图片：GoUpSec/DalleGoUpSec点评：虽然特朗普和拜登的执政理念大相径庭，但是在网络安全政策方面，二者的分歧可能并未如人们想象得那么大。即将重返白宫的特朗普是否会全盘接受拜登的“网络安全遗产”？这是全球网络安全行业当下最为关心的话题之一。拜登的最后一道网络安全总统行政令特朗普胜选后，业界普遍预测“跛脚鸭总统”拜登很有可能赶在在年底之前颁布第二道网络安全总统行政令，以在卸任前完成更多网络安全政策的布局。据消息人士透露，这项总统命令预计将在国会“跛鸭期”内（年末）发布，覆盖从“安全设计”倡议到供应链责任、IT和操作技术安全、互联网路由、密码管理、身份管理、人工智能以及网络安全人才培养等一系列主题，新的总统行政令的重点和看点如下：1.通过行政令加固网络安全政策消息人士表示，拟议中的网络安全行政令将延续拜登政府在2021年推出的标志性网络安全政策，解决此前未覆盖或未完全解决的领域。其中，推进后量子密码学标准尤为突出。这一标准旨在应对未来量子计算机可能带来的加密破解威胁，确保政府和企业在网络环境中的安全性。此外，这项命令还将涉及“安全设计”原则，鼓励公司在产品设计初期内置安全特性，以应对近年多起高调的网络安全事件。拜登政府意图通过此项行政命令巩固其在科技和网络安全领域的遗产。前奥巴马时代的国家安全委员会网络安全协调员、现任网络威胁联盟（Cyber

2024年美国总统大选的结果将对美国国家网络安全政策产生深远影响，因为民主党候选人、现任副总统卡马拉·哈里斯与共和党候选人唐纳德·特朗普在网络安全议题上非常“撕裂”。专家预测，这次选举的结果将直接影响美国的五大网络安全政策：美国如何对抗国家级网络安全对手如何打击虚假信息网络安全法规的执行力度是否解散网络安全与基础设施安全局（CISA）是否设立独立的美国网络部队（US

首席信息安全官（CISO）在2024年面临前所未有的压力。在过去，CISO的职责可能仅仅是保护企业的技术堆栈，但今天，他们的角色涵盖了风险管理、资源分配、法律合规、甚至推动业务发展等多个维度。以下是2024年CISO们最关注的十大挑战：1威胁态势不断恶化网络威胁的数量和复杂性持续攀升。ISC2的CISO乔恩·弗朗斯表示，当前的威胁环境是过去五年来最具挑战性的。伴随着攻击面不断扩大，CISO们在应对这些威胁时往往被“拉向不同方向”，难以全面兼顾。2保护动态环境而不增加“数字摩擦”CISO不仅需要防范不断增加的威胁，还要避免对业务产生“数字摩擦”。BPM公司的CISO范迪·哈米迪指出，技术的快速变化要求CISO在降低风险的同时，还要避免给业务带来阻碍。这要求安全团队与其他部门密切合作，以平衡安全和业务需求。3监管“雪崩”随着法规数量的激增，CISO们面临越来越多的合规要求。Doodle的CISO尼尔·哈珀称之为“监管雪崩”，举例说明了NIS2指令和欧盟的数字运营韧性法案（DORA）。此外，各地区之间的法规差异也导致CISO们面临“监管不协调”的困境，这大大增加了合规的难度。4供应链和第三方风险供应链安全成为CISO关注的焦点。由于公司对供应链安全的控制有限，攻击者日益瞄准第三方供应商。Equifax的CISO贾米尔·法什奇指出，企业与第三方的接触愈发频繁，且供应链攻击的成功率增加，迫使安全团队重新审视供应商和软件组件的安全。5安全责任的增加美国证券交易委员会（SEC）对SolarWinds及其CISO的起诉标志着CISO个人责任的增加，许多CISO如今需要确保他们的决策符合法律要求，并在董事和高管责任保险（D&O）覆盖下进行操作。6在企业内部确保AI安全AI技术的兴起给安全团队带来新的挑战。企业内部的AI应用需要在保护敏感数据的同时不阻碍创新发展，许多CISO为此制定了严格的AI治理政策，以确保数据安全与AI技术的快速发展之间的平衡。7防范AI驱动的网络攻击AI不仅加速了企业的创新，同时也为攻击者提供了强大的工具。生成式AI能够生成逼真的虚假内容，使得传统的诈骗和社交工程攻击更具迷惑性。CISO们正通过AI技术来反制AI驱动的威胁，以遏制由AI支持的恶意活动。8获取充足资源人才和预算资源短缺是CISO长期面临的问题。2024年ISC2的研究显示，全球网络安全岗位需求缺口达到480万，这对企业网络安全团队的建设构成了巨大压力。CISO们不仅需要填补这一短缺，还需要吸引和培养多元化的人才。9提高安全在企业内的地位安全文化的建立至关重要，许多CISO依然发现安全部门往往被孤立对待。随着更多企业推行DevSecOps实践以及CISO在高级管理层中的影响力增加，安全正逐渐被视为业务要求而非单纯的技术问题。10实现“零摩擦”运营在不断变化的威胁和技术环境中，保持运营卓越始终是CISO的核心目标。安全团队需要在理解企业业务活动的基础上，前瞻性地实施安全策略，而非被动应对。CISO们正致力于实现安全更新无缝融入现有系统，从而实现“零摩擦”运营。在2024年，CISO面临的全新挑战涵盖了从监管合规、技术创新到团队资源等多个维度。面对这一系列挑战，CISO们不仅是安全防线的守护者，也是推动企业数字化变革的关键推动者。参考链接：https://www.csoonline.com/article/3587231/the-10-biggest-issues-cisos-and-cyber-teams-face-today.htmlEND相关阅读CISO反复踩坑的七大风险管理认知错误CISO常踩的十个大坑CISO最容易忽视的八个云安全关键问题CISO必看：六大IT风险管理框架怎么选

近日，美国网络安全与基础设施安全局（CISA）宣布了一项史无前例的，极为严苛的数据安全规定，旨在防止“敌对国家”获取美国政府和公民敏感数据。这一提案主要针对从事受限交易的（科技）企业，特别是那些涉及美国政府和个人敏感数据且有可能暴露给“重点关注国家”或“受限人员”的企业。通过这一提案，CISA希望提升相关行业的数据安全标准，防止“重点关注国家”或个体通过技术手段获取美国的关键数据。14天内必须修补已知漏洞CISA新规提出了一系列严苛的安全措施，并给出了组织级别和数据级别的具体要求。以下是部分关键措施和要求：资产清单维护：要求每月更新资产清单，包含IP地址和硬件MAC地址。漏洞修补：已知漏洞须在14天内修补；关键漏洞在15天内，高风险漏洞在30天内修复。网络拓扑维护：保持准确的网络拓扑结构，以便于识别并响应潜在的安全事件。多因素认证：对所有关键系统实施多因素认证（MFA），并要求密码长度至少为16位。数据加密和掩码：要求在受限交易中使用加密保护数据，减少数据收集或对数据进行掩码处理，以防止未经授权的访问或与美国个人身份的关联。限制硬件连接：防止未经授权的硬件设备（如USB设备）连接到受限系统。日志收集：收集并保存对网络入侵检测系统（IDS/IPS）、防火墙、数据丢失预防系统（DLP）、VPN和登录事件等相关的安全日志。此外，CISA还提议使用同态加密或差分隐私等技术，以防止敏感数据被反向重构。新规波及大量科技企业该提案与2024年早些时候拜登总统签署的第14117号行政命令紧密相关，旨在解决现存的严重数据安全漏洞。受影响的行业范围广泛，波及大量技术企业，例如人工智能开发商、云服务提供商、电信公司、健康生物科技公司、金融机构以及国防承包商等。显然，CISA新规“重点关注的国家”，正是美国政府眼中的头号竞争对手——中国。这意味着，随着中美之间的技术和贸易冲突升级，许多在美国运营或与美国企业有合作的中国企业，可能不得不应对更复杂的合规和监管压力。尤其是涉及云计算、人工智能、数据处理和电信设备的行业，CISA的新规使这些企业面临的风险和合规成本将显著增加。对于中国企业而言，除了在技术合规和数据加密层面进行大规模投资，还需要在跨国业务管理、与美国的合同条款中，重新评估数据传输和存储的安全性，以减少因政策变动带来的业务中断和法律风险。总结CISA的新规标志着美国在数据安全领域的重大政策升级。这项新规不仅仅是针对美国企业的内部安全管理提升，也将对与美国有业务关联的全球企业带来深远的影响，尤其针对国家安全的考量使得中国企业面临前所未有的挑战。为了在中美紧张局势中继续保持业务连续性，中国企业必须加快在数据隐私和安全方面的技术投资，确保合规性，同时评估潜在的跨境业务风险。参考链接：https://www.cisa.gov/sites/default/files/2024-10/Proposed-Security-Requirements-EO-14117-21Oct24508.pdfEND相关阅读智能驾驶非法测绘违反了哪些数据安全法规条例？网络安全巨头Fortinet发生大规模数据泄漏十二大数据安全态势管理（DSPM）工具点评数据安全的最优解：安全网格

Zurich）的研究人员通过深入的密码学分析，揭露了多款广受欢迎的云存储平台存在严重的安全隐患，可能会使用户数据暴露给恶意攻击者。研究人员乔纳斯·霍夫曼（Jonas

当提到网络钓鱼时，大多数人首先想到的是电子邮件钓鱼。然而，随着攻击者手段的不断升级，网络钓鱼技术正日趋多样化，其中一些相对鲜为人知但却日益猖獗的攻击方式正对用户构成严峻威胁。以下是Knowbe4创始人Stu

本周三，国安部微信公众号发文揭露了一起境外企业通过与国内具有测绘资质的公司合作，以汽车智能驾驶研究为掩护，非法在我国进行地理信息测绘活动的案件。境外的A公司利用国内B公司的资质规避监管，采用高新技术手段隐蔽采集数据，并直接指挥B公司人员在我国多省份开展测绘，最终将数据转移出境。国安部指出，这些行为违反了《中华人民共和国测绘法》和相关管理条例，导致国家秘密数据外泄，对国家安全构成威胁。涉案企业和责任人已受到法律追究。国家安全机关提醒，测绘数据与国家安全紧密相关，国内测绘公司和从业人员应严格遵守法律法规，加强数据安全管理，防止数据被非法获取。2024年上半年前视一体机智驾方案市场份额，本周三在香港IPO的自主品牌地平线排名第一，以色列企业Mobileye的份额从2023年H1的4.05%飙升至2024年H1的27.77%

近日，两名哈佛大学学生开发了一款“人脸识别眼镜”，名为I-XRAY。这款眼镜组合了Meta

AI识别验证码的成功率首次达到100%，标志着我们正式进入了“后验证码时代”。很多网站服务会要求用户从一堆图片中选择特定物体，以此来验证用户是否真人。这种图片识别验证码（CAPTCHA）最常见的形式是在复杂的街景照片中识别自行车、斑马线、交通灯等日常物体。然而，最近有研究指出，一些本地运行的AI机器人使用特别训练的图像识别模型，已经做到100%的成功率，达到甚至超过了人类水平！验证码杀手：YOLO模型ETH苏黎世的博士生安德烈亚斯·普莱斯纳（Andreas

数十年来，消费者和企业员工经常被灌输一些“强密码规则”，例如定期更换密码，在密码中使用特殊字符等。虽然近年来此类密码规则的有效性遭到安全专家的广泛质疑，但是新一代密码规则（例如用长度换强度、非必要不更新等）由于企业界的强大惯性和阻力（例如大多数互联网服务和企业系统都不支持64位长密码）而难以普及推广。近日，美国国家标准与技术研究院（NIST）发布了最新的数字身份指南草案（SP800-63-4第二版），彻底颠覆了人们对密码安全的认知。指南提议取消一些最流行的，同时也是“最荒谬”的常识性做法，例如：强制用户定期更改密码强制或限制用特定字符强制要求混合多种类型字符使用安全问题作为验证手段破除密码安全的陈规陋习在数字时代，密码是保护用户隐私和数据安全的关键要素。然而，NIST指出，许多传统密码管理规则不仅没有增强安全性，反而适得其反。最典型的例子是强制用户定期更改密码的要求。几十年前，密码安全性认知尚未普及，人们往往选择容易被破解的常见词汇或简单字符组合，因此定期更改密码被认为是防止被盗用的一种策略。但是，随着密码管理技术的进步和随机生成密码的普及，强制更改密码的做法不仅增加了用户的负担，还可能导致密码复杂性下降。NIST给验证服务和管理者的“颠覆性”密码建议如下：密码长度至少为8个字符，建议不少于15个字符。应允许最大密码长度至少为64个字符。应该接受所有打印ASCII（RFC20）字符，或在密码中添加空格字符。应接受密码中的Unicode（ISO/ISC

在资本市场迅速“降温”的人工智能技术仍然面临冷却难题众所周知，人工智能技术的发展离不开强大的计算力支撑，背后的数据中心更是耗电量惊人。据统计，全球数据中心每年消耗的电量相当于一个中等规模国家的年用电量。然而，鲜为人知的是，训练和部署这些庞大的人工智能模型不仅耗电，还需要消耗大量水资源。数据中心水资源消耗惊人近期的一份报告显示，全球数据中心的用水量急剧上升，其中位于全球“数据中心之都”——美国北弗吉尼亚的数据中心用水量在过去五年里增长了三分之二。更为深入的研究发现，GPT-3级别的模型（拥有约1750亿个参数）在一次包含20至50个问题和回答的简单对话中，大约需要“喝掉”一瓶500毫升的水。而如今，GPT-4模型的参数规模已增长至1.7万亿至1.8万亿，耗水量无疑将进一步飙升。省电不省水，省水不省电数据中心本身并不会直接消耗大量水资源，真正的问题在于水被从当地环境中抽取，却未能有效归还。而且，AI模型本身也不是水资源消耗的罪魁祸首。即使是采用液冷技术的数据中心，系统运行过程中几乎不会损失任何液体。真正大量消耗水资源的是用于冷却数据中心的蒸发冷却器（俗称“湿帘冷却器”），它们负责维持数据中心设备在安全温度以下运行。然而，这种冷却方式并不是所有数据中心的必选方案。在较冷的气候中，干冷却器或所谓的“自然冷却”就足够应对，而在干旱的炎热地区，制冷剂冷却系统可能是更常见的选择。例如，在经历与当地政府的废水纠纷之后，微软在亚利桑那州的Goodyear市建设数据中心时选择了制冷剂冷却系统。虽然蒸发冷却能够有效降低电力能耗，但在供电紧张的地区，这种做法往往加剧了水资源的消耗，特别是在水资源本就匮乏的干旱地区。尽管存在替代冷却方案，但这些方案往往需要消耗更多电力，这在电力供应短缺的当下显得尤为棘手。对于大规模数据中心运营商而言，选择蒸发冷却器更多的是出于成本考虑。相比其他冷却技术，水的导热效率更高，这意味着可以降低电费，甚至在电力紧张的地区建造更大、更密集的数据中心设施。尽管在某些情况下，蒸发冷却的水资源消耗与减少化石燃料使用之间存在权衡，但这通常依赖于所在地区的具体情况。在水资源短缺的干旱地区，蒸发冷却器无疑加剧了水荒。直接液冷技术潜力巨大随着AI技术的飞速发展，芯片发热量不断增加，许多设备的功率已经突破千瓦级别，这推动了液冷技术的广泛应用。例如，Nvidia的Grace

本周一美国白宫发布了一份重磅声明，提议禁止进口和销售含有中国和俄罗斯技术的联网汽车和关键组件，并计划在2027年和2030年分别对相关软件和硬件实施禁令。新的拟议规则以拜登2月份提出的一项倡议为基础，旨在解决中国联网汽车技术带来的“国家安全风险”，因为这些技术“可能被远程访问或禁用”。白宫选择在真主党爆炸案导致全球技术供应链信任危机的风口浪尖发布此声明，引发了关于国家安全与技术经济博弈的热烈讨论。联网汽车技术vs间谍工具网汽车不仅仅是交通工具，实际上已经成为了移动的数据收集器。白宫在周一的声明中强调，联网汽车的安全风险日益增加，它们可以收集敏感的驾驶员数据，追踪驾驶员的位置，并获取关键基础设施信息，对美国国家安全构成严重威胁。根据白宫发布的声明，这些“危险技术”包括“车辆连接系统”（VCS），即通过蓝牙、蜂窝、卫星和Wi-Fi等方式将汽车与外界连接的系统，以及“自动驾驶系统”（ADS）。美国商务部认为，这些技术为恶意行为者提供了干扰基础设施或车辆操作的机会，甚至可能用于监视和破坏美国关键的基础设施。美国商务部长吉娜·雷蒙多表示：“如今的汽车配备了摄像头、麦克风、GPS跟踪器和其他与互联网相连的技术。不难想象，一个掌握这些信息的外国对手会对我们的国家安全和美国公民的隐私构成严重威胁。”“为了解决这些国家安全问题，商务部正在采取有针对性的主动措施，阻止中国和俄罗斯制造的技术进入美国道路。”此外，供应链安全问题也一直是白宫关注的重点。随着中国和俄罗斯在全球汽车市场的崛起，美国政府担忧对手国家可能利用其技术优势进行信息采集甚至进行“供应链破坏”。例如，一些汽车制造商可能会在未察觉的情况下使用嵌入恶意代码的芯片或软件，从而导致其车辆成为国家安全的隐患。争夺全球汽车产业主导权白宫的提议不仅涉及到网络安全与国家安全问题，还将对全球汽车产业产生深远影响。中国近年来迅速崛起，成为全球电动汽车和自动驾驶领域的重要力量，而俄罗斯也在某些高科技领域表现出色。此次禁令显然试图对两国相关产业产生巨大经济打击。此外，许多跨国汽车制造商，如通用、福特等，早已在中国设立了大量供应链与合作项目。美国提议的禁令可能迫使这些公司重新考虑其全球供应链布局，从而增加成本和复杂性。根据美国商务部的提案，某些小型汽车生产商或将获得豁免，以避免对产业造成不必要的冲击，但整体来看，这一禁令可能给全球汽车行业带来巨大变革。实际上，此次提议是拜登政府强化美国汽车产业自主能力的又一重要举措。自上任以来，拜登政府不断推出一系列政策，旨在支持美国本土汽车制造业的发展。早在2024年5月，美国政府就已经将中国电动汽车的关税从25%提升至100%，并通过《通胀削减法案》将电动汽车税收抵免的资格与北美地区的生产挂钩，试图确保关键电池矿物和组件来自美国或其贸易伙伴。这一系列举措的背后，是美国对汽车产业未来主导权的争夺。拜登政府希望通过政策引导，确保美国在电动汽车和自动驾驶技术的全球竞争中保持领先地位。这不仅是为了保护本土经济，更是为了确保在未来的高科技竞争中，美国能够拥有足够的战略自主权。国家安全与经济利益博弈下的汽车产业近年来，中国在全球科技领域的影响力日益增强，而俄罗斯在某些关键技术上的进展也不容小觑。在网络安全、5G通信、人工智能等多个领域，中美之间的博弈已然成为全球焦点。此次针对汽车联网技术的禁令无疑是这一大博弈的延续。然而，经济层面的影响同样不容忽视。中国和美国是全球最大的两个汽车市场，两国之间的供应链高度相互依赖。此次禁令若正式实施，可能导致汽车制造成本上升，并对全球供应链产生深远影响。此外，尽管美国政府希望通过推动本土制造业崛起来降低对中国技术的依赖，但短期内要完全摆脱这种依赖，难度不小。展望未来，美国的此次提议无疑将迫使全球汽车制造商加快寻找替代供应链的步伐，同时也为那些能够提供安全可靠技术的公司带来了新的机遇。对于中国而言，如何应对这场“技术封锁”，并在全球竞争中继续保持领先地位，仍是一个巨大的挑战。在全球化日益深入的今天，技术的创新与安全问题变得更加复杂。如何在保持创新的同时，确保供应链的安全与国家利益，将是全球各国政府和企业面临的长期课题。在这场没有硝烟的战争中，未来的赢家将是那些能够在技术、经济和安全之间找到新的平衡点和发力点的国家和企业。参考链接：https://www.whitehouse.gov/briefing-room/statements-releases/2024/09/23/fact-sheet-protecting-america-from-connected-vehicle-technology-from-countries-of-concern/END相关阅读白宫以“国家安全”为由调查国产电动汽车网络安全是电动汽车的第一产品力特斯拉垫底！25家汽车品牌隐私保护排行榜出炉黑客破解特斯拉汽车，可激活付费功能

在网络安全领域，首席信息安全官（CISO）被认为是企业信息安全的“守门人”，承担着保障企业数字资产、抵御网络威胁的重任。然而，即便是经验丰富的CISO也会在职业生涯中面临诸多挑战和陷阱。以下是十个CISO在工作中常踩的“坑”，希望这些经验教训能够为其他CISO提供有价值的借鉴。1过度依赖技术很多新任CISO往往过于依赖技术，认为只要系统、软件到位，安全问题就迎刃而解。事实证明，技术只是安全策略的一部分。正如Cloudsec.ai的CISONateLee所言，“你负责的是企业的信息安全，而不仅仅是加固服务器和打补丁。”技术应与人员和流程相辅相成，形成全面的安全防护。2忽视适应性初入职场的CISO通常会带着详细的安全计划，但很快发现现实并不总是按计划推进。正如Abnormal

Data的订阅用户，其中包括雇主、房东、执法机构等。他们的个人信息同样暴露，成为网络犯罪分子的潜在目标。泄漏数据样本

音乐行业“高龄硬盘”的大规模损坏为整个存储行业敲响了警钟，第一波硬盘损坏导致的数据丢失高峰正在到来。比尔盖茨曾警告说五十年后的人们将无法读取今天的数据格式，但一个更为残酷的现实是，我们的数据甚至可能无法“活到那一天”。高龄硬盘大规模损坏据《Mix》杂志报道，存储和数据销毁公司Iron

近日，全球知名网络安全公司Fortinet确认遭遇了一次大规模数据泄露事件，亚太地区客户受到影响。据CyberDaily、CRN等多家报道，一名黑客自称通过攻破Fortinet的Microsoft

KB/s。虽然这一速率不高，但足以窃取少量敏感数据，如文本、键盘记录和小型文件。例如，窃取一个密码仅需0.1到1.28秒，而窃取一个4096位的RSA密钥则需4到42秒。RAMBO攻击的数据传输速率

Ratel负载。这些负载与位于中国河南的C2服务器（AS4837）通信。巴基斯坦：具有巴基斯坦军方主题的文档，上传自巴基斯坦，伪装成巴基斯坦空军的公告或就业确认文档，部署了Brute

在生成式AI野蛮生长的“末法时代”，验证码之类的在线身份验证技术已经越来越难以识别AI机器人和真人的区别，近日有研究者提出用“人格证书”取代当前流行的在线“真人”验证技术。这篇论文名为“人格证书，人工智能时代的隐私保护真人验证工具”（Personhood

近日，一场针对中国公务员的大规模网络钓鱼活动引起了国际安全专家的关注。美国威胁检测、调查和响应工具供应商Securonix揭露了一个隐蔽的网络攻击行动，攻击者利用国内某大型云服务作为攻击平台，在中国政府和企业网络中长期潜伏，其主要目标是数量庞大的公务人员群体。针对公务人员的网络钓鱼活动Securonix的研究人员Den

勒索软件攻击依然是当今企业面临的最大安全威胁之一。根据Sophos的报告，59%的企业在2023年遭遇了勒索软件攻击，其中56%的受害者最终选择支付赎金以恢复数据。更为严重的是，63%的勒索金额达到或超过了100万美元，平均支付金额高达400万美元，较2022年的150万美元大幅上升。根据Semperis在2023年7月发布的报告，勒索软件攻击对87%的企业业务运营造成了严重干扰。而且，在遭受勒索软件攻击的企业中，有74%再次成为攻击目标，其中32%的受害者在过去一年中支付了四次或更多次的赎金。尽管支付赎金似乎是一种快捷的解决方案，但这一做法却是一个恶性循环。74%的受害企业再次受到攻击，而72%的支付赎金企业不得不支付多次赎金。此外，35%的企业即使支付了赎金，也未能获得有效的解密密钥或恢复文件的能力。确保成功恢复的八个步骤勒索软件威胁并非新鲜事物，为何企业仍然频频中招并付出高昂代价？其根源在于企业缺乏可靠的备份，尤其是缺乏可用的备份。备份不仅需要存储重要文件和数据库，还应包括关键应用程序、配置文件以及支持整个业务流程所需的所有技术。最重要的是，这些备份必须经过充分测试，确保在需要时能够快速恢复。以下是从勒索软件攻击中快速恢复的八个关键步骤：一、隔离备份：Sophos的调查显示，94%的勒索软件攻击者试图破坏备份，而其中57%的攻击成功了。当备份被破坏时，企业支付的赎金平均为230万美元，而备份未被破坏的企业支付的赎金仅为100万美元。此外，备份被破坏的企业支付赎金的概率是未被破坏企业的两倍多，恢复成本更是高出八倍。为了防止勒索软件攻击破坏备份，企业应采用物理隔离或逻辑隔离的方式来存储备份。利用云平台的版本控制功能，确保即使备份中包含被加密的文件，也不会覆盖之前的版本，从而保证数据的完整性。二、使用一次性写入存储技术：另一种保护备份的方式是使用无法重写的数据存储技术，即一次性写入多次读取（WORM）技术。这种技术虽然增加了存储成本，但有效防止了备份数据被恶意修改。三、保留多种备份：企业应采用多种备份方式，如定期进行完整备份，同时在更频繁的时间间隔内进行增量备份。这种多层次的备份策略可以有效防止勒索软件在长时间未检测到的情况下摧毁所有备份。四、保护备份目录：企业除了需要保护备份文件本身，还应保护备份目录。备份目录包含备份的所有元数据，如果备份目录被破坏，即使备份文件完好无损，也难以恢复数据。因此，企业应采取措施保护备份目录，确保其不受勒索软件的侵害。五、全面备份所有关键数据：企业在进行备份时，必须确保所有关键数据都得到备份。许多企业由于阴影IT（未经过IT部门批准的IT设备或系统）的存在，导致部分重要数据未被备份，从而增加了恢复困难。六、备份整个业务流程：勒索软件不仅影响数据文件，还会影响整个业务流程。因此，企业在备份时，应不仅备份数据，还要备份所有支持业务流程所需的组件、依赖项、配置、网络设置、监控和安全工具等。这样可以确保在恢复过程中，企业能够快速恢复到正常运营状态。七、使用热灾难恢复站点和自动化加速恢复：为了缩短恢复时间，企业应使用热灾难恢复站点和自动化工具来加速恢复过程。通过云基础设施，企业可以设置虚拟备份数据中心，确保在勒索软件攻击发生后，能够迅速恢复业务。八、持续测试备份和恢复流程：企业应定期测试备份和恢复流程，确保在实际灾难发生时能够顺利恢复数据和业务运营。这不仅包括技术测试，还应包括人员操作测试，确保所有相关人员都熟悉恢复流程，并能够在紧急情况下迅速采取行动。结语勒索软件攻击给企业带来了巨大的挑战和损失，而有效的备份和恢复策略则是抵御勒索软件的最后一道防线。通过采取上述八个步骤，企业可以大幅降低勒索软件攻击带来的风险，确保在遭遇攻击后能够快速恢复业务运营。在面对不断演变的勒索软件威胁时，企业必须持续优化其备份和恢复策略，确保在危机时刻能够从容应对。END相关阅读美联储疑遭勒索软件攻击泄露33TB敏感数据“黑猫”勒索软件创始人卷款跑路，甩锅FBI勒索软件之王LockBit遭受毁灭性打击施耐德电气遭勒索软件攻击重创，TB级数据泄漏

近日，安全研究人员在航空运输安全系统中发现一个严重漏洞，可允许未经授权人员（例如恐怖分子）绕过机场安检，获得进入飞机驾驶舱的权限。安全研究人员伊恩·卡罗尔（Ian

近日，Telegram创始人兼CEO帕维尔·杜罗夫被法国警方逮捕的新闻登上了各大科技媒体热搜和头条，虽然杜罗夫在缴纳500万美元的保释金后于本周三获释，但被调查期间禁止离开法国，并需每周两次向法国警方报到。过去数日，主流新闻媒体关于杜罗夫被捕原因的报道存在严重误导，诸如“首个因为内容审核问题被捕的大型社交媒体首席执行官”等标题不仅淡化了事件的严重性，也偏离了事件的主题——加密。本周四巴黎检察官劳雷·贝库奥(Laure

Office是中国金山软件公司开发的一款生产力套件，在亚洲地区拥有广泛的用户基础，全球活跃用户超过5亿。WPS零日漏洞被野外利用超过半年此次曝光的CVE-2024-7262漏洞，涉及WPS

开源GPS跟踪系统Traccar近日曝出两个高危漏洞，可被黑客利用远程执行代码。在全球GPS跟踪市场中，Traccar因其灵活的开源架构和可定制化特点，深受企业和个人用户的青睐。它被广泛应用于物流运输、车队管理、资产跟踪、安全监控以及个人定位等多个领域。通过Traccar，用户可以实现对车辆位置的实时监控、历史轨迹回放、地理围栏设置等功能，从而提高运营效率和安全性。根据Horizon3.ai的研究员Naveen

英伟达CEO黄仁勋曾在“谁将塑造AI的未来？”主题讨论会上抛出了一个大胆的观点：“过去十几年来，几乎所有人都会告诉你，学习编程至关重要，孩子们必须掌握计算机科学。但我认为，未来的编程语言将更加贴近人类语言。我们每个人都将成为‘程序员’，因为AI的奇迹正在发生。”黄仁勋的预测让广大开发人员和网络安全人士，以及打算投身软件开发领域的学子感到困惑，编程语言技能真的不再重要了吗？人工智能会消灭编程吗？大多数人也许没有意识到，在技术迭代日益新月异的IT领域，编程语言和QWERTY键盘布局一样，似乎永远不会被淘汰。自1959年COBOL诞生以来，现代编程语言已经走过了半个多世纪（COBOL至今仍是金融和商业领域不可或缺的关键编程语言）。尽管技术不断进步，编程语言也随之演变——从20世纪50年代晦涩难懂的低级语言到2014年苹果推出的简洁高效的Swift编程语言，整个编程技术体系不断优化。然而，尽管编程语言层出不穷，编程的核心思想和工作方法似乎没有发生根本性的改变。编程依旧要求逻辑推理、问题分解和严谨的思维，这些基本原则和技能伴随技术的进化仍然是不可动摇的基础。编程未来的命运如何？随着人工智能（AI）的崛起，我们正在见证AI对各个领域产生深远影响，编程自然也不例外。例如，DARPA已经启动了用大语言模型“消灭”C语言代码，替换成内存安全语言（例如Rust）的计划。但是，人工智能会像黄仁勋预测的那样，在不久的将来消灭编程语言以及程序员职业吗？事实上，学习编程不仅仅是为了掌握代码，更是一种思维方式的训练。我们通过编写代码，理解逻辑，解决真实场景中的商业问题。毕竟，要想完全依赖像ChatGPT这样的工具编写应用程序，并理解代码中的每一步逻辑仍是一个挑战。人工智能的迅速崛起无疑会改变编程的未来，但开发者的角色仍然不可或缺。对90%的人来说，AI的出现将使他们更容易上手编程，但这并不意味着编程技能将消失。事实上，背后仍然需要大量的AI工程师来优化我们使用的界面，不论是ChatGPT、Claude

近日，美国肯塔基州一名39岁的黑客因入侵政府系统伪造自己的死亡证明被判近7年监禁。该黑客名为杰西·基普夫（Jesse

随着企业数字化转型的深入，越来越多的企业依赖多个云服务商，云安全问题日益复杂和严峻，云宕机或数据泄露导致的业务停顿不但意味着财务和声誉的巨大损失，甚至会给企业带来灭顶之灾。近年来，全球云计算巨头如亚马逊、阿里云和微软Azure接连遭遇了影响广泛的安全漏洞和宕机事故，尤其是最近发生的网易云停顿事件再次引发了业界对云安全和可靠性问题的深刻反思。云计算环境看似是现有业务的无缝扩展，但实际操作中，各个云团队分布广泛，有时可能与网络安全团队的需求背道而驰，这使得云计算的安全问题更加难以察觉和处理，产生大量安全盲区。以下，是CISO最容易忽视或轻视的八个云安全问题：一、隐形威胁：临时性资源临时性资源在云计算中的使用越来越频繁，例如短暂存储实例或动态资源分配，这些资源存在时间很短，通常只执行特定功能后就终止。然而，这些短暂资源虽然寿命短，却极难扫描，成为隐藏恶意软件的理想场所。一旦被攻破，它们便可成为攻击者的温床，为恶意活动提供暂时的庇护，而不会留下太多可供法证分析的痕迹。二、云环境中的IT资产清点很多安全专家过去在本地数据中心中进行IT资产清点时，常因操作过于复杂而避之不及。如今，在云端清点资产变得更加简单，几乎没有借口可以再回避这个问题。云计算中的一切都可视作API，这使得清点资源变得更加高效和自动化。通过快照API，企业可以扫描服务器上的应用程序和库，无需担心扫描过程对性能的影响。三、用云服务账单监测攻击云服务账单可用于监测攻击，因为有些攻击者并不满足于窃取数据或发动DDoS攻击，他们通过增加企业的云服务开销来进行惩罚性攻击，这种攻击方式被称为“钱包剥夺攻击”（DoW）。此外，监控云服务账单开销的异常波动也能成为识别恶意活动的早期信号，例如突然的使用量下降可能意味着攻击者正在删除备份文件，削弱企业的安全防护。四、SaaS应用的安全隐患SaaS应用的风险差异巨大，许多企业在关注主要的云服务提供商时，往往忽略了对SaaS服务的安全审查。这些第三方SaaS应用可能存储着代码库或其他关键数据，但却未必具备足够的安全防护，增加了攻击者利用的机会。五、不可忽视的DNS指向问题DNS指向问题在云计算中看似微不足道，但一旦处理不当，可能会导致严重后果。攻击者可利用遗留的DNS指针伪装成合法的企业网站，从而对用户发起网络攻击。在这个云计算主导的时代，企业需要不断更新安全策略，应对层出不穷的新威胁。即使看似无关紧要的云组件，也可能成为潜在的安全漏洞。六、API的安全隐患API是云结构的基础，也是攻击者进入系统的主要途径之一。许多企业往往忽视API安全，特别是本地API密钥的安全管理。例如，即使员工账户的单点登录（SSO）已经被禁用，但本地API密钥却仍然可能继续有效。这种情况下，前员工仍然可能拥有对系统或数据的访问权限，这无疑是一个严重的安全隐患。对于使用多个云平台的企业，跨平台的API访问问题尤为明显。例如，如果某个企业在多个云平台（如AWS和微软Azure）中使用相同的身份验证平台，那么攻击者有可能通过攻击其中一个API而获得对整个云平台架构的广泛访问权限。七、云端IDP备份策略的重要性身份提供商（IDP）的中断虽然相对较少发生，但企业仍然需要一个IDP备份策略以防不测。尤其在所有身份验证依赖于云服务的情况下，一旦主要IDP不可用，企业需要有应急方案来继续进行认证和服务访问。然而，许多公司在考虑到切换到备份IDP可能对用户造成的干扰时，往往选择放弃这一策略。这导致企业在IDP中断时暴露于严重的身份验证风险。八、元数据服务的隐患2024年3月，亚马逊AWS悄悄更新了其实例元数据服务（IMDS），引入了版本2（IMDSv2）以提高安全性。元数据服务存储了安全凭据和其他关键信息，可能被攻击者利用，通过服务端请求伪造（SSRF）窃取这些凭据。尽管AWS早在2019年就推出了IMDSv2，但许多企业仍在使用原版IMDSv1，这使得它们暴露于潜在的安全威胁中。AWS的最新更新允许默认将所有新创建的实例设置为IMDSv2，但现有的IMDSv1实例仍需要手动重新配置。该漏洞使许多组织在不知不觉中暴露于严重的凭据盗窃风险中，如果攻击者利用这些凭据在企业内部进行横向移动，可能导致灾难性的后果。参考链接：https://www.csoonline.com/article/3487413/8-cloud-security-gotchas-most-cisos-miss.htmlEND相关阅读CISO必看：六大IT风险管理框架怎么选CISO如何避免入狱？CISO不可忽视的十大物理安全措施CIO已死？第六代CISO将成为企业IT掌舵人

丰田是企业管理的楷模，但网络安全和数字风险管理能力却堪忧，近年来连续发生多次大规模数据泄漏事件。近日，据Bleepingcomputer报道，丰田公司已确认其网络系统再次遭到黑客攻击，大约240GB的敏感数据被泄露到黑客论坛。该事件由名为ZeroSevenGroup的黑客组织发起，该组织声称成功入侵了丰田美国的一个分支机构，窃取了大量涉及员工、客户、财务及网络基础设施的信息。事件概况与丰田的回应在被问及数据泄露的具体情况时，丰田对媒体表示，公司已经意识到了该事件的发生，并称此次事件的影响范围有限，未波及整个系统。丰田还表示将与已与受影响的相关方取得联系，并将在必要时提供帮助。泄露的数据包括与员工和客户相关的个人信息、财务合同、网络基础设施数据及凭据。据ZeroSevenGroup描述，他们通过开源工具ADRecon从Active

经过多年的评审与筛选，美国国家标准与技术研究院（NIST）本周正式敲定了三项用于应对量子计算威胁的加密算法，这标志着全球首批后量子（post-quantum）安全加密标准的诞生。早在2016年，随着量子计算技术逐渐从理论走向现实，NIST便呼吁全球密码学家开发新的加密标准，以应对量子计算可能带来的威胁。传统的加密算法如RSA，因其基于大数分解等问题，在量子计算机面前不堪一击。首批三项标准胜出经过数年评审，NIST从69个提交的算法中筛选出了三项新标准，分别是ML-KEM、ML-DSA和SLH-DSA，有望将成为NIST量子安全战略的基石。以下是首批通过的三项后量子加密标准：ML-KEM是基于模块格的密钥封装机制，速度很快，适用于快速加密操作，如安全访问网站。ML-DSA则是用于数字签名的标准，能够确保文件或软件在传输过程中的完整性和真实性。SLH-DSA同样是一种数字签名标准，但其安全性更强，代价是需要更大的签名或更长的签名生成时间。值得注意的是，另一个名为Falcon的算法也通过了初审，但尚未被选为首批标准之一。NIST表示，将继续评估其他算法，并计划在未来几个月内宣布约15个进入下一轮测试和分析的算法。新标准的基石：格密码学成为首批标准的三个算法均基于格密码学（Lattice-based

根据云安全联盟（Cloud

在信息技术领域，评估和管理风险是一项至关重要的任务。合适的主动风险管理框架和方法论能够帮助企业减少主观猜测，准确识别和应对IT风险，从而确保业务的连续性、弹性和安全性。本文将对六大主流的IT风险管理框架进行分析和点评，以帮助企业选择适合自身需求的工具。1COBITCOBIT（信息与相关技术控制目标）是由信息系统审计与控制协会（ISACA）推出的IT管理和治理框架。COBIT是一个全面且结构化的框架，旨在帮助企业理解、设计并实施IT管理和治理系统。功能:COBIT

AI、CIEM、xSPM和SIEMSentinelOne在其Singularity平台中新增了一系列功能，旨在利用生成式AI技术增强端点、身份和云环境的安全性。新功能包括Purple

黑帽大会曝出一种降级攻击，可复活数以千计的Windows漏洞，对Windows系统实施隐蔽、持久、不可逆转的攻击，且目前没有缓解措施。在本周举行的黑帽大会（Black

Investments和Sequoia投资的60亿美元B轮融资，估值达240亿美元。BillionToOne：疾病筛查基因检测公司，完成1.3亿美元D轮融资，估值达10亿美元。五月X

在现代微芯片中，一些晶体管的尺寸已经缩小到比新冠病毒还要小十分之一的程度，这些微小的电荷作为计算基础的0和1，很容易受到干扰。一束散射的光子就足以让电子错位，干扰计算机程序。或者，通过更有针对性的激光精确照射，也可以达到同样的效果。现在，这种物理学上的电脑漏洞利用技术即将向更多的硬件黑客开放。首个开源激光芯片黑客工具诞生在即将于拉斯维加斯举行的Black

杀毒软件导致全球蓝屏，DDoS防护导致云服务宕机，微软这家全球最大的网络安全公司，正在不断刷新人们对“安全威胁”的认知。微软本周三晚间宣布，本周二全球范围内多个Microsoft

365账户。邮件安全服务的漏洞与利用由于Proofpoint的电子邮件安全服务在配置SPF记录时过于宽松，导致攻击者能够通过其服务器发送伪造邮件。默认情况下，Proofpoint允许所有Office

近日，CrowdStrike最新报告显示约3%的设备错过“抢救时机”，至今未能从此前的CrowdStrike软件更新引发的全球性系统崩溃事件中恢复。尽管大部分受影响的系统已经恢复正常运行，但CrowdStrike大规模系统崩溃事件给全球经济和网络安全行业带来的损失和深远影响远超业界预期。此次事件不仅导致了全球范围内的业务中断，还对企业的运营和经济造成了深远影响。本文将从以下五个方面详细评估这次事件的影响及其后续发展。3%的系统设备至今回天乏术，损失高达54亿美元在此次由CrowdStrike软件更新引发的全球性系统崩溃事件中，微软统计显示约有850万台Windows设备受到影响。虽然CrowdStrike首席执行官George

近日，美国国家标准技术研究院（NIST）重新发布了名为Dioptra的AI模型风险测试平台，用于评估AI风险和恶意攻击，尤其是针对AI模型训练数据的“投毒攻击”。该工具专注于对抗性攻击的测试，提供基准测试和红队测试环境。其特点是模块化、开源，适用于政府机构和中小企业。美国主导的AI安全标准Dioptra以古希腊天文测量和土地测量工具命名，是一个模块化、开源的基于Web的工具。该工具最初于2022年发布，旨在帮助训练和使用AI模型的公司和个人评估、分析和跟踪AI风险。NIST表示，Dioptra可用于AI模型基准测试和研究，同时提供一个共同平台，在“红队”环境中模拟威胁暴露模型。NIST在新闻发布会上写道：“测试对抗性攻击对机器学习模型的影响是Dioptra的目标之一。”“这款开源软件提供免费提供下载，可以帮助社区（包括政府机构和中小型企业）进行评估，以验证AI开发者关于其系统（安全）性能的声明。”近年来，面对以AI为代表的新技术革命，美国希望牢牢巩固其“智慧密集产业”的霸主地位，控制AI技术标准是其重点战略。事实上，Dioptra是拜登政府颁布的的AI总统行政命令的直接产物，该命令要求NIST协助开展AI系统测试。该行政命令还包括建立AI安全标准，包括要求开发模型的公司（例如谷歌、苹果公司）在公开部署AI模型前通知联邦政府并分享所有安全测试结果。Dioptra也是NIST最近成立的AI安全研究院的首个重大项目，提出了减轻AI风险的方法，例如防止AI被滥用生成非自愿色情内容。此前，英国AI安全研究院推出了Inspect工具集，同样旨在评估模型能力和整体模型安全。去年11月在英国布莱切利公园举行的英国AI安全峰会上，美国和英国宣布了共同开发先进AI模型测试的持续合作伙伴关系。AI模型风险测试市场竞争激烈随着AI技术的广泛应用，各行业对AI模型安全性的需求不断增加。金融、医疗、通信等领域尤其重视AI系统的可靠性和安全性。因此，这些领域的企业和机构积极采用AI模型风险测试工具，以确保其系统能够抵御各种潜在的攻击和风险。尽管市场上有多种工具可供选择，但每种工具都有其局限性。许多开源工具，如Dioptra和CleverHans，虽然功能强大，但对初学者不够友好，使用门槛较高。而一些定制化程度高的工具，如ZTE的SecML，市场认知度较低，社区支持相对薄弱。此外，AI基准测试的复杂性和“黑箱”模型的不可解释性，增加了风险评估的难度。以下是全球市场主要AI模型测试工具的对比分析：国内的代表性AI模型风险评估工具和方案来自网络安全厂商绿盟科技和奇安信：绿盟AI大模型风险评估工具：旨在帮助企业全面评估AI大模型的安全风险。该工具涵盖了多种商业和开源大模型，并具备迅速适配新兴大模型的能力。它基于专家团队筛选的测试用例库，能够识别内容安全和对抗安全的潜在威胁，并提供风险处理建议。奇安信AI安全整体应对方案：奇安信发布的国内首个AI安全整体应对方案，虽然不是单一的测试工具，但它提供了包括AI安全框架、解决方案、评估服务和测试工具在内的全面服务，以确保监管与治理及时跟进，筑牢AI安全基石。AI安全基准测试面临的挑战目前，对主流AI模型进行安全基准测试仍是极为困难的任务，部分是因为当今最先进的AI模型都是黑盒技术，其基础设施、训练数据和其他关键技术（参数）细节由开发它们的公司保密。此外，总部位于英国的非营利性AI研究机构Ada

本周三，CrowdStrike发布了导致全球大规模系统崩溃的初步事件评估报告（PIR）。此前业界传闻该公司潜入了类似SolarWinds供应链攻击的“特工”，但初步调查结果显示是CrowdStrike的更新工具和流程存在漏洞，但CrowdStrike否认自己在该事件中存在“不负责任”的行为。CrowdStrike解释称，事件的导火索是一次为收集某C2框架新威胁技术遥测数据进行的内容配置更新。由于内容验证器的一个错误，未能检查出模版实例中包含有问题的内容数据。（虽然CrowdStrike没有具体说明是何种C2框架，但一些研究人员认为此更新试图检测的是Cobalt

根据微软周末最新发布的公告，受CrowdStrike软件更新错误影响，全球约850万台Windows设备在上周五经历了大规模的IT中断。该事件的规模和损失仍在持续增长，从微软公布的数据来看其影响已经超过了“心脏滴血”、“想哭病毒”等历史上最严重的网络安全事件。简化恢复工作，微软发布“急救U盘”由于之前的系统恢复工作需要人工操作效率很低（重启电脑15次，或进入安全模式删除相关配置文件），微软紧急发布了一款USB急救工具，帮助IT管理员加快修复受CrowdStrike

美国电信巨头AT&T近日陷入数据泄露风波。该公司上周披露，其客户数据在第三方AI数据云平台发生大规模泄露，超过1亿条用户数据被黑客获得，涉及几乎所有AT&T移动客户的通话和短信记录，半个美国的个人隐私面临威胁。涉事平台Snowflake近期因大量客户（缺乏基本的安全控制措施）遭黑客攻击而饱受质疑，AT&T是众多受影响的企业之一，票务巨头Ticketmaster也在此事件中受到波及。被指非法存储分析用户数据美国参议员理查德·布卢门撒尔（Richard

钓鱼攻击一直是企业和个人用户面临的主要威胁之一。为了应对这种威胁，许多电子邮件安全服务引入了URL重写（保护）技术，通过声誉过滤器阻止用户访问已知钓鱼网站。然而，近期的一些钓鱼活动却利用这种保护技术来实施攻击。安全公司Barracuda

据BBC等多家媒体报道，迪士尼公司本周二确认正调查一起因黑客攻击导致的大规模数据泄露事件。报道称，对该事件负责的黑客组织“Nullbulge”声称其动机是“保护艺术家的权利”。超过1TB敏感数据泄露Nullbulge声称已从迪士尼内部Slack频道窃取了超过1TB的数据，包括完整的1万个频道数据转储，文件、消息、未发布的项目、原始图像和代码。该组织还声称窃取了大量登录凭据、内部API/网页链接，以及数千条迪士尼员工通信记录，“几乎所有可访问数据被洗劫一空”。此次泄露事件首先在游戏媒体上曝光，随后被《华尔街日报》报道。据报道，泄露的材料中包括一些与广告活动和面试候选人相关的信息，部分信息甚至可以追溯到2019年。迪士尼已向BBC证实，目前正在调查此次黑客攻击事件。有报道称，泄露的信息中还包括迪士尼正在进行的未来项目相关消息。迪士尼公司发言人通过电子邮件向BBC证实了正在调查此事。娱乐业巨头迪士尼公司的业务覆盖从电影制作和流媒体服务（如Disney+和Hulu）到视频游戏和遍布全球的主题公园。该公司还拥有极为成功的漫威和星球大战系列的IP。迪士尼的大规模数据泄露，不禁让人联想到2014年索尼影业和2017年HBO发生的严重泄露事件。两次事件给索尼影业和HBO带来巨大品牌和经济损失，大量未播出内容和剧本的泄露导致电影和剧集无法如期上映，其中最著名的是《权力的的游戏》的“烂尾”。黑客为艺术“复仇”Nullbulge在其网站上表示，他们会攻击任何（他们认为）通过人工智能生成内容来伤害创意产业的人，并将这种行为描述为“盗窃”。BBC已与该黑客组织取得联系，后者声称位于俄罗斯，通过内部人士进入了迪士尼的内部Slack消息系统。黑客声称，迪士尼之所以成为目标，是因为迪士尼处理艺术家合同的方式、对AI的态度，以及对消费者的公然漠视。他们表示，之所以泄露数据，是因为他们认为迪士尼不会满足他们停止使用AI的要求。生成式AI通过大量现有材料（包括文本、图像、音乐和视频）进行训练，能够生成与人工作品难以区分的AI作品。今天，表演者、艺术家和其他创意工作者越来越担心生成式AI的迅速传播将威胁到他们的生计并损害创意环境。一些艺术家和作者声称，AI公司侵犯了他们的版权，因为AI工具使用了他们的原创作品进行训练。Nullbulge自我标榜是：“一个保护艺术家权利并确保他们工作获得公平报酬的黑客活动家组织”，并在网站上宣称：“我们的黑客攻击行为并非出于恶意，而是为了惩罚那些盗窃他人成果的窃贼。我们将不懈努力，开发和实施解决方案，以保护数字时代艺术家的权利和生计。”Nulbulge的背景此前有报道称Nullbulge组织来自俄罗斯，但这一说法遭到了Secureworks威胁情报总监Rafe

新加坡金融管理局(MAS)近日宣布一项新规定，将在未来三个月内逐步淘汰所有主要零售银行的一次性密码(OTP)认证方式。该举措由新加坡政府和新加坡银行公会(ABS)共同商定，旨在保护消费者免受网络钓鱼和其他诈骗行为的侵害。“一次性密码作为一种多因素认证方式，于2000年代引入，旨在加强网络安全，”新加坡金融管理局公告中写道：“然而，随着科技发展和社交工程技巧的日益复杂，诈骗者现在可以更容易地通过网络钓鱼窃取客户的一次性密码。例如，诈骗者会搭建一个与真实银行网站高度相似的钓鱼网站。”除了钓鱼网站外，一次性密码多年来一直是安卓恶意软件的目标，帮助恶意软件运营商绕过目标账户的双因素身份验证保护。今年，谷歌针对“接收短信”、“读取短信”和“绑定通知”权限的滥用行为采取了更加严厉的措施，新加坡是首批获得这项新保护的国家之一。此外，一次性密码还可能被中间人攻击拦截，如果是通过短信发送的一次性密码，则可能会被实施SIM卡交换攻击的坏人拦截。据报道，新加坡银行将使用数字令牌代替一次性密码，客户需要在移动设备上激活数字令牌，没有激活数字令牌的客户仍可以像以前一样使用一次性密码。据新加坡银行公会透露，该国三大银行星展银行、华侨银行和大华银行60%至90%的客户已经激活了数字令牌。“客户将使用数字令牌对登录进行身份验证，客户无需再使用容易被诈骗者窃取的一次性密码，可以更好地防御网络钓鱼者和诈骗者的攻击。”新加坡金融管理局解释道。参考链接：https://www.bleepingcomputer.com/news/security/banks-in-singapore-to-phase-out-one-time-passwords-in-3-months/END相关阅读全球首例：英国立法禁止弱密码密码管理乱象：九成用户靠“好记性“和”烂笔头“FireBase实列泄露了1900万个明文密码如何降低密码管理的隐性成本

Utils后门，只差一步进入生产版本中。该后门通过一个五阶段加载器实现，使用了一系列简单但巧妙的技术来隐藏自己。一旦安装，黑客可以管理员权限登录受感染的系统。策划XZ

近日，据俄罗斯新闻媒体报道，俄罗斯政府实施了迄今最大规模的非法VPN清剿行动，大量知名非法VPN几乎全军覆没。报Interfax通讯社报道，应俄罗斯电信监管机构Roskomnadzor的要求，苹果公司已从其俄罗斯区苹果应用商店下架了多达25款虚拟专用网络(VPN)应用。Roskomnadzor向Interfax确认，此举针对的是可以访问俄罗斯境内被标记为非法内容的多个应用程序，其中包括知名VPN服务商NordVPN、ProtonVPN、Red

安全研究人员发现，虽然新泄露的门票条码数据并不包含在5月泄露的初始Ticketmaster数据样本中，但一些新泄露的数据可以在旧的泄露数据中找到，包括门票的哈希值、信用卡和销售订单等信息。

在隐私保护为重要卖点的AI手机市场，苹果的“隐私云计算”和安卓的“混合AI”展开了隐私保护军备竞赛。随着生成式AI技术逐渐融入手机核心功能，隐私问题变得愈加突出。苹果在6月10日的全球开发者大会上宣布推出“苹果智能”（Apple