嘶吼

自2022年底ChatGPT上线迄今不过两年，从日常工作到多媒体内容输出，各类人工智能（AI）应用已经成为很多行业不可或缺的工作“助手”。正当人们对身边的智能助手感到习以为常时，AI却以更加震撼的方式刷新人类对它的认知。在刚刚过去的10月8日与10月9日，2024诺贝尔奖物理学与化学两个重要奖项都被人工智能（AI）的相关成果及科学家取得。与此同时，特斯拉发布的Robotaxi 以及机器人Optimus都让人们对未来AI的应用场景充满期待。

或许，未来AI能否在诺贝尔其他奖项继续大放异彩我们不得而知，但AI已经渗透到人们生活的各个方面已是不争的事实。因此，随着数字威胁日趋严峻，在AI的主场—IT领域对人工智能技术在全行业、尤其是安全方面的应用需求变得十分迫切。根据 Check Point Research 的报告，在 2024 年 1 月至 8 月期间，全球公用事业部门（包括关键基础设施）每机构平均每周遭受的网络攻击次数高达 1514 次——与去年相比增加 37%，在所有行业中排名第五，进一步凸显了采取 AI 安全防护的必要性。这项先进技术正在革新关键基础设施的网络安全防护实践，为应对日益复杂的攻击提供了前所未有的防御能力。借助 AI 实时处理大量数据流的能力，企业现在能够极其快速、准确地检测异常情况和潜在威胁。

在机器学习算法的加持下，这些系统不断发展，可以始终领先网络犯罪分子一步。对于电网、供水系统和交通网络运营商来说，基于 AI 的解决方案可提供强大的保护，防止可能会造成破坏性影响的中断事件。通过自动执行日常安全任务，AI 能够让人类专家专注于应对复杂的挑战，从而提高整体威胁响应能力。虽然 AI 可能被用于发起攻击，而且需要持续的系统更新，但是将 AI 融入关键基础设施防护的优势远远超过了这些潜在弊端。随着世界变得日益互联，AI 将在保护我们社会的数字骨干网方面发挥关键作用。

关键基础设施领域基于 AI 的威胁检测

AI 正在重塑关键基础设施领域的威胁检测，例如化学、关键制造、能源、交通、医疗保健、供水和污水处理系统。机器学习算法能够处理来自复杂网络的海量数据，以识别异常模式和潜在的安全漏洞。AI 系统能够检测到传统方法不易察觉到的入侵指标，支持快速做出响应，从而防止威胁破坏基本服务或泄露敏感数据。

加强安全防护自动化和编排

在关键基础设施中，集成式 AI 可增强安全防护自动化和编排，从而简化对网络威胁的响应。智能系统能够自主调查警报、关联不同来源的数据并触发响应措施。得益于这一自动化，人工安全防护团队可将更多精力用于战略规划和复杂的威胁分析，从而确保关键基础设施灵活抵御网络攻击。

生成式 AI：网络安全防护的双刃剑

对于生成式 AI 在关键基础设施防护中的应用，机遇和挑战并存。就防御而言，它有助于代码分析、漏洞发现和威胁情报整合。然而，攻击者也可以利用生成式 AI 发起复杂的网络钓鱼攻击、开发新的恶意软件变体或发现新的攻击向量。鉴于这一双重性质，关键部门必须采取积极主动的网络安全防护方法。

融合式网络 AI：整体防御策略

为了有效应对 AI 威胁，关键基础设施组织正在采用一种“融合式网络 AI”方法。该策略需要将 AI 功能集成到整个安全堆栈中，从而提高预测和缓解威胁的能力。借助 AI 原生架构，组织可构建强大的防御系统，保护重要系统和数据免受日益复杂的网络攻击。

通过提高效率、可靠性和可持续发展能力，AI 正在重塑关键基础设施，能源行业便是其中的典型。在智能电网中，AI 通过预测能源需求模式、优化能源分配和集成可再生能源发挥着至关重要的作用。这些功能有助于实现高效的能源分配，减少浪费，并确保稳定可靠的电力供应，即便是在太阳能和风能等间歇性能源的管理中也是如此。

AI 在预测性维护方面也起着关键作用，能够利用算法来预测潜在设备故障。这种积极主动的方法可通过延长关键基础设施组件的使用寿命，最大限度地减少停机时间并降低维护成本。此外，AI 还可通过实时监控和分析能耗，提高建筑物和工业流程的能效。AI 系统可根据使用模式实时调整供暖、制冷和照明，从而优化能源使用、降低成本并减少碳排放。

AI 正在交通运输行业掀起一场效率、安全和可持续发展的技术革命。

· 自动驾驶汽车：作为自动驾驶汽车的核心，AI 可帮助车辆导航、解读传感器数据并做出实时决策。机器学习算法可处理来自摄像头、激光雷达和雷达的输入数据，以检测障碍物、识别交通信号并预测行人和其他车辆的活动。

· 交通管理：AI 系统通过分析来自摄像头、传感器和 GPS 设备的数据，优化市区的交通流量。这些系统能够预测交通拥堵情况，调整交通信号灯的变换时间，并推荐替代路线，以减少路程时间和排放。目前有几个正在开发中的项目将应急车辆与信号系统相结合，以确保应急车辆畅通无阻。

· 预测性维护：在铁路和公路等交通基础设施中，基于 AI 的预测性维护利用来自物联网传感器的数据预测设备故障，防患于未然。这既能减少停机时间和维护成本，又能提高安全性。

· 公共交通优化：AI 可根据实时数据优化路线和时间表，从而改善公共交通。它有助于管理车队营运、预测乘客需求和提高整体服务效率。

· 安全监控：基于 AI 的监控系统可监控机场和火车站等交通枢纽的安全威胁，利用面部识别和行为分析来识别可疑活动，保障乘客安全。

· 供应链与物流：在物流业，AI 通过预测需求、管理库存和规划高效的配送路线来优化供应链运营，从而节省成本并提高服务水平。

· 智能基础设施：AI 还推动了智能基础设施的发展，例如智能交通系统和智能电网，通过与交通网络相结合，提高了连通性和效率。

AI 在医疗保健基础设施中的应用现状：聚焦网络安全防护

由于患者数据的敏感性，医疗保健行业日益成为网络威胁的目标。AI 可增强该行业的网络安全防护。

· 威胁检测和预防：AI 系统分析网络流量和用户行为，以实时识别异常情况并拦截恶意软件、勒索软件和网络钓鱼攻击等威胁。

· 数据保护：AI 可加强数据加密和访问控制，识别未经授权的访问并执行安全协议来保护患者数据。

事件响应：AI 可自动执行事件响应流程，快速识别和处理安全漏洞，并根据严重程度划分威胁的优先级。

· 漏洞管理：AI 可识别和修补医疗保健系统中的漏洞，预测易受攻击之处并推荐更新。

· 欺诈检测：AI 通过识别异常模式和差异来检测欺诈活动。

通过增强学习体验、优化管理流程和提供个性化教育，AI 正在重塑教育行业。

· 个性化学习：AI 通过分析学生的学习模式、调整难度和提供实时反馈，根据学生的个人需求量身定制教育内容，例如 Coursera 和可汗学院等平台。

· 智能辅导系统：AI 助教提供个性化课外辅导，为学生解疑答惑和提供指导，例如 MATHia 和 IBM 的 Watson Tutor 等工具。

· 自动评分：基于 Gradescope 等系统提供的详细反馈，AI 可自动为测试和论文评分，这能够帮助教育工作者节省时间，并确保评估的一致性。

· 预测性分析：AI 可预测学生的表现并识别遇到困难的学生，从而及时进行干预和提供支持，并预测注册趋势和资源需求。

· 提升无障碍服务能力：AI 通过语音识别和文本转语音等工具提高了无障碍服务能力，增强了教学场景对残障学生的包容性。

· 虚拟现实和增强现实：基于 AI 的虚拟现实和增强现实技术可打造沉浸式互动学习体验，助力学生探索医学和工程学等领域的复杂课题。

· 研究与数据分析：AI 可分析大型数据集，提供教学方法和学习成果方面的有益洞察，从而帮助制定教育策略和政策。

综上所述，在关键基础设施中采用 AI 技术的重要性与日剧增。Check Point建议企业用户可通过集成 AI 增强安全措施，提高运营韧性。AI 系统不仅能快速识别和响应威胁，降低中断风险，而且还能优化资源管理，预测维护需求，从而提高运营效率。要想在日新月异的技术环境中保持领先地位，关键基础设施部门应重视 AI 技术的采用。这不仅有助于提升关键资产的安全保护，又能确保长期可持续发展能力和可靠性。

往期回顾：

2024.9.23—2024.9.29安全动态周回顾

2024.9.16—2024.9.22安全动态周回顾

2024.9.9—2024.9.15安全动态周回顾

2024.9.2—2024.9.8安全动态周回顾

2024.8.26—2024.9.1安全动态周回顾

2024.8.19—2024.8.25安全动态周回顾

2024.8.12—2024.8.18安全动态周回顾

在当今快节奏的商业环境中，员工越来越多地求助于未经授权的 IT 解决方案来简化工作并提高生产力。这些系统、设备、软件和服务被称为“影子 IT”，它们通常在企业 IT 部门的管辖范围之外运行。

尽管影子 IT 通常是出于提高办公效率而采用的，但它可能会带来重大的安全风险、合规性问题和隐性成本。本文探讨了影子 IT 的普遍性、它带来的风险，并讨论了管理影子 IT 的策略，包括能够持续发现未知 IT 资产的解决方案。

影子 IT 示例和成本

影子 IT 的兴起可以归因于多种因素，其驱动因素包括对效率的需求以及对僵化的 IT 流程的不满。员工经常求助于未经授权的解决方案，例如未经批准的协作工具等来克服这些障碍。这种趋势在远程团队中尤为普遍，因为有效的沟通对于远程团队至关重要。

另一个因素是云服务的广泛普及。有了易于使用的应用程序，员工无需通过官方 IT 渠道即可轻松实施工具。

影子 IT 有多种形式，包括使用个人设备工作、采用未经授权的云服务进行文件共享和协作、使用未经批准的生产力应用程序和通信工具、以及在 IT 部门不知情的情况下部署软件。

然而，影子 IT 的盛行给企业带来了巨大的安全和财务风险。研究结果凸显了问题的严重性：

·卡巴斯基发现，85% 的企业面临网络事件，其中 11% 直接与影子 IT 有关。

·CIO Insight 发现，81% 的业务线员工和 83% 的 IT 员工使用未经批准的 SaaS 应用程序。

·Mobile Mentor 透露，三分之一的员工绕过公司安全政策来完成他们的任务。

·Gartner 估计，大型企业的影子 IT 支出占预算的 30-40%。

减轻影子 IT 风险

为了有效减轻与影子 IT 相关的风险，企业应该采用包含以下策略的综合方法：

·了解根本原因：与不同的业务部门合作，找出导致员工寻求未经授权的解决方案的痛点。简化 IT 流程以减少摩擦，让员工更容易在批准的渠道内完成任务，最大限度地减少绕过安全措施的诱惑。

·开展员工教育：提高整个团队对影子 IT 相关风险的认识，并提供经批准的替代方案。培养 IT 和业务团队之间的协作和开放沟通文化，鼓励员工在选择技术解决方案时寻求指导和支持。

·制定明确的政策：定义并传达有关个人设备、软件和服务的适当使用的准则。对违反政策的行为施加惩罚，以确保合规性和责任感。

·利用技术方案：实施工具，使 IT 团队能够持续发现和监控所有未知和未管理的 IT 资产。通过集中查看团队的在线风险，可以有效地规划补救措施，以弥补安全漏洞并最大限度地减少影子 IT 的影响。

在当今快节奏的工作环境中，员工经常诉诸未经授权的影子 IT 解决方案来提高生产力。然而，对于企业来说，识别和解决与此类做法相关的固有安全性、合规性和生产力风险至关重要。企业也可以采用有效管理影子 IT 和控制企业攻击面的解决方案，利用相关工具有助于持续发现、分析和监控与公司的在线风险相关的所有实体，使企业重新控制其攻击面并最终减轻与影子 IT 相关的实际风险。

近年来，数据泄露事件频发，尤其是通过邮件系统这一关键渠道，给企业和个人敲响了警钟。邮件作为日常工作中最常用的通信方式之一，其安全性尤为关键。然而，邮件系统也面临着垃圾邮件、钓鱼邮件攻击、携带勒索病毒附件的邮件攻击、伪造发件人身份和邮件服务器安全漏洞等多种威胁。这些风险可能导致敏感数据的泄露，甚至可能破坏企业的日常运营，对国家安全造成影响。

为了应对这些挑战，CACTER将于10月16日（周三）举办一场主题为“邮件安全新视界：隐私保护与用户安全画像的实战应用”的直播活动。在这次直播中，CACTER邮件安全团队将探讨企业在邮件数据保护方面的挑战与对策，并分享实用的隐私保护策略和用户安全画像构建方法。

10月16日（周三）15：00-16：00

邮件安全新视界：隐私保护与用户画像的实战应用

在这里您可以看到：

·“企业合规隐私保护策略——邮件全面拆解检测

·“构建精准的用户安全画像——用户威胁行为分析

本次直播不仅提供了实战应用分享，还准备了丰厚的奖品。参与直播将有机会赢取六福珠宝金元宝、华为手环NFC版、天猫精灵IN糖6蓝牙音箱、美的养生壶等精美礼品。

扫码即刻预约，精彩不容错过：

近日，全球领先的IT研究与咨询公司IDC发布报告《IDC TechScape：中国网络安全软件技术发展路线图，2024》。赛宁网安凭借卓越的技术实力和深厚的行业积淀，被IDC评选为网络安全实训演练测试平台（靶场）的推荐厂商，居首位，持续彰显靶场领域的领先优势。

本次IDC TechScape研究根据不同网络安全软件技术的市场影响及发展阶段，对包括网络安全实训演练测试平台（靶场）在内的26个新兴及重要的网络安全软件技术进行分析，分为变革型技术、增量型技术以及机会型技术三大类别，详细阐述每个单项技术的发展程度、技术优劣势，并给出IDC在不同技术领域下的产品推荐厂商名录。

权威认可靶场领军地位

作为国内数字安全和数字孪生靶场领域领军者，赛宁网安实力居于网络安全实训演练测试平台（靶场）推荐厂商首位。赛宁网安数字孪生靶场作为网络安全体系化建设的关键基础设施，全面融合孪生仿真和AI技术，在超逼真的网络环境中，通过体系化教学培训、多模式比武竞赛、情景式防护训练、高烈度红蓝对抗、全方位测试评估、多维度漏洞验证等多种典型业务应用，迅速强化个人能力水平、大幅提升团队整体能力、锤炼锻造实战策略运用、深入挖掘系统潜在风险、全面评估安全防护措施，打造网络空间必不可少的“朱日和基地”。

持续引领靶场创新升级

随着云计算、5G、物联网、工业互联网等新技术的快速演变，赛宁网安持续加强技术革新和业务深入理解能力，依托多年行业积淀和AI核心能力赋能靶场主赛道，首创原生大模型数字靶场，搭载AI智能体，定向提供最专业的辅助“大脑”，为实训和竞赛业务领域注入全新动力，全面推动业务模式的智能化转型与升级；并基于对工业、电力、通信、车联网等行业业务及应用场景的深入钻研，推出工业靶场、电力靶场、通信靶场、车联网靶场等垂直行业靶场解决方案，并取得广泛的应用和认可。

IDC在报告中指出，全球网络威胁形势愈发严峻，网络安全人才缺口不断扩大已经成为全球网络安全产业持续良好发展的主要阻力。

近几年，国家众多政策法规标准强调了人才培养对于未来网络安全产业发展的重要性，网络安全实训演练测试平台（靶场）作为重要的人才培养基础设施将迎来更多的发展机会。

目前，除教育行业的一些培训、竞赛需求外，政府、金融、运营商、工业、制造业等关键信息基础设施相关行业对于攻防演练、实战对抗的需求也在政策和业务需求的共同驱动下快速增加，场景落地进一步加快。网络安全实训演练测试平台（靶场）可以切实解决用户人才培养难、实战能力低、产品验证、测试等方面的问题。

未来，赛宁网安将立足基于实战对抗和AI技术的新质数字安全公司本位，继续深耕数字安全及数字孪生靶场领域，不断推进技术创新、模式创新、产品创新，通过持续的产品服务体系升级，全面深化安全赋能，共同推进网络安全建设和发展，助力打造未来世界新蓝图，协同构建一个更加安全、稳定、可靠的网络世界。

以“合规赋能 数智未来”为主题的2024第三届SCIC 网络安全合规创新大会将于2024年10月18日在北京召开。大会邀请政府部门、科研机构和行业领军企业的领导与专家，共话安全合规创新，赋能数智未来！诚邀莅临！

01会议背景

安全合规是国家网络安全建设的基础，亦是各行业落实网络安全工作的基本要求。随着国家层面安全保障和监管体系的不断升级，安全合规要求每年都在从不同角度研究制订更新和完善。

SCIC网络安全合规创新大会，旨在支持建立一个开放性、发展性、前瞻性的安全合规创新交流平台，持续跟进网络安全最新法律法规、标准要求，新趋势、新技术、新场景对网络安全合规工作的新要求、新演进；分享网络安全合规体系建设经验等，为各行各业在网络安全合规建设方面持续提供支持，助力新时代国家网络安全建设。

02主办单位

主办单位：中国信息协会信息安全专业委员会

承办单位：长春嘉诚信息技术股份有限公司

支持单位：华易数安科技（吉林省）有限公司、北京赛博英杰科技有限公司、北京数字世界咨询有限公司

03时间地点

时间：2024年10月18日

地点：北京

04会议主题

2024第三届SCIC网络安全合规创新大会以“合规赋能 数智未来”为主题，邀请来自政府部门、科研机构和行业领军企业的领导与专家，解读 2024 年网络安全领域重大政策法规；围绕数据合规数据赋能、供应链安全、商用密码应用安全、大模型网络安全等领域的最新合规要求，结合数字经济和人工智能的发展趋势，从政策法规、标准技术、应用方案等多方面展开深度交流与探讨。

Underground 勒索软件团伙声称对上周针对日本科技巨头卡西欧的攻击负责，此次攻击导致系统中断并影响了该公司的部分服务。近日，卡西欧在其网站上披露了此次攻击，但未透露有关该事件的详细信息，称已聘请外部 IT 专家来调查个人数据或其他机密信息是否在攻击中被盗。

目前，Underground 勒索软件组织已将卡西欧添加到其暗网勒索门户网站上，泄露了据称从这家日本公司窃取的大量数据。

泄露的数据包括： 社外秘、法律文件、员工个人资料、保密保密协议、员工工资信息、专利信息 公司财务文件、项目信息、事件报告。

如果上述情况属实，则此次攻击已经损害了卡西欧的员工和知识产权，这可能对其业务产生负面影响。

卡西欧数据在 Underground 勒索软件门户网站上泄露

有媒体再次联系卡西欧，询问对威胁者的说法和数据泄露发表评论，但尚未收到任何回应。

Underground 勒索软件概述

根据 Fortinet 2024 年 8 月下旬的报告，Underground 是自 2023 年 7 月以来针对 Windows 系统的规模相对较小的勒索软件操作。

该病毒与俄罗斯网络犯罪组织“RomCom”(Storm-0978) 有关，该组织此前曾在被破坏的系统上向古巴传播勒索软件。 

Fortinet 报告称，今年夏天，Underground 勒索软件运营商开始利用 CVE-2023-36884，这是 Microsoft Office 中的一个远程代码执行缺陷，很可能被用作感染媒介。一旦系统遭到破坏，攻击者就会修改注册表，以在用户断开连接后使远程桌面会话保持活动状态 14 天，从而为他们提供一个舒适的窗口来保持对系统的访问。

Underground 不会向加密文件附加任何文件扩展名，并且它被配置为跳过 Windows 操作必需的文件类型，以避免导致系统无法使用。此外，它还会停止 MS SQL Server 服务，以释放数据以供盗窃和加密，从而最大限度地扩大攻击的影响。

与大多数 Windows 勒索软件的情况一样，Underground 会删除卷影副本，从而使数据无法轻松恢复。

Underground 的勒索信

Underground 勒索策略的一个独特特征是，它还会泄露 Mega 上被盗的数据，通过其 Telegram 频道推广指向那里托管的档案的链接，从而最大限度地提高数据的曝光度和可用性。

Underground 勒索软件的勒索门户目前列出了 17 名受害者，其中大多数位于美国。

卡西欧的攻击是否会成为威胁组织进入主流的突破口，进而带来更高的攻击量节奏，还有待观察。

鸿蒙系统打破了移动操作系统两极格局，实现操作系统核心技术的自主可控、安全可靠，在神州大地上掀起一波科技革新的浪潮，HarmonyOS NEXT成为大型企业必须要布局的应用系统之一。

HarmonyOS NEXT于10月8日正式开启公测，距离面向全体消费者开放已近在咫尺。部分企业已开发完毕纯血鸿蒙应用，如何确保纯血鸿蒙应用的安全性是企业内部的核心焦点，下面的对话或将在多家企业中重演。

纯血鸿蒙与Android及iOS加固拥有一定差异，无法直接采用Android及iOS加固策略。

1、Android加固：Android应用加固通过VMP(虚拟机指令加密技术)、DEX文件加壳、DEX文件内函数抽取加密及动态还原、SO文件保护、完整性保护、防调试注入等技术，将针对Android应用安全缺陷的保护技术集成到客户端内，从根本上解决Android应用的安全缺陷和风险，使加固后的APP具备防逆向分析、防二次打包、防动态调试、防进程注入、防数据篡改等安全保护能力。

2、iOS加固：iOS应用无法通过加壳等常规的加固方案保护应用不被反编译和篡改。iOS应用加固主要通过源代码混淆技术，通过将C、C++、Object-c 、及Swift代码中的字符串、函数名、类名进行混淆，对控制流进行混淆，隐藏关键逻辑，提高黑客破解难度，增加破解时间成本；通过反调试技术，防止攻击者通过调试工具来分析应用的运行逻辑；通过完整性校验技术，对关键文件和代码的完整性进行校验，防止被篡改。

3、HarmonyOS NEXT应用加固：因华为应用市场的限制，无法通过加壳等常规的加固方案保护应用不被反编译和篡改。HarmonyOS NEXT应用加固主要通过源代码混淆技术，通过将ArkTS、TS、C、C++代码中的字符串、函数名、类名进行混淆，对控制流进行混淆，隐藏关键逻辑，提高黑客破解难度，增加破解时间成本。

爱加密基于多年技术积累推出了鸿蒙应用安全加固平台，可协助企业基于HarmonyOS NEXT特性，全面加固应用，产品拥有5大亮点！

支持多种HarmonyOS NEXT混淆语言

ArkTS：对ArkTS代码进行加固。

TS：对TS代码进行加固。

C/C++：支持对C/C++代码进行加固。

支持多种混淆对象

ets文件：对.ets文件内的ArkTS代码进行加固。

ts文件：对.ts文件内的TS代码进行加固。

so动态库：对so文件的C/C++代码进行混淆。

HSP动态库SDK：对动态库SDK的代码进行混淆。

高兼容性加固服务

兼容API9、API10、API11、API12。

兼容最新的HarmonyOS NEXT系统版本。

兼容最新版本的华为鸿蒙应用开发套件DevEcoStudio。

混淆插件支持Windows、macOS ARM、macOS X86版本的系统。

一键式加固服务

基于华为鸿蒙应用开发套件DevEcoStudio插件进行自动化加固。

一键式加固，在应用编译过程中自动进行加固。

支持通过编译命令进行加固。 

满足华为应用市场上架审核要求

应用市场不允许加固的内容不进行加固处理。

不使用应用市场禁止使用的加固技术。

爱加密鸿蒙应用安全加固平台为鸿蒙NEXT应用全生命周期安全架构中的重要一环，爱加密将逐一解读其余产品特点！

欢迎开发者与我们携手基于Harmony OS关键开发特性，实现全生命周期安全管理，打造安全可靠的生态体系，应对万物互联时代应用开发的新机遇、新挑战、新趋势，从应用、数据、服务等层面合理利用鸿蒙生态应用核心技术理念。

一、背景

无论是大型的攻防演练还是频发的安全事件，钓鱼邮件已经成为红队和黑客团伙最常用的攻击手段。据统计，约92%的数据泄露事件与鱼叉式网络钓鱼邮件攻击有关。攻击者通过伪造电子邮件钓鱼，诱导受害者点击恶意链接或者执行恶意程序，以进一步获取目标受害者的信息并加以利用，最终导致账号信息被盗、个人终端被控以及整个内网沦陷、业务数据和敏感信息陷入巨大风险之中。

为了不断提升高校新生的网络安全意识，除了常规的安全意识培训、文字/视频宣传等方式进行宣导和教育外，通过组织钓鱼演练以实战化方式进行安全意识培养，已逐渐成为高校安全建设中不可或缺的重要一环。

二、综述

在教育部牵头通知要求各高校开展钓鱼演练活动的背景下，清华大学为提高新生防范钓鱼邮件的安全意识、降低安全风险，通过钓鱼平台模拟真实攻击者手法开展钓鱼演练。

本次钓鱼演练目标为清华大学全体新生。钓鱼演练实施前对新生办公/生活规律进行了充分的调研，在不影响任何线上生产系统安全性、不影响正常生产秩序、不影响新生正常工作、不引发负面舆情的前提下，根据新生特点定制具有高欺骗性、诱惑性的钓鱼模板，模拟真实APT攻击思路，开展钓鱼演练。钓鱼演练结束后，从邮件发送时间、命中率、行为统计等多个维度分析新生演练结果，使新生行为趋势一目了然。并针对演练结果给出提升建议，以及邮件安全现状提出邮件系统安全建议。

图：钓鱼邮件演练样本

三、演练成果分析

1、总体分析：本次钓鱼演练演习目标选取清华大学新生共计1.3万，自9月10日22时开始发送钓鱼演练邮件，历时10分钟完成邮件发送。截至9月13日23时，共有超过3200名新生查看了邮件，占比约24%，超过2500名新生点击了邮件中链接，占比约19%，约1400名新生输入了用户凭据，占比约10%。

本科新生共3700+人，查看邮件占比27%，其中点击钓鱼链接的用户占比26%；输入密码的用户占比超过15%。

研究生新生共9000+人，查看邮件占比23%，点击了钓鱼链接用户占比16%；输入密码的用户占比8%。

通过以上对比可见，对于该钓鱼邮件，未点击查看的用户占比超过70%，表现出整体新生用户信息化素养和网络安全风险意识较高，其中，研究生信息化素养明显高于本科新生。演练过程中，还有很多用户及时通过电话和邮件方式联系信息化技术中心，咨询和了解相关情况，也有新生用户通过朋友圈等及时发布预警通知，提醒同学不要误点。

2、时间分析：根据追踪数据显示，用户在7:00-9:00最为活跃，详细数据见下图:

如上所示，邮件作为工作和学习的辅助沟通手段，通常用户会在工作时间进行查看和处理，尤其在早上的时段，较为明显。

3、行为分析：根据演练数据，详细分析见下图:

如上，通常查看并迅速点击钓鱼链接并输入密码的用户具有较强的相关性，这部分用户的安全风险意识不高，应重点关注。

4、 终端分析：详情分析见下图:

如上，办公电脑仍是用户阅读并处理邮件的主要工具，其中windows+mac电脑达到72%。

四、总结

安全风险总结：从统计数据得出，部分新生安全防范意识比较薄弱。但经过持续有计划的模拟钓鱼邮件演练和安全意识培训应可以使这部分人员安全意识显著提升，信息泄露风险大幅降低。

更一步可以看出，研究生群体整体安全风险意识较高，明显高于本科新生，说明通过之前2年的几轮钓鱼邮件演练以及日常的信息安全宣讲等培训工作，使得这部分人员的安全素养明显提高，也说明网络安全工作还需要持续不断努力。

近日，全球领先的IT市场研究和咨询公司IDC发布《IDC TechScape：中国网络安全软件技术发展路线图，2024》报告（Doc#CHC52608824，2024年10月），选取新兴及重要网络安全软件技术进行分析，以期为最终用户的网络安全体系建设提供产品技术指导。

本次报告中，IDC根据技术的市场影响以及发展阶段，将技术分为变革型技术、主导型技术以及机会型技术三大类别，360数字安全集团入选XDR、企业浏览器、入侵与攻击模拟、态势感知、终端安全、威胁情报六大技术领域推荐厂商，凭借多个“首创”优势，领跑各个技术类别市场。

变革型技术：XDR变革“DR”系统

IDC认为，XDR不应该仅仅是各类遥测数据的汇聚和展示平台，而是应该充分发挥多源数据优势，利用大数据分析、人工智能等先进技术全面提升对恶意威胁，特别是零日漏洞及高级持续性威胁（APT）的检测能力，并通过自动化/半自动化工具提升响应处置效率。

360作为最早开始探索XDR技术的厂商之一，依托近20年一线实战经验，推出360 XDR产品，针对不同体量客户提供一站式开箱即用解决方案，全面提升安全运营效率。此外，360 XDR率先实现与SaaS化安全大模型深度融合，使得在处理2-10G流量规模的场景中，中小型客户也能轻松获得安全大模型带来的强大防护能力。

增量型技术：持续迭代更新

IDC认为，增量型技术在现有技术的基础上进行了可衡量的迭代更新，以提供更好的业务成果。这一类别主要包含企业浏览器、入侵与攻击模拟、态势感知、终端安全等技术。

随着企业对用户、设备和数据安全的关注迅速提升，安全的企业浏览器成为很多企业的首选。IDC认为，企业浏览器的根本优势在于提升和统一了对各种以前未受管控或监管不足的浏览器使用场景的可见性和控制。 

作为国内市场占有率第一的企业级浏览器，360企业安全浏览器在360安全和AI能力双重赋能下，为企业提供平台化、智能化、更安全的新质生产力工具，助力企业提高桌面工作效率、降低工作协作成本、保护企业数据安全，实现全平台统一化场景化管控，助力企业智能化转型。

在安全评估和测试领域，IDC认为入侵与攻击模拟（BAS）通过不断对企业网络进行模拟攻击，可以帮助企业了解其风险态势，从而了解在哪些方面可以改进安全工具和应对措施。

360在国内首创BAS类产品。360 BAS基于攻击者视角，以实战化、自动化、常态化的自评估机制，为企业机构提供持续性的防御态势评估，度量整体防御效能和差距，同时提供针对性的改进建议，帮助客户实现安全防御能力的持续提升与闭环。

360在国内首创BAS类产品。360 BAS基于攻击者视角，以实战化、自动化、常态化的自评估机制，为企业机构提供持续性的防御态势评估，度量整体防御效能和差距，同时提供针对性的改进建议，帮助客户实现安全防御能力的持续提升与闭环。此外，为快速开展“两高一弱”防御能力自检自查，360 BAS在本地化部署外，支持SaaS化的评估服务，客户只需要在本地部署1~2台Agent，无需再协调设备部署资源即可进行自检自查。

经过多年的发展，态势感知平台在企业级市场已经受到高度关注。在IDC看来，安全能力的原子化与平台化成为网络安全建设未来发展的趋势之一。国内主流态势感知平台也逐渐趋向于实用化和实战化，有效地帮助客户应对网络攻击，平台的综合能力日趋成熟。

360本地安全大脑是360打造的安全运营平台级产品，整合安全原子能力，体系化提升客户的全局态势感知和主动防御能力。在安全大模型加持下，在企业资产盘点、攻击意图理解、溯源分析举证、自动响应处置和指标总结报告等方面的运营工作显著提质增效，助推安全运营从手动操作到“自动驾驶”，达到智能化运营。

终端安全软件长期以来一直都是企业构建网络安全防护体系中必不可少的关键组成部分。IDC认为，终端安全防护呈现显著的平台化趋势……安全团队可以通过单一控制台实现跨平台的终端安全综合防护。

360终端安全管理系统以云计算、大数据、人工智能等新技术为支撑，以可靠服务为保障，集防病毒与资产管理、风险管理、终端审计、数据防泄漏、入侵检测与防御于一体，在安全大模型极致赋能下，全方位护航政企用户终端安全。

机会型技术：基于落地场景而发展

IDC认为，机会型技术将基于具体的落地场景来发展。近年来，“威胁情报”被越来越频繁地提及，并在企业打造主动安全防护体系、对恶意威胁追踪溯源、了解安全发展态势等过程中发挥越来越大的作用和价值。

基于近20年实战攻防经验，360以领先的威胁情报为基础打造360威胁情报平台。为广大客户提供全方位的情报管理、使用、运营的能力，实现威胁检测更及时、安全运营更高效、管理决策更智慧。

IDC在报告中提到，“网络安全在国家和企业发展过程中的重要性毋庸置疑，特别是随着中国企业级用户对于软件形态安全产品的认可度逐步提升，中国网络安全软件市场将呈现更高的增长。”360数字安全集团将持续发挥技术优势，为数字中国建设保驾护航。

macOS 15“Sequoia”的用户在使用某些端点检测和响应 (EDR) 或虚拟专用网络 (VPN) 解决方案以及 Web 浏览器时报告网络连接错误。在停用这些工具后问题得到解决，这表明网络堆栈存在不兼容问题。

受影响的用户描述了 CrowdStrike Falcon 和 ESET Endpoint Security 的问题，以及防火墙引起的数据包损坏，从而导致 Web 浏览器 SSL 失败或无法使用“wget”和“curl”。

9 月，苹果发布了 Sequoia，称其为“全球最先进的桌面操作系统的最新版本”。在一份非公开公告中，CrowdStrike 表示由于 macOS 15 Sequoia 的内部网络结构发生变化，建议客户不应升级，直到发布完全支持 macOS 15 Sequoia 的 Mac 传感器为止。

据报道，SentinelOne 支持还警告用户不要立即升级到 macOS Sequoia，因为最近发现了可用性问题。

人们还报告了 Mullvad VPN 以及他们用于远程工作的企业 VPN 产品存在间歇性连接问题，但据了解 ProtonVPN 在最新的 macOS 版本上运行良好。

虽然苹果公司尚未回应有关这些问题的新闻请求，但 据 macOS 15 发行说明显示，该操作系统防火墙中的一项功能已被弃用，这可能是导致这些问题的原因。

谷歌还在最近的 Chromium 错误报告中指出这一变化导致了问题，他们表示需要改变谷歌 Chrome 检测 Mac 防火墙设置的方式，改用“socketfilterfw”。

可能的解决方案

ESET 已针对升级到 macOS Sequoia 后遇到连接丢失问题的用户发布了一份咨询报告，建议用户导航至系统设置 > 网络 > 过滤器 > 并从列表中删除 ESET 网络。重新启动系统后，网络连接应可正常运行，ESET 产品应可正常运行。

从 macOS 过滤器中删除 ESET

该安全供应商还指出，这仅适用于 Endpoint Security 版本 8.1.6.0 及更高版本以及 ESET Cyber Security 版本 7.5.74.0 及更高版本，因为 macOS 15 不支持任何旧版本。

有安全研究员在一篇博客文章中提供了一个解决防火墙引起的问题的临时解决方案，但用户需要将其应用于他们使用的每个应用程序。

他强调了内置防火墙无法正确处理 UDP 流量的问题，在许多情况下会导致 DNS 故障，并提出了一个不太理想的解决方案，即“打漏洞”来解除令人困扰的限制。

与此同时，Mullvad VPN 表示，他们已经意识到用户在最新的 macOS 版本中遇到的问题，并正在积极努力寻找解决方案。

如果您使用 EDR 安全产品、VPN 或依赖严格的防火墙配置，建议暂时推迟迁移到 macOS 15，直到问题得到解决。

杨洋 铜锁开源密码库创始人、蚂蚁集团高级技术专家

当下，我们时刻处在数据与信息爆炸的时代。每一秒，海量的数据在网络空间中诞生、流转、存储、消亡……作为第五大关键的生产要素，数据不仅承载着重要的信息，也被其背后的个人、组织赋予了重要的价值。

近年来，随着等保制度在我国的深入推进，云原生背景下，基于数据加密的监管要求，密码学在数据安全保护中的应用与创新逐步呈现出“场景多样、需求陡增、要求提升”的整体态势。

2019年，为应对云原生时代下Secret管理的新挑战，弥补当时国内自主可控型数据安全产品的缺失，蚂蚁集团在内部产品的基础上，重磅推出了铜锁开源密码库——作为一个提供现代密码学算法和安全通信协议的开源基础密码库，“铜锁”为存储、网络、密钥管理、隐私计算等诸多业务场景提供了底层的密码学基础能力，同时实现了数据在传输、使用、存储等过程中的私密性、完整性和可认证性，为数据生命周期中的隐私和安全提供了坚实的保护能力。

本期嘶吼专访，让我们深度对话铜锁开源密码库创始人、蚂蚁集团高级技术专家 杨洋，一起来循迹铜锁的云原生数据安全护航路。

百家征“名”——以东方韵意守护数据安全

“铜锁”，起初并不叫这个名字，当时作为一款仅服务于蚂蚁集团内部的产品，“铜锁”只拥有一个项目代号。而随着项目的持续发展，团队发现不仅集团内部已对该项目形成了巨大的业务依赖，同时业界对于国密合规与前沿密码学技术的应用也存在着极大需求。于是，始终奉行“科技普惠”战略的蚂蚁集团，将原有的项目进行了开源。

开源后的项目社区发展迅速，用户量激增，生态迅速建立，而原始的项目代号已无法再肩负整个社区更大的目标和使命，于是集团启动了项目名称的征集，“铜锁”一名也从众多的创意中脱颖而出。

杨洋介绍：“现实中的铜锁诞生于中国汉代，距今已有2000多年的历史。铜锁这个名字不仅具有极强的东方色彩，同时锁头所象征的安全寓意又与我们产品本身的特性十分贴切。”

依托“铜锁”的名字，“适应场景广、性能强、可靠性高、监管合规”的产品性能被完美诠释，同时也将密码库以“成为信息安全领域重要的基础组件、中国网络空间安全与数据安全核心基础元素”的发展愿景蕴藏其中，让东方的浪漫与现代的科技交织融合。

“监+管”集中化——铜锁，精准直面云原生下的数据与密码危机

随着云原生发展趋势的不断演进， IT基础设施的建设愈发完善，由此也带来了应用在部署层面“自动化程度升高、部署效率提升、系统复杂度增强”的改变，从而让传统意义上安全的边界被放得更大。

杨洋表示：“网络安全技术是无法分割于主流的信息技术发展潮流而独立存在的，信息技术快速发展，网络安全技术也随之需要不断更新和升级。安全技术已从传统的安全防护上升到了新的高度。”

区别于传统的Secret管理，云原生下的安全服务已由单一服务向微服务转变，资源的使用也逐渐从静态转向动态。此时，数据信息规模化与碎片化的挑战更为显著，也因此导致了Secrets sprawl问题的频发。而究其根本原因，是没有使用统一的管理系统。

于是，面对云原生资源的动态使用和Secret类型的多样化特点，铜锁采用了一套“中心化的机密信息管理系统”，以集中化的方式监控并管理所有使用敏感信息的环节，并将该系统与云原生业务系统深度融合。在该理念的推动下，铜锁开源社区下的核心项目RustyVault正式启动。

RustyVault，一个用Rust语言编写的Vault替代

作为一款基于Rust语言开发的自主创新型Secret管理系统，RustyVault继承了传统KMS能力与云原生密钥管理能力，同时基于铜锁项目，提供了前沿密码学算法的功能与硬件加速的能力，可为传统数据中心、云计算、云原生、Web3等领域面临的数据安全风险挑战提供安全、可靠、高效且合规的解决方案。

该系统刻意采用Rust语言进行开发，也充分体现出研发团队对产品安全与性能的双重重视。Rust语言具有内存安全、线程安全等特性，内存安全属性的强限制，使程序出错的可能性变小，能够有效防止常见的安全漏洞，从而降低后期排查内存问题的成本。同时，Rust的FFI效率较高，可以充分利用现有的密码学底层模块以实现高效的密码学算法，高性能的特点极大地满足密码学运算对于速度和效率的要求。

区别于传统的机密信息管理系统，RustyVault展现出三大优势特性：

一是融合性。RustyVault在设计之初就将与云原生体系紧密融合作为一个重要的研发考量维度，因此实现了该系统与云原生基础设施，如：Kubernetes的无缝集成，这也使得在云原生环境下，产品自身的密码学性能得到了更好地发挥，从而能够为数据安全提供更为坚实的保障。

二是简约性。杨洋表示，在长期的实践中，团队发现产品架构越简单，用户越容易上手，也更容易被用户接受。碎片化已成为云原生时代的重要特征，安全服务的需求更为具象，量级也更加轻巧，因此产品的设计也需要更加简约，甚至是进一步的降低整个系统和产品的运维成本。

三是合规性。基于密码学特殊的行业特点，在全世界的任何国家和地区，密码学都处于一个强监管的状态。因此项目在启动之初，便将政府方面的监管与合规要求考虑在先，并将其作为重要的功能性来设计。因此产品在充分满足各层级监管要求的同时，也能够帮助用户解决他们自身在系统使用过程中的合规问题。

RustyVault的问世，一方面能够对整个社会的安全水位起到重要的提升作用，填补市场上同类型安全基础设施的空白，同时其开源的方式也将有效降低用户在同类型产品上的建设与开发成本，真正实现降本增效。

目前，RustyVault可应用于包含：加密通信、数据存储、身份验证等在内的多种场景。在采访中，杨洋分享了RustyVault与minIO开源产品的合作故事，具象的介绍了在电信行业内，用户如何通过使用RustyVault更加便捷地实现安全的数据传输和存储，以确保关键信息不被泄漏或篡改。

合力共为 拥抱开放原子开源基金会

铜锁项目现已捐赠给开放原子开源基金会（以下简称“开源基金会”），谈及开源及捐赠的目的，杨洋表示：“保持开源，旨在促进密钥管理的安全性与透明度，通过开源，项目团队可以吸引更多的开发者、优质资源、资金链融入其中，共同完善和优化密钥管理的解决方案，提升社区与产品的可靠性、稳定性；而实施捐赠，是为了提升铜锁的中立性与安全性，将过去由单一公司控制的形式转换为群策群力，融多方之智的共创模式，来促进产品的多样化发展，实现技术在多领域的普惠与落地。”

由于密码学属于研发密集型与理论密集型兼具的特殊行业，单纯依靠一方力量往往会在学术领域出现明显的短板，因此与开源基金会的合作为铜锁的研发与创新应用提供了坚实的学术理论支撑。在“基金会”的引荐下，铜锁团队与国内一批头部的科研院校达成合作，由高校与科研机构为产品提供理论指导，由蚂蚁集团及开源社区共同完成理论的转化与落地，目前两方的共创合作已收获了良好的结果。

而铜锁，也在双方持续的合作中积极参与开源基金会组织的年度开发大会重要等活动，反哺基金会的发展，依托双方的并肩前行，共同推动整个密码学产业创新应用的发展。

百模大战·数据安全成为永恒话题

百模大战的时代背景下，数据的用量极增，使用场景也愈发多样。面对海量的数据流，如何保障全生命周期的数据安全，RustyVault从中也发挥着更为重要的作用。

“大模型时代下数据安全的问题会更加突出，因为我们会用大量的数据对大模型进行训练，这个过程就需要对数据的传输和存储过程进行加密，来保护敏感信息不被泄漏”。杨洋如是说道。

专注行业 驱动发展跃新峰

现阶段，由于互联网行业发展迅速，与现有国家标准之间存在差异所造成的“难以完全满足数据在不同阶段、不同场景下的安全需求”。是众多企业正面临的棘手问题，铜锁也不例外。

为了解决技术标准与开源社区发展的现实难点，铜锁积极参与国内外技术标准化工作。杨洋谈道”如何用更好的技术手段去重新定义更加科学、合理的技术标准，加快行业迭代步伐，是铜锁未来发展要做的事情。”

据杨洋透露，铜锁目前已加入中关村网络安全与信息化产业联盟国产OS商用密码应用专业委员会，重点参与国产操作系统密码子系统接口体系技术标准化工作，预计2024年年底将完成部分成型的技术标准化文档出台。

结语：

乘势而为，数字化浪潮中，数据的安全性受到了前所未有的重视。铜锁之下，基于密码学的各类项目也在不断地优化、迭代，而作为一个开源的社区，以开放的姿态，举多方之力，汇多方之智，夯实密码学理论支撑，攻坚数字技术，以科技普惠服务实体经济。

未来，让我们一同期待铜锁在我国国产密码学开源大生态的建设中，在前沿密码技术的探索中所释放的重要能量。

全球领先的云端 AI 网络安全平台解决方案提供商 CheckPoint® 软件科技有限公司（纳斯达克股票代码：CHKP）近日宣布，该公司在 2024 年 Gartner® 端点防护平台魔力象限™ 报告中被评为远见者。凭借灵活的部署选项和统一安全防护方法，Check Point Harmony Endpoint 正在塑造工作空间安全防护的未来，为各种规模的组织提供强大的个性化端点保护。

如今，企业面临着更复杂的以端点为目标的网络威胁。根据 Check Point Research 的报告，2024 年第二季度全球网络攻击次数增加了 30%。与此同时，企业还必须应对管理众多安全防护解决方案的复杂性。Check Point Harmony Endpoint 可通过提供强大的安全保护，帮助企业轻松化解这些挑战，其对新型恶意软件、勒索软件和零日攻击的拦截率高达 99.8%。它可跨各种设备和网络提供无缝的安全防护，帮助简化管理并降低运维成本。

对于我们的功能，国轩高科研究院副院长 Gary Li 评价道:“Check Point Harmony Endpoint 符合我们所有的标准，可帮助我们有效应对当前的网络安全风险。借助其自动检测和响应功能，我们的团队可轻松拦截攻击，保护用户和端点免受侵害。” 

Check Point 软件技术公司威胁防御副总裁 Ofir Israel 表示：“很高兴能够连续第二年获得 Gartner 的认可。我们致力于不断提升客户满意度并为客户提供全面的安全防护解决方案，以有效防御最新网络攻击。我们认为端点最容易受到攻击，因此不断推陈出新，以确保为各种规模的企业提供强大的安全保护。”
Harmony Endpoint 是一款强大而全面的端点安全防护解决方案，配备先进的 EPP、EDR 和 XDR 功能，能够保护远程工作者免受当今数字环境中复杂威胁的影响。Harmony Endpoint 是 Check Point Infinity 平台的一部分，后者是一个全面的平台，可跨数据中心、网络、云服务、分支机构和远程用户提供卓越的安全防护，并通过单个统一界面管理一切。

如欲免费下载 Gartner® 端点防护平台魔力象限™ 报告，请访问我们的网站或查看博文。

近日，专注于推动网络与安全融合的全球化网络安全企业Fortinet宣布，在2024年Gartner SD-WAN魔力象限评选中，公司再次荣获“领导者”殊荣，实现四连冠。这是Fortinet连续第五年入选Gartner SD-WAN魔力象限领导者象限，同时也是业内唯一一家连续四年凭借最高执行力获得此殊荣的安全厂商。

超越四连冠多机构共证顶级地位

在全球数字化转型的浪潮中，Fortinet凭借其安全SD-WAN解决方案，连续五年荣获行业领导者殊荣，再次证明了其在广域网（WAN）领域的卓越实力。Fortinet的安全SD-WAN解决方案不仅支持用户在本地和云中实现弹性架构和灵活的安全部署，还通过高级机器学习技术，为用户提供了“数字化体验监控”的优势功能，助力广大用户实现广域网的顺畅转型。

不仅在Gartner SD-WAN魔力象限中脱颖而出，Fortinet的安全SD-WAN解决方案更是连续四载稳坐Gartner Peer Insights™ SD-WAN“客户之选”宝座，同时还收获了城域以太网论坛（MEF）颁发的至高“AAA”评级。这一系列辉煌成就，无疑是对Fortinet在SD-WAN领域内杰出贡献与深厚实力的权威认可。凭借其卓越的性能与前瞻性的创新能力，Fortinet的安全SD-WAN解决方案已在业界赢得了广泛的赞誉与尊重。

对此，Fortinet首席营销官John Maddison表示：“Fortinet再次荣获Gartner SD-WAN魔力象限领导者称号，这充分证明了我们在SD-WAN领域的领先地位和创新能力。我们始终致力于为用户提供顶尖的解决方案，以满足他们不断变化的需求。这份卓越成就源于我们对用户的坚定承诺和不懈努力。”

安全SD-WAN 引领高效安全组网

Fortinet的安全SD-WAN解决方案，以其创新的诸多优势，正在重塑安全组网新格局。这些优势不仅涵盖了强大的功能集成，还包含了向统一SASE架构的平滑过渡，以及生成式AI的突破性应用。它们共同推动了网络性能的飞跃，同时全面支持SD-Branch，为企业打造了一个既高效又安全的网络环境。这些优势的融合，不仅简化了网络管理，还确保了网络的灵活性和可扩展性，使Fortinet在安全组网领域独树一帜。

首先，Fortinet安全SD-WAN方案功能强大且高度融合。该方案在统一操作系统FortiOS和自研ASIC芯片技术的双重加持下，全面整合了下一代防火墙、零信任网络访问、应用程序网关和高级路由等优势功能。这一整合不仅简化了网络架构，降低了运维成本，还显著提高了跨广域网和云边缘的运营效率。企业无需再为多个独立系统投入大量资源，从而能够更专注于核心业务的发展。

同时，该方案支持客户无缝迁移至统一SASE架构，生成式AI助手FortiAI的集成更使其如虎添翼，不仅能够帮助用户高效编排和管理SD-WAN部署，还能优化从Day 0到Day 2的安全运营流程，大幅提升企业网络的自动化水平和响应速度。此外，方案还显著增强了网络性能，通过智能算法按需优化全网格网络，并具备自我修复功能，确保网络始终高效、稳定运行。该方案与Fortinet的接入点、安全以太网交换机、无线广域网和网络访问控制无缝集成，为用户提供了业内最安全、最易管理的远程分支机构网络解决方案。

展望未来，Fortinet将继续深耕网络和安全领域，持续创新，以卓越的功能和服务，全方位满足全球近百万客户的独特需求。Fortinet将跨Security Fabric平台，不断提升SD-WAN解决方案的性能和安全性，为用户提供更加高效、智能和安全的网络体验。

GEEKCON 2024 将于10月24日在上海正式拉开帷幕，GEEKCON组委会将提供3张价值1024元的门票，在嘶吼平台进行送票活动！

活动参与方式：在本文评论区回复你对GEEKCON 2024的期待或想法。即日起，截止到2024年10月12日星期六18:00，我们将在留言中抽取3位幸运者，每位中奖者将会获得由GEEKCON组委会提供的免费门票1张。

赛程议题公布：

Mallox 勒索软件行动的附属机构（也称为 TargetCompany）被发现使用稍微修改过的 Kryptina 勒索软件版本攻击 Linux 系统。

SentinelLabs 表示，此版本与其他针对 Linux 的 Mallox 变体不同，例如 Trend Micro 研究人员去年 6 月描述的变体，这突显了勒索软件生态系统的策略转变。此外，这再次表明，之前只针对 Windows 的恶意软件 Mallox 正在将 Linux 和 VMWare ESXi 系统纳入其攻击范围，标志着该行动的重大演变。

从 Kryptina 到 Mallox

Kryptina 于 2023 年底作为针对 Linux 系统的低成本（500-800 美元）勒索软件即服务 (RaaS) 平台推出，但未能在网络犯罪社区引起关注。

2024 年 2 月，其所谓的管理员使用别名“Corlys”在黑客论坛上免费泄露了 Kryptina 的源代码，据推测这些源代码被有意获得可运行的 Linux 变体的随机勒索软件参与者获取。

威胁者泄露源代码

在 Mallox 的一家附属公司遭遇操作失误并暴露其工具后，SentinelLabs 发现 Kryptina 已被该项目采用，其源代码被用于构建重新命名的 Mallox 有效载荷。

暴露服务器上的 Kryptina 源代码

重新命名的加密器名为“Mallox Linux 1.0”，使用 Kryptina 的核心源代码、相同的 AES-256-CBC 加密机制和解密例程，以及相同的命令行构建器和配置参数。

这表明 Mallox 附属公司仅修改了外观和名称，删除了赎金记录、脚本和文件上对 Kryptina 的引用，并将现有文档转置为“精简”形式，其余部分保持不变。

Mallox Linux 1.0 勒索信

除了 Mallox Linux 1.0 之外，SentinelLabs 还在威胁者的服务器上发现了各种其他工具，包括：

·合法的卡巴斯基密码重置工具 (KLAPR.BAT)

·CVE-2024-21338 漏洞利用，Windows 10 和 11 上的权限提升漏洞

·权限提升 PowerShell 脚本

·基于 Java 的 Mallox 有效载荷投放器

·包含 Mallox 有效载荷的磁盘映像文件

·14 个潜在受害者的数据文件夹

目前，尚不确定 Mallox Linux 1.0 变体是由单个附属机构、多个附属机构还是所有 Mallox 勒索软件运营商与 Linux 变体一起使用。

篇首语：这是“特警局手册”系列的第4篇，也是杨叔原创技术软文的总第86篇。杨叔希望通过“特警局手册”系列，给大家带来一些有趣的反窃密及高级安保方面知识。

声明：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。

01 长杆伸缩式摄像头操作员

今天，TSCM反窃密专家们，在对某些较大的室内场所检测时，比如大型会议室、酒店套间、高档会所等，都会用到这种可伸缩的长杆式摄像设备。

主要用于检测较高位置的视野盲区，是否存在可疑的器材，比如针孔偷拍、录音笔等。

这类长杆式摄像设备，其实在很多场合都有着实际意义，不过有些人可能并不认同。

杨叔就遇到过，有学员曾经在RC2的专项课程里抱怨说这玩意没用。

呐，其实TSCM领域的一个基本概念就是：

所有设备不看使用场景就提无用论的，都是耍流氓。

不熟悉每个产品设备的功能，也就不能发挥他们的特有能力，最终将影响到实际检测效果。

而VPC和管道窥视仪这两款设备，是最能互补的两类设备，一个用于高处，一个用于细节，下图是RC2的平日训练装备。

下图中这个就有些搞笑了，在车辆这样狭窄的空间里，使用长杆式检测设备，就是典型的无处下口，装X失败的范例。

这样类似的情况，在短视频平台上比比皆是（很多看似穿着专业的什么高端安保人员，唉，让人无语）。

哈哈，不扯了，下面聊聊警用的伸缩式长杆摄像头，大家看看有什么区别

02 SWAT的长杆摄像操作员

首先，如下图，执法机构使用的长杆式伸缩摄像机，主要用于楼宇空间，但也可用于搜索吊顶、地下室入口、楼梯间、地下通道、地下排水系统或类似的隐蔽区域。

其次，执法机构使用的设备装有黑白和彩色红外摄像头，因此不需要可见光。摄像头可以在完全黑暗的情况下秘密部署。

第三，在实际使用时，摄像头操作员在操纵长杆时，主要专注于他的周围环境。

而摄像头会将同步将视频信号无线传输至远端监视器，指挥官可以位于附近或数百米外的安全区域，通过无线电下达指令。

在住宅搜查中，SWAT特警战斗单位，还要训练如何将防弹盾牌与长杆式摄像系统结合使用。

这需要一些专项训练，与任何高风险搜索工作一样，这一切都是为了最大限度地减少实际伤害。

但这项工作，看似简单，实则非常需要耐心和谨慎......

03 真实案例

举个实际的案例。

在美国某个案件中，持有武器的涉案人员躲藏在复杂的楼宇环境里，谈判人员最初试图用电喇叭与嫌疑人沟通，但没有得到答复。

而公寓楼内没有楼道监控，因此嫌疑人可以进入八个顶层单元中的任何一个。

当长杆式摄像设备部署到公寓的顶楼通道时，并没有发现嫌疑人。

于是，监视器观测员向长杆摄像头操作员下达了准确的指示，悄然完成了对屋内的扫描。

原来嫌疑人藏身在玻璃纤维材质的天花板上，几乎看不见身形，所以当嫌疑人收到第一轮喊话时，他选择继续躲藏没有回应。

但当监视器观测员直接喊出嫌疑人在阁楼或通道的确切位置，类似于“Hey，我们知道你在XXX！”，疑犯因为惊愕和恐惧，完全不知道外面做好了怎样的准备，只能立刻投降。

04 趴门缝的特种设备

看到这里，估计某些玩CQB的军事迷们，甚至电影或CS游戏爱好者们，肯定会说：

“只要战斗小组部署得当，使用快速清屋的正确队形突入，就可以结束战斗，不需要这么麻烦”或者“给我一把AK，分分钟解决战斗”巴拉巴拉

实际上，城市巷战一直都是伤亡率最高的战斗场景，即使是在非战争区域，对于持枪歹徒来说，城市SWAT特警小组以及特种作战单元面临的伤亡威胁也始终居高不下。

所以，在正式突袭室内前，尽最大可能，摸清内部人员数量、站位分布等前期情报工作就显得尤为重要。

显然地，“偷窥”久了，大家都发现隔着门缝比隔着玻璃的效果更好。

我想，很多人从小就亲身证明过这一点

于是乎，全球各大物理情报收集设备厂商，纷纷推出了专门针对门缝的特种监视设备。

在经过一线执法机构的实战测试后，发现效果出奇得好：

相对于窗户，门缝更加不容易发觉。

一般而言，窗户上突兀出现一个物件，还是会引起室内人员的警觉。

而下图这种门缝窥视设备，同样具备夜视、热成像等功能，却可以很好地放大内部情况，完全满足楼道内突袭前的侦查工作。

优点也很明显：

在复杂的楼宇里，相对于无人机等高科技方式，通过门缝观察更加简单直接。

除非是户外特别宽阔或者临窗的环境，否则很多场景下，无人机侦查的效果其实很有限。

但这样的专业设备就不同了，一线侦查人员可以把室内情况，轻松地传输到外部。

即使是较细的门缝，也是一样。

咳咳，这样小巧又实用的，才是“高科技设备”，好么？

现在，你 学废 分清了么？

显然地，一定要先评估门缝的大小，对于太宽的门缝，出现任何东西依然意味着暴露

篇首语：从昨晚起，就有好多朋友和学员私信我一个视频：“国内某安全团队在石家庄反偷拍遭遇围攻”，都在问我们怎么看待这件事~

  好吧，那就借这个机会，再做一点科普。

注：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。

1 关于偷拍黑产

从黑色产业链即黑产角度来说，国内偷拍产业多年来一直暗流涌动，屡禁不止，打击不止。而反观绝大多数民众，确总有人觉得“针孔偷拍”“窃听窃密”是不是在危言耸听，或者偷拍都是在民宿小酒店啦大酒店肯定安全巴拉巴拉，真的是这样吗？

2024年3月5日，山东济宁，万达广场帕希顿酒店公寓，客房内发现疑似针孔摄像头的新闻和视频，又一次吸引了公众的关注。

而至于“针孔偷拍”“窃听窃密”是不是在危言耸听，2023年新华社的报道可以说明很多问题：

不可想象吧？这些窃听窃照器材成品，居然铺满了整个体育场！！

就像杨叔在课程提到的，在经济复苏的浪潮下，暗流一直在涌动......这次公安部门虽然缴获了5万个非法器材，但那也仅仅是一个黑产团队~

目前针孔偷拍后面涉及的黑产规模实在难以估测，这些年RC2在和其它安全技术团队交流时，单从市面上已在流传的偷拍视频数量就足以让人感到心惊可怕～

所以从2017年起，我们就一直在保持对各种偷拍视频及案例的威胁情报分析，并及时在最新的线下课程与实训环境里更新，来确保学员能够应对包括偷拍在内的各种隐私侵犯的风险～

但这并不是解决隐私安全问题的根本方法，肯定要从法律法规、公安重拳打击等多个层面才能从源头上治理......而遗憾的是，在新发布的《治安管理处罚法》里，对于偷拍者的处罚仅仅是罚款1000元，拘留5天。

这样的“低犯罪成本”怎么能从根本上打击到黑产团伙？

相信很多人都看过新闻：

前几年，韩国政府由于民众的强烈抗议，终于修改了法律，加大了对非法偷拍行为的处罚，才最终极大地打击了黑产团伙......我们在课程里加入了对各国及地区的相关法规的横向对比。

2 全面反偷拍？

接上面说，所以，无论是民众自发的组队反偷拍行为，或者某些公司发起的社会公益行为，亦或者某些厂商的广告演绎行为，甚至即使是为了流量带货的高调行为，都可以在精神上大力支持，但不值得鼓励人人都这么做。

这个就好比我们都支持打击贩毒，但不希望普通人直接参与打击贩毒是一个道理。

因为个体行为遇到人身风险和触犯法律的概率实在是太大了，在此也希望视频中的团队成员平安无事~

所以对于个人，建议在学习及养成保护个人隐私良好习惯的前提下，如果发现针孔偷拍器材，可以通过报警处理。

下面这个案例供大家参考：

2019年，RC²学员群里一位在青岛游玩的“云飞”同学，爆出了自己在Airbnb民宿入住检查时发现的针孔摄像头，在学员群里引起了极大关注和讨论，这些讨论被截图放到了网上迅速传播，引发各大媒体争相报道和采访，“教科书式反偷拍”这一词也因此由来。

~在这个案例里，我们的隐私保护认证学员表现得非常好，青岛警方的响应和处置也都很及时给力~

3 从技术层面

从技术层面，视频中所用的反针孔偷拍设备及APP主要还是通过WiFi信号来进行识别，确实有用，但也依然存在较大局限性。毕竟市面上也有很多针孔偷拍器材，会采用图传、4G和本地SD卡保存等方式，这些方式用此类APP都无法识别。

早在2019年，RC2联合GEEKPWN安全极客大赛共同发起了“隐私保护反偷拍悬赏挑战赛“，现场就有参赛队伍使用基于WiFi检测原理的自研设备，其对非法偷拍器材的识别率效果确实一言难尽

央视新闻频道（10.26期）一如既往地跟进并报道了本次反偷拍挑战赛，在采访中，当时的GEEKPWN极棒创始人王琦也提到：

“我们不能指望普通人都能具备很强的反偷拍检测能力，所以才有了这场比赛......但这次“全军覆没”的比赛结果，在极棒历史上，也是很少出现的”

4 最后

对于专业从事反技术窃密研究与服务的RC2反窃密实验室而言，反偷拍，仅仅是其中一个关注的细分模块罢了。

但对于个人而言，无论人在国内国外，先养成良好安全习惯，保护好自己的个人隐私，这才是最重要的～

关于RC²

中国RC²反窃密实验室（RC² TSCM LAB，以下简称：RC²）是中国大陆领先的 TSCM 商业秘密保护供应商，主要为客户设计及提供专业商业秘密保护 & 隐私安全解决方案。

总部位于上海的RC²一直深耕在商业秘密保护的前线，已先后为国内外100强大型企业、上市公司等高净值客户群体，提供 TSCM 专业物理安全检测服务、商业秘密保护咨询、以及高管隐私保护、防范恶意商业竞争等深度培训与解决方案，获得客户的一致肯定及认可。

RC² 自成立以来，一直保持对国外最新商业竞争资讯、检测&防御方案及国际 TSCM 领域的研究与关注，活跃在国内外大型安全会议，并受邀参与小米、字节跳动、京东、联想等全球知名头部企业安全宣传活动，具有持续增长的业界影响力和源源不断的行业潜力。

2023年10月起，RC²与中国信息通信研究院南方分院（深圳信息通信研究院）联合建成「电磁信息安全联合实验室」，该实验室是目前国内最大的集电磁安全技术研究、模拟场景测试、设备专业检测、TSCM专业培训于一体的侧重TSCM领域的安全技术研究实验室。

实验室占地700平米，内设4个符合国际TSCM标准的专业模拟实训间、1个专业信号屏蔽室、1个TSCM技术研究测试室、2个设备操作间和2个专业教室等。

结合RC²在TSCM领域的专业技术储备和研究能力，在深圳信息通信研究院的支持下，实验室已联合诸多国内外合作方，成功举办了「首届BUGPWN TSCM黑盒挑战赛」，为企业专业检测团队和国内外TSCM专家资源之间提供了可以相互交流学习进步的平台。

随着这些年在TSCM专业技术储备不断得到的认可，RC²已陆续与中国香港、日本、英国、意大利等优质行业资源建立了深度战略合作，并希望借此能够为中国出海企业的商业秘密与高管隐私保护方面尽一份力。

气象领域的网络安全与信息化，是驱动我国气象事业高质量发展，迈向数字化、智能化、智慧化新的基石，也是加速气象科技与社会服务现代化进程的战略支撑与重要保障。气象局作为国家气象服务的核心机构，不仅承载着气象监测、预报与服务的重任，更是气象网络安全与信息化建设的重要组成部分。而面对科技飞速发展带来的气象设备激增，如何高效管理与保护重要资产与数据，成为气象局亟待破解的难题与挑战。

2022年9月19日，中国气象局印发《气象网络空间安全行动计划（2022—2025年）》（以下简称《行动计划》），旨在指导和规范各单位开展网络空间安全工作，提升气象部门整体网络空间安全能力。《行动计划》明确指出，需清晰界定气象网络空间边界，全面盘点网络资产，构建高效的全网出口防护与监测体系，为气象系统、设备、网络及关键信息基础设施筑起坚不可摧的安全防线。

在此背景下，盛邦安全公司凭借其在网络安全领域的深厚技术积累与行业经验，为气象局用户量身打造——“气象智护”网络资产梳理解决方案，旨在帮助行业用户应对日益复杂的网络安全风险挑战，提升气象局网络资产管理的全面性、风险洞察的精准性，同时加强网络安全防御能力。

该方案依托盛邦安全领先的主被动资产测绘技术，提供了一套全面、精准的资产管理与风险监测体系，助力气象局用户精准摸清资产家底，实现高效资产管理与风险监测的双轮驱动，能够有效提升网络安全工作效率与专业防护能力。

盛邦安全“气象智护”

网络资产梳理与风险管理解决方案

该方案以网络空间资产探测系统为核心，通过气象专网对各气象局节点的资产进行存活探测、指纹识别，并结合漏洞发现检测技术和数据情报分析技术，形成综合画像，为气象局提供集资产普查、风险探测、风险管理于一体的一站式解决方案，不仅能够高效管理复杂的资产结构，还能及时发现并应对潜在的安全风险，确保关键信息系统和数据的安全与可靠。

方案价值

摸清家底，管理无忧

面对气象局资产数量庞大、种类繁多的现状，该专项解决方案能够全面梳理资产，形成详尽、准确的资产信息库。无论是虚拟资产还是物理资产，都能实现一一对应，确保资产管理的全面性与准确性。同时，通过精准掌控服务端口分布，有效识别未知资产与风险暴露面，助力及时处置废弃与违规资产，合理隔离非必要服务资产，帮助快速掌握资产状况，及时发现潜在风险。

精准检测，有效整改

该解决方案不仅具备强大的资产风险发现能力，更融入了资产目标POC精准检测技术。通过深入挖掘真实存在的安全漏洞，并结合用户自定义的PoC规则，为气象局提供精准的安全检测结果。结合资产测绘与暴露面分析结果，气象局能够精准施策，有效整改，全面提升安全防御能力。

快速定位，高效运营

依托全面的资产库与高效的数据检索模型，该解决方案助力气象局实现全网资产及安全风险的快速检索；大幅降低人工操作成本，显著提升管理效率，确保用户能够及时有效地应对各种安全风险。同时，方案提供的本地化资产上线注案、漏洞整改等功能，实现了资产管理与安全责任的深度融合，为气象局的安全运营提供了强有力的支撑。

 “气象智护”网络资产梳理解决方案的推出，旨在为气象局用户在风云变幻中筑起坚不可摧的安全屏障，助力用户提升网络空间资产管理与安全防御能力。未来，盛邦安全将继续坚持“精准识别，精确防御，深入场景”的战略，不断创新，为更多行业用户提供更加优质、全面的网络安全产品、解决方案和服务，共同推动行业数智转型，助力我国网络安全事业的蓬勃、健康发展。

原文链接