美國一大學向勒索軟件繳納114萬美元贖金 以防學術數據曝光

此前多次說過關于勒索軟件加密文件后，威脅受害者并將部分數據掛到自己網站上的案例。但實際上，有很多大公司都悄悄付款了，同時因為付款意味著向攻擊者屈服，對于大公司的聲譽也不太好，一般這時候攻擊者都會保留部分公司的泄露數據，達成'欲蓋彌彰'的效果。前不久，Netwalker勒索軟件團伙聲稱已成功攻擊了加利福尼亞大學舊金山分校（UCSF），竊取了未加密的數據并對計算機進行了加密。NetWalker在其暗網網站上將該大學加入到了未支付贖金的列表中，在規(guī)定時間內不付款就會自動公布數據。

作為參考，攻擊者發(fā)布了一些被盜文件的屏幕截圖。這些圖像包括帶有社會安全號碼的學生應用程序，電子表格以及看起來包含員工信息，醫(yī)學研究和財務狀況的文件夾列表。

但半個月以后，該大學名字突然消失在網站的列表中。然而這一舉措還是被眼尖的吃瓜群眾發(fā)現了。迫于輿論壓力，該大學發(fā)布了公告，稱由于學術資料很重要因此支付了部分贖金，約114萬美元。

普普點評

勒索病毒無論采用什么技術,基本的特點就是對文檔進行篡改。通過監(jiān)測系統(tǒng)中是否存在文檔篡改行為,并對可能被篡改的文檔加以必要的保護,就可以在相當程度上挽回勒索病毒攻擊的損失。另外,攻擊者之所以能夠滲透進入企業(yè)服務器,絕大多數情況都是因為管理員設置的密碼為弱密碼或賬號密碼被盜,因此加強登陸密碼的安全管理也是一種必要的反勒索技術。

泰國游客約1.06億條個人數據發(fā)生泄露

9月21日，據外媒《安全事務》報道，網絡安全研究員鮑勃迪亞琴科(Bob Diachenko)在互聯網上發(fā)現，他的個人數據存儲在一個未受保護的Elasticsearch數據庫中，該數據庫還包含超過1.06億名泰國游客的個人信息。

該數據庫大小為200GB，包含許多資產，其中暴露的記錄包括姓名全名、到達日期、性別、居住狀態(tài)、護照號碼、簽證信息和泰國入境卡號等。

Bob Diachenko于2021年8月22日發(fā)現了這個不安全數據庫，并立即通知了泰國當局，于此同時，他注意到數據庫中存儲的一些數據可以追溯到十年前。

Comparitech(科技網站)發(fā)表的文章中寫道，Bob Diachenko推測，任何在過去十年中去泰國旅行的外國人都可能在這次事件中暴露了他們的信息。他甚至確認了該數據庫包含本人的名字和去泰國的信息。

普普點評

新冠疫情肆虐全球，催化各行業(yè)加速數字化轉型，數據的價值在進一步凸顯，數據的泄露也在持續(xù)高頻發(fā)生，企業(yè)面臨資產與聲譽的重大損失，公眾深受隱私曝光與騷擾詐騙的困擾。這些真實鮮活的案例背后，是公眾被迫遭受隱私曝光、騷擾及詐騙，是組織商業(yè)數據資產的丟失和品牌信譽的塌陷，一些更嚴重的數據泄露，甚至讓社會穩(wěn)定和國家安全面臨威脅。防止數據泄露，保護數據安全刻不容緩。

2021 H1中國網絡安全硬件市場高速發(fā)展 同比增27%

IDC《2021年第二季度中國IT安全硬件市場跟蹤報告》顯示，2021年第二季度中國IT安全硬件市場廠商整體收入約為7.8億美元（約合50.4億元人民幣），收入規(guī)模較去年同期實現了高速增長，漲幅為34%。綜合上半年數據，2021上半年中國IT安全硬件市場規(guī)模達到12.5億美元，同比增長27%。

上半年政府、金融、運營商仍為中國網絡安全硬件市場中的三大支柱行業(yè)，除此之外，在國家政策法規(guī)、市場需求的推動下，公共事業(yè)(電力、水力等)、能源、醫(yī)療、制造等行業(yè)需求爆發(fā)，行業(yè)增速加快。

上半年網絡安全硬件產品銷售以華東、華北和華南三個大區(qū)為主，值得關注的是，北京是2021上半年以及2021年二季度市場規(guī)模最大、增速最快的省市。除此之外，東北、西北地區(qū)在集中性大項目的推動下在二季度也實現了高速增長。

普普點評

2021對于網絡安全行業(yè)注定是不平凡的一年，疫情恢復、經濟增長大背景下的網絡安全市場積壓需求集中爆發(fā)、數據安全法等法律法規(guī)的相繼出臺將網絡安全的重要性進一步提高，市場進入高速發(fā)展期。

9.11事件二十周年思考：“網絡9.11”何時會發(fā)生？

震驚全球的“9.11”恐怖襲擊事件已經過去了20年，在數字化應用不斷發(fā)展的今天，恐怖組織是否會發(fā)動網絡911事件開始備受行業(yè)關注。BreachQuest首席技術官Jake Williams指出：“雖然過去了20年，但是我們仍然清晰地記得911事件發(fā)生時恐怖。然而，大多數人可能對WannaCry或NotPetya等網絡安全事件缺乏關注?！?/span>

但越來越多的線索表明，現代互聯網技術正在被恐怖組織掌握并用于增強他們的能力，例如影響潛在的恐怖分子，以及資助、招募和培訓新的團伙成員。

Cato Network網絡安全戰(zhàn)略高級主管Etay Maor表示：“恐怖組織現在擁有高度完善的互聯網使用模式，并正在大量使用互聯網。但目前還并非用于物理攻擊，而是將其用于進行信息傳播，或進行招募、募資、牟利、管理比特幣以及激化思想等等?！?/span>

普普點評

網絡安全就是國家安全，因此網絡9.11事件尚未發(fā)生并不意味著世界上可能受到攻擊的國家可以放松警惕，因為攻擊發(fā)生的可能性始終存在并且不斷增強，真正的網絡恐怖事件發(fā)生或許就在不久時間內發(fā)生。安全和發(fā)展是一體之兩翼、驅動之雙輪。安全是發(fā)展的保障，發(fā)展是安全的目的。網絡安全是全球性挑戰(zhàn)，沒有哪個國家能夠置身事外、獨善其身，維護網絡安全是國際社會的共同責任。

航運巨頭CMA CGM遭遇第二次勒索襲擊 姓名、電話等遭泄露

法國航運公司CMA CGM周一報道稱，該公司遭遇數據泄露，而就在近一年前，該公司曾遭遇勒索軟件攻擊，導致系統(tǒng)離線數日。

CMA CGM 在一份聲明中說：“我們希望通知您，在我們對集團API的監(jiān)控操作期間，發(fā)現有關有限客戶信息(姓名、雇主、職位、電子郵件地址和電話號碼)的數據泄露。” “我們的IT團隊立即開發(fā)并安裝了安全補丁?！?/span>

CMA CGM 提供了很少的細節(jié)，也沒有列出攻擊的類型、發(fā)生的時間、入侵的原因或有多少記錄被泄露。但是可以從包含在對客戶的聲明中的警告中得出一些線索。

該公司表示：“不要分享您的帳戶密碼或任何個人信息。CMA CGM永遠不會向您詢問這些。一定要檢查要求您登錄我們平臺的電子郵件的真實性(特別是當要求您重置密碼時)，即使它看起來是由CMA CGM集團發(fā)出的?！?/span>

CMA CGM總部位于法國馬賽。它在2020年創(chuàng)造了348億美元的收入，擁有110,000名員工。

普普點評

通過分析安全事件整個流程可以發(fā)現，大多數網絡攻擊事件都是由于安全意識不足引起的，進而未及時檢測并修復軟件代碼漏洞。安全管理薄弱、員工安全意識不足極易被網絡攻擊者趁虛而入。做好網絡安全防御一方面需要加強人的安全意識，同時也要在技術上進行安全配置及安全檢測確保系統(tǒng)免受網絡威脅。

影像篡改與識別：人工智能時代

據美聯社報道，一名間諜利用AI生成的個人資料和圖片，在全球知名的職場社交平臺LinkedIn上欺騙聯系人，包括政治專家和政府內部人員。

這位30多歲的女性名叫凱蒂?瓊斯，擁有一份頂級智庫的工作，雖然她的關系網規(guī)模不大，只有52個聯系人，但卻都有著舉足輕重的影響力，比如：一位副助理國務卿、一位參議員的高級助理、以及正在考慮謀求美聯儲一席之地的經濟學家保羅?溫弗里。

然而，經過許多相關人員和專家的調查采訪，美聯社證實了凱蒂?瓊斯其實并不存在，她的人臉照片似乎是由一種典型的GAN技術生成的，這個角色只是潛伏在LinkedIn上的眾多幻影資料之一，其目的極有可能是從事間諜活動。

這則報道讓人們意識到，進入人工智能時代，影像篡改技術又發(fā)生了革命性的變化，而濫用這種AI偽造技術帶來的安全問題更是與日俱增，甚至嚴重威脅到國家和社會的安定。

普普點評

人工智能時代，是一個影像篡改識別技術革新的時代。相比以前的檢測識別，這個時代的特征提取在一定程度上解放了人工是一大進步（由神經網絡代勞），但是從解決問題方面來講仍然尚顯不足，如何進一步有效鑒別虛假影像，估計還會在很長一段時間內給人們帶來嚴峻的挑戰(zhàn)。

數據安全：隱私計算漸行漸近

2000年圖靈獎得主姚期智曾提出著名的“百萬富翁”設想：兩個百萬富翁在街上相遇，他們都想知道誰更富有，但又不愿意讓對方知道自己擁有的真正財富。如何在沒有第三方參與的情況下，讓對方知道誰更有錢?

這個問題看上去無解，實際上，它反映了數據使用權與所有權之間的矛盾，而隱私計算似乎就是為解決這個矛盾而生的。

以最為常見的互聯網信息服務為例，多數互聯網平臺在提供服務的時候，往往可以同時獲得數據的使用權與實際所有權，用戶僅能保留對數據的名義所有權。在公眾對數據隱私安全焦慮加劇的今天，有沒有一種技術可以讓數據使用權與所有權分離，在保障用戶數據所有權的同時不影響互聯網平臺提供正常的信息服務呢?答案就是隱私計算。

簡而言之，隱私計算就是通過使用加密處理、多方計算等方法來處理用戶隱私數據。數據使用方(例如互聯網平臺)得到的不再是用戶原始數據，而是加密后的數據。

普普點評

未來，隱私計算的應用將帶動密碼產業(yè)、人工智能產業(yè)細分領域的發(fā)展。隨著《數據安全法》《個人信息保護法》《網絡安全法》及其配套法規(guī)體系的日臻完善，隱私計算在合規(guī)性上的作用將受到重視，其應用也將帶動整個網絡安全產業(yè)的發(fā)展。