嘶吼

Redline 和 Meta 都是信息窃取者。作为一种恶意软件，可以从受感染设备上的浏览器窃取存储的信息，包括凭据、身份验证 cookie、浏览历史记录、敏感文档、SSH 密钥和加密货币钱包。这些数据随后被威胁者出售或用于助长大规模网络漏洞，从而导致数据盗窃、勒索软件攻击和网络间谍活动。

近期，荷兰国家警察在“马格努斯行动”中查获了 Redline 和 Meta infostealer 恶意软件操作的网络基础设施，并悉数掌握网络犯罪分子手中的数据。

此次行动在国际执法合作伙伴的帮助下进行，这些合作伙伴包括联邦调查局 (FBI)、海军罪案调查处 (NCIS)、美国司法部、欧洲司法组织 (Eurojust)、国家犯罪局 (NCA) 以及葡萄牙和比利时的警察部队。

目前该组织已经宣布针对 Redline 和 Meta 用户进行“最终更新”，提醒他们现在注意自己的帐户凭据、IP 地址、活动时间戳、注册详细信息等。

这表明调查人员掌握了可用于追踪使用该恶意软件的网络犯罪分子的证据，因此未来很可能会进行逮捕和起诉。

此外，当局声称他们可以访问这两种恶意软件的源代码，包括许可证服务器、REST-API 服务、面板、窃取程序二进制文件和 Telegram 机器人。

Meta 和 Redline 共享相同的基础设施，因此这两个项目背后可能有相同的创建者或运营者。Redline 和 Meta 都是通过 Telegram 上的机器人出售的，这些机器人现已被删除。

NCA 国家网络犯罪部门负责人、副主任 Paul Foster 表示：“这些服务得到了犯罪生态系统的支持，该生态系统包括一系列工具、基础设施、金融服务、市场和论坛，诸如此类的国际合作对于识别和消除该生态系统的各个要素至关重要，并最终使网络犯罪分子更难以实施。”

警方警告黑客

Emotet 僵尸网络遭到破坏后，荷兰警方在黑客论坛上创建了论坛帐户，以警告网络犯罪分子他们正在受到密切监控。

2022年RaidForums论坛被查封后，荷兰警方向RaidForums会员的未成年人发送电子邮件和信件，并亲自进行“制止”电话，警告他们的行为是非法的。

目前，荷兰警方正在采用与“马格努斯行动”相同的策略，创建论坛帐户并发送直接消息，警告威胁者他们正在受到密切监视。 

XSS 黑客论坛上的“Operation Magnus”帖子

eSentire 威胁情报研究员还分享了荷兰警方向网络犯罪分子发送的直接消息的屏幕截图，警告他们这一行动。

网络安全的危害

在过去的几年中，信息窃取恶意软件已成为企业面临的一个大问题，因为被盗的凭据通常在暗网上出售或免费发布，以在黑客社区中获得声誉。

涉及信息窃取恶意软件的恶意活动已经变得越来越多，威胁者通过零日漏洞、虚假 VPN、GitHub 问题的虚假修复，甚至 StackOverflow 上来瞄准受害者。

Redline 是攻击中最常见的信息窃取程序之一，它于 2020 年推出，此后导致受害者的密码、身份验证 cookie、加密货币钱包和其他敏感数据广泛被盗。 

Meta，又名 MetaStealer，是 2022 年宣布的一个较新的 Windows 信息窃取恶意软件项目，作为 Redline 的改进版本进行销售。从“Operation Magnus”的公告中，我们现在了解到 Meta 很可能是由与 Redline 相同的开发人员创建的。

值得注意的是，被破坏的 Meta 操作与针对 macOS 设备的 MetaStealer 恶意软件不同。 Redline 和 MetaStealer 在 2024 年总共窃取了 2.27 亿个凭证（唯一的电子邮件和密码对）。

记录的未来身份情报收集指标描绘了整个活动的可怕现象，表明 Redline 恶意软件自首次启动以来已窃取了近十亿个凭证。

Specops 和 KrakenLabs 的联合报告还指出，威胁者在短短六个月内就利用 Redline 窃取了超过 1.7 亿个密码。然后，这些被盗的凭据会被使用或出售给其他威胁者，作为网络攻击的一部分，以破坏企业网络。

被盗的凭证已被用来为近期一些最重大的违规行为提供了帮助，包括大规模的 Snowflake 数据盗窃攻击和 Change Healthcare 勒索软件攻击，这些攻击对美国医疗保健系统造成了巨大的破坏。

10月30日，助力区域创新发展系列活动——“工业征途·安全守护”工业领域数据安全实践与创新论坛在京圆满召开，本次论坛由北京市科学技术协会创新服务中心指导，中关村产业技术联盟联合会、中关村网络安全与信息化产业联盟、中关村可信计算产业联盟联合主办，北京天地和兴科技有限公司承办。本次论坛旨在为与会者提供了一个深入了解工业互联网数据安全最新动态和趋势的平台，促进产学研用各方资源的交流与合作，提升社会各界对数据安全问题的重视程度，推动工业互联网数据安全领域的发展。

来自政府有关部门领导、科研院所专家、企业及产学研机构、媒体代表等共百余位嘉宾出席本次论坛，网络安全和工业互联网领域的杰出代表齐聚一堂，共话工业互联网数据安全产业的未来趋势与发展机遇。

公安部第一、第三研究所原所长、中国计算机学会计算机安全专委会主任严明担任主持，海淀区科学技术和信息化局局长、中关村科学城管委会产业促进二处处长、二级巡视员何建吾，北京市海淀区委网信办主任兼区委宣传部副部长、二级巡视员黄英发表致辞。致辞领导们阐述了工业软件、工业互联网及其安全的重要性，海淀区在产业发展、数据安全治理等方面取得显著成果，指出了在这些领域存在的问题和发展方向。

公安部第一、第三研究所原所长、中国计算机学会计算机安全专委会主任  严明

海淀区科学技术和经济信息化局局长、中关村科学城管委会产业促进二处处长、二级巡视员  何建吾

北京市海淀区委网信办主任兼区委宣传部副部长、二级巡视员  黄英 

主题演讲环节，多位行业专家和企业代表围绕工业互联网数据安全的实践与创新展开深入讨论。国家工业信息安全发展研究中心副总工陈雪鸿就当前工业数据安全面临的挑战及应对策略进行了详细解读。

国家工业信息安全发展研究中心副总工  陈雪鸿

中国电子技术标准化研究院网络安全研究中心副主任李琳从新型工业化的本质和内涵、新型工业化安全问题和安全标准体系建设情况三个方面向大家做了介绍。

中国电子技术标准化研究院网络安全研究中心副主任  李琳

国家信息技术安全研究中心原副主任李冰就《重要工业控制系统网络安全防护思考》做了深刻的主旨分享。

国家信息技术安全研究中心原副主任  李冰

天地和兴副总裁翟胜军进行了名为《工业数据安全·终端是关键点》的主题演讲，分析了数据安全的需求，特别强调了终端是数据泄密的源头与攻击者的入手点，是工业安全争夺的关键点，并介绍了天地和兴侧重从攻击阻断和自我保护两方面，基于自有技术和产品，打造的对勒索病毒的检测和防护，以及对敏感数据文件的保护方案。

北京天地和兴科技有限公司副总裁  翟胜军

此外，天地和兴创新方案技术专家朱伟光分享了《工业互联网数据采集终端设备安全要求》的标准工作成果和未来计划，以及数据要素的重要性、工业领域中数字孪生和工业互联网场景下数据安全的需求、存在问题及标准研制情况，包括标准的定位、原则、对象、场景、措施等。

天地和兴创新方案技术专家  朱伟光

在本次论坛圆桌对话环节，由严明所长主持，贵州大数据安全工程研究中心主任杜跃进；北京数索网安科技有限公司CTO钟力；北京天地和兴科技有限公司副总裁翟胜军；中国财富研究院网络安全研究中心常务副理事长、武汉金银湖实验室常务副主任陈兴跃作为行业专家代表，共同探讨企业工业控制系统的数据安全解决方案与实践，并就如何加强数据安全防护、提升数据安全监测能力等议题进行了深入交流。

在数字化转型的浪潮中，数据安全至关重要。天地和兴作为国内领先的工业网络安全产品与解决方案提供商，将始终致力于保障工业企业的数据安全。我们深知，数据安全不仅是合规要求，更是企业核心竞争力的关键。我们将持续创新，不断提升产品和服务的质量，为客户提供更加全面、高效的数据安全解决方案。同时，我们也将积极参与行业标准的制定和推广，与各界共同推动工业互联网数据安全的发展。

伴随数字化转型的深入发展，新质生产力正不断加速传统与现代动能的转换。在此其中，数字安全成为了保障数字经济健康发展的坚实基石。同时，人工智能作为推动力，正引领着产业数字化向智能化的高端迈进。面对数字安全与人工智能的融合发展浪潮，ISC.AI 2024第五届数字安全创新百强评选正式拉开帷幕。

作为数字安全行业的奥斯卡，本届评选由ISC平台、中关村数智人工智能产业联盟、大模型产业联盟、赛迪顾问、电子城有限公司、数世咨询、数说安全、安全419、BP商业伙伴、安在、看雪、安全客等行业机构联合举办，将基于过往四届积淀，深度聚焦安全和AI两大领域的创新先锋力量，构建起以创新产品与技术能力为代表的新质生产力集聚阵地，助力推动数字安全的跃迁升级，以及AI技术与全行业的共融创生，开启数实融合的“聚变元年”。

聚焦安全和AI双域

全面覆盖20大热点赛道

面对人工智能技术浪潮的冲击，本届评选在赓续安全基因的基础上，将聚焦AI领域的创新势力，创新性设立“安全”与“AI”两大竞选赛道，全面覆盖终端安全、安全运营、信创安全、安全大模型、大模型安全，大模型技术和大模型行业应用等20个热点创新赛道，致力于深度挖掘两大领域产业链上下游的全域创新成果，确保评选在透视产业创新动向、把脉行业创新态势方面的精准引领价值。

本次评选还将基于评选结果及行业调研数据，与产业进行深度结合分析，推出数字安全与AI两大产业全景图，并通过整合梳理最具代表性的创新技术及解决方案，打造各个细分领域的创新技术、解决方案报告，全面展两大领域的最新技术趋势、市场格局及未来发展方向，为政府决策、企业战略规划及投资者布局提供有力支持。

挖掘创新标杆力量

精准赋能数字化转型

科技创新能够催生新产业、新模式、新动能，是发展新质生产力的核心要素。在推动科技创新的进程中，标杆企业发挥着重要作用。其通常掌握关键核心技术，能够集聚创新要素，推动科技成果向现实生产力转化，加快发展新质生产力。‌

为加强创新标杆企业的风向引领与行业辐射作用，本届ISC.AI 2024数字安全创新百强打造出了更加多样化的荣誉奖项，其不仅将针对“数字安全”与“人工智能”各个维度中的突出厂商，推出创新百强荣誉奖项；还将基于针对参选企业综合能力的考评，甄选年度创新能力十强；同时，结合百强客户智库、百强专家评审团反馈意见，以及第三方权威机构数据综合评价，本届评选将见证新一批的创新先锋力量荣耀入驻网安名人堂。

所有评选考核将严格遵循标准化审核流程与透明化审核结果的原则，按照市场反馈、用户体验、客户评价等多维标准，遴选出最具创新力的数字安全与人工智能创新产品、技术及解决方案，以价值为导向精准赋能城市、行业、企业的数字化转型。

目前，ISC.AI 2024第五届数字安全创新百强评选已经全面开启招募，即刻登陆官网，便可了解更多详细内容！

2024 年 10 月 ，网络安全解决方案先驱者和全球领导者 CheckPoint 软件技术有限公司（纳斯达克股票代码：CHKP）今天发布了其 2025 年网络安全预测，概述了未来一年企业与机构将面临的主要安全挑战。随着企业不断采用新技术，AI 驱动型攻击、量子威胁和云漏洞将重新定义数字威胁格局。

2025 年全球网络安全预测报告的要点包括：

· 基于 AI 的攻击日益增多：2025 年，AI 将成为网络犯罪的主要帮凶。攻击者将利用 AI 技术发起高度个性化的网络钓鱼攻击，并生成自适应恶意软件。这些恶意软件能够从实时数据中学习，以逃避检测。小型黑客组织也将利用 AI 工具发起大规模攻击，而无需具备高级专业知识，这将推动网络犯罪的大众化。

· 勒索软件将对供应链造成重创：勒索软件将变得更具针对性和更加自动化，将攻击矛头指向关键供应链，而且大规模攻击或将愈加频繁，影响整个行业，同时攻击者会使用 AI 增强型网络钓鱼电子邮件和深度伪造仿冒来绕过防御系统。

· AI 使用不当将导致数据泄露增加：随着 ChatGPT 等 AI 工具成为业务流程中不可或缺的一部分，意外数据泄露将成为一个重大问题。员工可能会无意中与外部 AI 平台共享敏感数据，致使意外数据泄露。企业需要建立治理框架来监控 AI 使用并保护数据隐私。

· 量子计算将给加密带来新威胁：量子计算很快就会给现有加密方法带来考验。尽管大规模量子攻击威胁形成还需要数年时间，但金融和医疗等行业现在就必须开始采用量子安全加密技术，以有效抵御这一近在眉睫的威胁。

· 社交媒体漏洞利用和深度伪造将屡见不鲜：越来越多的网络犯罪分子将瞄准社交媒体平台，利用个人数据实施有针对性的诈骗和仿冒攻击。基于 AI 的深度伪造将变得更具迷惑性，对金融交易和企业安全构成威胁。为了检测和防范这些复杂的攻击，企业需要采用实时 AI 防御。

· 基于 AI 的 SOC 助手将革新安全运营：安全运营中心 (SOC) 将利用 AI 助手处理海量数据并对威胁进行优先级划分，从而缩短响应时间。这些基于 AI 的工具将有助于自动检测威胁并减少误报，从而提高安全团队的效率。

· 随着 AI 的日益普及，首席信息官和首席信息安全官的角色将日趋融合：随着企业不断采用 AI 和混合云环境，首席信息官和首席信息安全官的角色将日趋融合，转向集成式风险管理。该报告预测，首席信息官将越来越多地监管网络安全运营，推动 IT 与安全职能团队之间更紧密的协作。

· 云安全平台占据主导地位：企业将迁移至集成式云安全平台，采用 CNAPP 等工具来监控和保护多云环境。AI 将在自动实施威胁防御方面发挥关键作用，将重心从被动防护转向主动防御。

· 物联网扩展增大了攻击面：预计到 2025 年物联网设备数量将达到 320 亿台，因此必须确保这些互联系统的安全将变得至关重要。攻击者将利用安全防护不到位的物联网设备来入侵云网络。为了缓解这些风险，企业必须采用零信任架构和 AI 威胁检测工具。

Check Point 首席技术官 Dorit Dor 博士表示：“2025 年，AI 将助长网络攻击，同时推动安全防护。安全团队将依靠针对其独特环境量身定制的 AI 工具，而攻击者则会开展日益复杂的 AI 驱动型网络钓鱼和深度伪造攻击活动。与此同时，攻击者将利用被忽视的漏洞、服务账户和机器对机器访问密钥在网络内横向移动，这将进一步增加防御难度。随着网络冲突逐渐扩展到社交平台乃至战场，各机构必须更主动地采取预防性措施，并能够迅速做出调整，以保护其运营免受新兴威胁的影响。”

如欲查看完整的预测报告，请访问 Check Point 软件技术公司 2025 年网络安全预测。

近期，中国国家网络与信息安全信息通报中心发现一批境外恶意网址和恶意IP，有多个具有某大国政府背景的境外黑客组织，利用这些网址和IP持续对中国和其他国家发起网络攻击。

这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联，网络攻击类型包括建立僵尸网络、网络钓鱼、勒索病毒等，以达到窃取商业秘密和知识产权、侵犯公民个人信息等目的，对中国国内联网单位和互联网用户构成重大威胁，部分活动已涉嫌刑事犯罪。相关恶意网址和恶意IP归属地主要涉及：美国、波兰、荷兰、保加利亚、土耳其、日本等。主要情况如下：

一、恶意地址信息

（一）恶意地址：j.foxnointel.ru

关联IP地址：172.235.51.77  

归属地：美国/加利福尼亚州/洛杉矶

威胁类型：僵尸网络

病毒家族：fodcha

描述：这是一种DDoS僵尸网络木马，通过N-Day漏洞和Telnet、SSH弱口令进行传播。攻击者可控制被感染的“肉鸡”（联网终端）对互联网上的其它系统或设备发起DDoS攻击，导致关键信息基础设施或重要网络应用瘫痪，干扰破坏国计民生和社会公共秩序。

（二）恶意地址：a.foxnointel.ru

关联IP地址：92.223.30.136  

归属地：美国/加利福尼亚州/洛杉矶

威胁类型：僵尸网络

病毒家族：fodcha

描述：这是一种DDoS僵尸网络木马，通过N-Day漏洞和Telnet、SSH弱口令进行传播。攻击者可控制被感染的“肉鸡”（联网终端）对互联网上的其它系统或设备发起DDoS攻击，导致关键信息基础设施或重要网络应用瘫痪，干扰破坏国计民生和社会公共秩序。

（三）恶意地址：93.157.106.238

归属地：保加利亚/索非亚州/索非亚

威胁类型：僵尸网络

病毒家族：mirai

描述：这是一种Linux僵尸网络病毒，通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行扩散，入侵成功后可对目标网络系统发起分布式拒绝服务（DDos）攻击。

（四）恶意地址：LOADINGBOATS.DYN

关联IP地址：89.36.160.67  

归属地：波兰/马佐夫舍省/华沙

威胁类型：僵尸网络

病毒家族：catddos

描述：Catddos病毒家族主要通过IoT设备的N-Day漏洞进行传播，已公开样本包括CVE-2023-46604、CVE-2021-22205等，该恶意地址是相关病毒家族近期有效活跃的回连地址。

（五）恶意地址：95.214.27.194

归属地：荷兰/北荷兰省/阿姆斯特丹

威胁类型：僵尸网络

病毒家族：moobot

描述：这是一种Mirai僵尸网络的变种，常借助各种IoT设备漏洞例如CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等进行入侵，攻击者在成功入侵设备后将下载MooBot的二进制文件并执行，进而组建僵尸网络并可能发起分布式拒绝服务（DDos）攻击。

（六）恶意地址：dovahnoh1.duckdns.org

关联IP地址：88.227.180.194   

归属地：土耳其/阿达纳省/塞伊汉

威胁类型：网络后门

病毒家族：Asyncrat

描述：该恶意地址关联多个Asyncrat病毒家族样本，部分样本的MD5值为0afe92d70093444605979eafa2afca4d和24d5b4b63fe3f30c9a399f0c76196104。该网络后门采用C#语言编写，主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、开关摄像头、交互式SHELL，以及访问特定URL等。该木马通过移动介质、网络钓鱼等方式进行传播，现已发现多个关联变种，部分变种主要针对民生领域的联网系统。

（七）恶意地址：134.122.138.230:7021

归属地：日本/东京都/东京

威胁类型：网络后门

病毒家族：SilverFox

描述：该恶意地址关联SilverFox病毒家族样本，其MD5值为bfc4b93fade57ead4fa15d37aef94760，相关样本通过钓鱼邮件进行传播，经变种伪装成企业内部应用软件诱骗用户下载点击。    

二、排查方法

（一）详细查看分析浏览器记录以及网络设备中近期流量和DNS请求记录，查看是否有以上恶意地址连接记录，如有条件可提取源IP、设备信息、连接时间等信息。

（二）在本单位应用系统中部署网络流量检测设备进行流量数据分析，追踪与上述网络和IP发起通信的设备网上活动痕迹。

（三）如果能够成功定位到遭受攻击的联网设备，可主动对这些设备进行勘验取证，进而组织技术分析。

三、处置建议

（一）对所有通过社交平台或电子邮件渠道接收的文件和链接保持高度警惕，重点关注其中来源未知或不可信的情况，不要轻易信任或打开相关文件。

（二）及时在威胁情报产品或网络出口防护设备中更新规则，坚决拦截以上恶意网址和恶意IP的访问。

（三）向有关部门及时报告，配合开展现场调查和技术溯源。

文章来源自：国家网络安全通报中心

如果企业想要对网络威胁防患于未然并知晓最新的网络安全技术，就必须密切关注全球网络安全中发生的事情。阅读本文，了解 2024 年全球网络安全的趋势，并学习可以操作的 12 种最佳网络安全实践来保护数据。

为什么网络安全对企业很重要？

如今，企业严重依赖技术，通常以数字格式存储敏感数据，这使其成为网络犯罪分子的主要目标。从知识产权到 PII，敏感数据吸引网络犯罪分子出于经济利益、间谍活动和其他原因。

网络攻击的后果可能是毁灭性的，从声誉受损到业务中断。但是，实施下文所述的强大网络安全实践和措施可以帮助企业构建安全的 IT 环境。以下是实施最佳网络安全实践的6大好处：

·保护敏感数据 

·防止财务损失 

·保持业务连续性 

·建立客户信任 

·降低网络安全保险费 

·遵守网络安全法规

为了了解当前的网络安全形势，首先将介绍 2024 年的主要关注点。

2024年应该关注什么

据咨询机构麦肯锡预测，网络安全成本每年将增长 15%，到 2025 年将达到每年约 10.5 万亿美元。

企业在网络安全上投入更多资金来管理攻击面不断扩大的风险，这主要是由于以下因素：

·增加远程办公

远程工作趋势仍在继续，导致员工缺乏可见性和控制力。远程环境更难保护，因为它们位于企业的边界之外。

混合工作环境也是风险来源，因为它们扩大了潜在攻击的范围。当网络安全人员必须保护内部和远程环境时，就会增加人为错误的可能性，并最终导致漏洞。

·转移到云端

Gartner 预测，到 2025 年，一半以上的企业 IT 支出将转移到云端。由于攻击媒介数量的增加、云环境的复杂性以及客户和云服务提供商之间安全责任的共享，保护云基础设施可能具有挑战性。

·供应链相互作用

供应链仍然是网络安全失败的常见点。随着连接和交互的第三方数量的增加，黑客访问基础设施的可能性也在增加。

·IT/OT-物联网融合

物联网 (IoT) 和操作技术 (OT) 设备的安全措施和协议仍在开发中，使 IT 系统面临网络安全风险。网络攻击者可能会使用 IoT 和 OT 设备作为进入企业系统的入口点。

这场大流行加速了混合工作和向云的转变，对 CISO 提出了挑战，以确保日益分散的企业的安全。现代 CISO 需要关注云采用、IT/OT-IoT 融合、远程工作和第三方基础设施集成等数字化转型举措所带来的不断扩大的攻击面。

在保护企业的基础设施时，请考虑重点关注 2024 年的以下网络安全趋势。

2024 年需要关注的 6 个网络安全趋势

·开发云安全

近年来云迁移的快速发展并没有给网络安全留下足够的时间。经常访问云服务的安全性较差的远程工作环境以及其他云漏洞正在推动云安全行业快速发展。 Gartner 预测云安全领域将在 2023-2024 年出现强劲增长。

·将零信任与 VPN 结合使用

虚拟专用网络可能会带来可扩展性方面的挑战。 VPN 技术在现代混合环境中可能容易受到网络攻击和漏洞。相比之下，零信任方法既安全又可扩展。

·拥抱人工智能发展

人工智能（AI）技术的发展引起了网络安全的一系列担忧。黑客利用人工智能、机器学习和自动化等尖端技术来策划高度复杂的攻击。 Gartner 表示，生成式和第三方人工智能工具也会带来数据机密性风险。到 2024 年，企业将专注于调整其网络安全策略并使用有利于自身的强大机器学习技术。

生成式人工智能 (GenAI) 的快速增长正在扩大威胁范围。与此同时，不断变化的监管环境和令人震惊的网络攻击频率正促使 SRM 领导者增加安全措施方面的支出。企业还可以通过采用先进技术和安全解决方案来战略性地提高防御能力，使他们能够主动识别各种数字平台上的潜在漏洞或恶意活动。

·增强供应链基础设施

到 2024 年，网络安全专家预计将寻求保护供应链的新方法，并开发现有的网络安全供应链风险管理方法。

这主要是对影响全球供应链的间谍活动、国家驱动的网络攻击和地缘政治骚乱案件的回应。例如，俄罗斯于 2022 年 2 月针对参与运行乌克兰关键基础设施的技术进行了攻击。Gartner 预测，到 2025 年，45% 的企业软件供应链将遭受攻击，这一数字是 2021 年的三倍。

·遵守更严格的网络安全要求

世界各国政府都在努力保护公民的个人数据。 Gartner 表示，与人工智能发展相关的数据隐私问题将推动新安全法规的制定。根据 Gartner 的另一篇文章，“到 2024 年，全球 75% 的人口的个人数据将受到隐私法规的保护”，而 2020 年这一比例为 10%。遵循网络安全法律、标准和法规的更新对于保持合规性和保护企业的数据至关重要。

·广泛使用威胁检测和响应工具

促使企业有效处理攻击的唯一方法是检测基础设施中的可疑用户活动并及时做出反应，威胁检测和响应解决方案就是为此而设计的。未来几年对基于云的检测和响应工具的需求将会增加。

2024 年 12 项网络安全最佳实践

以下是为企业提供的经过时间验证的新网络安全建议清单，以防止 2024 年的网络攻击：

1.建立健全的网络安全政策

网络安全政策可作为企业为提高网络安全效率而采取的所有措施的正式指南。正确的策略可帮助安全专家和员工达成一致，并描述基本的全公司信息安全实践。

考虑实施分层网络安全策略，其中包括单个集中策略和专为组织内每个部门设计的附加策略。分层网络安全策略考虑到每个部门的独特需求，帮助提高整体网络安全策略的有效性并避免扰乱部门的工作流程。同样，可以围绕企业网络安全的不同领域设计安全策略。

2. 保护企业的周边和物联网连接

由于远程工作、云环境和物联网设备显著扩大了攻击面，当今企业的边界远远超出了防火墙和 DMZ 的范围。物联网呈上升趋势——物联网市场预计将从 2021 年的约 3840 亿美元增长到 2027 年的约 5670 亿美元。

安全摄像头、门铃、智能门锁、供暖系统和办公设备——其中许多都连接到互联网，可以用作潜在的攻击媒介。例如，受损的打印机可能允许恶意分子查看所有打印或扫描的文档。

考虑通过保护边界路由器和建立屏蔽子网来保护企业周边。为了增强企业数据库的安全性，还可以将敏感数据与企业网络隔离并限制对此类数据的访问。

企业可以将防火墙、VPN 等传统保护措施与零信任模型相结合来保护自己。基于从不信任、始终验证的概念，零信任要求不断验证企业中的用户和设备，以防止未经授权访问用户的个人数据。

3. 教育和监控企业员工

以技术为中心的网络安全方法不足以确保全方位保护，因为黑客经常利用人作为切入点。根据 Verizon 的 2023 年数据泄露调查报告，74% 的泄露涉及人为因素。

以人为本的方法可以帮助减少与人相关的风险。在以人为本的安全中，一个重要的边界是工人本身。对于以人为本的安全环境，教育和监控员工是需要考虑的主要事项。

4. 控制对敏感数据的访问

默认情况下授予员工许多权限允许他们访问敏感数据，即使他们不需要。这种方法增加了内部威胁的风险，并允许黑客在破坏员工帐户后立即访问敏感数据。

应用最小权限模型（也称为最小权限原则）是一个更好的解决方案。这意味着为每个用户分配尽可能少的访问权限，并且仅在必要时提升权限。如果不需要访问敏感数据，则应撤销相应的权限。

除了最小权限原则和零信任模型之外，即时访问管理方法还可以更精细地控制用户权限。这种方法意味着根据要求在特定时间和正当理由下向员工提供访问权限。企业还可以结合这些访问管理技术。

考虑特别注意对基础设施的远程访问。确保远程员工的安全需要采取多种措施相结合，例如提高远程员工操作的可见性以及正确配置网络。

5. 明智管理密码

员工凭据使网络犯罪分子可以直接访问企业敏感数据和有价值的业务信息。暴力攻击、社会工程和其他方法可用于在员工不知情的情况下危及员工的凭据。

如何防止暴力攻击和其他威胁？企业可以使用专门的密码管理工具来控制员工的凭据，从而降低帐户泄露的风险。

优先选择提供无密码身份验证、一次性密码和密码加密功能的密码管理工具。

如果仍然信任员工管理自己的密码，请考虑将以下建议添加到网络安全策略中：

·为每个帐户使用不同的密码；

·拥有单独的个人帐户和商业帐户； 

·使用特殊符号、数字和大写字母创建冗长的密码；

·使用助记符或其他策略来记住长密码；

·使用密码管理器和生成器；

·切勿与其他员工共享凭据 在以下位置更改密码至少每三个月一次。

6. 监控特权用户和第三方用户的活动

有权访问基础设施的特权用户和第三方拥有一切手段来窃取敏感数据而不被注意。即使这些用户没有恶意行为，他们也可能无意中造成网络安全漏洞。为了降低特权用户和第三方带来的风险，请考虑采取以下措施：

保护敏感数据的最有用方法是监控组织 IT 环境中特权用户和第三方用户的活动。用户活动监控可以帮助用户提高可见性、检测恶意活动并收集证据以进行取证调查。

7. 管理供应链风险

企业的供应商、合作伙伴、分包商、供应商和有权访问企业资源的其他第三方可能容易受到供应链攻击。

根据供应链状况报告显示，仅 2023 年就检测到 245,000 起软件供应链攻击，是 2019 年至 2022 年整个期间的两倍。

在供应链攻击中，网络犯罪分子会渗透或破坏供应商之一，并利用其进一步升级供应链下游的攻击，这可能会影响企业。

在 Solarwinds 黑客攻击期间，网络犯罪分子通过在 Solarwinds 软件更新中插入恶意软件，成功访问了数千个组织的网络和数据。

8. 加强数据保护和管理

如何管理业务数据对于企业的隐私和安全至关重要。

企业可以首先在数据管理策略中记录信息管理流程。考虑描述数据的收集、处理和存储方式、谁有权访问数据、存储在何处以及何时必须删除。

在数据保护政策中概述数据保护措施也很重要。考虑围绕信息安全的关键原则构建数据保护措施：

·机密性 — 保护信息免遭未经授权的访问 

·完整性 — 确保未经授权的用户无法在数据生命周期的任何阶段修改数据 

·可用性 — 确保授权用户始终可以访问他们需要的数据

Gartner 概述了可用于实施这些原则的四种关键数据网络安全技术：信息安全最佳实践还包括实施内部风险管理和数据丢失防护解决方案来管理数据安全风险。托管文件传输平台可以帮助您与第三方安全地交换数据。

9.采用生物识别安全

生物识别技术可确保快速身份验证、安全访问管理和精确的员工身份识别。生物识别技术是在提供对宝贵资产的访问权限之前验证用户身份的可靠方法，这对于企业的安全至关重要。这就是生物识别市场快速增长的原因：

生物识别技术提供比密码更可靠的身份验证，这是因为它们经常用于多重身份验证 (MFA) 。然而，身份验证并不是生物识别技术的唯一用途。安全员可以应用各种生物识别驱动的工具来实时检测受损的特权帐户。

行为生物识别对于确保用户活动的安全特别有用，因为它允许企业分析用户与输入设备交互的独特方式。如果检测到异常行为，安全人员可以收到通知，以便他们立即做出反应。

分析用户活动的用户和实体行为分析 (UEBA) 系统采用以下行为生物识别因素：

·击键动态 — 监控打字速度以及在某些单词中犯典型错误的倾向，以创建用户行为档案；

·鼠标动态 — 跟踪单击之间的时间以及光标移动的速度、节奏和风格。

10.使用多重身份验证

多重身份验证通过添加额外的安全层来帮助企业保护敏感数据。激活 MFA 后，恶意分子即使拥有密码也无法登录。他们仍然需要其他身份验证因素，例如手机、指纹、语音或安全令牌。

虽然 MFA 看似简单，但它是最好的网络安全保护方法之一，并且受到大多数网络安全要求的强制要求，包括通用数据保护条例 (GDPR)、支付卡行业数据安全标准 (PCI DSS) 和 SWIFT 客户安全计划 (CSP)。 Google 和 Twitter 等科技巨头敦促其用户采用 MFA。

除此之外，MFA 允许区分共享帐户的用户，从而提高用户的访问控制能力。

11.定期进行网络安全审计

定期进行审核可以帮助评估企业的网络安全状态并根据需要进行调整。在审核期间，用户可以检测到：

·网络安全漏洞

·合规差距

·员工、特权用户和第三方供应商的可疑活动

审计的质量取决于不同来源的数据的完整性：审计日志、会话记录和元数据。

12. 简化技术基础设施

部署和维护大量工具既昂贵又耗时。此外，资源要求较高的软件可能会减慢企业的工作流程。

建议考虑采用一种或几种包含所有必要功能的综合解决方案。这样，可简化企业的安全基础设施。如果用户还想降低成本和响应时间，请确保选择的解决方案集成了企业需要的所有工具。

结论

2024年，我们预计云安全的发展、零信任模型的广泛使用、网络安全合规要求增加以及威胁检测和响应工具继续增加。

为了管理不断变化的风险，企业需从自身做起，提高防范意识，加强防范技术。

在当今的数字化环境中，云安全已成为全球企业与机构关切的重要问题。在我国，受生成式AI和大模型等新技术影响，以及制造、能源等传统行业加速进行数字化转型，云计算市场正在面临全新机遇。今年七月，中国信通院发布的《云计算白皮书（2024年）》显示，2023年全国云计算市场规模达到6165亿元，同比增长35.5%，大幅高于全球增速。同时，得益于中国新能源汽车、低空经济等新兴行业的崛起，云计算市场势必迎来持续井喷。然而，随着云技术不断加速普及，企业也将面临着更加复杂的IT环境。事实上，73% 的专业人士认为，云技术加剧了这一复杂性。同时，在Check Point发布的《2024 年云安全报告》中显示，今年云安全事件急剧增加，61% 的机构遭受此类事件影响，较 2023 年的 24% 有显著增长，充分表明云威胁正变得日趋复杂和频繁。因此，增强网络弹性来保护这些环境变得尤为重要。通过采取主动防护措施和集成强大的安全防护框架，企业能够在不牺牲云平台固有优势的情况下，有效地管理风险。

了解云端网络弹性

Check Point安全专家认为，在云计算时代，安全防御必须更加关注网络弹性，这关系到发生安全事件时企业能否依然确保运营连续性。根据最近开展的一项调研，95% 的公司非常担心云安全问题，这表明实施弹性策略迫在眉睫。在云环境中，这需要开发一个强大的框架来预测和缓解潜在威胁。此类框架有助于企业从业务中断中迅速恢复，并保持业务运营的连续性。这种主动式安全防护以“预防为先”的理念为向导，包括持续监控、威胁情报整合和自动响应机制。通过构建弹性云基础设施，企业可以更有效地解决漏洞问题，并最大限度地降低安全漏洞的影响。

通过接口管理防御攻击

安全是确保网络弹性的基础，首先要主动管理可能引入漏洞的潜在接口，部署实时防御和零信任安全模式在全面深度防御策略中起着重要作用。

针对网络和工作负载的实时和内联防御

- 边界安全：在云环境的边界实施网络威胁防御，特别是在云环境与开发人员和分包商可访问的互联网和云服务的连接处。

- 基于 AI 的保护：云环境需要使用高级 AI 工具来分析模式和行为，以检测和防止零日攻击。较之传统安全防护措施，这些工具可显著节省成本，并加快修复速度。

- 工作负载安全：在虚拟机和容器无代理解决方案提供了简单性的同时，必须为关键应用部署基于代理的防御技术，以阻止黑客注入恶意代码。

零信任安全

- 跨环境的统一策略：在所有云环境（无论是公有云、私有云还是 Kubernetes）中实施统一的零信任策略。一致性极其重要。

- 基于身份的自适应策略：从基于 IP 的策略转向基于用户、云对象和应用身份构建的策略，以适应不断变化的环境。

支持预防性上下文检测的增强型 CNAPP

- 高风险组合检测：使用 CNAPP 检测代表严重威胁的风险组合，从而减少警报疲劳并改进优先级排序。

- 错误配置管理：自动化工具应确保配置符合安全防护最佳实践，以显著降低未经授权访问的风险。

- 授权管理：评估原生授权策略以及安全组和访问策略，优先处理真正重要的警报。

以上这些措施可共同强化云环境，从而更有效地抵御潜在攻击。

兼顾安全性、敏捷性和可扩展性

在云环境的安全性、敏捷性和可扩展性之间实现适当的平衡虽然充满挑战，但却至关重要。云环境动态多变，这有助于企业快速创新，但同时也需要实施强大的安全防护措施。企业可通过部署高级威胁检测和响应工具来实现这种平衡。此外，安全防护还应始于开发阶段，在 CI/CD 管道中进行彻底的代码扫描，以便快速检测漏洞并及早识别敏感数据。秉承安全为先的理念，企业能够在保护其云基础设施的同时释放发展和创新潜力。

管理云环境中的风险

为了有效管理云端风险，企业需要采取多重防护策略，利用 AI 和机器学习来帮助识别风险并对其进行优先级划分。这有助于用户更快地确定云环境中可能最重大的安全漏洞，然后利用详细的修复计划消除风险，加快响应速度。这一环节的自动化首先可以限制可能渗透到环境中的威胁数量，其次能够对剩余风险进行优先级划分，从而帮助疲于应付的安全部门解决技能和资源短缺问题。

事实上，根据 IBM Security 最近发布的《2024 年数据泄露成本》研究报告，较之侧重于检测/修复的传统安全防护措施，使用 AI 技术进行风险缓解防御的企业在降低每起数据泄露事件所致损失方面取得了显著成效，不仅节省了 220 万美元，而且还将修复时间缩短了 100 天。

应对合规和治理挑战

满足复杂的云端合规和治理要求绝非易事，尤其是在确保在整个云环境中一致地应用合规性措施、妥善保护敏感数据、严格遵守策略以及有效控制系统方面。CSPM 等自动化合规管理工具可提供实时监控和报告，不仅有助于确保遵守监管标准，而且还能够确保这些标准应用于整个云环境。这些工具对高保真状态管理至关重要，可自动、持续地检查错误配置，从而帮助避免潜在的数据泄露和高额罚款。

确保云端代码安全

随着企业愈发依赖云环境进行应用开发，确保代码安全变得极其重要。注重安全编码实践有助于及早发现漏洞。定期代码审查和静态分析能够增强应用。将安全防护贯穿于整个软件开发生命周期至关重要。CI/CD 管道中的自动化安全测试可及早检测漏洞。云原生应用保护平台为应用保护提供了强大功能。用户必须对开发团队开展安全教育。安全团队和开发团队之间需要展开密切协作，确保无缝集成安全防护。

采用“预防为先”的云安全解决方案

最后，Check Point公司中国区技术总监王跃霖表示：“云安全对于企业保护核心数字资产、确保业务正常运行极为重要。因此，‘预防为先’的安全理念是每个CIO在部署云环境时都需要考量的核心要素。作为网络安全领域长期领导者，Check Point CloudGuard 平台不仅持续为用户提供云原生安全，并在公有云、私有云、混合云和多云环境中针对所有资产和工作负载提供高级威胁防护，同时随着新型技术的发展不断扩充全新功能。今年，Check Point推出的CloudGuard WAF 即服务 (WAFaaS)功能，基于 AI 的自动化 Web 应用防火墙为企业提供了一款全托管解决方案，可帮助防御网络威胁，并保护 Web 应用免遭未授权访问和数据泄露。由于其利用先进的机器学习技术（而非依赖传统签名）来阻止已知和未知攻击，因此能够确保实时检测威胁并抵御 Log4j 和 MOVEit 等零日攻击。Check Point相信只有在企业云环境保证安全的前提下，用户才能充分释放云计算为企业带来的业务增长潜力。“

近日，荣耀X60 Pro发售。据介绍，这款手机支持双向北斗卫星通信，至此支持卫星通信的手机售价下探至3000元以内。在此之前，卫星通信功能已成为高端手机的新卖点。同时，汽车厂商积极布局卫星直连功能。极氪001 FR、极氪007都搭载了车载卫星通信技术，其中001 FR搭载了双向卫星通信技术，在地面移动通信网络没有覆盖到或受损的情况下，可通过卫星收发消息，并实现语音通话服务。专家表示，成本持续下降推动卫星互联网产业加快发展。各地加大政策支持与资金投入，推动技术突破，扩大应用场景，完善商业模式。

产业链逐渐成熟

商业航天技术进步正推动卫星互联网产业加快发展。北京空间科技信息研究所主任朱贵伟在2024中国卫星应用大会上介绍说，马斯克创立的星链计划加速推进卫星互联网走向大众消费市场，先期将大众消费宽带作为主营模式，推动形成商业闭环，用户数量已突破400万。

中国信息通信研究院技术与标准研究所总工程师李侠宇介绍说，中国星网、垣信卫星等企业正在加快卫星互联网系统建设。其中，垣信卫星正在打造低轨星座“G60星链”，计划到2030年实现约1.5万颗卫星组网；银河航天目前有8颗在轨试验卫星；时空道宇的未来出行导航增强星座，已有30颗卫星在轨；国电高科的低轨卫星物联网天启星座，计划由38颗卫星组成，目前在轨卫星29颗。

“现阶段，商业卫星互联网发展进入低轨宽带卫星大规模组网阶段，产业链中游的卫星运营商占据的价值量较高。同时，卫星制造、火箭发射和地面设备研发等方面的技术进步，将推动产业应用走深向实。”李侠宇说。

成本下降推动卫星互联网产业加快发展。艾默生测试与测量业务集团亚太区技术总监沈晨介绍，卫星互联网核心载荷关键技术不断成熟，其中TR组建成本占通信载荷成本的一半，占卫星总成本的30%。当前，卫星发射以及基带芯片、相控阵芯片等产业链各环节产品成本持续下降。

2024中国卫星应用大会主席吴劲风表示，仅今年上半年，我国注册与商业航天相关的企业就达到7425家，现存与商业航天相关的企业数量超6万家。据不完全统计，今年上半年，商业航天领域的融资金额超过120亿元。

近日，工业和信息化部运行监测协调局局长陶青表示，将紧抓新一代信息技术融合应用创新重大机遇，持续推进集成电路、工业软件、人工智能、卫星互联网等关键技术领域研发创新和产业化发展，培育发展新兴产业和未来产业。

“卫星应用仍面临诸多挑战。在技术层面，我们需要提升卫星制造、发射、运营及回收等全流程能力，并在芯片、终端、标准等领域突破关键技术瓶颈。在市场层面，我们要深入挖掘卫星通信的潜力，拓展应用场景，推动商业化和盈利模式创新。”中国通信学会秘书长张延川说。

通信安全重要性凸显

李侠宇预测，2033年我国卫星互联网市场规模有望达到1055.7亿元，其中终端直连卫星市场占据营收大头。终端直连卫星互联网的细分需求场景包括野外施工、牧民放牧、深度旅游等。

今年4月，比亚迪推出搭载天通卫星通信功能的量产车型仰望U8越野玩家版，提供双向语音通话、双向短信通信功能。另外，信息发展与上汽集团旗下子公司上海安驾智行数字科技有限公司达成战略合作，布局“汽车+卫星”赛道。

在10月举办的2024世界智能网联汽车大会上，吉利控股集团董事长李书福介绍，吉利“未来出行星座”在轨卫星已达30颗，完成了三个轨道面部署，可实现24小时、全球90%以上区域的覆盖，让汽车用户“永不失联”。

东兴证券石伟晶认为，卫星互联网将是未来五年通信板块最具成长性的细分领域。卫星互联网产业有关专家对记者表示，国内卫星互联网进入产业化初级阶段，各地加大政策支持与资金投入，推动技术突破，扩大应用场景。

随着市场规模扩大，卫星互联网通信安全要求提升，相关厂商将迎来机遇。北京盛邦安全技术有限公司董事长权小文认为：“随着卫星互联网D2D（设备到设备）时代的到来，手机、汽车直连卫星的需求将爆发，通信安全的重要性凸显。要建立空天地一体化的网络安全保障体系，以有效应对在身份认证、安全路由和安全传输等环节存在的威胁，形成覆盖卫星、基站、系统和终端的纵深一体化安全防护体系。”

原文链接

近日，2024中国卫星应用大会在北京成功举办。大会以“卫星应用产业中的新质生产力”为主题，探讨数字化转型背景下卫星应用产业的创新与发展。

会议期间，作为卫星互联网安全赛道的先行者，盛邦安全董事长权小文在接受C114采访时表示，卫星互联网不是对传统卫星网络的升级改造，而是对其进行重构的过程；随着以低轨巨型星座为代表的卫星互联网“落入凡间”，对安全提出了更高要求，亟需构建空天地一体化安全通信网络；而信源加密则是当前卫星互联网安全防御最合理，也是唯一手段。

卫星互联网应充分利用移动互联网和互联网优势

近年来，卫星互联网飞速发展，中信证券预测我国卫星互联网产业有望迎来万亿元市场规模，这预示着一个新时代的到来。

权小文表示，当前卫星互联网D2D时代已经来临。直接到设备，创建正确的端到端生态系统，如HUAWEI Mate 60、吉利汽车、SL手机通信等直连卫星，万物互联时代到来；同时，需求极速爆发，用户对带宽有强烈需求。

与卫星网络相比，典型卫星网结构星少、切换频率低、高轨、低带宽、高延迟，延迟110~270ms；而以星链为代表的卫星互联网具有星多、中低轨、切换频繁、高带宽、低延迟，抗毁性，延迟小于10ms等特性。“卫星互联网不是对传统卫星网络的升级改造，而是重构。”卫星互联网应充分利用移动互联网和互联网优势，提高连通性、抗毁性、覆盖性。

他认为，卫星网的最后一公里是网络，卫星互联网的最短一公里是卫星。这也意味着，卫星网解决接入问题，例如海洋、偏远山区等地面网覆盖不到地方；而解决接入问题后，要尽可能使用地面网，通过发达的地面网传输，充分发挥卫星网和地面网这两张网的优势，这样构造出来的卫星互联网才是高效的。

“直接通过卫星传输数据的成本较高且可能会增加延迟；而利用地面IP网络进行传输成本更低且延迟更小。”他说道。

加密是卫星互联网安全防御唯一手段

卫星互联网作为一种全新的全域全业务承载平台，在技术架构、组网概念、应用场景等方面都发生显著变化，带来更多卫星、更大带宽，还增加了更多路径和终端，对安全提出了更高要求。

权小文表示，传统卫星网络因为稀缺高轨，较为小众，安全问题常常被忽略。卫星互联网“落入凡间”，安全问题突发而且急剧上升。“从可持续发展角度，我们必须要高度关注安全问题，不能‘蒙眼狂奔’更不能是‘裸奔’。”

卫星互联网存在跨陆、海、空等多个层级的空间特殊性，导致其面临来自物理层面、控制层面、数据层面等不同层面的安全威胁。需要构建空天地一体网络安全保障体系，有效应对身份认证、安全路由、安全传输等多种威胁，形成覆盖卫星、基站、系统、终端在内的一体化纵深安全防护体系。

在他看来，采用对卫星的信源加密，是目前针对卫星安全防御的唯一手段，是最合理的技术路径，最有效且成本最低。“通过密码定义网络和用户边界，保障了传输安全和数据安全，这个不同于传统互联网的安全体系。”

据权小文介绍，盛邦安全目前已推出其最新的卫星互联网安全解决方案。其卫星通信加密系统，由主站密码机、⼩站密码机、密钥管理中⼼、配置管理中⼼四个部分组成。采⽤集中管理模式，配置管理中⼼统⼀配置管理全⽹所有密码设备策略，可以对全⽹的密码资产进⾏直观展⽰；密钥管理系统对全⽹密码机进⾏⼊⽹认证，密钥分发，指令控制；中⼼站密码机和⼩站密码完成通信流量的加解密。

并且卫星通信加密系统，可应⽤于⽯油、⽯化、⽔利、公安、电⼒、林业、草原、医疗、⾦融等卫星通信重要领域，实现卫星通信流量的加解密和设备认证，防⽌设备的⾝份伪造、通信劫持、重放攻击、数据被窃取与被篡改、减少攻击⾯的暴露，保障卫星通信⽹络的安全性和承载数据的保密性、完整性。

文章来源：C114通信网

2024年10月24日17:28分，距离GEEKCON2024上海站的分享结束还有37分钟。与绝大多数活动在散场前惨淡的观众留存率不同，此时GEEKCON的会场内依旧座无虚席，从全国各地集结而来的数百位极客正沉浸在专属于安全技术人的年度狂欢中。

作为全球创办时间最早、举办规模最大的黑客挑战赛之一，每一年GEEKCON的举办不仅会引发安全行业在前沿技术应用、实战人才培养等方面的崭新思考，更重要的是，每一年GEEKCON都会用它出其不意的设计与高质量的议题回馈这一年所有极客的期待。

这一次GEEKCON又别出心裁的把主会场选在了上海西岸艺术中心的一家电影院内。没有浮夸的舞美、搭建，甚至全场找不到一块LED屏幕，2024年的GEEKCON就在一块简约的电影荧幕前正式开始。为了迎合电影院的场景主题，主办方还特意选用了米高梅电影公司的雄狮片头，但紧随其后的FBI告知也充分展现了极客世界特有的幽默。

开幕致辞环节，GEEKCON 发起创办人、DARKNAVY CEO王琦（大牛蛙）表示“很多年前，他就曾设想有一天能在一个小黑屋里举办一场活动。没有任何搭建、舞美……这些外在的东西，只有一个狭小的空间，能把热爱技术的人聚在一起，大家纯粹的聊聊和技术有关的事儿……”当时的设想更多是一种境界上的追求，但令他没想到的是，这个设想在今年意外实现了。

谈及这突如其来的“圆梦”，大牛蛙也显得格外坦诚。他谈到“这些年受到全球经济下行的影响，整个安全行业也收到了很大冲击。这几年大家可能过的都不好，GEEKCON也显得更加艰难”。

他透露，从2014年起，GEEKCON就致力于打造最纯粹、开放的黑客赛事，这些年GEEKCON为参赛选手提供了累计超过千万级的奖金，但选手从厂商处获得的奖励回报却几乎为零。这样巨大的反差让GEEKCON的每一步都举步维艰，但值得庆幸的是，纵然生态环境时有恶劣，但每一年仍旧有数以万计的毕业生义无反顾的选择网络安全专业；在行业中，依旧有数以万计的极客，他们果断放弃黑灰产的“暴利”，转身成为守正出奇的白帽极客，以技术的利刃向恶意黑客勇敢宣战。致辞结束时，大牛蛙以“时刻好奇，保持乐观”作为结尾勉励了在场的极客朋友。

本届GEEKCON上海站依旧保留六大系列专场，分别为“漏洞与利用DAF挑战赛”、“深蓝洞察之特别披露”、“GEEKCON特别挑战赛”、 “AI与黑客挑战赛”、对抗研判AVSS精英挑战赛”以及“30+5深度分享”。

现场汇聚了华为、蚂蚁集团、OPPO、百度、vivo、小米、京东、荣耀、美团等科技互联网巨头的资深安全专家、行业领军人物和高水平的“白帽黑客”。在赛事的内容上，今年的大赛更加聚焦时下热门的网络安全问题，如：智能汽车安全、AI安全与电池安全，在持续关注漏洞攻防与前沿技术应用的同时，积极推动安全人才的培养和白帽价值的提升，以期通过提升网络安全能力的可视化与可度量，助力安全产业的高质量发展。

漏洞与利用DAF挑战赛：总有人负重前行，换世界岁月静好

作为GEEKCON赛场中，关注度最高且现场演示效果最好的版块，每年“漏洞与利用DAF挑战赛”总会受到格外的关注。今年DAF挑战赛将破解的议题向日常的生活、工作深度下沉，可以说议题所涉及的场景时刻都在发生。

无需任何外置硬件，扮演黑客的挑战者就轻松的将信息发出方的号码伪装成了组委会的指定号码，并将恶意篡改后的短信内容发送到了现场观众的手机上。更可怕的是，挑战者在现场还成功尝试了将发出方的号码伪装成工信部公共服务平台的号码“12381”。当官方机构的信息被任意伪造，当短信不再可信，由此产生的危害也将不可估量。

如果说短信更多的应用于日常生活场景，那么接下来曝光的会议投屏系统的漏洞则将枪口直接对准了职场的打工人。在现场的挑战中，挑战者仅用时数分钟，就轻松攻入了某主流会议投屏系统以及控制该系统的投屏电脑。他们打开了投屏电脑中的指定文件，并成功返投在投屏设备上。设想一下，此情此景如果恰好发生在你的一场重要的商业谈判中，由此造成的经济与声誉损失想必也是巨大的。

关于智能汽车的破解始终是近些年GEEKCON的保留项目，但不论是2023年的上海，还是数月前刚刚结束的新加坡站，选手在破解车辆时都或多或少的遇到了一些阻碍，而在本届上海站的智能汽车破解中，挑战团队仅用时3分钟就在没有钥匙的情况下，只凭借智能汽车的车架号打开了锁闭的车门，并成功发动汽车，将其开到了指定区域。这骤然缩短的挑战时间，无疑给众多智能车企敲响了警钟，与此同时，这一成果也充分彰显了青年极客与日俱增的技术战力。

或许正是因为有这样一群对技术满怀热忱的极客，他们以对技术的不懈追求和默默付出，让我们在面对变幻的未来时，又增添了一份勇气与信心。因为我们深知，会有人以负重前行，换世界的岁月静好。

深蓝洞察之特别披露——正义者，应该肆意的享受阳光

该专场旨在邀请正义的白帽黑客，直击无良厂商的安全漏洞，面对复杂的网安生态，以白帽之名，击穿黑暗。而出于对披露者的保护，“头戴面具演讲”也始终是该专场的一大特色。

本届的披露环节将威胁的焦点对准“智能手机”。带来《通知清不尽，应用杀又生》、《买手机，送木马》两大议题。在挑战《买手机，送木马》的演示中，披露者发现新购买的手机在打开某购物应用时不会直接进入应用的主界面，而是会率先跳转到指定的推荐页或广告页。通过埋点的方式，披露者将问题的源头锁定在了应用本身。利用静态代码分析的技术手段，披露者获取到App的异常数据和行为，经过对设备流量的抓取捕获了动态配置文件和代码补丁，最终结合代码的行为路径，完成了恶意路径的固证。

研究者还发现不仅是应用的启动环节，在桌面、负一屏、全局搜索、智能助手，甚至是手机的预装浏览器中，该木马都可能存在，让用户在不知不觉中便沦为了广告商或商业流量的变现工具。

该议题的披露一方面在警醒手机厂商谨慎使用开发者权限，遵循道德标准，保护用户的权限，同时也提醒用户，警惕异常的跳转，在发现异常后及时向安全团队作出反馈。

议题分享结束后，在主持人的鼓励下，2位披露者首次摘下面具，向全场观众一展真容。“真实的披露安全问题，先于黑客一步发现潜在的安全漏洞”始终是GEEKCON创办的宗旨，而让安全背后的英雄勇敢的走到阳光下，也将是GEEKCON持续存在的价值。

该环节，深蓝洞察的订阅版也正式发布。秉承“展示真实的安全行业，向行业输出更多价值”的核心，深蓝洞察订阅版将定期发布重要漏洞及其利用方式，深蓝研究团队也将对整个漏洞的利用过程进行复现，以期为从业者提供“高时效、高质量、高价值”的情报，成为客户的外脑，以专业的技术能力敏锐的发现问题；成为行业的外嘴，披露真实的安全动态。

GEEKCON特别挑战赛：看见真实的世界，传递真实的声音

倘若要评选本年度最具影响力与关注度的安全事件，“黎巴嫩BP机爆炸事件”一定榜上有名。该事件所导致的生命与财产损失无疑是巨大的，而由该事件引发的漫天谣言以及大众的恐慌也令人不容忽视。

本届GEEKCON特别挑战赛的赛题选定为“黑客真能远程爆掉手机吗”。在经过3周时间的报名招募后，该挑战赛无选手报名。为了带领大家深入探索手机电池的安全边界，DARKNAVY 技术组委依次尝试通过硬短路和电池大电流快速放电的方式对主流智能手机的电池进行测试，但很遗憾，令观众期待的爆炸场景并未出现。

在解析环节，研究人员表示，与黎巴嫩被动过手脚的BP机不同，正规渠道下购买的手机，电池中都会预装有BMS电池管理系统，正是该系统为电池的稳定运行提供了重要保护。

作为对比实验，研究人员在现场为我们展示了被拆除充电保护系统的电池，在过充情况下发生爆燃的视频，在视频中，我们看到其爆燃的威力与黎巴嫩BP机爆炸相比仍相去甚远。

实验的完整过程，为在场的观众消除了安全疑虑，以极客的严谨向大众展示了世界的真实。

AI与黑客挑战赛：Talk is Cheap，Show us your Pwn

自从AI诞生以来，人类与AI的权力纷争就从未停止。

作为2023年GEEKCON上海站的延续，本届GEEKCON的AI与黑客挑战赛将话题从辩论层的讨论下沉到了实战层的对抗。来自上海交通大学的Ph0t1n1a战队、安恒信息的GenZ战队以及Emmmmmm2024战队运用各自的AI自动化能力，完成组委会给出的指定赛题。 

三支战队首先对复杂系统进行了漏洞的挖掘与定位，该赛题重点考验AI的逻辑思维能力；之后又对组委会给出的配置文件中埋藏的100个敏感信息进行了筛选。经过两轮的角逐，最终Ph0t1n1a团队获得总分冠军。 

随着AI在现实中的应用越发深入，AI替代论总是不绝于耳，但正如尤瓦尔·赫拉利所言：“科学技术创造的只是新的机会，若要追求把握哪些新机会，依然是人类自己的选择。”因此，如何在信息爆炸的时代剔除谎言与舆论，让技术向善而生，将始终是安全技术人要持续思考的命题。

对抗研判AVSS精英挑战赛：提升安全水位，量化安全基线

本届AVSS挑战赛迎来了往届未解赛题的返场，以期通过攻击者的角度对智能系统进行全面、科学的碰撞测试，进而量化系统的安全水平，让消费者对于产品的安全性有更为直观的感受与评判，同时让厂商对产品安全的投入更加可视化。

最终Polaris战队、Nu1L战队、Emmmmmm2024战队位列挑战赛的一、二、三等奖。

30+5深度分享：用知识创造防护的力量

大赛特设“30+5深度分享”环节，Google Android Red Team和腾讯玄武实验室、星云防护实验室等前沿研究团队分享了Linux内核漏洞挖掘、Chrome浏览器WASM漏洞等前沿研究成果。通过干货分享与Demo双重输出的方式，揭示深层的安全隐患，以技术的突破构建起安全的坚实堡垒。

真实·黑客说：大佬间的犀利吐槽——安全行业是未来还是韭菜？

通过展示真实的行业现状，捕获行业真实的声音，来引导更多的青年极客正确的认识安全行业，始终是GEEKCON的重要使命，本届大赛中，组委会特别邀请到5位安全行业的资深大佬，同台吐槽，而抛给他们的命题也异常犀利——“安全，是个好行业吗？”

吐槽环节，清华大学网研院教授 段海新、獬豸安全实验室负责人 何淇丹、腾讯玄武安全实验室负责人 于旸、前阿里巴巴技术副总裁和首席安全专家 杜跃进、蚂蚁集团副总裁、首席技术安全官韦韬同台共议。

于旸率先发言表示“从收入情况来判断，对于仍在求学阶段的同学们而言，安全依旧是个好行业”。但杜总随后坦率补刀“前提是要先找到工作”。

拥有多年实战人才培养与教学经验的段海新教授坦言，“安全人员似乎是个不太招人喜欢的行业。首先黑客肯定不喜欢，因为安全人员的存在挡了他们来钱的路。其次厂商也不太喜欢，因为有些在他们看来“微不足道”的后门和漏洞，是商家刻意留下的商业或流量变现途径，一旦被安全人员发现并修复，也对他们的业绩实现造成了阻碍。”

韦韬提到，“行业的好坏不能一概而论，更多的取决于个人能力的大小。近些年，整个行业更侧重于对实战化能力的落地，因此迎合技术的变化，练就强劲的实战能力，发掘具有更强适应力与创造力的实战人才会是GEEKCON乃至整个安全行业要不断深化的工作。”

于旸鼓励现场信息安全专业的学生：“我们面临的威胁是来自于全球一个局部的一些情况，是不可能长期存在的，最终一定是在对抗中分出高下胜负，能看出到底谁是真正有价值的。”所以坚持选择的路走下去，最终努力一定能被看到。

獬豸安全实验室负责人、多次获得世界黑客大赛冠军的何淇丹表示：“极客精神，甚至说整个互联网起步的时候有一种精神，是让这个世界变得更好。希望大家还能坚持这种精神。”

因为有更长的路要探索，所以安全行业的未来，无法用好与坏的绝对论断来评判，尽管此时整个行业正经历着经济下行的冲击，但你会发现在GEEKCON的赛场上，在分散于全球各地的技术者社群中，那些热血的白帽极客依旧满怀热忱，在他们心中“安全的另一面从来不是黑客，而是精进探索后更加智能、可信、开放的未来。”

“力量从不是个人努力的结果，人类的力量总是源于大批人的合作”。于GEEKCON而言，持续跟随前沿技术的潮流，为全球极客搭建纯粹、开放的展示与分享平台，去集结更多热爱技术的极客共同传递知识的力量，一道探索真实的世界，未来的路道阻且长，但总有人并肩前往！

Google Mandiant 安全分析师表示，在 2023 年披露的 138 个被积极利用的漏洞中，有 97 个（70.3%）被用作零日漏洞。

这意味着威胁者在受影响的供应商知道错误存在或能够修补它们之前，就已经利用了攻击中的缺陷。

从 2020 年到 2022 年，已修复漏洞与无可用修复漏洞之间的比率相对稳定地保持在 4:6，但在 2023 年，该比率转变为 3:7。

谷歌解释说，这并不是因为自然利用的已修复漏洞数量减少，而是因为零日漏洞利用的增加以及安全供应商检测它的能力的提高。

恶意活动的增加和目标产品的多样化也反映在受主动利用的漏洞影响的供应商数量上，该数量已从 2022 年的 44 家增加到 2023 年创纪录的 56 家，也高于 2021 年 48 家供应商的先前记录。

Mandiant 调查结果概述

响应时间越来越紧

另一个重要趋势是利用新披露的漏洞所需的时间现已降至五天。

相比之下，2018-2019 年，时间为 63 天，2021-2022 年，为 32 天。这为系统管理员提供了充足的时间来计划补丁的应用或实施缓解措施以保护受影响的系统。

随着时间降至 5 天，网络分段、实时检测和紧急补丁优先级等策略变得更加重要。与此相关的是，Google 并未发现漏洞披露与时间之间存在关联。

到 2023 年，75% 的漏洞利用在开始大规模利用之前就已公开，25% 的漏洞利用是在黑客利用这些漏洞后发布的。

报告中强调的两个示例 CVE-2023-28121（WordPress 插件）和 CVE-2023-27997（Fortinet FortiOS）表明公共漏洞利用可用性与恶意活动之间没有一致的关系。

两个漏洞的利用时间表

在第一个案例中，漏洞利用是在披露三个月后、概念验证发布十天后开始的。

FortiOS 案例中，该漏洞几乎立即在公开利用中被武器化，但第一个恶意利用事件是在四个月后记录的。谷歌表示，利用难度、威胁者动机、目标价值和总体攻击复杂性都在发挥作用，并且与 PoC 可用性的直接或孤立关联是有问题的。

10月18日，以“合规赋能 数智未来”为主题的2024第三届SCIC网络安全合规创新大会在北京成功举办。大会由中国信息协会信息安全专业委员会主办，长春嘉诚信息技术股份有限公司承办，华易数安科技（吉林省）有限公司、北京赛博英杰科技有限公司、北京数字世界咨询有限公司支持，邀请政府部门、科研机构和行业领军企业的领导与专家出席大会，共话安全合规创新，赋能数智未来！

本届大会深入解读了 2024 年网络安全领域重大政策法规；围绕数据合规数据赋能、供应链安全、大模型网络安全等领域的最新合规要求，结合数字经济和人工智能的发展趋势，从政策法规、标准技术、应用方案等多方面展开深度交流与探讨。

会议现场

公安部网络安全等级保护评估中心副主任沙淼淼在致辞中指出，当前网络安全合规面临着前所未有的挑战，希望通过本次大会深入探讨创新工作，为数字经济的健康发展保驾护航。国家信息中心信息与网络安全部处长刘蓓回顾了“网络强国战略目标”的十年历程，并强调了网络安全法规制度、技术创新和产业协同机制的重要性，表示国家信息中心网络安全部愿与各界同仁紧密合作，共同推动网络强国和数字中国建设。

中国信息协会信息安全专业委员会常务副主任陈晓桦在致辞中解读了大会主题，强调了网络安全合规的重要性，并指出网络安全产业的发展直接关系到国家网络空间保障能力的建设，呼吁与会嘉宾携手共进，共同构建一个更加安全、智能的数字世界。大会由中国信息协会信息安全专业委员会副主任郭森主持。

公安部网络安全等级保护评估中心副主任 沙淼淼

国家信息中心信息与网络安全部处长 刘蓓

中国信息协会信息安全专业委员会常务副主任 陈晓桦

中国信息协会信息安全专业委员会副主任 郭森

北京邮电大学人工智能法律研究中心主任崔聪聪对《网络数据安全管理条例》进行解读，分析了条例的制定背景、主要内容及实施意义。《网络数据安全管理条例》自2025年1月1日起施行，崔主任就个人信息、重要数据、平台责任，围绕总则和一般规定做详细展开，帮助客户及时了解最新的政策要求，确保业务的合规性与安全性。

北京邮电大学人工智能法律研究中心主任 崔聪聪

公安部第三研究所网络安全法律研究中心副研究员、副主任何治乐对2024年网络安全领域重大政策法规进行梳理，分享了重要监管部门的监管实践。主要围绕2024年立法进展、国家监管部门主要的执法动向以及未来趋势展望三个部分展开。通过这些分享，帮助客户更清晰地理解政策背后的监管逻辑，以及如何在实际操作中落实这些要求。

公安部第三研究所网络安全法律研究中心副研究员、副主任 何治乐

国家信息中心信息与网络安全部数据安全处处长魏连发表题为《政府数据治理与数据安全合规司法实践》的演讲。详细阐述了在政府数据治理和数据安全合规方面的司法实践。介绍了数据安全合规保障的一系列解决方案。在新的法规执行的过程中，结合已有的传统技术、电子司法鉴定的技术，让数据更好地流动起来，赋能我国数字经济社会的发展。

国家信息中心信息与网络安全部数据安全处处长 魏连

公安部网络安全等级保护评估中心副研究员曲洁发表题为《关键信息基础设施供应链安全》的演讲。从具体事件的回顾和分析入手，指出当前供应链安全所面临的挑战。同时提出了关键信息基础设施的供应链安全需求、特点，从未来供应链安全的方向提出了建议，帮助政企单位加强供应链安全管理措施及实践，保障国家和企业安全。

公安部网络安全等级保护评估中心业务实施部主任 曲洁

长春嘉诚信息技术股份有限公司副总裁李忆平发表题为《智慧安全服务未来发展探索与交流》的主旨演讲，就安全的现状做详细分析，安全服务如何应对当前新的安全威胁和安全形势，如何实现合规性的突破，安全能力如何以实战促提升等方面做了深入探讨。列举了管理智能化云化以及人力不足、攻防对抗等方面面临的挑战。李总还分享了目前在人工智能赋能合规检测、安全能力提升、可实时性的对抗平衡方面的实践经验与赋能成效。在大模型如何形成更智能的安全服务方面，列举了智能化的检测，流程化的处置，可视化的监测，阐述了下一代安全服务的发展趋势，引发与会者的广泛共鸣和深入思考。

长春嘉诚信息技术股份有限公司副总裁 李忆平

中国电信天翼安全公司事业部副总经理路雪涛发表题为《中国电信网络安全能力池应用与实践》的演讲，包括安全合规政策法规的驱动，安全建设面临的困境与思考，安全能力池的解决方案和差异化优势等方面内容进行详细介绍，分享了如何发挥中国电信的独特优势，为其政企客户提供更多按需的、符合现状的安全服务。

中国电信天翼安全公司事业部副总经理 路雪涛

北京赛博英杰科技有限公司高级分析师宋圣发表题为《AI赋能网络安全》的演讲。详细阐述了网络安全防御所面临的挑战和痛点，以及未来希望AI所能带来的相关成效。介绍了AI在网络安全领域发展的历史以及现状，生成式AI在网络安全领域的赋能和建议，这些内容为网络安全建设带来新的思考和启发。

北京赛博英杰科技有限公司高级分析师 宋圣

火山引擎大模型安全产品与解决方案负责人林泽韬发表题为《大模型安全挑战与防护实践》的演讲，围绕大模型的安全风险与挑战、解决方案和落地实践一一展开。具体包括大模型安全测评服务，大模型安全防火墙，大模型安全脱敏，大模型训练数据清洗，客户端风险检测，大模型安全培训等。

火山引擎大模型安全产品与解决方案负责人 林泽韬

作为推动网络安全合规建设融合创新的重要活动，SCIC网络安全合规创新大会如今已连续举办三届，其旨在建立一个开放性、发展性、前瞻性的安全合规创新交流平台，持续跟进网络安全最新法律法规、标准要求，关注新趋势、新技术、新场景对网络安全合规工作的新要求、新演进；分享网络安全合规体系建设经验。希望在未来的工作中，更多安全从业者将以本次大会为契机，进一步加强合作与交流，共同推动网络安全合规建设的持续发展和创新。

近日，全球领先的IT市场研究和咨询公司IDC正式发布了《基于大模型的安全能力品牌推荐与洞察-网络威胁检测与响应，2024：威胁检测与安全运营的有机融合》报告。该报告对国内网络安全领域的头部企业进行了深入的调研评估，在安全大模型的加持下，360 NDR凭借其卓越的技术实力和丰富的实践经验，获得IDC的大力推荐，树立了AI在网络威胁检测与响应领域的新标杆。

IDC指出，网络威胁检测与响应（NDR）在网络攻防中起到的关键作用帮助其在最终用户网络安全防护体系中的重要性得到广泛认可。GenAI（生成式人工智能）的加入能够进一步提升NDR对未知威胁的检测能力，提升安全运营人员的工作效率，降低安全运营对人员技术能力的准入门槛。

作为国内唯一兼具数字安全和人工智能双重能力的企业，360率先推出安全大模型，助力客户实现降本增效。在安全大模型的赋能下，360 NDR率先进化为“360 AI NDR”，以流量安全产品为底座，通过流量智能体编排工具与安全大模型进行交互，实现了智能检测、深度分析及智能运营的全面升级，为政企单位筑起一道坚不可摧的数字安全防线。

未知威胁智能化检测能力获突破：360 NDR通过打造针对APT发现的多种AI小模型，能够迅速识别并应对各类复杂的安全威胁。同时，基于威胁情报的APT分析拓线模型、数字证书的仿冒和伪造检测模型、邮件威胁、DNS威胁以及异常基线等混合检测模型的综合运用，使得360 NDR在未知威胁和APT的检测分析能力上实现了显著提升。

加密流量实现自动化精准评估：360 NDR不仅可以调用解密工具支持上传证书对流量卸载“解密检测”，还支持调用安全AI小模型对“不解密”流量进行威胁预警与分析，360安全大模型对异常点进行可解释性呈现与判定。360 NDR真正实现自动检测、自动追踪、自动评估、自动处置闭环，使加密检测可分析、可解释、可取证。

开创“智驾运营”新纪元：360 NDR构建了一个全维度感知、全域协同、精准研判、持续进化的智能检测流量智能体，以智能检测、自动降噪与联动响应，切实地帮助政企单位推动安全运营从辅助驾驶走向“自动驾驶”。 

在今年的某能源企业攻防演练期间，360 NDR助力其累计发现风险告警近万条，误报率降低至0.028%，远远低于行业平均误报率，0Day捕获率能达到95%。此外，360 NDR助力企业运营人效平均提效70%，安全运营指标平均提效100%！

在数字化时代，网络安全已经成为全球关注的焦点。随着互联网技术的飞速发展，网络空间的安全问题日益凸显，对个人隐私、企业数据、国家安全构成了严重威胁。网络安全不仅关乎信息技术的安全性，更涉及到法律法规、社会治理、国际合作等多个层面。

为了应对网络安全挑战，各国都在加强网络安全法律法规的建设。我国早在2016年11月7日就通过了《中华人民共和国网络安全法》，并于2017年6月1日起施行该法律，该法律旨在保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益。此后，我国又陆续出台了《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规，进一步完善了网络安全法律体系。

当前的网络安全环境面临着多重挑战。随着人工智能、区块链、5G等新技术的广泛应用，网络安全问题更加多样化，攻击手段更加复杂，防御难度不断增加。在众多网络安全问题中，邮件安全尤为突出。

电子邮件作为日常工作和商务沟通的重要工具，其安全性直接关系到企业和个人的利益。然而，邮件系统本身可能存在安全漏洞，配置错误，以及账号暴力破解等入站安全风险，都可能导致严重的安全问题。此外，钓鱼邮件、恶意软件、勒索软件等通过邮件传播的威胁也不断增加，给邮件安全带来了巨大挑战。

根据广东盈世计算机科技有限公司与奇安信集团共同发布的《2023中国企业邮箱安全性研究报告》数据显示，2023年，全国企业邮箱用户共收到各类钓鱼邮件约577.1亿封，相比2022年收到各类钓鱼邮件的425.9亿封增加了35.5%。网络钓鱼攻击事件逐年增加，钓鱼邮件数量在2021年短暂抑制后，持续迅猛增长。

钓鱼邮件作为网络攻击最常用的手段，可以说是自电子邮件诞生以来一直存在的安全威胁。2023年全国企业邮箱用户收到的钓鱼邮件数量约占企业级用户邮件收发总量的7.4%，平均每天约有1.6亿封钓鱼邮件被发出和接收。换种说法，即平均每个企业邮箱用户每月会收到约25封钓鱼邮件。

网络安全态势变得愈发严峻，安全从业人员面临的考验和压力也将与日俱增。为保障企业的网络安全，避免企业因遭受钓鱼邮件攻击，造成信息泄露和财产损失等安全事件，建议各大企业通过部署网关类产品作为企业安全防护的第一道防线，从源头上进行阻断和隔离垃圾、钓鱼邮件。

广东盈世计算机科技有限公司

广东盈世计算机科技有限公司作为国内邮件领域的头部企业，先后推出自主可控的全新邮件系统、邮件客户端、企业邮箱、归档系统、邮件安全网关、安全海外中继、邮件数据防泄露系统EDLP、安全管理中心SMC2.0等产品，打造以邮件系统为核心的自主可控产品矩阵，构建安全好用的数字化办公平台，同时为客户提供从建立安全意识到数据保护的多层次邮件安全防护，可为各领域提供更加安全、高效、自主可控的邮件解决方案。

CACTER邮件安全网关解决方案

CACTER邮件安全网关基于自主研发的神经网络平台NERVE2.0深度学习能力，全面检测并拦截各类恶意邮件，包括垃圾邮件、钓鱼邮件、病毒邮件及BEC诈骗邮件，并融合智谱AI大模型，反垃圾准确率高达99.8%，误判率低于0.02%。CACTER邮件安全网关拥有独家完整域内安全管控方案，且支持Coremail、Exchange、O365、Gmail 、IBM Domino、lotus notes、网易企邮、飞书企邮等几乎所有邮件系统。

CACTER的核心技术依托自研国产反垃圾引擎和国内头部的企业级邮件安全大数据中心，拥有多项发明专利与软件著作权，与中国科学院成立邮件安全AI实验室，并与清华大学、奇安信、网易等国内权威机构持续开展前沿研究与合作，为客户提供从建立安全意识到数据保护的多层次邮件安全防护。

独家完整域内安全管控方案

CACTER邮件安全网关基于多项自主研发的世界领先级反垃圾邮件技术，针对用户账号被盗后，域内互发垃圾钓鱼邮件场景，推出独家域内安全解决方案。不仅具备独家域内发信行为检测模型，还支持自定义域内邮件处置策略，域内安全数据统计分析以及域内高级恶意威胁邮件事后处置等，确保钓鱼邮件、病毒邮件、垃圾邮件精准拦截，异常发信行为及时发现，以保障邮件系统不受恶意邮件威胁。

针对新型高级威胁邮件，可能绕过反垃圾引擎检查、反病毒引擎甚至云沙箱检测引擎，投递至邮件系统的情况，CACTER邮件安全网关推出邮件召回事后解决方案。CACTER邮件安全网关不仅支持管理员一键召回已经投递至邮件系统的威胁，还支持接收Coremail邮件安全大数据中心情报，自动召回已经投递至邮件系统的高级恶意威胁邮件，对高级恶意威胁邮件及时处置，守住邮件系统安全最后一道防线。

总结来说，网络安全是一个涉及多个层面的复杂问题，需要法律法规、技术、教育等多方面的共同努力。邮件安全作为网络安全的重要组成部分，其解决方案也在不断创新和发展，以适应不断变化的安全威胁。CACTER邮件安全网关作为邮件安全解决方案之一，将持续提升产品的质量和性能，为用户带来更多综合性的优质解决方案，致力于为保护邮件安全提供了强有力的技术支持。

Fortinet 近期公开披露了一个严重的 FortiManager API 漏洞（编号为 CVE-2024-47575），该漏洞在零日攻击中被利用，用于窃取包含托管设备配置、IP 地址和凭据的敏感文件。 

该公司从 10 月 13 日开始在高级通知电子邮件中私下通知 FortiManager 客户有关该漏洞的信息，并包含在发布安全更新之前缓解该漏洞的步骤。

然而，有关该漏洞的消息已经由 Reddit 上的客户和 Mastodon 上的网络安全研究员 Kevin Beaumont 泄露，他将此漏洞称为“FortiJump”。

Fortinet 设备管理员还表示，该漏洞已被利用一段时间，有客户报告在通知发送给客户几周前就遭到了攻击。 

FortiManager 零日漏洞披露

目前，Fortinet 公开披露了被主动利用的关键 FortiManager 漏洞，编号为 CVE-2024-47575，严重程度为 9.8。Fortinet 的 FG-IR-24-423 在安全公告中写道：未经身份验证的攻击者通过特制请求可执行任意代码或命令。

“报告显示该漏洞可被广泛利用。”一位熟悉攻击的消息人士告诉记者。该通报缺少一些利用该漏洞的关键信息：威胁者必须首先从任何拥有或受损的 Fortinet 设备（包括 FortiManager VM）中提取有效证书。该漏洞影响以下 FortiManager 版本：

目前，仅发布了 FortiManager 7.2.8 和 7.4.5 版本，其余版本将在未来几天内发布。 Fortinet 创建了“FortiGate 到 FortiManager 协议”(FGFM)，允许公司轻松部署 FortiGate 防火墙设备，并让它们注册到远程 FortiManager 服务器，以便可以从中央位置进行管理。

这些场景包括 FortiManager 位于公共互联网上，而 FortiGate 设备位于 NAT 后面，FortiGate 设备位于公共互联网上，而 FortiManager 位于 NAT 后面，或者 FortiManager 和 FortiGate 设备都具有可路由的 IP 地址。

正如网络安全研究员 Kevin Beaumont 指出的那样，只要攻击者获得了有效证书，将 FortiGate 设备连接到暴露的 FortiManager 服务器并不困难。

该证书用于在 FortiGate 和 FortiManager 服务器之间建立 SSL 隧道，以对两个设备进行身份验证。然而，这不是漏洞所在。相反，通过 FortiManager FGFM API 执行命令需要额外的授权级别，可以使用 CVE-2024-47575 漏洞绕过该 API。 

API 中的身份验证绕过已在最新版本的 FortiManager 中修复。该 API 允许攻击者执行命令、检索信息并完全控制托管设备和 FortiManager，以进一步访问企业网络。

由于 MSP（托管服务提供商）经常使用 FortiManager，因此用户可以使用它进入下游内部网络。 

由于 FGFM 的设计方式（NAT 穿越情况），这也意味着如果获得对托管 FortiGate 防火墙的访问权限，就可以向上遍历到管理 FortiManager 设备，然后返回到其他防火墙和网络。如果此时无法安装最新的固件更新，Fortinet 提供了不同的方法来缓解这种攻击：

·使用 set fgfm-deny-unknown enable 命令阻止序列号未知的设备注册到 FortiManager。

·创建自定义证书，以在创建 SSL 隧道并使用 FortiManager 验证 FortiGate 设备时使用。

然而，Fortinet 表示，如果威胁者能够获得此证书，那么它仍然可以用于连接 FortiGate 设备并利用该漏洞。

·为允许连接的 FortiGate 设备创建 IP 地址的允许列表。

有关如何执行这些缓解措施和恢复受感染服务器的说明，可参阅 Fortinet 的公告。

被利用窃取数据

Fortinet 表示，观察到的攻击被用来从 FortiManager 服务器窃取各种文件，这些文件“包含受管设备的 IP、凭据和配置”。

这些被盗信息可用于了解和定位 FortiGate 设备，以获得对企业网络或 MSP 下游客户端的初始访问权限。

该公司还确认，没有证据表明受感染的 FortiManager 服务上安装了恶意软件，也没有证据表明托管 FortiGate 设备的配置发生了变化。 Fortinet 在安全公告中表示：“现阶段尚未收到有关在这些受感染的 FortiManager 系统上安装任何低级恶意软件或后门的报告。”

Fortinet 并未将这些攻击归因于任何特定的威胁者，也没有分享有关因正在进行的调查而受到影响的客户数量和类型的任何信息。然而，Fortinet 共享了以下 IOC，以帮助安全专业人员和网络管理员检测其 FortiManager 服务器是否因该漏洞而遭到破坏。

观察到的攻击表明，威胁参与者以“localhost”名称连接了攻击者控制的 FortiGate 设备，该名称将出现在 Fortimanager 的“未注册设备”部分中。日志条目将显示威胁参与者发出 API 命令来添加这些未注册的“localhost”设备。

Fortinet 共享的另一个日志条目用于编辑设备设置：

类型=事件，子类型= dvm，pri =通知，desc =“设备，管理器，dvm，日志，at，通知，级别”，user =“系统”，userfrom =“”，msg =“” adom =“根” session_id=0 opera,on=“修改设备” Performed_on=“localhost”changes=“已编辑的设备设置 (SN FMG-VMTM23017412)”

Fortinet 表示，恶意 FortiGate 设备使用序列号 FMG-VMTM23017412，这似乎是 FortiGate-VM 虚拟机使用的格式。其他 IOC 包括创建 /tmp/.tm 和 /var/tmp/.tm 文件。在攻击中观察到以下 IP 地址，全部位于云托管公司 Vultr：

·45.32.41.202 

·104.238.141.143 （最近看到托管 SuperShell C2 基础设施）

·158.247.199.37

·45.32.63.2

Fortinet 警告称，并非所有 IOC 都可能出现在被利用的设备上。 Shodan 搜索显示有 59,534 个 FortiManager 设备的 FGFM 端口（TCP 端口 531）在线暴露，其中大多数位于美国。

客户对漏洞披露方式感到失望

Fortinet 分享了有关 CVE-2024-47575 漏洞以及如何向客户披露该漏洞的声明，表示“识别此漏洞 (CVE-2024-47575) 后，Fortinet 立即向客户传达了关键信息和资源。”

然而，Fortinet 客户对漏洞的披露方式表示失望，一些 FortiManager 客户没有收到提前通知，不得不依靠泄露的信息来查找零日漏洞。 

所有 FortiManager 客户的“主”帐户都应该收到此通知。如果没有，他们应该联系 Fortinet 或其经销商，以确认他们拥有正确的联系信息。其他人感到沮丧的是，私人咨询并未将 FortiManager Cloud 列为受零日影响的产品，但当他们致电 Fortinet TAC 时，却被告知它受到了影响。这个漏洞并不是 Fortinet 第一次决定悄悄修补关键漏洞或私下向客户披露。

2022 年 12 月，Fortinet 悄悄修补了一个被主动利用的 FortiOS SSL-VPN 漏洞（编号为 CVE-2022-42475），但没有公开声明该漏洞已用于攻击。

与这个 FortiManager 漏洞一样，Fortinet 于 12 月 7 日向客户发布了私人 TLP:Amber 公告，提醒客户注意该漏洞。 

2023 年 6 月，Fortinet 于 6 月 8 日再次悄悄修补了一个关键的 FortiGate SSL-VPN 远程代码执行漏洞，编号为 CVE-2023-27997。

四天后，即 6 月 11 日，该公司披露该漏洞已被用于零日攻击针对政府、制造业和关键基础设施的攻击。为此有很多人批评 Fortinet 缺乏透明度。

10月24日至26日，以“人工智能赋能产业发展”为主题的2024中国国际数字经济博览会在石家庄（正定）国际会展中心举行。国投智能全资子公司美亚柏科研发的美亚“天擎”公共安全大模型系列产品经过多轮严格审核，从400多项优秀案例中脱颖而出，在优秀创新成果发布会上斩获“优秀创新成果”奖。

作为国内电子数据取证行业龙头、公共安全大数据领先企业，美亚柏科持续深耕人工智能领域，提出“All in AI”战略，深化人工智能大模型技术在全行业、全产品线中的应用，构建新质生产力。

在行业基础大模型方面，美亚柏科发布国内首个公共安全行业大模型“天擎”，并升级发布TianQ4、TianQ4-Lite、TianQ-RAG、TianQ-Audio和TianQ-ML多模态等多个“天擎”大模型版本。

在大模型应用方面，以“天擎”为智能基座，赋能电子数据取证、公共安全大数据等业务，推出美亚取证智能助手、“小美”智能警务助手、“天擎”公共安全大模型一体机、“天擎”取证分析大模型一体机、大模型创新对话平台Qiko、大模型智能体构建平台 Qiko+、Qiko大模型智能本、星火”电子数据智能取证分析平台、MYReader等一系列产品，并已在广东、福建、四川、天津、重庆、深圳、厦门、福州等地落地试点。

针对利用人工智能技术犯罪的问题，布局人工智能取证、鉴定、溯源技术，自主研发深度伪造视频图像检测鉴定的核心引擎，推出AI-3300慧眼视频图像鉴真工作站、人工智能大模型内容检测平台等，全面支持人工智能生成视频图像、音频和文本等多媒体内容的检测，平均准确率超过90%。

此次获奖是对美亚柏科在人工智能领域创新成果的高度认可。未来，国投智能将带领各子公司继续深化技术研究，拓宽应用场景，推动人工智能与各行业领域的融合，促进产业的升级与创新发展，为推动数字中国建设贡献力量。

2024年10月22日至25日，由中国安全防范产品行业协会主办的第十七届（2024）中国国际社会公共安全产品博览会暨智能与安全产业发展大会（Security China 2024）在北京中国国际展览中心（顺义馆）盛大启幕。

此次博览会以“数智世界 全域安全”为主题，全面展示了近年来我国安防行业最新技术产品，吸引了近700家参展企业和约12万人次的专业观众。

作为此次博览会的重要参展商之一，国投智能携全资子公司美亚柏科、控股子公司美亚大千共同亮相E2馆H15展台。10月24日，公司首席科学家江汉祥在“中国社会公共安全AI防伪与反诈高峰论坛”作《人工智能应用安全与犯罪》主题演讲。

江汉祥分享了公司在人工智能应用安全方面的经验和见解，并探讨了人工智能技术在防范犯罪方面的应用前景。演讲现场气氛热烈，收获了与会嘉宾的一致好评。

国投智能展台特别设置“Qiko智启未来、智慧安防、视频智能分析、人工智能实验室、无人机管控”五大主题，充分展示了公司在安防领域的前沿技术和应用成果，吸引了众多专家领导及安防行业嘉宾的重点关注。

在智慧安防主题区，国投智能重点展示了最新的“慧视”安防大模型、“慧视”视频图像大数据平台、“慧聚”视图共享网关、智慧边缘小站等产品。“慧视”安防大模型是一款基于深度学习、自然语言处理、计算机视觉等先进技术，专为安防行业定制的多模态融合大模型，能够实现对安防场景的智能分析、理解推理，可识别可疑人员、异常行为等复杂场景，提升安防智能化水平和效率。

其中，“慧视”视频图像大数据平台获评2024安博会“优秀创新产品特等奖”，“AI赋能公共安全视图质量治理应用”获评《中国安防“人工智能+”行动暨2024AIIA“AI+安防”》标杆案例。

智慧安防事业部总经理黄仝宇博士代表领奖（左四）

此外，在安防之夜活动上，还举行了2024年全国行业职业技能竞赛——第三届全国数据安全职业技能竞赛暨第三届全国安防行业职业技能竞赛启动会。国投智能为该项赛事的承办单位之一，公司教育事业部总经理高滨与中安协副理事长刘晓京等嘉宾共同启动。

此次博览会，国投智能不仅展示了自身在安防领域的技术实力和应用成果，还与业界同仁进行了深入的交流和合作。展会期间，国投智能的展台吸引了众多专业观众和参展商的关注和咨询，现场互动热烈，观众纷纷表示对国投智能的技术和产品表示高度认可和赞赏。

未来，国投智能将继续秉承“数据更智能，网络更安全”的企业使命，坚持技术创新和产品研发，加强业界合作交流，共同推动安防行业的持续健康发展，为构建数智世界全域安全的宏伟目标贡献力量。

据了解，中国国际社会公共安全产品博览会（简称“安博会”, 英文“Security China”）创办于1994年，由中华人民共和国商务部批准，中国安全防范产品行业协会主办并承办。历经三十年的发展，安博会已成功举办了十六届，总参展商突破1万家，展出产品和解决方案超过20万种，专业观众超过100万人次，被誉为全国乃至国际安防行业发展的晴雨表和风向标。

往期回顾：

2024.10.14—2024.10.20安全动态周回顾

2024.10.7—2024.10.13安全动态周回顾

2024.9.23—2024.9.29安全动态周回顾

2024.9.16—2024.9.22安全动态周回顾

2024.9.9—2024.9.15安全动态周回顾

2024.9.2—2024.9.8安全动态周回顾

2024.8.26—2024.9.1安全动态周回顾

据了解，最新一代的 Intel 处理器（包括 Xeon 芯片）和 AMD 在 Linux 上的旧微架构很容易受到绕过现有“Spectre”缓解措施的新推测执行攻击。

这些漏洞影响英特尔第 12、第 13 和第 14 代芯片以及面向服务器的第 5 和第 6 代 Xeon 处理器，以及 AMD 的 Zen 1、Zen 1+ 和 Zen 2 处理器。

这些攻击破坏了 x86 处理器上的间接分支预测器屏障 (IBPB)，这是针对推测执行攻击的核心防御机制。

推测执行是现代 CPU 上的一项性能优化功能，它在知道未来任务是否需要指令之前执行指令，从而在预测正确时加快进程。

基于错误预测执行的指令称为瞬态指令并被压缩。这种机制一直是侧通道风险（例如 Spectre）的来源，因为推测过程调用可以从 CPU 缓存检索的敏感数据。

新的类似幽灵的攻击

安全研究人员表示，尽管为遏制类似 Spectre 的攻击进行了多年的缓解努力，但仍有许多变体绕过了现有的防御措施。

他们的贡献是跨进程攻击（针对 Intel）和 PB-inception 攻击（针对 AMD），即使在应用 IBPB 后也允许劫持投机返回目标，从而绕过当前的保护并泄露敏感信息。

在第一种情况下，攻击利用了英特尔微代码中的一个漏洞，即 IBPB 不会在上下文切换后完全使返回预测无效。攻击者操纵返回指令的推测执行，允许过时的预测从 suid 进程中泄漏敏感信息，例如 root 密码的哈希值。

在 AMD 处理器上，Linux 内核中的 IBPB-on-entry 应用不当，导致返回预测器即使在 IBPB 之后仍保留过时的预测。攻击者在 IBPB 触发之前错误训练返回预测器，劫持它以在屏障之后泄漏特权内核内存。

IBPB 后英特尔和 AMD 仍然脆弱的回报预测

应对措施和缓解措施

研究人员于 2024 年 6 月向英特尔和 AMD 通报了这些问题。英特尔回应称，他们已经在内部发现了该问题，并为其分配了 CVE-2023-38575 标识符。

该公司于 3 月份发布了可通过固件更新进行的微代码修复，但研究人员指出，该代码尚未到达所有操作系统，Ubuntu 就是其中之一。

AMD 也确认了该漏洞，并表示该漏洞已被记录并追踪为 CVE-2022-23824。值得注意的是，AMD 的公告将 Zen 3 产品列为受影响的产品。但是，AMD 将该问题归类为软件错误，而不是硬件缺陷。

受影响的旧架构以及 AMD 很久以前就了解了该错误的事实可能解释了该公司决定不发布纠正微代码的原因。尽管这两家 CPU 供应商知道 Spectre 绕过，但这些公司在公告中将其标记为具有潜在影响。

通过他们的工作，安全研究人员能够证明这种攻击甚至在 Linux 6.5 上也能发挥作用，Linux 6.5 附带了 IBPB-on-entry 防御，被认为是针对 Spctre 利用的最强防御。目前，有关高校正在与 Linux 内核维护人员合作开发适用于 AMD 处理器的补丁。

2024年10月22日，国投智能与南京金鼎嘉崎信息科技有限公司（以下简称“南京金鼎科技”）投资并购签约仪式在厦门举行。此次并购是国投智能由国投集团直接管理后的第一个并购项目。国投智能董事长滕达、副总经理涂峥和南京金鼎科技董事长武春庆等公司管理层及各方相关人员参加会议。

投资并购南京金鼎科技，符合国投智能战略定位，能够与国投智能电子数据取证业务有效协同并开拓新行业市场，进一步提升服务政府和企业数字化转型的数字化、智能化服务能力。

下一步，国投智能将践行国有资本投资公司的目标和使命，赋能并增强南京金鼎科技的产业竞争力，实现其与国投智能的紧密融合，达到“1+1>2”的协同效应。同时，公司将着力提高南京金鼎科技在支持政府数字化转型方面的能力，以期在更广泛的领域提供更加高效、专业的服务。