搜索免费或付费应用程序的破解版本时就会被诱导下载虚假版本。当用户试图下载破解版的非恶意应用程序，这些应用程序具有有限的免费版本和付费完整版本，特别是

shell）：禁用web认证并在没有密码的情况下登录目标摄像头管理web页面：有了root

的数据资产应该由用户自身拥有重要的保障权益，相信随着智能终端安全的深化发展，个人用户的安全意识和实践的矛盾会逐步缩小，为此嘶吼安全产业研究院给出几点建议:✦

《智能终端安全与用户认知专题报告》正式发布

报告背景与发现随着社会和产业物联网的深化发展，智能终端设备已经从单纯的计算机终端和移动终端发展到更多场景，如视频监控场景、车联网场景、智能家居场景、工控场景等，同时，产品变得更为智能，包含的种类早已不限于智能摄像头、智能机器人、智能音箱、智能路由器、智能车载设备和智能LED屏等。但是，随着智能终端设备的不断增加与演进，智能设备与安全的矛盾日益突出，新闻报道的安全事故屡见不鲜，这些安全事故表现背后还有更多深层次的矛盾和问题值得思考：究竟什么算是智能终端安全？智能终端安全权责划分应该如何进行？智能终端安全影响的程度与保障问题如何？智能终端安全的盈利模式是怎样的？用户对于智能终端安全的认知程度如何？摆在大家面前的这些问题，嘶吼安全产业研究院拟通过《T2B2C：智能终端安全与用户认知》报告进行探寻。核心观点第一弹：智能终端安全产业链路分析本篇给大家带来的是智能终端安全产业链路分析。嘶吼安全产业研究院通过访谈以及对多家研究机构资料梳理发现，对于国内智能终端安全产业业界普遍存在认知不足问题。嘶吼安全产业研究院认为，智能终端安全是个复杂链路，里面包含了多种安全能力。从宏观层面来看，中国智能终端安全市场全链路可以分为感(知)-

BrakTooth攻击场景漏洞影响BrakTooth漏洞影响所有蓝牙设备，其中可能引发DoS和任意代码执行。受影响的BT

"正版收费软件进行使用的程序，或用来生成注册密钥、解锁正版软件的激活程序。Sophos公司高级威胁研究人员Yusuf

发布安全公告称在其软件开发套件和WiFi模块中发现了4个安全漏洞，影响超过65个厂商的200款IoT设备。这4个漏洞分别是：◼CVE-2021-35392：由于SSDP

编者按新冠疫情带来全球网络、数字和产业信息化的巨大变革已经毋庸置疑。后疫情时代，整体网络安全在云上安全方向迅猛发展，快速成为未来发展的核心。不同于传统安全，云上安全很难一言蔽之，真正是“致广大而尽精微”。面对2021年云上安全新形势，嘶吼安全产业研究院认为，现有云上安全提供商之间的竞合关系不应单纯局限于眼前的小格局，应该更多放在如何做大蛋糕，共赢市场的新格局上面。为此，嘶吼安全产业研究院出品《致广大

近日，研究人员发现有超过7亿领英用户数据在暗网出售，是领英史上最大规模的数据泄露事件。事件分析6月22日，有黑客在暗网平台出售超过7亿的领英用户数据，并发布了一个包含100万领英用户的样本数据集。研究人员查看该样本发现其中含有以下信息：◾邮箱；◾姓名；◾电话号码；◾家庭地址；◾地理位置记录；◾领英用户名和介绍的URL；◾个人和职业经验、背景信息；◾性别；◾其他社交媒体账号和用户名。这是领英史上最大规模的数据泄露事件。该用户称完整的数据库中包含有7亿领英用户的个人信息。因为领英官方声称有7.56亿用户，也就是说有约92%的领英用户可以在该泄露的数据库中检索到个人的信息。下面是该黑客给出的样本数据：从中可以看到用户全名、领英用户名、Facebook用户名、邮件地址、手机号码、职业数据、工资数据等。根据研究人员的分析和对该数据样本与公开数据的对比发现，数据应该是真实的，并且与现实用户是关联的。此外，该数据也是最新的，因为包含了2020到2021年的一些样本。研究人员在黑客给出的数据样本中并没有发现登陆凭证或金融数据，但攻击者仍然有可能利用这些数据来进行获利。数据来源分析研究人员与发布数据的黑客进行了联系，该黑客称数据是利用领英API获取的用户上传到领英网站的信息。下面是研究人员与该黑客在telegram上的对话：可以看出黑客对完整数据集要价5000美元，称该数据集是通过领英API获取的。领英回应领英已经给出官方回复称，通过初步分析发现并非所有数据都是通过领英API获取的，相反，有部分数据是来自其他来源的。而且这并非领英数据泄露事件，具体结果有待进一步调查。

索尼并不是唯一的一个经常泄露数据的游戏公司。1月的一份报告发现，在犯罪市场上出售的被窃取的数据库中，有50万份是来自25家游戏公司的被盗的凭证。6月，"银河之战

2021年6月10日，由北京市经济和信息化局、北京市通州区人民政府主办；国家网络安全产业园区（通州）工作专班承办；北京通州网络安全产业园区运营管理有限公司协办的“国家网络安全产业园区（通州园）政策发布会暨《致广大

嘶吼网安产业链图谱调研目的产业链布局对于企业效率实现具有重要的先行决策意义，而我国现阶段网络安全行业发展仍区别于其他行业一般性企业的功能约束和资源特点。据去年年末嘶吼安全产业研究院调研模型的定位靶盘，调研结果显示，负责承担平稳市场、保障供给任务的大规模政企为履行职能而采取的上游环节控制，使之拥有了同时可以带来竞争优势的独占资源，并且在功能实现和效率提升之间形成积极正向反馈。处于充分竞争中的企业在锁定产业链中主营业务以及构建交易网络之后，凭借独有的资金优势将部分核心资源内部化，能够增强其对于上下游的影响力促成更为有利于提升竞争力的纵向合作。在当前各类新型技术的背景下，我国网络安全行业在合理选择产业链布局模式的基础上，基于适度的发展策略从而提升产业链中的核心竞争力，通过科学管控强化外部合作和降低市场交易成本，推动网安行业发展效率提升。产业链图谱的调研研究方向及范围在2020年，嘶吼安全产业研究院优先考虑IT系统及社会环境的发展，保障人民财务安全和社会经济生产力。研究院通过整理网络安全产品的指标和度量计划的更多详细信息，旨在通过支持技术度量的发展，以此为标准确定网络安全风险治理对于企业经营管理的影响。与此同时，我们还在今年1月发布了《网络安全产业链指数》，旨在更好的反应网络安全行业在二级市场的表现。历经三个月的线上问谈和线下走访调研，嘶吼网络安全产业研究院将2021年网络安全产业链图谱现在发布。此次调研后发布的图谱内容更加完善，总计参加调研的网络安全相关企业和机构近四百家。本次图谱的研究共涉及15个安全行业方向的53个安全细分领域，总计1941个数据项，由于图谱中内容展示受限，嘶吼网络安全产业研究院也在嘶吼官方网站中增加了图谱页面，欢迎网络安全相关合作企业咨询或申请入驻。图谱调研结果展示【嘶吼网安图谱中的企业顺序不存在排名】网络安全产业中各类产品细分领域带来的发现与思考1）

北向峰会是集聚业界战略决策者、建议者、执行者的行业闭门会议，历届北向峰会的行业趋势探索以及战略性指导意义，使其成为安全行业别具一格的风向标。面向2021，北向峰会以【极光论坛】、【山海论坛】、【都江堰论坛】、【文森峰论坛】四个模块，深入研讨了安全行业战略发展之路。嘶吼作为会议承办方，全力支持与扩展峰会对行业发展的战略性意义。根据【北向峰会2020】重要内容，嘶吼安全产业研究院与北向峰会共同编撰成《北向文集》，文集将以连载的方式在“嘶吼专业版”独家发布，向大家分期呈现，每日更新，敬请关注！14期

0x00、前言伴随着新基建项目的不断演进，IT信息安全业务也在不断的变化，从前几年的只销售安全单品、安全服务、安全解决方案到现今的销售基于IT基础设施的安全服务。这种安全服务，安全能力不仅仅包含安全产品、纯安全服务，还需要一整套基于IT基础设施的自研的安全解决方案，有时候还需要配合外采服务满足用户需求，同时业务方面需要与大型商业活动结合，安全防护级别达到护网行动的级别，同时做好政府部门对接工作。只有这样，我们才能把这种安全服务卖上500w~1000w价钱。0x01、安全产品优化在对外销售这种安全服务的时候，我们发现提升安全运营人员的工作效率是整个项目盈利的核心，安全产品优化的好，我们能节省的人力成本的投入就会少，反之项目会亏损。简单举个例子：如果要提供7*24小时的安全运营服务，一个项目周期为7天，14人/天，后台二线运营也至少2个人。如果安全运营人员都把时间浪费在给主机打补丁，处理防火墙策略，数据分级等基础预防性工作，那你的工作无法集中到运营监控方面，遇到问题也无法做深入思考，一旦发生入侵事件，无法有效的处理。这些前期工作都需要增加安全服务的工时。那么针对安全解决方案，最快速搭建的方法就是使用公有云，公有云基础设施比较完备，安全服务也齐全，包括：主机安全、云WAF、抗D、扫描器、态势感知、数据库审计、堡垒机等，那么在做护网行动前，我们要做的一些安全预防性工作包括：安全镜像优化、人工渗透测试、自动化渗透测试、主机/云产品基线、安全组ACL设置、数据分级等。先以安全镜像优化为例：自动化安全产品：主机安全中主机漏洞，目前存在的问题：@1、主机操作系统的镜像制作周期一般一个季度制作一次，因为有几十种操作系统版本，每个版本需要经过严格的测试才能上线，从漏洞产生频率上看，每个季度大约CVE，2000+，RHSA

网络安全产业链图谱描绘怎样的产业生态？产业链一直是产业经济学中被反复提及的概念，它包括了产业部门之间基于一定技术经济关联，并根据特定应用场景下的逻辑相关性形成的一种形态。嘶吼产业安全研究院希望通过调研网络安全产品之间的关系，逐渐绘制形成较为完整的一张涵盖网络安全行业中各细分领域的产业链图谱。对于网络安全各类产品的价值、所属企业、供需关系等做出客观的评估，给予行业发展新的声音和力量。网络安全产业发展即将开启全面调研在2020年，尽管政企组织均不同程度上提高了对网络安全的重视程度，但是仍有许多需要被共同定义和正确实施的网络安全措施和概念。不论是从对于各类信息泄露还是从整体产业发展的人才短缺等问题上，我们均需要一个客观的趋势分析和图解。因此，嘶吼产业安全研究院将在十月上旬开启网络安全产业发展情况的调研，敬请期待。《2020网络安全产业链图谱-下半年更新》《2020网络安全产业链图谱-下半年更新》详情下载请关注公众号"嘶吼专业版"并回复“图谱更新”获取

从最初的信息安全发展到现如今的网络安全产业，产业中不断涌现出许多新的理念、新的技术。应用的行业也在不断的扩展，强烈的变化和细分领域的多样性使得网络安全产业一直有一种天然的神秘感和魅力。

随着新冠病毒疫情的威胁吸引了全球的关注，2020年1月的全球威胁指数报告指出网络犯罪分子利用了新冠病毒疫情这个热点来进行恶意活动，全球爆发了多起与该病毒相关的垃圾邮件活动。规模最大的新冠病毒疫情主题的攻击活动主要攻击日本，通过日本残疾人福利服务提供者发送的邮件附件来传播Emotet恶意软件。垃圾邮件会鼓励受害者打开恶意附件，如果受害者打开恶意附件，就会在受害者计算机上下载Emotet。

2019年12月22日星期日，清晨的北京烟雾霭霭，自冬至日这天起太阳北归、大地回春，因而民间素有冬至大如年的说法。上周，北向峰会的宣传发出以后，很多小伙伴好奇为什么宣传稿件和材料中都找不到2019北向峰会的举办地点，希望来现场一睹为快。北向峰会举办四届以来，以行业聚会的形式召集了很多行业内的领军人物分享观点，今年的北向峰会已经成为业界人士补充知识、学习打卡的重要一站。但是，每年北向峰会的定向邀请人数都不会超过200人，今年也一样，嘶吼作为承办单位今天一大早就来到了2019第四届北向峰会现场，带大家先睹为快。早上8点，距离2019北向峰会召开还有一个小时，大会发起人网络安全业内专家潘柱廷正在场外放置的背景板上奋笔疾书，看书写内容是在为今年的北向峰会2020网络安全十大热词以及2020十大天鹅事件评选做准备。大潘手上拿的是今年评选的新花样-贴纸玩法，参会者入场时都会收到一份上有黑、红两只天鹅以及指针样式名牌贴纸的说明书，需要在会议期间完成投票。我整理了大潘的书写内容，带大家先睹为快，评选结果将在文末为大家揭晓。今年北向峰会参与投票的2020年网络安全热门关键字分为三大类，分别有：政策与宏观环境：中美关系、一带一路、关键信息基础设施保护、等级保护2.0、A政策、H行动、2020网络安全和信息化工作会议、十四·五规划、GDPR、个人信息和隐私。格局与新兴技术：toB、toX和产业互联网、互联网+、云计算、工控和工业互联网、物联网，车联网、数据与大数据、5G和大连接、人工智能、区块链。威胁与安全举措：勒索病毒（各种付款渠道性获利攻击）、恶意代码、DDoS（各种洪流式攻击）、APT、威胁框架（ATT@CK等）、威胁情报、态势感知、安全运营中心、重大活动安保、应急处置、首席安全官岗位、自动化响应、SOAR、蜜罐和欺骗式防御、靶场和平行仿真、漏洞、生物特征鉴别、零信任和新密码应用、人才培养、众测和演习、数据安全和治理、内生安全、云原生安全、安全大脑、块安全和城市。参与十大天鹅事件评选的共分为三个类别，其中包括：国家级（国际，政治，经济，技术，事件，军事）：中美关系全面恶化、中美关系突然全面向好、技术冷战升级，西方阵营全面与中方隔断技术关联、我军正式成立网军网空防务军工，大板块迅速形成、突发重大事件影响我国经济近1%、出现重大技术突破，使现有全球主力安全措施失效。产业级（政策，生态，事故，市场容量，板块重构，大战）：出现百亿级产业利好政策、整个IT产业共性供应链出现重大问题、出现重大断网事故、出现级别超过Wanna

crate，它的名称来自以下事实：它使用链接列表数据结构来跟踪释放的内存区域，下一篇文章将对这种方法进行更详细的解释。要使用crate，我们首先需要在Cargo.toml中添加对它的依赖：

这篇文章我们会向你介绍内核是如何添加对堆分配的支持，首先我会介绍动态内存，并展示了借用检查器如何防止常见的分配漏洞。然后，它实现Rust的基本分配接口，创建一个堆内存区域，并设置一个分配器crate。在这篇文章的结尾，内置alloc

generate_code_for当无法快速分配内存时执行该命令，有趣的是，是否可以始终快速创建对象，并且“查找用法”链将我们引到instanceKlass.hpp中的此类注释：//

...}对于每个线程，跟踪其分配的强度，并根据它和constant_target_refills（已仔细签名为“希望该线程在两个程序集之间请求的TLAB数量”）进行计算，以计算出新的大小。_

condition），用root权限实现内核代码执行。如果再借助一个qwertyoruiopz和bkth开发的WebKit引擎漏洞（远程代码执行漏洞），则研究人员可以完全实现Safari沙箱逃逸。

一、概述Java序列化对象（JSO）是一种允许Java服务之间进行数据交换的机制。但对于攻击者来说，JSO可以为他们提供一个可靠、稳定的载体，来使他们获得对运行Java应用程序的系统的远程控制。如今，有越来越多针对互联网上可访问服务的漏洞和已知攻击事件接连爆出。在本报告中，我们将探讨JSO如何受到不安全的反序列化漏洞的影响、互联网上JSO处理的应用程序的流行程度，以及测试人员如何使用Metasploit框架来验证涉及JSO的漏洞。1.

Server成功验证后执行，但在登录会话创建之前，实际上已经完全建立了登录触发器。它们通常用于以编程的方式基于一天中的时间，主机名，应用程序名称和单个用户的并发会话数来限制对SQL

2018年已经接近尾声，2018年网络安全“金帽子”奖年度评选活动经过紧张的投票阶段，获奖名单已新鲜出炉，本次公布的是大众评审奖的获奖得主。根据活动评选投票规则，大众评审奖将选出年度新锐安全公司五名、年度最受关注安全应急响应中心五名、年度最具影响力安全会议五名、金帽子明日之星（五名）。四类奖项由根据大众网络投票评选的票数排名得出

读取注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa下的键值JD、Skew1、GBG和Data中的内容，拼接成syskey