重要事件回顾，智览网安行业发展。近日国内外网安行业发生了哪些重要事件，呈现出了怎样的发展态势呢？杂志社联合中国网安科技情报研究团队将从行业大角度出发，带领大家回顾近日国内外行业的重要事件，探究其中的发展态势。

　　据2021年10月20日报道，人民银行办公厅、中央网信办秘书局、工业和信息化部办公厅、银保监会办公厅、证监会办公厅联合发布《关于规范金融业开源技术应用与发展的意见》（以下简称《意见》）。近年来，开源技术在金融业各领域得到广泛应用，在推动金融机构科技创新和数字化转型方面发挥着积极作用，但也面临安全可控等诸多挑战。

　　《意见》的出台，有助于规范金融机构合理应用开源技术，提高应用水平和自主可控能力，促进开源技术健康可持续发展。《意见》要求金融机构在使用开源技术时，应遵循“安全可控、合规使用、问题导向、开放创新”等原则。《意见》鼓励金融机构将开源技术应用纳入自身信息化发展规划，加强对开源技术应用的组织管理和统筹协调，建立健全开源技术应用管理制度体系，制定合理的开源技术应用策略；鼓励金融机构提升自身对开源技术的评估能力、合规审查能力、应急处置能力、供应链管理能力等；鼓励金融机构积极参与开源生态建设，加强与产学研交流合作力度，加入开源社会组织等。

　　《意见》强调要加强统筹协调，建立跨部门协作配合、信息共享机制，完善金融机构开源技术应用指导政策，探索建立开源技术公共服务平台，加强开源技术及应用标准化建设等。

　　下一步，人民银行、中央网信办、工业和信息化部、银保监会、证监会将继续协同联动，推进《意见》中的各项工作部署落实落地，切实提升金融业开源技术应用水平。

　　据2021年10月19日中国网信网报道，为切实解决账号运营存在的突出问题，国家互联网信息办公室于10月18日召开“清朗·互联网用户账号运营乱象专项整治行动”全国视频工作会议，对相关工作进行专题部署。中央网信办副主任、国家网信办副主任盛荣华出席并讲话。

　　会议指出，今年以来，网信系统认真贯彻落实习总书记关于网络强国的重要思想，针对社会各界高度关注、人民群众反映强烈的突出问题，开展“清朗”系列专项整治，着力解决影响网络空间清朗生态的顽症痼疾，取得积极成效。账号运营乱象专项整治行动是“清朗”系列专项整治的重要内容，将坚持问题导向和效果导向，对即时通讯、新闻资讯、论坛社区、网络直播、知识问答、生活服务、电子商务、网络视频、网络游戏等各类网站平台账号乱象进行集中整治。

　　会议强调，专项整治行动要紧盯五类账号运营乱象：一是违法违规账号“转世”。加强账号注册管理，严禁已被依法依约关闭的账号以相同名称、相似名称等关联名称重新注册，对于已被关闭的账号主体，根据违法违规程度设置一定的禁止重新注册期限。二是互联网用户账号名称信息违法违规。坚决处置名称、昵称、头像、简介和封面等包含违法违规信息的账号，假冒仿冒党政军机关、企事业单位、新闻媒体等组织机构名称、标识以假乱真误导公众的账号，不具备经济、教育、医疗卫生、司法等领域专业资质仍从事专业领域信息内容生产的账号。三是网络名人账号虚假粉丝。严格管控网络名人账号异常涨粉行为，全面清理“僵尸”粉、机器粉，大力打击通过雇佣水军等方式的非自然涨粉行为，定期清理“僵尸”账号。四是互联网用户账号恶意营销。从严处置利用社会时事“蹭热点”、发布“标题党”文章煽动网民情绪的账号；传播低俗、庸俗、媚俗内容的直播、主播账号；炒作明星八卦等泛娱乐化信息，引发网民互相攻击的账号；以知识传播名义歪曲解读国家政策，干扰公众认知的账号；“带节奏”操控评论，干扰真实舆论呈现的水军账号。五是向未成年人租售网络游戏账号。严格网络游戏账号实名注册和登记要求，清理向未成年人提供网络游戏账号的租售交易。此外，因机构调整等原因无法注销的政务号也将予以集中处置。

　　会议要求，专项整治行动要强化统筹协调，通过进一步加强账号注册、使用和管理全流程动态监管，督促网站平台严格落实主体责任，引导账号主体规范账号运营行为，营造清朗网络空间。

　　03央视曝光大量人脸照片几毛钱价格被售据2021年10月23日快科技报道，一张静态的半身照，经过特殊的软件处理，就能够变成一段视频，而这样一段视频就可以冒充人脸识别的图像。据央视网报道称，嫌疑人交代，由于国家规范手机卡的使用，所有手机卡都需要实名认证。一些不法分子对手机卡需求量巨大，嫌疑人也因此动起了歪脑筋，伪造他人的人脸视频来通过注册认证。

　　而在网络上，有不少专门贩卖这些资料的人员，他们被称为“料商”。犯罪嫌疑人 马某：“有的便宜的有几毛钱，有的也就一块钱”。开始的个人信息泄露，到在网络上被以几毛钱的价格进行兜售，再到伪造自己的人脸进行认证，很多受害人对此是一无所知。

　　中国政法大学传播法研究中心副主任朱巍表示，目前没有法律具体规定谁有权采集我们的人脸信息。我们希望这个问题能在法律层面上尽早明确，避免出现商家随意收集用户人脸信息的情况，或“不刷脸就不提供服务”的霸王条款。

　　据2021年10月22日快科技报道，由中共深圳市委网信办联合深圳市公安局、市市场监管局、市通管局主办的深圳市APP个人信息共护大会在深圳中心书城举行。

　　深圳市委常委、宣传部部长王强出席会议，并与市民代表共同见证腾讯、华为等20余家重点APP运营企业签署《深圳市APP个人信息保护自律承诺书》。

　　据深圳商报报道，会上来自网络社交、直播、游戏、电商、金融、物流、交通、社区服务等多个应用领域运营主体的相关负责人现场签署了《深圳市APP个人信息保护自律承诺书》，向社会公开作出“不超范围采集信息，不强制索要用户授权，不利用大数据杀熟、不滥用人脸识别数据，不监听个人隐私”等承诺。

　　在今天华为开发者大会上，华为消费者业务首席运营官、华为消费者业务手机产品线总裁何刚表示，华为制定了严苛的隐私安全原则，包括数据安全保障、数据最小化、数据端侧处理、透明可控、身份保护。“我们的标准很严苛，任何不符合安全与隐私保护原则和流程的业务不允许发布” 。何刚提到，网络安全和隐私保护是华为践行全场景生态战略的原点，因此，需要倍加“呵护”。

　　大会现场，何刚也代表华为消费者业务，提出安全与隐私保护的“三大承诺”：第一，隐私是用户的基本权利，用户的隐私安全在华为是作为最高优先级；第二，你的数据，全部为你加密，未经你的允许，任何人无法访问你的数据；第三，你的信息，由你全权掌控，从开机到使用每一步都要你的同意。

　　对于应用生态伙伴，华为开放了4大安全能力包，10多个安全能力子集；对于设备生态伙伴，华为共开放了2大安全能力包，30多个安全能力子集。确保打造以安全为前提的全场景生态。

　　此外，华为将多年构建的安全与隐私能力，除了应用在华为产品上，也开放给应用生态和设备生态伙伴，希望能和大家一起构建一个安全可信的全场景生态。大会现场华为也正式发布《HarmonyOS Connect生态设备安全与隐私保护指导书》，让生态伙伴在开发产品时有据可依。

　　据悉，早在2018年华为就设有“华为终端安全漏洞奖励计划”，与白帽安全专家一起，共同守护消费者安全。其中单漏洞最高奖励150万元，系统性漏洞最高奖励800万元。

　　网络安全，虽然看起来很高大上：烧脑的代码、网络病毒攻击，涉及计算机、通信、密码等多个学科，但它覆盖我们生活的方方面面。企查查数据显示，我国现存“网络安全”相关企业共71.2万家。2020年是近十年注册量的高峰期，全年共注册了19.5万家相关企业，同比增长了112.7%；今年前三季度共注册了26.9万家企业，同比增长了102.3%。从企业省份分布来看，广东省以12.7万家企业位居第一，其次是福建、山东。广州、上海、西安则是排名前三的城市。

　　微软周四披露了一系列广泛的网络钓鱼活动，该活动利用了一个自定义网络钓鱼工具包，将至少五种广泛传播的组件拼接在一起，目的是窃取用户登录信息。

　　这家科技巨头的微软365卫士威胁情报团队，在2020年12月在野外发现了该工具的首例，被称为复制和粘贴攻击基础设施Today Zoo。

　　研究人员说：大量的网络钓鱼工具包和其他可供出售或出租的工具使得独狼攻击者很容易从这些工具包中挑选出最好的功能。他们把这些功能放在一个定制的工具包中，并试图从中获得全部好处。Today Zoo就是这样。

　　网络钓鱼工具包通常作为一次性付款在地下论坛中出售，是包含图像、脚本和 HTML 页面的打包存档文件，使威胁行为人能够设置网络钓鱼电子邮件和页面，并利用它们作为获取和传输凭据到攻击者控制的服务器的诱饵。

　　TodayZoo 网络钓鱼活动也不例外，因为发件人电子邮件冒充 Microsoft，声称是密码重置或传真和扫描仪通知，将受害者重定向到凭据收割页面。最突出的是网络钓鱼工具包本身，它由从其他工具包中取出的代码块拼凑而成——有些可通过公开访问的诈骗卖家出售，或者被其他工具包经销商重复使用和重新包装。

　　具体来说，框架的大部分内容似乎已慷慨地从另一个工具包（称为 DanceVida）中取出，而仿制品和混淆相关组件与至少五个其他网络钓鱼工具包（如博索、FLCFood、Office-RD117、WikiRed 和 Zenfo）中的代码明显重叠。尽管依赖于回收模块，但 TodayZoo 在凭据采集组件中偏离了 DanceVida，用其自身的渗透逻辑取代了原始功能。

　　如果说有什么不同的话，弗兰肯斯坦的怪物特征的Today Zoo 说明了威胁行为者利用网络钓鱼工具包进行邪恶目的的不同方式，无论是通过从网络钓鱼即服务（PhaaS）提供商那里租用它们，还是从零开始构建自己的变种来适应他们的目标。

　　微软的分析写道：这项研究进一步证明，目前观察到或可用的大多数网络钓鱼工具包都是基于一个较小的大工具包家庭集群。虽然以前已经观察到这一趋势，但鉴于我们所看到的网络钓鱼工具包之间共享大量代码，它仍然是常态。

　　Evil公司是黑客组织，也被称为因德里克蜘蛛和Ddridx团伙，自2007年以来一直参与网络犯罪活动，但主要是作为其他组织的附属公司。随着时间的推移，该组织开始专注于自己的攻击，在网络钓鱼攻击中创建和分发一个名为 Dridex 的银行特洛伊木马程序。

　　随着勒索软件攻击变得越来越有利可图，Evil公司发起了一项名为 BitPaymer 的操作，通过 Dridex 恶意软件交付给受损的公司网络。黑客组织的犯罪活动最终导致他们在2019年受到美国政府的制裁。

　　由于这些制裁，勒索软件公司将不再为Evil公司的业务支付赎金提供便利。为了绕过美国的制裁，Evil公司开始重命名他们的勒索软件业务到不同的名字，如浪费洛克、哈迪斯、凤凰加密锁、和有效载荷宾等。

　　据2021年10月23日快科技报道，前不久，美国商务部突然发出要求，要台积电、三星等半导体企业交出机密数据，以便调查半导体缺货的问题。之前已经有Intel、SK海力士等多家公司同意上交，台积电昨天才表态同意交出商业数据，被认为妥协了，不过该公司表示不会泄露客户机密。

　　此前报道，美国要求相关企业在45天内，缴交相关数据，包括库存、销售及客户等商业机密，这样的要求将使公司陷入困境，业界担心，向美国披露良率信息，意味着公开自己的半导体水准，可能会导致代工厂在议价过程中处于不利位置。

　　美国商务部长雷蒙多表示，政府需要更多的信息，需要知道芯片要运往哪里，瓶颈在哪里，这样才能防患于未然。

　　雷蒙多提醒行业高管，如果他们不自愿分享信息，她可能会援引冷战时期的《国防生产法》，迫使他们分享信息。

　　在这个要求中，台积电的态度尤其引人注意，因为他们是全球最大的晶圆代工厂，而且工艺也是最先进的，掌握了苹果、AMD、高通、NVIDIA等公司的秘密，还有许多国内的芯片设计公司也是依赖台积电代工的，因此非常敏感。

　　Intel、SK海力士、英飞凌等都承诺会在45天内按期提交相关数据，台积电拖到昨天才表态，表示会在11月8日的最后期限之前，提交相关资料给美国。

　　台积电的表态也引发热议，其客户也担心台积电把他们的机密信息透漏给美国政府部门。对此台积电法务副总经理暨法务长方淑华日前受访时表示，客户是台积电成功的要素之一，台积电不会泄漏敏感资讯，尤其是客户的机密资料，请股东与客户不要担心。

　　据2021年10月23日站报道，思科在思科 SD-WAN 中修复了操作系统命令注入缺陷（跟踪为 CVE-2021-1529），该缺陷允许特权升级并导致任意代码执行。

　　思科在思科 SD-WAN 中处理了高严重性操作系统命令注入漏洞，该漏洞被跟踪为 CVE-2021-1529，可允许特权升级并导致任意代码执行。

　　思科 SD-WAN 是一种云交付的叠加 WAN 架构，可实现企业的数字和云转换，它允许通过云连接不同的办公地点。

　　经过验证的本地攻击者可以利用 CVE-2021-1529 漏洞执行具有根特权的任意命令。CVE-2021-1529 获得 CVSS 分数 7.8，该漏洞是由于系统 CLI 的输入验证不足。攻击者可以通过对受影响的设备进行身份验证并将精心制作的输入提交到 CLI 系统来利用此漏洞。成功的漏洞利用可以使攻击者能够使用根特权在基础操作系统上执行命令。阅读IT 巨头发布的公告。

　　思科已经发布了软件更新来解决这一缺陷，该公司指出，没有解决方法来解决这个问题。

　　美国网络安全和基础设施安全局 （CISA） 也发布了针对这一缺陷的安全通报，敦促组织解决此漏洞。

　　据2021年10月21日网站报道，WinRAR 中的漏洞是 Windows 的试用软件文件存档程序实用程序，远程攻击者可能会利用该漏洞来破解系统。

　　正技术研究员伊戈尔·萨克-萨科夫斯基在流行的 WinRAR 试用软件文件存档器 Windows 实用程序中发现了一个远程代码执行漏洞，该漏洞被跟踪为 CVE-2021-35052。

　　此漏洞允许攻击者拦截和修改发送给应用程序用户的请求。这可用于在受害者的计算机上实现远程代码执行 （RCE）。它已被分配CVE ID - CVE-2021-35052。 我们在 WinRAR 版本 5.70 中偶然发现了此漏洞。

　　研究人员安装了该软件，并注意到它正在产生一个JavaScript错误，具体错误表明，互联网浏览器引擎正在渲染这个错误窗口。

　　经过一系列测试，专家注意到，试用期结束后，软件开始显示错误消息，三次执行中有一次。专家使用 Burp Suite 作为默认 Windows 代理来拦截显示消息时产生的流量。

　　当 WinRAR 通过 notifier.rarlab.com 提醒用户免费试用期结束时发送的响应代码分析。com透露，修改它到301移动永久重定向消息，如果可能缓存重定向到恶意域的任何后续请求。专家还指出，访问同一网络域的攻击者会进行 ARP 欺骗攻击，以远程启动应用程序、检索本地主机信息并运行任意代码。

　　接下来，我们尝试修改从 WinRAR 到用户的截获的响应。我们注意到，如果响应代码更改为301 永久移动，则会缓存到恶意域名attacker.com，所有请求将转到attacker.com，而不是每次拦截和更改默认域名notifier.rarlab.com响应。接下来，我们尝试修改从 WinRAR 到用户的截获的响应。我们注意到，如果响应代码更改为301 永久移动，则会缓存到恶意域attacker.com，并且所有请求都将转到attacker.com，而不是每次拦截和更改默认域notifier.rarlab.com响应。

　　专家指出，第三方软件中的漏洞对组织构成严重风险，可以利用它们访问系统的任何资源，并可能利用托管该系统的网络。

　　不可能审核用户可能安装的每一个应用程序，因此策略对于管理与外部应用程序相关的风险以及平衡此风险与各种应用程序的业务需求至关重要。不当管理可能会产生广泛的后果。

　　据2021 年 10 月 21 日报道，至少自 2019 年末以来，一个黑客雇佣网络一直在劫持 YouTube 创建者的频道，利用虚假的合作机会引诱他们广播加密货币诈骗或将账户出售给出价最高者。

　　这是根据谷歌威胁分析小组（TAG）发布的一份新报告，该报告称，它扰乱了针对视频平台的以Cookie盗窃恶意软件为目标的出于财务动机的网络钓鱼活动。渗透背后的行为者被归结于一群黑客在一个讲俄语的论坛上招募。

　　Cookie盗窃，也被称为通过Cookie攻击，是一种会话劫持技术，使访问用户帐户与会话Cookies存储在浏览器中，TAG的Ashley Shen说。虽然该技术已经存在了几十年，但其重新成为最高安全风险的原因可能是采用了多因素身份验证 （MFA）， 使得滥用变得困难，并且将攻击者的注意力转移到了社会工程策略上。

　　自5月份以来，这家互联网巨头指出，它已经屏蔽了160万条信息，并恢复了近4000个受社会工程活动影响的YouTube影响账户，一些被劫持的频道根据用户数量在账户交易市场上的售价在3到4000美元之间。

　　相比之下，其他频道则因加密货币诈骗而被重新命名，在该骗局中，对手直播视频，承诺提供加密货币赠品，以换取初始贡献，但在更改频道名称、个人资料图片和内容以欺骗大型技术或加密货币交换公司之前，则不然。

　　攻击涉及在反病毒软件、VPN 客户端、音乐播放器、照片编辑应用程序或在线游戏的视频广告协作的诡计下向频道所有者发送恶意链接，这些链接在单击时将收件人重定向到恶意软件着陆站点，其中一些网站冒充合法软件网站（如 Luminar 和思科 VPN），或伪装成专注于 COVID-19 的媒体渠道。

　　谷歌表示，它在网络钓鱼信息背后发现了不少于15，000个帐户和1，011个域名，这些账户是专门为提供负责执行 Cookie 窃取恶意软件的欺诈软件而构建的，这些恶意软件旨在从受害者的机器中提取密码和身份验证 Cookie 并将其上传到演员的命令和控制服务器。

　　然后，黑客将使用会话 Cookie 控制 YouTube 创建者的帐户，有效地规避双重身份验证 （2FA），并采取措施更改密码和帐户的恢复电子邮件和电话号码。

　　在谷歌的干预下，人们发现肇事者将目标转向WhatsApp、电报和Discod等应用程序，试图绕过Gmail的网络钓鱼保护，更不用说向 aol.com、email.cz、seznam.cz 和 post.cz 等其他电子邮件提供商过渡。强烈建议用户通过双重身份验证保护其帐户，以防止此类收购攻击。

　　据2021年10月20报道，谷歌终于弃用了对文件传输协议 （FTP）的 支持，而且从 Chrome 浏览器的最新稳定构建（版本 95）中的代码库中剥离。

　　一段时间以来，Chrome 的 FTP 实施中缺乏对加密连接的支持，加上大多数浏览器用户普遍不感兴趣，而且可用更有能力的第三方备选方案，这意味着代码已经从弃用转向完全消失。

　　从 Chrome 72 中剥离了对通过 FTP 获取文档资源的支持，在 Chrome 76 中删除了对 FTP 的代理支持，Chrome 86 引入了一个标志来完全关闭它。

　　在76到86版本之间，谷歌对弃用进行了调整，在2020年上半年，为了应对这一流行病和受压迫的IT人员所面临的工作量，谷歌退缩了。到第 88 版，它已为所有用户禁用。

　　据2021年10月19日报道，FBI、CISA、NSA已经发布了关于BlackMatter勒索软件团伙行动的联合通报，并提供了防御建议。

　　BlackMatter 变种使用以前被破坏的嵌入式管理员或用户凭据以及 NtQuerySystem 信息和设备服务统计ExW 分别列举运行过程和服务。然后，BlackMatter 使用 LDAP 和 SMB 协议中的嵌入式凭据来发现 AD 和 srvsvc.NetShareenumall 微软远程程序呼叫 （MSRPC） 功能中的所有主机，以列举每个主机的可访问共享。值得注意的是，BlackMatter 的此变种利用嵌入的凭据和 SMB 协议从原始受损主机远程加密所有已发现的股份内容，包括管理$、C$、SYSVOL 和 NETLOGON。

　　10月20日，网络安全公司赛门铁克刚披露了一个针对南亚电信公司的神秘APT（高级持续威胁）组织，一个名为 LightBasin 的黑客组织被确定为针对电信行业发起一系列攻击的幕后黑手，其目标是从移动通信基础设施中收集“高度特定信息”，例如用户信息和呼叫元数据。

　　美将禁止向中国和俄罗斯出售黑客工具据2021 年 10 月 20 日报道，美国商务部周三出台了新的出口管制规定，旨在限制向中国和俄罗斯出口或转售黑客工具。由于担心试图遏制此类销售会无意中阻碍防御性网络努力，该规定被搁置多年。

　　早在8月份，蒙克公共事务和全球政策学院的公民实验室就发现，9名巴林维权人士的iPhone在2020年6月至2021年2月间被NSO集团的飞马间谍软件成功入侵。飞马也被认为是用来秘密瞄准两名最接近被谋杀的沙特专栏作家贾迈勒·哈索吉的女性的智能手机。以色列国家统计局否认其软件正以这种方式使用。

　　商务部的新规定建立在拜登政府近几个月来实施的其他与技术相关的出口管制的基础上。早在今年3月，美国政府就以国家安全为由，限制向中国和俄罗斯出口先进的半导体和加密软件。一个月后，美国政府以涉嫌帮助中国制造开发核武器和其他先进军事武器所需的超级计算机而向7家中国公司和政府实验室提出了美国出口管制要求。

　　据网站报道，一名黑客入侵了阿根廷政府的IT网络，窃取了该国全体民众的身份证详细信息，这些数据目前正在私人圈子里出售。

　　面对Twitter泄密事件后媒体的报道，阿根廷政府三天后确认了一起安全漏洞。内政部在10月13日的一份新闻稿中说，其安全小组发现，分配给卫生部的VPN账户被用来查询RENAPER数据库的19张照片，官员们补充说，RENAPER数据库没有遭受任何数据泄露或泄露，当局目前正在调查8名政府雇员是否可能参与泄密。

　　2021年上半年全球 DDoS 攻击增长11％近日，国际知名公司 NETSCOUT 公布其调查报告结果显示，2021年上半年，网络罪犯发动了约 540 万次分布式拒绝服务（DDoS）攻击，比 2020 年上半年的数字增长 11%。数据预测指出，2021 年是全球 DDoS 攻击超过 1100 万次的又一创纪录的一年

　　2021 年上半年，在 Colonial Pipeline（美国最大燃油管道公司）、JBS（全球最大肉食加工供应商）、Harris Federation（英国非营利多学院信托机构）、澳大利亚广播公司第九频道、CNA 金融和其他几起高调攻击之后，DDoS 和其他网络安全攻击的影响已在全球范围内显现出来。许多当地政府正在积极推出新的计划和政策，以抵御攻击，而各地安全部门正在发起前所未有的合作努力来应对危机。

　　NETSCOUT 公司网络威胁情报负责人理查德•胡梅尔（Richard Hummel）总结道：“网络罪犯正在成为头版新闻。他们瞄准全球新冠疫情时期的远程工作模式，通过发起数量空前的 DDoS 攻击，企图破坏网络连接供应链的关键组成部分”。“勒索软件团伙将三重勒索 DDoS 策略添加到他们的工具箱中。同时，Fancy Lazarus 组织发起的 DDoS 勒索活动将多个行业的威胁推向高潮，重点是 ISP 服务商，特别是其权威 DNS 服务器” 。