嘶吼

近日，由国内数字化领域独立的第三方调研咨询机构数世咨询主办的“2025安全市场年度大会”在京成功举办。来自国内网络安全厂商领导、市场负责人、品牌负责人共计500多人以线上线下方式参加本次大会，聚焦数字安全大事记、产业困境与发展、市场拓展经验分享等热门话题。

会上，数世咨询对数字安全产业发展进行了总结，数字安全产业的健康发展是依靠众多优秀安全企业共同努力的结果，并为这些优秀企业颁发了数字安全产业贡献奖，以表彰它们在推动行业发展方面所作出的卓越贡献。梆梆安全凭借在移动应用安全方面的技术创新力、品牌影响力，以及行业竞争力的核心优势，荣获2024年度“数字安全产业贡献奖”。

梆梆安全以移动安全为核心，逐渐将安全防护能力向传统互联网及物联网延伸，并创新性提出“共享安全”理念，围绕业务安全、移动安全、物联网安全、安全服务帮助用户制定网络安全建设规划，构筑覆盖全网络环境的新型信息安全立体纵深防御系统。

目前，梆梆安全拥有10万家以上企业及开发者用户，安全技术覆盖的移动应用软件超过100万，这些应用已经累计安装在10亿个移动终端上，用户遍及金融、互联网、物联网、政府、运营商、企业、医疗、能源、教育等各大行业。

此次荣获“数字安全产业贡献奖”，不仅是来自行业权威媒体的认可，更是业界对梆梆安全推动数字安全技术创新与应用实践的肯定。未来，梆梆安全将继续立足并深耕移动应用安全领域，持续探索创新，为行业客户提供更优质的产品与更贴心的服务，为我国数字经济的发展提供强有力的安全保障，助力构建坚实稳固的数字安全屏障。

近日，中国信息通信研究院在“2025中国信通院ICT深度观察报告会—数字生态治理分论坛”正式发布2024第二期《数字安全护航技术能力全景图》，梆梆安全凭借全面的产品能力与技术实力，成功入选12大安全领域、37项细分领域，产品能力获全面认可。

梆梆安全再次入选《数字安全护航技术能力全景图》，这是专业机构从第三方视角对梆梆安全技术实力与产品能力的全面肯定。未来，梆梆安全将持续强化移动安全防护能力，紧密贴合用户实际应用场景，助力数字时代安全、健康发展，筑牢可信可控的数字安全屏障。

1月7日，长亭科技语义分析3.0暨雷池30巡回发布会首站在北京举行。发布会上展示了长亭语义分析技术的最新成果、雷池（SafeLine）全新升级30版本以及WAF的最佳实践，体现了长亭在网络安全与人工智能技术融合应用的全新突破。此外，IDC中国高级研究经理赵卫京以全球网络安全技术热点与趋势为主题进行了分享，为发布会提供了国际化视角。

一、语义分析3.0发布

·语义分析本身具备代际性的优势

作为长亭科技流量检测类产品的核心技术，语义分析相对于传统的基于规则、正则表达式的Web攻击检测技术而言，本身就具备代际上的优势。

长亭科技CTO 刘金钊

在传统的 Web攻击检测里，规则式的、正则表达式的检测方法，只是在尝试捕获攻击中的文本内容上的特点，但这些特点并不能反映攻击的本质，是间接特征。而语义分析技术就像 DNA 技术一样，准确地捕捉到“攻击”的本质属性：一段符合语法规则同时包含恶意语义的代码片段。这也是语义分析能够再次将检测效果提升一个级别的根本原因。

·从1.0到2.0：融合大模型

从2016年长亭交付第一个语义分析引擎的商业化版本，至今总计进行了接近万次的引擎迭代，总共实现了18种针对不同攻击手段的检测引擎。

2023 年，伴随AI大模型的兴起，长亭创新地将语义分析技术与问津（ChaitinAI）安全大模型相结合，迎来了语义分析技术的一次重大飞跃——语义分析2.0。这一版本中，语义分析引擎负责提取攻击中的关键语义信息，为大模型理解Web攻击的本质和意图提供了清晰的指引。此次融合，进一步提升了语义分析对复杂网络攻击的检测能力和解释能力。

·揭秘3.0：“AI+数据”驱动新纪元

隐藏在语义分析引擎高准确率、高性能后面的，是复杂的技术原理，每次改进都需要谨慎权衡，迭代的难度和复杂性不断加大。如何进一步提升语义分析引擎的性能？

经过反复验证，长亭再一次从技术路线选择中找到了革新的路径，其核心原理是深度融合语义分析技术与机器学习技术，语义分析3.0由此诞生。

在新的引擎架构中，语义分析不再直接输出检测结果，而是专注于提取请求中的攻击特征，包括词法、语法和语义层面的特征。这些强安全特征相对稳定，减少了对引擎的维护需求。随后，提取到的特征被送入多个AI模型进行判定。基于这些强特征，无需复杂庞大的深度神经网络模型，即能实现较高的判定准确率。这样的设计既保留了语义分析和机器学习两者的优点，同时又减少了各自的不足。

这种架构下的新引擎具有显著优势：

1. 性能卓越：继承了语义分析的速度优势，综合性能达到当前语义分析1.0引擎的90%以上，且实际引擎耗时占比小，对整体性能影响不明显。

2. 可解释性强：强语法特征和语义特征结合可解释模型，能以自然语言输出对攻击的解释，提升了安全防护的透明度。

3. 维护简便：减少了语义分析部分的维护频率，通过优化训练数据分布与质量持续提升性能，降低了维护门槛和成本。

·破局数据挑战：影子模式 + 群体标注

有了优秀的引擎架构，距离多方位极致提升性能就只剩下一个问题需要解决：高质量的安全数据集。

在安全行业，获取高质量数据一直是个难题。与电商等行业不同，用户访问网站的行为本身不提供安全标签，安全数据标签只能由安全专家从日志中标注，导致有效标记数量少。而AI模型性能依赖数据质量，这给安全行业应用AI技术带来巨大挑战。

为解决数据问题，语义分析3.0借鉴自动驾驶技术，采用影子模式和群体标注。

影子模式下，在现有检测引擎外增加影子引擎，当影子引擎与主引擎判定结果不同时，保存相关样本用于优化引擎。

群体标注则利用大量部署设备处理的业务数据，当模型对特定攻击载荷性能不佳时，从海量数据中找到相似数据进行优化，提升对特殊攻击向量的检测能力。

以上方法构建了数据驱动的引擎迭代流程：获取数据后进行手工标注与扩充，优化样本分布；用高质量数据训练新模型并部署；运行中持续观察差异，再次扩充数据和训练，循环往复，不断提升检测准确性。

数据驱动的迭代“引擎”最终让语义分析3.0将检测性能提升至又一个新的巅峰：

1. 准确率再提升：在验证数据集上，语义分析3.0成功将检测准确率从99.9%提升至99.99%，误报和漏报比例大幅降低。

2. 应急响应更迅速：以往处理引擎误报和漏报可能需要3至7天，而现在通过数据驱动的方法，理想情况下可缩短至2至8小时。只需分析样本数据、识别错误载荷、扩增样本并训练模型，就能快速得到新引擎，极大提高了应急响应速度。

3. 模型微调更精准：作为AI引擎，可针对特定业务场景进行精细化调优。通过模型微调，能提高对特定业务的适应性，减少漏报和误报，同时可存储关键特征数据，便于管理且保护敏感信息。

4. 未知威胁识别更强：语义分析3.0进一步提升了对未知威胁（0-day）的识别能力。继承了语义分析识别未知攻击的优势，并借助 AI 模型更强大的学习和泛化能力，更有效地应对新出现的网络安全威胁。

二、雷池WAF重磅升级

在本次大会上，除了革新的语义分析3.0技术，长亭科技还发布了全方位重大升级的雷池（SafeLine）下一代Web应用防火墙30版本。本次升级聚焦“创新、智能、融合”三大特色，主要体现在以下三个方面：

·安全核心引擎智能升级

·模式融合与架构升级

·WAAP方案融合升级

长亭科技首席安全产品专家 郭世超

安全核心引擎智能升级

首先，得益于语义分析技术3.0的跃迁，新版的雷池30在性能、检测效果、用户业务贴合度、应急响应速度、0day防护、运营体验六大方面都有了跨越式的提升。

同时，雷池30的另一项新技术突破——流式语义分析技术，攻克了多年困扰行业的“大包绕过”难题。这项技术的核心突破在于实现了数据分片流式接收技术、深度解码栈快照技术、语义分析引擎可重入技术等多项创新，将协议解析、解码和模式匹配改造为“边接收、边检测、边转发”的流式检测模式。不仅有效解决了“大包绕过”问题，还在不牺牲检测效果的前提下大幅降低了检测延迟，为用户提供更优质的业务体验。

此外，针对当下流行的大模型应答返回采用的 HTTP SSE (Server-Sent Events) 机制，雷池30应用响应流式检测和语义缓存技术，能够在不影响大模型应答效果的同时，拦截或屏蔽敏感/违规信息，进一步拓宽了雷池30在新兴技术领域的安全防护能力。

模式融合与架构升级

1、数据面引擎升级：XDP 赋能超强性能

雷池30在数据平面引擎上全面落地XDP技术，构建了基于eBPF的网络层协议栈。

(知识点小Tips：XDP全称eXpress Data Path，即快速数据路径，是Linux内核提供的高性能、可编程的网络数据包处理框架。XDP会直接接管网卡的RX方向数据包，通过在内核运行eBPF指令快速地处理报文并无缝对接内核协议栈)

首先，XDP在技术层面具备高性能的技术优势，提供高性能数据包处理效率，核心吞吐量高达每秒2400 万包（Mpps），同时内核态的属性，能够减少数据拷贝次数、降低系统调用开销、无需专用CPU，从而整体提升系统整体效率

其次，XDP的内核态方案，不受制于上游厂商和社区提供支持，雷池30在安全自主可控上又前进一大步。相比之下，基于DPDK的kernal-bypass 方案，其用户态驱动(PMD)对底层硬件进行适配之后，才能正常工作或达到预期性能。这部分通常依赖上游硬件厂商和DPDK 社区的技术支持。

2、模式升级：摆脱硬件束缚，融合多样场景

模式的升级使雷池30摆脱硬件依赖，实现软硬件一体架构，既满足软硬形态需求，同时上云无比友好，更符合云原生概念。

雷池30模式进行了调整优化：

·透明桥和透明代理合并为统一透明模式，普通站点无需配置自动防护，降低维护成本；

·拆分出一个独立的路由模式，极大增强了在路由场景的能力；

·所有模式都可以同时支持软/硬件形态；

·支持在页面上便捷热切换模式，且提供一种 "专家模式形态", 在一台 WAF上同时使用四种模式；

·复杂网络模式同样支持虚拟机安装，满足超融合、云内特殊流量接入场景，扩展了WAF的使用方式，为用户提供了更灵活、多样化的选择。

3、底盘升级：统一管理，无缝适配

雷池自诞生起就基于Docker容器技术，在云原生环境下天然具有竞争力，但雷池20版本在不同部署场景下存在架构设计差异，导致用户体验不一致。雷池30引入领域驱动设计（DDD）思想并参考K8s的Operator 模式，对控制面核心配置域进行全方位升级。

这一升级实现了跨场景的一致性体验，无论单机、云架构，还是硬件集群与软件集群混合使用，用户操作与管理都能无缝衔接，灵活适配各种复杂业务场景，同时维护性与扩展性得到显著提升。在不增加额外成本的前提下，能够更好地满足复杂业务需求，确保在大规模、复杂场景下的可用性和可靠性，为用户提供了更稳定、高效的网络安全管理解决方案。

WAAP方案升级：一体化防护，筑牢安全网

任意单一的安全防护功能孤岛已无法满足当前复杂、动态的业务安全需求，雷池30的WAAP有别于WAF、Bot防护、API安全、CC防护等功能的简单组合，而是通过模块融合，实现了各个安全模块的无缝协同，形成了一个高效、智能的安全防护体系。

长亭科技副总裁 周辛酉

例如，在API安全方面，雷池30通过语义分析引擎和API安全实现了正向循环。一方面，引擎的深度解码和语义分析能力有助于提取更全面的请求信息，提高API敏感数据识别、用户身份识别和风险检测的准确性；同时，API识别结果又能增强语义引擎的解码性能，通过Schema 校验和API基线，实现对异常流量的精准防护并降低误报率。API安全还能提升其他模块的智能化水平，利用机器学习分析API调用模式并建模，根据学习结果智能动态调整Bot防护和CC防护的阈值策略，实时应对新型攻击。

此外，雷池30的WAAP方案除支持单机外，在软硬件集群/云场景中也能灵活落地，为用户提供灵活的方案能力选择。

三、全球网络安全技术热点与趋势

发布会上，IDC中国高级研究经理赵卫京还带来了《全球网络安全技术热点与趋势》的主题分享。他指出，在全球安全市场发展存在诸多不确定性的当下，人工智能将加速网络安全技术的创新与实践。到2030年，AI将会累积带来近20万亿美元的经济收入。其中，GenAI也将推动网络安全产业加速发展，更多的企业将更愿意使用GenAI应用到组织中的安全应用中，并在安全工具嵌入GenAI作为安全助手提升安全效率。在安全运营、应用安全、数据安全、风险/暴露面管理、安全合规等安全领域中，GenAI均有很多应用方向和空间。

赵卫京表示，在应用安全方向，更多的企业愿意广泛采用Web应用防护方案，WAF作为基础方案是客户的首选。同时，主要包括WAF、API安全、DDoS缓解、Bot管理等能力的WAAP解决方案也引起了很多客户的兴趣。

IDC中国高级研究经理    赵卫京

长亭科技自成立以来，在业界有公认的两大标签。一是在实战攻防领域表现卓越，二是作为一家以技术驱动的智能安全公司备受瞩目。此次语义分析3.0的发布是长亭拥抱AI时代的新一代检测技术、在智能安全的方向上继续推动行业变革的又一里程碑。未来，长亭将秉持“知攻善防、智能安全”的理念，持续推动从应用层、到网络架构层、再到内核协议栈的各个层面的全栈安全创新。

2024 年网络攻击、数据泄露事件、新威胁团体及零日漏洞不断出现，以下是对2024 年最具影响力的网络安全故事盘点，并对每个故事进行了简单概述。

13. 互联网档案馆被黑

10 月 9 日，互联网档案馆同时遭受两次不同的攻击：一次是数据泄露，该网站 3300 万用户的用户数据被盗；另一次是由一个名为 SN_BlackMeta 的涉嫌亲巴勒斯坦组织发起的 DDoS 攻击。虽然两次攻击发生在同一时期，但它们是由不同的威胁者发起。

互联网档案馆上的 JavaScript 警报警告有关违规行为

破坏互联网档案馆的威胁者表示，他们可以通过包含身份验证令牌的公开 GitLab 配置文件来实现这一目的，从而允许他们下载互联网档案馆源代码。

该源代码包含额外的凭据和身份验证令牌，包括互联网档案馆数据库管理系统的凭据。这使得威胁者能够下载用户数据库、源代码并修改站点。

12. 错误的 CrowdStrike 更新导致 850 万台 Windows 设备崩溃

2024 年 7 月 19 日，一个有漏洞的 CrowdStrike Falcon 更新在凌晨被推送到 Windows PC，导致网络安全软件的内核驱动程序导致操作系统崩溃。

该错误造成了严重的全球性中断，影响了大约 850 万个 Windows 系统。人们发现自己的设备崩溃，除了启动到安全模式之外，没有简单的方法可以返回操作系统来删除错误的更新。

该错误源于 CrowdStrike 内容验证过程中的漏洞，该过程未能检测到有漏洞更新。此错误更新引发了一系列系统崩溃，包括影响 Windows 设备和 Windows 365 云 PC 的无休止的重启循环。

由于 CrowdStrike 被许多企业使用，因此很快就产生广泛影响，影响了世界各地的金融公司、航空公司和医院，导致他们的 Windows 设备和应用程序也不可用。

Microsoft 发布了 Windows 修复工具来帮助删除有问题的 CrowdStrike 驱动程序并恢复受影响的系统。尽管有这个工具，但许多企业仍面临着漫长的恢复过程，因为每个设备都需要手动修复。

当威胁者开始参与其中，事情变得更糟。网络犯罪分子分发假冒的 CrowdStrike 修复工具和手册，传播恶意软件，包括新的 Daolpu 信息窃取程序。这些网络钓鱼活动针对试图从中断中恢复的企业，进一步推迟了中断。

假 CrowdStrike 修复推送信息窃取恶意软件

投资者很快对 CrowdStrike 提起诉讼，指责其在质量保证流程中存在疏忽，并且未能阻止有问题的更新发布。

微软还宣布，他们将考虑更改内核驱动程序处理策略以应对该事件，并鼓励防病毒供应商限制内核驱动程序的使用，以防止此类崩溃事件的发生。

11.卡巴斯基在美国被禁——软件自动被UltraAV取代

6 月，拜登政府宣布即将禁止卡巴斯基反病毒软件，让客户在 2024 年 9 月 29 日之前寻找替代安全软件。该禁令不仅涉及卡巴斯基软件在美国的销售，还阻止该公司向客户提供防病毒和安全更新。一个月后，卡巴斯基开始关闭其在美国的业务，拜登政府的决定使业务“不再可行”。

卡巴斯基决定将其美国客户群出售给 Pango，并于 9 月初向客户发送电子邮件表示他们将获得 UltraAV 软件的免费升级。然而，该公司并没有向客户明确表示将卸载其软件，9月19日，卡巴斯基用户突然发现他们的卡巴斯基产品被删除，而无论他们是否愿意，UltraAV被强制安装在他们的计算机上。这让许多卡巴斯基客户感到不满，因为他们的设备上安装了未经许可或明确通知的软件。

10.俄罗斯国家支持的黑客入侵微软公司电子邮件

今年 1 月，微软披露，俄罗斯国家支持的威胁者于 2023 年 11 月入侵了其公司电子邮件服务器，窃取了其领导层、网络安全和法律团队的电子邮件。

该黑客组织被称为 Midnight Blizzard（又名 Nobelium，或 APT29），是一个与俄罗斯对外情报局（SVR）有联系的国家支持的网络间谍组织。

微软后来透露，威胁者进行了密码喷射攻击，允许访问遗留的非生产测试租户帐户。该测试租户帐户还可以在 Microsoft 的企业环境中访问具有提升权限的 OAuth 应用程序，从而允许黑客从企业邮箱窃取数据。

2024 年 3 月，黑客利用被盗电子邮件中的信息再次入侵 Microsoft，从而窃取了源代码存储库。CISA 在 4 月份证实，美国联邦机构和微软之间的电子邮件也在这次攻击中被盗。这些电子邮件包含的信息使黑客能够访问某些客户的系统。

9. 国家公共数据泄露暴露了用户个人信息

8 月份，近 27 亿条美国人的个人信息记录在黑客论坛上泄露，暴露了姓名、社会安全号码、所有已知的实际地址以及可能的别名。这些数据是从国家公共数据公司窃取的，该公司收集和出售个人数据的访问权限，用于背景调查、获取犯罪记录以及供私家侦探使用。

Have I Been Pwned 的 Troy Hunt 分析了这次泄露，并确定其中包含 1.34 亿个唯一的电子邮件地址，这是一次可怕的数据泄露事件。泄露事件背后的威胁者试图以 350 万美元的价格出售它，但它最终在黑客论坛上免费泄露。

8. 针对边缘网络设备的攻击猖獗

今年，我们继续看到针对不同制造商的边缘网络设备的攻击，包括 Fortinet、TP-Link、Ivanti 和 Cisco。这些类型的设备是有价值的目标，因为它们暴露在互联网上，一旦遭到破坏，威胁者就可以进入内部网络。针对此类设备的攻击事件太多，暂不叙述。

7. CDK Global 勒索软件攻击摧毁了汽车经销商行业

汽车经销商软件即服务提供商 CDK Global 遭受 Black Suit 勒索软件攻击，致使该公司关闭系统，导致客户无法正常运营业务。

CDK Global 为汽车行业客户提供 SaaS 平台，处理汽车经销商运营的各个方面，包括 CRM、融资、薪资、支持和服务、库存以及后台运营。

由于美国的许多汽车经销商都使用该平台，此次故障导致了大范围的中断，经销商无法跟踪和订购汽车零部件、进行新的销售以及提供融资。

6. SnowFlake 数据盗窃攻击

今年 5 月，威胁者开始出售他们声称从 Snowflake 云数据平台客户那里窃取的数据。对攻击进行调查后，确定威胁者并未破坏 Snowflake，而是使用受损的凭据登录客户的 SnowFlake 帐户。

这些凭据是通过信息窃取恶意软件窃取的。一旦他们登录该帐户，就可以导出数据库并利用它们勒索公司支付赎金，以获取不公开发布的数据。

AT&T 7 月份披露，事件期间有 1.09 亿客户的通话记录被泄露，这些数据是从该公司 Snowflake 账户的在线数据库访问的。 TicketMaster 也受到了影响，威胁者声称窃取了 5.6 亿客户的数据。

与这些攻击相关的数据泄露始于 2024 年 4 月，影响了数亿使用 AT&T、Ticketmaster、Santander、Pure Storage、Advance Auto Parts、Los Angeles Unified、QuoteWizard/LendingTree 和 Neiman Marcus 服务的用户。11 月，美国司法部对 Connor Riley Moucka 和 John Erin Binns 两人提起起诉，他们被指控为袭击事件的幕后黑手。

据称，威胁者在这些攻击中勒索了 250 万美元，AT&T 为黑客删除被盗通话记录支付了 37 万美元。

5. 朝鲜 IT 工人计划

据悉，越来越多的朝鲜 IT 工人试图在美国和其他国家从事网络间谍活动并为其国家的运营创造收入。5 月，美国司法部对五人提出指控，其中包括一名美国公民女性、一名乌克兰男性和三名外国人，罪名是他们参与帮助朝鲜 IT 工作渗透到美国就业市场，为朝鲜核武器计划创收。7 月，电子邮件安全公司 KnowBe4 聘请了一名朝鲜黑客作为其首席软件工程师，该工程师试图在网络上安装窃取信息的恶意软件。

8 月，司法部逮捕了一名纳什维尔男子，他被指控帮助朝鲜 IT 工人在美国各地的公司获得远程工作，并经营一个笔记本电脑农场，他们曾冒充美国个人。Mandiant 和 SecureWorks 随后发布了有关朝鲜 IT 工人威胁的报告，分享了他们的策略以及公司如何应对此情况的出现。

4. UnitedHealth Change HealthCare 勒索软件攻击

今年 2 月，UnitedHealth 子公司 Change Healthcare 遭受大规模勒索软件攻击，对美国医疗保健行业造成了巨大破坏。

停电使医生和药房无法提出索赔、药房无法进行折扣交易，导致患者支付全价药物。这次攻击最终与 BlackCat 勒索软件团伙（又名 ALPHV）有关，该团伙使用窃取的凭据破坏了该公司的 Citrix 远程访问服务，该服务没有启用多重身份验证。

在攻击过程中，攻击者窃取了 6 TB 数据并最终加密了网络上的计算机，导致该公司关闭 IT 系统以防止攻击蔓延。该公司承认支付赎金要求以获得解密器并要求威胁者删除被盗数据。

据实施此次攻击的 BlackCat 勒索软件附属公司称，赎金据称为 2200 万美元。在 Change Healthcare 攻击之后，BlackCat 勒索软件业务面临着来自执法部门的巨大压力，导致其关闭。在 UnitedHealth 支付了据称 2000 万美元的赎金后，勒索软件团伙退出骗局，窃取了所有资金，并且没有与实施攻击的附属机构分享任何资金。

UnitedHealth 称 BlackCat 退出骗局

该附属公司声称仍然拥有 Change Healthcare 的数据，他们用这些数据再次勒索该医疗保健公司，这次是使用 RansomHub 的勒索网站。

最终，这些数据在勒索事件中消失，这可能表明又支付了一笔赎金。今年 10 月，UnitedHealth 证实超过 1 亿人的个人和医疗数据被盗，这是近年来最大规模的医疗数据泄露事件。

3.LockBit 遭到执法打击

2 月 19 日，当局拆除了 LockBit 的基础设施，其中包括托管数据泄露网站及其镜像的 34 台服务器、从受害者窃取的数据、加密货币地址、解密密钥以及附属面板。这次破坏是名为“克罗诺斯行动”的国际执法行动的一部分。

LockBit 服务器上的执法部门扣押消息

五天后，LockBit 重新启动了新的基础设施，并威胁将更多的攻击集中在政府部门。然而，该勒索软件团伙再也无法恢复以前的辉煌，其附属机构已转向其他勒索软件业务。

在过去的一年里，执法部门继续针对 LockBit，识别并指控了 7 名 LockBit 勒索软件成员。被指控的人中包括勒索软件操作的主要操作者，又名“LockBitSupp”和“putinkrab”。

LockBit 最近开始测试一款名为 LockBit 4 的新加密器，它与之前的版本似乎没有太大区别。

2. Windows 11 召回

微软新的基于人工智能的 Windows 11 召回功能引起了网络安全社区的广泛关注，许多人认为这是一个巨大的隐私风险，也是威胁者可以利用来窃取数据的新攻击媒介。

在遭到强烈反对后，微软推迟了该软件的发布，以提高其安全性，要求用户选择在其计算机上启用 Recall，并且必须通过 Windows Hello 确认自己位于 PC 前，才能重新启动该软件并使用它。

微软继续推迟其发布，同时添加了额外的功能，例如自动过滤敏感内容，允许用户排除特定的应用程序、网站或私人浏览会话，并且可以根据需要将其删除。然而，在将该软件发布给Windows Insiders进行测试后，人们发现Windows 11 Recall并没有正确过滤信用卡等敏感信息。微软表示，随着新问题的发现，他们将继续改进该产品。

1.信息窃取者活动猖獗

信息窃取恶意软件活动今年十分猖獗，出现在许多不同的活动，以窃取受感染用户的浏览器信息、cookie、保存的凭据、信用卡和加密货币钱包。

虽然信息窃取已经存在多年，但威胁者在广泛的活动中使用它们时尤其突出。这些被盗的凭证随后被用于破坏公司网络、银行账户、加密货币交易所和电子邮件账户。

围绕信息窃取者的故事太长，以下是今年信息窃取者造成的一些事件：

·黑客劫持 Orange Spain RIPE 账户造成 BGP 严重破坏

·全球信息窃取恶意软件针对加密用户、游戏玩家

·Windows 漏洞在零日攻击中滥用盲文“空格”

·恶意广告通过虚假验证码页面推送 Lumma infostealer

·“GitHub Scanner”活动滥用存储库来推送恶意软件

·网络犯罪分子冒充 Stack Overflow 用户来推送恶意软件

对于那些被窃取信息的人来说，由于威胁者窃取加密货币并访问受害者的银行账户，其可能会遭受毁灭性的经济损失。

防止此类攻击的最佳方法是在所有提供保护的帐户上使用身份验证器应用程序启用双因素身份验证。启用 2FA 后，即使威胁者拥有凭据，如果没有身份验证器生成的代码，他们也将无法登录。

为进一步提升新质公安战斗力，以人工智能技术强势赋能取证领域的变革，美亚柏科Qiko+再上新，重磅推出Qiko大模型一体机。深度融合大模型能力与取证数据，为智能取证业务开辟全新纪元！

Qiko大模型一体机是一款专为取证实验室打造的智慧大脑和算力中心，在电子取证数据分析中，赋能实验室的取证和分析装备，对案件及检材进行深度智能分析，包括嫌疑人特征刻画、涉案聊天记录分析、文档归类等；实现图片、视频、音频、文本等多维数据的融合分析，该多模态数据融合分析能力，能极大地提升取证效率，拓展案件分析深度和广度，助力执法人员从海量数据中快速定位关键信息。

产品亮点

一 真智能：快、准、深

01 直观展示关注线索

通过大模型的语义理解能力，系统能够自动识别与案件相关的可疑网址、可疑应用、涉案图片等信息，帮助分析人员一目了然把握案件脉络，提高工作效率。

02 深度挖掘关联线索

通过大模型的语义理解和实体关系抽取等技术，从海量聊天记录、文档中自动定位到涉案线索（主流案件类型分析结果准确高达90%以上），自动关联对应的图片、音频、视频等非结构化信息，融合形成完整证据链条，为案件调查提供新的视角和方向。包括以下能力：

·AI聊天分析：快速分析定位涉案的聊天内容，刻画关键信息，通过群亲密关系、群发言活跃度、群发言发布定位到关联人员，并进一步溯源和研判。

·AI识别涉案文档：通过分析文档的内容，自动将繁杂的文档进行归类，根据不同案件类型推出对应的涉案文档，减少用户的分析时间。

·AI多语言翻译: 支持英语、韩语、日语等200多种语言的离线翻译，支持快速检索和溯源。

·AI识别语音：支持从英语、汉语、日语等20种音频中提取文本内容，支持快速检索和溯源。

·AI图片分类：支持包含人脸、车辆等160种图片智能识别和分类。

·AI识别图片内容：支持证件类OCR识别、通用图像OCR识别，包括处理倾斜、旋转或不规则排列的文字。

·AI识别二维码：支持包括标准QR码、Data Matrix码和PDF417码等类型的二维码。

·AI识别网址：支持贷款、色情、博彩等上百种网站类型的识别。

·AI识别实体信息：支持包括身份证等实体的智能识别和挖掘。

·AI识别视频内容：实现视频内容的全面文本化处理。

03 精准刻画行为规律

结合大模型+大数据的分析技术，系统能够精准分析涉案人员的行为模式，挖掘其活动规律，为案件侦破提供科学依据，提升侦破效率。

04 灵活检索海量数据

通过大模型的多模态融合能力，大模型一体机提供高效的数据检索能力，支持关键词、时间轴、以文搜图、以图搜图、二次检索、批量检索等多种检索方式，让信息检索变得简单快捷。

二 真好用：每个人都能用

01 集成自主研发的Qiko智能平台

数据不出域，随时随地轻松使用大模型；根据实际需求，快速配置个性化分析逻辑，实现高度定制化的行业智能体。

02 内置国内首个公共安全行业大模型

基于更广泛公共安全数据训练而成，能够对复杂多变的公共安全场景进行精准分析，集成更贴近实战的取证知识库。

三 真酷炫：实验室科技范

01 高集成高性能

采用软硬件一体化设计，确保高性能运算的同时，简化了部署与维护流程，为执法部门提供即插即用的便捷体验。

02 低嗓音低温度

采用液冷静音的散热方式，散热性能出色，运行稳定，可脱离机房使用。

若需了解或采购该产品，可联系本地销售或扫描下方二维码填写相关需求

现如今，利用手机进行犯罪活动的现象屡见不鲜，手段愈发隐匿复杂。为快速响应手机取证环境的变化和解决现有手机取证难点，美亚柏科手机大师系列不断创新升级，近期再度取得重大突破，基于超级取证大师研发推出手机大师NEXT版。手机大师经典版用户一键升级至V3.2.08904版，即可新增安装手机大师NEXT版（升级后，原手机大师经典版仍可正常使用）。

新一代手机大师具备创新交互模式、AI智能分析、数据赋能联动、取证性能显著提升等亮点。本次手机大师NEXT版更是提供计算机取证、系统仿真、路由器取证、汽车取证等取证功能的3个月试用，体验真融合、最全面的取证产品。

手机大师NEXT版

核心亮点

01 创新交互模式

基于全新交互设计，取证流程全面优化，精准识别飞行模式、系统分身、应用分身、敏感应用及 iOS 提取等各类检材状况，快速筛选已安装应用，支持一键勾选备份，显著提升取证效率，文件取证三合一（镜像文件、应用程序、手机备份文件）操作更简便。

智能预检

取证项设置

（仅显示手机已安装应用）

文件取证三合一

02 取证性能全面提升

引入WiFi取证技术、稀疏文件技术、文件系统读写技术及全文索引技术等多项先进技术，从底层优化取证流程，全方位加速取证进程，效率提升两倍以上，引领行业取证“新速度”。

行为分析

群聊分析

数据挖掘

AI智能分析能力，需额外的算力资源支撑。可进行本地大模型一体机私有化部署算力，也可依托美亚取证VPN网的大模型服务进行体验。具体可在“系统设置”里面进行灵活设置。

系统设置

04 数据联动赋能

联动取证云平台，实现检材信息联查，赋能取证分析，通过划词选中目标实体，即可快速实现实体识别和信息联查。

信息联查

适配产品

手机大师NEXT版已实现DC-4501手机大师V3/V4/V5/V6系列产品适配升级，更多产品适配将陆续推出，敬请期待！

DC-4501 手机大师V3/V4/V5/V6系列

升级操作说明

步骤01

手机大师经典版在线升级检测到新版本，点击“确认”。

步骤02

升级完成后，将自动跳转至下载手机大师NEXT版的界面。

步骤03

下载完成后，将自动跳转至手机大师NEXT版安装界面，根据提示完成安装。

步骤04

安装完成后，登陆手机大师NEXT版，开启全新体验。

手机大师NEXT版是一款极具突破性的一站式取证分析软件，旨在通过创新引领变革，以科技助力正义。未来，美亚柏科将继续深耕取证领域，为执法机关提供更多优质产品，共同开启取证新篇章。

据悉，2025年1月2日，盛邦安全（股票代码：688651）战略投资星展测控科技股份有限公司，双方将围绕卫星通信、无人飞行装备的安全体系展开深入合作，共同打造面向低空经济的新场景、新应用。国泰君安为本次投融资活动提供财务顾问支持。

星展测控（股票代码：831244）于2014年10月挂牌新三板，长期致力于卫星通信设备及工业无人机系统的研发、生产和销售，产品应用于国防、航空、航海、应急通信以及偏远地区的网络覆盖，客户涵盖应急管理部、三大运营商等众多领域知名企事业单位及科研院所，为国内同时掌握卫星通信技术和无人机系统技术的专业厂商。

盛邦安全（688651.SH）于2023年7月科创板上市，专注卫星互联网安全、网络空间地图、漏洞及漏洞工程化、应用安全防御、密码安全等五个领域的产品研发及服务。

盛邦安全在卫星互联网领域的技术积累，结合星展测控在卫星通信设备和无人机系统的高新技术优势，双方将在卫星互联网安全、低空经济场景拓展、应急救援等领域展开深度合作。

竞逐低空  助力无人装备安全新赛道

2024年被称为“低空经济”元年，瞄准当下炙手可热的低空经济产业方向，星展测控凭借轻量化机载宽带卫星通信技术，成功研发可搭载卫星通信设备及作业载荷的卫星通信无人机系统。 盛邦安全和星展测控在此领域的产品布局与技术融合大有可为。在无人机通信与安全、软件与硬件结合、安全防护技术与测控技术在低空经济领域的融合等领域，双方无疑能共同开发出更具针对性的解决方案，推动无人机技术在低空经济中的应用，拓展新的应用场景和商业模式，保障低空安全。

技术拓展 进军卫星通信产品领域

全球卫星互联网发展如火如荼，星展测控深耕移动卫星通信领域多年，盛邦安全依托网络安全与卫星通信安全的双重优势，为客户提供包括漏洞检测、防御体系建设以及卫星互联网链路级加密安全的完整解决方案，并针对不同的应用场景，如车载、机载、船载等，提供量身定制的产品和服务。星展测控将与盛邦安全携手，共同促进卫星通信市场开发和运营、通用航空运营等领域的发展，实现互利共赢。

市场突破 开拓应急救援场景

星展测控在应急救援市场的口碑卓然。据悉，星展测控的应急通信设备在多个重大事件中发挥了关键作用。盛邦安全看准这一竞争优势，积极进入应急救援场景。在应急救援领域，卫星通信技术至关重要，星展测控的技术能够提供可靠的通信保障，盛邦安全则可以从网络安全的角度确保救援过程中的信息安全。

此次投资不仅是2025年网络安全行业的首个投资事件，也是盛邦安全继2024年战略入股天御云安之后，又一次在卫星互联网行业的战略投资项目，展现了盛邦安全在卫星互联网安全产业侧布局与场景深耕的决心与行动力。 

近日，在中国证监会科技监管司的指导下，依据证券信息技术研究发展中心（上海）（简称“ITRDC”）相关制度，证券期货行业网络安全创新实验室近期组织专家完成了2023年度行业共研课题的结题评审，国泰君安联合梆梆安全共研课题《移动应用全生命周期的安全能力建设》荣获ITRDC结题证书。

证券期货行业网络安全创新实验室是由中国证监会批准成立、在证券信息技术研究发展中心（上海）下设立的证券行业技术交流平台，致力于推动行业安全前沿科技研究、应用与经验分享。

《移动应用全生命周期的安全能力建设》课题由国泰君安和梆梆安全联合共研，主要针对移动应用全生命周期的四个维度进行研究，包括：

·通过移动应用加固、移动应用安全SDK等技术提升移动应用的基础安全防护能力；

·通过移动应用的动静结合的代码扫描等技术提升移动应用安全检测能力；

·通过针对APP的安全监测以及API的安全监测提升移动应用安全监测能力；

·通过移动安全能力平台的建设提升企业的移动应用安全攻防能力。

针对移动应用基础安全防护方向，移动应用保护技术，创新实现了代码虚拟化保护技术、源到源代码混淆加密技术、汇编指令微虚拟化加密技术、白盒密码技术，为移动应用提供防代码逆向、防动态调试、防恶意篡改、防数据窃取、防密钥泄露等全面的安全保护能力，解决企业在数字化开发过程中的面临的移动应用破解问题。

针对移动应用安全检测方向，APP安全检测旨在对Android-APP、iOS-APP、Android-SDK、公众号、小程序等多平台应用形态通过漏洞特征识别、模拟攻击、成分识别、等检测技术，全方位扫描应用的不良配置、敏感信息泄露、程序代码缺陷、通信传输不安全、安全防护能力不足、恶意代码等问题。精准定位风险，并提供专业的修复建议，在提升安全检测效率同时，保障移动互联网产业链的进一步健康、快速发展。

针对移动应用安全监测方向（基于APP的安全监测），APP安全监测，致力于解决灰产、黑客、违规等业务安全问题，帮助用户建立移动端运行时动态安全监测体系，让管理者对应用发布后的各类攻击、威胁、风险、运营情况做到实时掌控。平台提供应用发布后运行时的安全监控与运行监测服务，对攻击威胁能够做到感知、预警、阻断、溯源，全面提升业务安全防护强度。

针对移动应用安全监测方向（基于API的端到端&全渠道的安全监测），端到端&全渠道的API安全监测综合利用前端检测技术与后端流量分析技术，在API访问端和API服务端之间建立端到端的安全访问机制，降低在设计API之初所遗留的安全风险，并引入零信任理念，建立可信机制，确保前后端访问行为均经安全认证，采用AI/ML技术，针对大量的业务往来和频繁的业务更新以及不断变化的攻击方式，进行动态持续化的检测及自动化防御机制，解决企业在数字化转型下建立的新业务所带来的新型安全风险等问题。

针对移动应用安全攻防方向，移动安全能力平台提供了丰富的移动安全攻防有效的经验方法知识库、解决人员可持续成长需求；基于标准化风险研究，实现自动化检测能力、并提供脱壳、注入、流量代理等工具，解决技术工具缺失问题；场景化的操作流程，为业务实现提供了标准参考，规范化管理。最终，实现“人+经验+工具/技术+流程”的闭环运行，使企业在安全攻防能力和在多重业务场景下的工作效率上形成有效的提升。

本次国泰君安联合梆梆安全共研课题荣获结题证书，体现了行业权威机构对梆梆安全研究能力与技术实力的高度肯定。梆梆安全将认真总结本次课题收获的研究经验，再接再厉，紧紧围绕国家重大战略和金融科技发展方向，积极推进公司在金融移动安全领域的研究能力与落地实施水平，赋能金融行业高质量发展。

伊朗恶意分子正在利用名为 IOCONTROL 的新恶意软件来破坏以色列和美国关键基础设施使用的物联网 (IoT) 设备和 OT/SCADA 系统。

目标设备包括路由器、可编程逻辑控制器 (PLC)、人机界面 (HMI)、IP 摄像头、防火墙和燃料管理系统。该恶意软件的模块化特性使其能够危害不同制造商的各种设备，包括 D-Link、Hikvision、Baicells、Red Lion、Orpak、Phoenix Contact、Teltonika 和 Unitronics。

Claroty 的 Team82 研究人员发现了 IOCONTROL 并对其进行了采样进行分析，他们报告说，这是一种民族国家网络武器，可以对关键基础设施造成严重破坏。

鉴于持续的地缘政治冲突，IOCONTROL 目前用于针对以色列和美国的系统，例如 Orpak 和 Gasboy 燃料管理系统。据报道，该工具与一个名为 CyberAv3ngers 的伊朗黑客组织有关，该组织过去曾对攻击工业系统表现出兴趣。

OpenAI 最近还报告称，该威胁组织使用 ChatGPT 来破解 PLC、开发自定义 bash 和 Python 漏洞利用脚本，并计划入侵。

IOCONTROL 攻击

Claroty 从 Gasboy 燃油控制系统中提取了恶意软件样本，特别是该设备的支付终端 (OrPT)，但研究人员并不确切知道黑客是如何用 IOCONTROL 感染它的。

在这些设备内部，IOCONTROL 可以控制泵、支付终端和其他外围系统，从而可能导致中断或数据被盗。

威胁者在 Telegram 上声称破坏了以色列和美国的 200 个加油站，这与 Claroty 的调查结果一致。这些攻击发生在 2023 年末，大约与水处理设施中的 Unitronics Vision PLC/HMI 设备遭到破坏的时间相同，但研究人员报告称，新的攻击活动于 2024 年中期出现。截至 2024 年 12 月 10 日，66 个 VirusTotal 防病毒引擎均未检测到 UPX 打包的恶意软件二进制文件。

Gasboy 燃油控制系统是从中提取恶意软件的地方

恶意软件功能

该恶意软件以“iocontrol”名称存储在“/usr/bin/”目录中，使用模块化配置来适应不同的供应商和设备类型，针对广泛的系统架构。它使用持久性脚本（“S93InitSystemd.sh”）在系统启动时执行恶意软件进程（“iocontrol”），因此重新启动设备不会将其停用。

它通过端口 8883 使用 MQTT 协议与其命令和控制 (C2) 服务器进行通信，这是物联网设备的标准通道和协议。唯一的设备 ID 嵌入到 MQTT 凭证中，以实现更好的控制。

DNS over HTTPS (DoH) 用于解析 C2 域，同时规避网络流量监控工具，并且恶意软件的配置使用 AES-256-CBC 进行加密。

IOCONTROL 支持的命令如下：

·发送“hello”：向C2报告详细的系统信息（例如主机名、当前用户、设备型号）。

·检查执行：确认恶意软件二进制文件已正确安装且可执行。

·执行命令：通过系统调用运行任意操作系统命令并报告输出。

·自删除：删除自己的二进制文件、脚本和日志以逃避检测。

·端口扫描：扫描指定的 IP 范围和端口以识别其他潜在目标。

上述命令是使用从“libc”库动态检索的系统调用执行的，并将输出写入临时文件以进行报告。

简化的攻击流程

鉴于 IOCONTROL 目标在关键基础设施中的作用以及该组织的持续活动，Claroty 的报告为防御者提供了宝贵的资源，可以帮助他们识别和阻止威胁。

• 16+ 不同领域

• 30+ 标准

• 8+ 地方规章

• 1+ 思维导图

涵盖：

• 数据目录管理要求/办法/制度

• 数据目录编制案例/实例/成果

• 数据目录体系

• 数据目录体系规范

• 数据目录设计规范

• 数据目录编制规范/指南

• 数据目录申报指南

• 数据目录报送/编制模板/样例

• 数据共享责任清单等

相关资料获取

请文末评论留言

(特别说明：本文资料仅供参考，最终请以官方最新版本为准)

思维导图

（点击可放大查看）

数据目录管理要求/办法/制度

（节选示例）

数据目录编制案例/实例/成果

（节选示例）

数据分类分级、制定重要数据目录试点成果分享—优秀案例：

数据目录体系

（节选示例）

JT∕T 747.1-2020 交通运输信息资源目录体系第1部分_总体架构

数据目录体系规范

（节选示例）

DB11∕T 337-2021 政务数据资源目录体系规范（北京市）

数据目录设计规范

（节选示例）

T∕XAZN XXX—XXXX 智能交通行业数据资源目录设计规范

数据目录编制规范指南

（节选示例）

DB33∕T 1354.2-2024 产业数据仓第2部分：数据资源编目规范（浙江省）

数据目录申报指南

（节选示例）

中国（天津）自由贸易试验区企业重要数据目录申报指南

数据目录报送/编制模板/样例

（节选示例）

T∕BFIA 020-2023 金融数据资源目录编制指南

T∕GDWJ 024—2024 健康医疗信息重要数据识别和管理指南

数据共享责任清单

（节选示例）

湖北省省级数据共享责任清单

来源：重庆信通设计院天空实验室

为进一步宣传贯彻《网络安全法》，加速网络安全人才的培养和发展，推动网络安全技术的研究和应用，加强我国网络安全意识和防范能力。2024年江苏省第六届大学生网络空间安全知识技能大赛，12月28日于江苏安全技术职业学院云龙校区举办。

博智安全科技股份有限公司（以下简称“博智安全”）作为本次大赛协办和唯一技术支持单位，将为大赛赛事运营保障、综合流程把控、现场技术支撑等多方面提供全流程支持，充分发挥博智安全在赛事运营与综合实践中积累的丰富经验，有效助力实战环境下高效遂行能源网络安全防护提供有力支撑及人才保障。

比赛环节

本次竞赛包含夺旗解题、渗透测试、应急溯源、安全故障恢复等典型业务场景安全分析模块，各参赛选手依据竞赛模式通过给定赛题进行通过离线分析或在线交互的方式进行解题。

博智安全依托博智孪生仿真靶场，通过构建虚实结合的网络安全环境，提供集教、学、练、赛于一体，基于数字孪生技术，将虚拟网络环境与真实物理环境，以即插即用的方式无障碍连通，实现虚拟与真实融合。通过理论赛、解题赛、闯关赛、攻防赛等多种模式，提供全方位贴近实战的竞赛场景，满足各行业网络安全人才培养及选拔、网络安全大赛平台搭建以及实战对抗演练的需求，锤炼人员实战能力，是网络安全以赛备战的练兵场。

闭幕式

江苏省计算机学会副理事长、中国矿业大学计算机科学与技术学院院长周勇教授和江苏安全技术职业学院校长李桂萍教授在闭幕式上致辞。江苏省计算机学会信息安全专委会主任、南京信息工程大学计算机学院院长付章杰教授，江苏省计算机学会信息安全专委会秘书长、江苏师范大学计算机科学与技术学院刘亚丽教授，博智安全副总裁王路路等专家出席闭幕式，并为获奖队伍颁奖。

博智安全积极推进“网络强国”战略

本次大赛进一步宣传贯彻了《网络安全法》，落实中央网信办、教育部等部门印发的《关于加强网络安全学科建设和人才培养的意见》精神，在实战过程中培养大学生的创新精神和实践能力，形成学会主办、各行业部门深度参与的优秀网络安全人才培养、发现、选拔良性机制，加速网络安全人才的培养和发展，推动网络安全技术的研究和应用，加强我国网络安全意识和防范能力，促进网络安全事业健康、科学、有序发展。

多年来，博智安全高度重视网络安全人才培养。网络安全就是国家安全，培养高素质网络安全人才是根基所在，作为专业网络靶场提供商，博智孪生仿真靶场拥有领先的技术优势及网络安全竞赛服务经验。博智安全将牢记使命，充分发挥自身技术优势，助力政府、高校、产业界培养攻防兼备的网络安全人才，为“网络强国”战略持续供能。

讲战争走向和无人机对抗之类的文章太多了，本文也不扯什么意识形态的东西，我们换个角度，就单从一个国家安全部门的专属职能之一：反窃密安全检测能力上，讲几件事，权当笑话听吧。

声明：以下内容来源符合OSINT国际开源情报搜集标准，不涉及任何非法行为，部分取自RC2全球威胁情报库，仅供交流与参考。

0x01 乌克兰调查局局长办公室

2019年，发现窃听器材

2019年，在国外TSCM技术圈，突然爆出了一个消息，某商业物理安全检测团队，在应邀对乌克兰调查局局长办公室开展专业安全检测时，竟然真的在墙壁里查出了窃听器材。

从下图上看，该器材能够部署在墙壁里，且传输线路一直紧贴砖缝，这显然并不是临时行为，应该是由专业人士在最近一次装修，或者改建初期就直接部署的。

★小知识：

SBI，The State Bureau of Investigation，即乌克兰国家调查局，乌克兰语：Державне Бюро Розслідувань，是乌克兰的重要执法机构，负责调查涉及执法人员、法官和高级官员的刑事诉讼。作为乌克兰的强势部门之一，曾发布对已逃离乌克兰的前司法部长和前外交部长的红色通缉。

下图是位于乌克兰基辅的SBI总部大楼。

发现窃听器这件事的曝光，一方面展示了该商业TSCM团队的专业性，另一方面则赤果果地暴露出乌克兰安全部门在反间谍检测方面的能力不足。

嘿嘿，一位重要部门的局长办公室，居然被安放了窃听器材，且多年来从未被发现，直到被一个商业团队检测出。可想而知，莫非局内部安全保卫部门都是一群浆糊，还是说自身反间谍检测能力实在差的离谱？

这件事造成的不良影响可不仅仅是发现器材这件事本身，更关键的是，这是由一家民营TSCM商业检测公司的技术团队发现的。对于乌克兰国家安全机构来说，这就已经不是耻辱，已经升级到羞辱级别了

0x02 乌克兰武装部队总司令办公室

2023年，发现窃听器材

据相关栏目报道称，2023年12月17日，乌克兰武装部队总司令瓦列里·扎卢日内的办公室发现了窃听装置。 

该窃听器可能是在总司令的新办公室中发现的，在他搬迁之前对该办公室进行了检查。

几个小时后，乌克兰安全部门SBU发表了声明。SBU部门强调，该“窃听器”不是安装在总司令的办公室，而是安装在“乌克兰武装部队总司令的潜在办公地之一”。换句话说，这个房间只是为了让军事领导人可以在里面工作而准备的。

至于窃听器材本身，安全部门的某位负责人指出，这是“一种过时的器材，早在[前总统维克托]亚努科维奇时代就被乌克兰部门使用过。”

“根据初步判断，该器材已无法运行。尚未确定存储信息的方法或远程传输录音的方法。该窃听器材已提交专业部门检查。”SBU 声称。

杨叔：What？这位前总统 维克托亚努科维奇 不是自2014年逃亡俄罗斯后，就被乌克兰政府通缉了吗？怎么人家离开后，安全部门没有及时对关键内部办公场所做彻底的反窃密检测吗？

★小知识：

SSU，The Security Service of Ukraine，即乌克兰国家安全局，是该国的主要情报、执法和安全机构。注意：它也通常被称为 SBU，这是从乌克兰语西里尔文音译而来的缩写。

下图是SBU的网络安全情报中心。

但有趣的是，几乎同时，军事分析家兼《审查网》杂志主编尤里·布图索夫发布说：发现了不止一个“窃听器”，其中一个在扎卢日尼的办公桌下，另一个在他的助手康斯坦丁·布修耶夫的办公室里。

乌克兰武装部队总参谋部也证实发现了两个窃听器，并在随后一份声明中表示：“在乌克兰武装部队总司令和支持其活动的机构雇员的办公室内发现了窃听器材。”

乌克兰军方的瓦列里·康德拉图克将军甚至指出：“可以立法仅授予两个部门在政府官员办公室安装窃听设备的权利：乌克兰安全局和国家反腐败局。但要执行此类程序行动，他们必须获得法院批准。”

“但无论如何，像这次“窃听器”被非法安装在总司令办公室里的情况，就是乌克兰军事反情报部门的严重失职，他们本应能阻止此类事件的发生。”

据西方媒体报道，过去几个月，许多观察家和记者报道了总统弗拉基米尔·泽连斯基和瓦列里·扎卢日尼之间的严重冲突。据称总统对扎卢日尼的受欢迎程度和他的采访感到恼火，他在采访中宣布前线陷入僵局并过渡到堑壕战。

放个图，可以看看双方的表情，都是一脸凝重

当然，乌克兰政府代表立刻否认了：别瞎说啊，没有的事。

0x03 乌克兰安全局监控调查记者

2024年，监视记者被发现

RSF 列出了三起在一周内发生或曝光的案件：

• 案件一：专门调查腐败的媒体 Bihus.info 的工作人员从 1 月 16 日发布在社交媒体上的一段视频中发现，他们几个月来一直遭到秘密拍摄和窃听

• 案件二：涉及驻敖德萨的调查记者 Iryna Hryb，她报道了该地区的粮食出口情况，并在车里发现了多个监听装置，可以用来监听她的电话或与乘客的对话，并追踪她的行踪。

• 案件三：涉及反腐媒体 Nashy Hroshy 的调查记者 Yuriy Nikolov。1 月 14 日，有蒙面人试图强行闯入他在基辅的公寓，同时威胁要强行征召他加入乌克兰军队，抵抗俄罗斯入侵。

在案件一里，涉及的隐藏摄像头拍摄的 Bihus.info 记者的不雅照片和录音被发布在社交媒体上后，该网站的主编发誓他的团队将展开调查，找出责任人。

三周后，在 2 月 5 日发布的一份冗长的视频调查中，丹尼斯·比胡斯主编指责乌克兰安全局 (SBU) 是监视其团队的幕后黑手。

据SBU的一名消息人士告诉法新社，“由于 Bihus Info 员工遭到监视，乌克兰安全局国家保护部负责人罗曼·谢缅琴科被撤职，他被指控在酒店大楼现场动员了大约 30 名特工，在几个房间里隐藏摄像头。这一撤职决定是由乌克兰安全局局长做出的，并得到了总统泽连斯基的批准。”

杨叔：动作这么大，真夸张，不知道的还以为在拍乌克兰版“伯恩的身份”~

而案件二里，调查记者 Iryna Hryb发布了大量车内高清图片，如下图所示，可以清晰地看到多个定位监听器材：

记者Iryna Hryb认为，监视行为应该与她完成的敖德萨州粮食走廊的报告有关，据她称，该报告涉及敖德萨州军事管理局、经济安全局、敖德萨海关办公室和税务局。

愤怒的美女调查记者同时表示：“在一个处于战争状态的国家，执法部门却在恐吓和迫害记者和博主，这真是一种耻辱。”

哈哈，乌克兰安全局在反间谍方面的能力还有待商榷，但是在对内的技术监视方面，那倒是挥洒自如不遗余力。

杨叔：不过就是这些监视定位的器材吧，怎么感觉有点华强北的风格咩？作为国家安全局的SBU不应该啊？莫非现在经费不足把干活都外包了？

0x04 小结

Talk About Nothing

总之，在最近几年的相关案例中，乌克兰多个安全部门，特别是反间谍反情报部门、安全技术检测部门和技术侦查部门的表现，也算是教科书式丢脸了~

来自网络安全媒体“安全419”的官方消息——沉寂多年的“摇滚&黑客”项目在近期重新启动，全新的“摇滚黑客2025演唱会”将在2025年1月11日在北京开唱。这标志着曾经在网络安全行业火爆一时的“摇滚&黑客”跨界文化项目正式回归。全新的“摇滚黑客2025演唱会”将延续一如既往的“摇滚”和“黑客”元素，继续担任起传播推广网络安全文化的重任。

“摇滚&黑客”项目是由安全419团队及一帮热爱音乐的网络安全产业人士共同发起的一个“音乐圈&网络安全圈”跨界文化公益项目，旨在通过以演出的形式推广网络安全文化，提升民众对网络安全的关注度，培养所有公民的网络安全意识。作为网络安全产业从业者，“摇滚&黑客”项目发起者希望通过举办演唱会这样大众喜闻乐见的形式，向社会传递网络安全行业正能量，通过引发民众对网络安全行业的关注，进一步提升民众对网络安全的认知。

同时，项目发起者认为“摇滚精神”和“黑客精神”，也一直被大众所误解——民间普遍认为“摇滚”就是离经叛道，实际“摇滚精神”同样可以正能量，给予大众激励的作用；而普遍认为的“黑客”其实也并非在网络上作恶之徒，真正的“黑客”实际上是一种勇于挑战突破极限具备“极客精神”的正义之士的注解（行业普遍定义在网络上作恶的被称为“骇客”或者“黑帽子”，而正义黑客则被称为“白帽子”）。

“摇滚&黑客”项目最大的意义在于通过网络安全与摇滚的跨界碰撞，将真正的黑客精神和真实的网络安全产业展现在世人面前，推动网安事业的发展。项目自发起以来，就受到了业界高度关注，众多知名网安企业参与到该项目的众筹中来。而“摇滚黑客2025演唱会”同样来自包括网安产业投资者：密码资本、元起资本、格尔软件、360漏洞云、HackingClub、边界无限、航天启星、和人广智、华鸿信安、熠数信息、无糖信息、云起无垠、丈八网安等众多优秀网安企业的共同协办。不仅如此，此次演唱会将由主办方精心挑选的三组优秀的艺人——“伏蒿”、“张荡荡”和“霓虹之下”负责演出的部分，为大家带来一场充满激情的狂欢盛宴。同时，这恐怕也是2025年国内“正义黑客”最大规模的一次狂欢聚会！

摇滚精神不死，网安创业不息——我们同样希望“摇滚黑客2025演唱会”能通过它特有的表达方式，激励所有正在创业路上的所有网络安全行业从业者们。在1月11日这个一年中最寒冷的“四九天”，给所有人带来温暖和向上的力量！

2025年1月11日，20:00pm，北京·福浪LIVEHOUSE，我们不见不散！

随着数字化转型的深入发展，企业广泛采用API来连接各类应用与后端服务，导致API数量激增，成为企业的核心数字资产和信息基础设施。然而，现有产品/解决方案在API安全方面存在短板，数据安全问题日益突出。

梆梆安全全渠道应用安全解决方案旨在解决API运行时安全，通过加强API安全结合端侧安全，提升企业业务安全性，推动行业在微服务架构下的健康发展，为数字化应用提供可靠的数据交换保障，从而带来更安全、高效的应用。

一. 标签

全渠道应用  API安全   应用安全监测   端到端安全解决方案

二. 用户痛点

1. 渠道多样性带来安全挑战

随着企业不断拓展与客户的互动渠道，包括官方网站、移动应用、小程序，以及H5页面等，多样化“接触点”在提升用户体验的同时，也使得安全防护面临更为复杂的挑战。每一个渠道都有可能成为攻击者发起攻击的突破口，从而增加了企业安全防护难度。

2. 安全策略不一致

企业在通过多样化的互动渠道与客户连接时，需要在各个平台采用不同的安全措施和标准，这种差异化可能导致整体安全策略的不一致性，从而增加安全漏洞出现的风险。

3. 跨渠道攻击

攻击者可能利用不同渠道之间的交互漏洞，发起跨渠道的协同攻击，这种策略性的入侵使得企业的防御措施面临更为严峻的考验，大大增加了安全防护的难度。

4. 用户身份验证和授权

在多渠道运营背景下，维护用户身份真实性和授权正确性构成了一项重大挑战，特别是在应对诸如钓鱼攻击、社交工程等复杂威胁时，这一挑战显得尤为突出。

5. 安全事件响应

在多渠道运营架构下，应对安全事件需跨部门、跨团队的协同作业，这一流程可能造成响应延迟，进而加剧潜在的损害风险。

6. 技术兼容性和集成

鉴于不同渠道往往采用不同的技术栈，企业安全解决方案必须具备跨技术栈的兼容性及集成能力，以确保全面而有效的防护。

7. 用户体验与安全建设的平衡

在加固安全防线的过程中，企业还需平衡业务的稳定可运营，以确保用户体验不受干扰。

三. 产品或解决方案

在移动互联网和物联网技术飞速发展的背景下，多渠道应用安全威胁的市场环境愈发错综复杂。企业为提升用户体验和扩大业务范围，不断拓宽线上应用渠道，然而这也带来了应用层面的安全风险激增。黑客利用跨平台漏洞、API接口安全缺陷、移动设备漏洞等途径发动攻击，导致数据泄露、服务中断、品牌声誉受损事件频发。面对这一现状，市场对能有效应对多渠道应用安全挑战的解决方案需求激增，企业亟需加强应用安全防护，确保用户权益和业务稳定运行。

梆梆安全全渠道应用安全监测通过在访问终端应用集成SDK/JS-SDK探针，同时接入服务端的访问流量，或接入业务访问日志，结合威胁情报等数据进行业务风险综合关联分析，综合利用流式、批式计算技术及机器学习技术，提供客户端风险发现、API攻击发现、端到端联动风险分析及发现，支持与网关或风控系统联动，进行实时风险处置，并支持客户端直接处置，协助客户解决API上线运行后所面临的各种安全风险。

产品总体技术框架

核心能力

（1）风险检测能力

·客户端环境风险检测 

利用自主研发的SDK与JS探针，针对H5轻应用和APP应用（包括Android、iOS、鸿蒙NEXT）进行全面的异常监测与管控。检测内容包括：客户端异常运行环境，如钓鱼网站和自动化工具；异常行为，如机器人访问和客户端调试。实时监测APP运行时的攻击行为，并支持定位溯源攻击者及其手段。同时动态监控APP内部Webview的流量访问，有效发现并管控违规外链域名/IP和内容信息。

·流量风险检测

通过自主研发的离线统计分析引擎和流量检测引擎，能够有效检测网络中的异常行为，包括高频/低频访问、异常大量访问、非工作时间访问、非可信终端和地域访问等，同时支持识别API的脆弱性，如鉴权认证失效、权限和参数未经验证、请求和访问路径异常等，并能检测攻击者利用授权管理和业务逻辑漏洞进行的攻击，如横向越权、越权绕过、薅羊毛、刷单、占库存、抢票等行为。

·机器学习模型检测

利用自主研发的机器学习模型检测引擎，通过机器学习算法进行一段时间的学习可自动形成风险检测基线，如设备指纹基线、渠道访问基线、访问序列基线。

·关联风险事件检测

可对APP风险、轻应用风险、流量风险进行端到端关联分析，并生成准实时风险事件。将前端风险感知与后端流量感知相结合，实现端到端的安全协同。

·风险IP监测

可对接IP情报库，实时监测IP并生成对应风险IP的风险类别，可识别代理IP、秒拨IP、暴力破解IP等多种风险IP类别。支持在线、离线方式更新情报库。

（2）安全处置能力

·输出风险标签

支持将识别出的风险实时同步给第三方系统，由第三方系统采用风险标签并可结合其他维度判断后进行处置。

·重定向

可以设置将访问请求地址重定向至指定地址，有效防止重复提交数据。支持配置重定向地址。 

·流量阻断

通过串接部署，平台可直接阻断不法请求、恶意请求、访问越界等行为。

·客户端阻断

通过APP中的SDK，可支持对运行中的APP实现强制退出、弹窗提醒后强制退出、弹窗提醒等处置动作。

·多维度阻断

可针对攻击源设备、IP、用户进行定向处置，阻断其请求行为。

四、典型应用场景

航空、客运、铁路、演出和电商等行业票务系统长期遭受第三方平台和黄牛党的刷票行为，这不仅导致服务器资源的大量浪费，还存在时效性订单被攻击者利用时间差抢占却未支付的风险。这种行为使得正常消费者难以成功购票，严重影响了用户的体验，并且给商家造成了巨大的经济损失。

解决方案

·渗透嗅探攻击发现：通过SDK实现传输报文签名，在API平台监控报文中间人劫持篡改、重放、报文时间异常等情况，同时关注访问设备环境风险情况，以免形成攻击链；

·批量刷接口监测：通过报文篡改监测，同时针对IP、设备、用户等维度进行统计分析，发现某些访问源持续只访问个别接口，访问目标分布不合理；

·越权漏洞发现：经过客户协调，获取内层对称加密的解密密钥，对于传输消息体（body）进行解密。通过配置越权漏洞检测模型相关参数，发现未授权API接口访问及横向越权疑似漏洞API接口。

五、典型用户及应用价值

1. 某金融客户存在越权漏洞案例

在某金融客户内部攻防演练中，红队渗透测试时发现其生产系统某API接口存在越权漏洞，可批量遍历数据。作为应急措施，相关部门迅速对相应业务实施下线处理，但尚不清楚是否有数据被非法窃取。此前尽管新业务在上线前均进行安全测试，由于业务时间紧迫，此次测试未能及时发现该漏洞，同时业务风险控制及其他安全措施也未能识别出该安全问题。

客户期望

通过实施端到端的API安全监测解决方案，实现对互联网侧API业务访问的实时监测与分析，有效保障数据安全：

1.能够在黑灰产渗透嗅探阶段，提前发现攻击；

2.针对攻击者对漏洞的利用要及时发现，防止大量数据的外泄，同时能够支持溯源评估；

3.通过流量期望进行可能的越权漏洞检测。

解决思路

1.渗透嗅探攻击发现：通过SDK实现传输报文签名，在API平台监控报文中间人劫持篡改、重放、报文时间异常，同时关注访问设备环境风险情况，形成攻击链；

2.批量刷接口监测：通过报文篡改监测，同时针对IP、设备、用户等维度进行统计分析，发现某些访问源只持续访问个别接口，访问目标分布不合理；

3.越权漏洞发现：经过客户协调，获取内层对称加密的解密密钥，对于传输body进行解密，通过配置越权漏洞检测模型相关参数，发现未授权API接口访问及横向越权疑似漏洞API接口。

2. 某电商客户被洗钱案例

来自互联网电商、金融及运营商电商部门的客户反馈，接到来自12315消费者投诉热线或当地市政服务热线12123询问，涉及用户投诉遭遇诈骗，并最终追溯到他们。经过调查发现，这些诈骗事件的操作手法为灰产从业者破解充值/购买商品协议，生成虚假订单引导受害者付款，再通过二次销售手段洗钱变现。在国家对电信诈骗的严厉打击下，灰产难以获取银行卡直接实施诈骗，因此转向利用电商和充值业务作为洗钱的新途径。

客户期望

保障电子渠道业务都来自于自身的合法渠道，尽管这些涉洗钱活动并未直接导致资金损失，但它们可能引发负面舆论和政治影响，同时面临监管压力：

1.提升破解逆向分析的门槛；

2.及时发现自动登录、自动下单等，事中阻止。

解决思路

客户端使用梆梆安全最新加固保护，提升代码逆向及破解。通过接入API安全平台，分析所有API请求调用的客户端环境特征信息，确认其是否来自于官方渠道。同时对IP、设备、用户几个维度进行行为聚类分析，以发现异常下单情况。对接网关或业务风控系统，支持事中处置。

3. 某市政府APP被外链案例

某学生家长向记者反映称，通过当地政务服务APP查询学生入学登记信息时，点击“xx主题教育平台”栏目便突然跳转到色情网站。当日下午，记者查询发现该APP中“xx主题教育平台”子栏目已下架。负责运维该应用程序的公司迅速作出回应，表示在上午发现客户端连接到某某数字出版集团有限公司备案的网站出现异常情况，基于网站可能遭受篡改的疑虑，即刻采取行动删除相关链接。

客户期望

希望构建针对APP外链H5违规信息的监测能力，重点聚焦于外部链接内容违规问题，同时能够覆盖外链异常域名场景。

1.仅允许授权范围内的地址加载展示；

2.发现展示内容中的违禁内容；

3.针对前端异常加载内容进行同步/异步多样化处置，支持禁止加载或弹窗提醒。

解决思路

采用梆梆全渠道应用安全监测平台，在前端植入安全SDK。该SDK通过APP初始化后，会动态监控APP内部的流量访问行为。通过同步/异步分析的模式，针对APP内的H5外链访问情况进行动态监控/管控。支持构建白名单机制，仅允许授权内的域名/IP进行应用进行加载访问；支持对加载内容进行动态检查，及时发现违规内容展示，对风险情况及时上报后端平台进行预警展示。

六、用户反馈

自从我行采用梆梆安全全渠道应用安全监测，移动应用安全性得到显著提升。该产品全面覆盖了我们Web端、移动端及API接口等多个渠道，有效识别并防御各类安全威胁，保障数据的安全和业务的稳定运行。特别是在面对复杂网络环境和不断升级的攻击手段时，该产品表现出了极高的专业性和可靠性，通过实时监测和预警，快速识别并应对潜在的安全风险，大大降低了安全事件的发生概率。

——某金融行业客户

部署梆梆安全全渠道应用安全监测解决方案后，我们多个平台的安全问题得到有效解决，实现了跨平台安全监测标准化，保障了政务信息的安全。该产品在防护Web API攻击、移动应用风险、H5外链威胁和小程序数据泄露方面表现突出，其高效的监测预警机制帮助我们快速应对安全事件，预防风险，保护政府及公民信息安全。

——某政府行业客户

推荐与建议

全渠道应用安全解决方案正通过技术创新和多渠道覆盖，显著提升企业的安全防护能力和运营效率。

梆梆安全全渠道应用安全解决方案是一个全面且专业的安全防护体系，适合在当前数字化转型背景下面临多渠道应用安全挑战的企业。该方案具有全面的API安全防护、多渠道安全一致性、跨渠道攻击防护、用户身份验证与授权管理*、实时安全事件响应、技术兼容性与集成能力、用户体验与安全的平衡等特性，能够帮助企业有效应对多渠道应用安全挑战，保护数据安全，保障业务的稳定运行。

值得一提的是，该方案已经在政府机构、电商企业和金融行业等客户得到成功应用，并且获得了用户的认可。

未来，随着数字化转型的加速，全渠道应用安全解决方案的需求将持续增长。企业需要不断加强技术研发和创新，以应对日益复杂的网络安全威胁。此外，随着5G网络的发展，对能够分析加密流量的全渠道平台软件解决方案的需求也在增加。 

随着5G的发展、个人智能设备的不断普及，人们日常沟通的方式也变得更加多样。然而，在商务领域，电子邮件仍然是企业员工内外部正式沟通的首选方式。正因如此，电子邮件也连续多年成为个人以及企业遭受黑客攻击的最主要环节之一。在今年的一份第三方研究报告指出，我国企业邮箱注册独立域名虽略有减少，降至约528万个，但活跃用户规模却保持增长，已超过1.9亿，显示出企业邮箱应用市场的持续稳定发展趋势。值得注意的是，全年企业级邮箱用户共收发电子邮件约7800亿封，但正常邮件占比仅为46%左右，垃圾邮件、钓鱼邮件、带毒邮件等恶意邮件占比总计过半，表明安全问题依旧严峻。

今年9月 Check Point 发布的《2024 年安全报告》中显示，电子邮件仍是初始感染的主要途径，88% 的恶意文件通过电子邮件进行传播。鉴于这一惊人的统计数据以及用于生成定制网络钓鱼电子邮件的 AI 工具的激增，企业亟需采取全面的策略来保护其敏感数据和员工。用户投资高级电子邮件防护，不仅仅是为了获得技术升级，更将是一项战略性业务决策，可显著改善企业运营效率。

无效电子邮件防护的代价

企业员工每天都要花费大量时间回复电子邮件，这些电子邮件大多来自同事和业务伙伴。然而，垃圾邮件发送者和网络犯罪分子能够轻而易举地侵入员工的收件箱。

如果企业的电子邮件安全防护工具薄弱或不足，则可能面临超乎想象的严峻风险。电子邮件安全防护不到位可能会导致：

· 恶意消息屏蔽延迟。包括 Microsoft Defender 在内的传统安全网关可能边分析电子邮件边将其发送到收件箱，然后在发现异常后屏蔽恶意消息。这种处理流程为用户点击恶意消息提供了可能性。

· 工作场所干扰增加，因为员工可能要鉴别和分析潜在的网络钓鱼电子邮件，然后手动报告网络钓鱼攻击。这不仅会妨碍员工专心处理核心任务，也会由于误报产生不必要的安全资源消耗。

· 数据泄露，这可能会造成巨大的经济损失和无法弥补的声誉损害。

· 违规，这可能导致监管处罚，或会影响财务收益。

· 安全团队将大量时间浪费在处理误报、分析网络钓鱼电子邮件以及回复员工的网络钓鱼报告上。

Check Point 中国区技术总监王跃霖表示：“员工培训再多也可能无法有效防止网络钓鱼点击。在发送电子邮件前，需要检查 300 多个特征，而员工既无头绪，也无技能和时间进行分析。如果企业或员工端点工具无法阻止从点击的 URL 下载恶意文件，那么安全计划将功亏一篑。从企业运营角度上看，对每位员工进行系统化培训，从而在处理邮件时为企业筑起一道安全防线的思路很难实现。”

采用高级电子邮件安全防护解决方案

高级电子邮件安全防护解决方案（尤其是可信厂商提供的可靠解决方案）不仅能够有效保护企业安全，而且还可提升运维效率。在人工智能 (AI) 和机器学习 (ML) 技术的强大支持下，最先进的电子邮件防护解决方案可以实时识别并抵御威胁。

王跃霖指出：“AI 电子邮件安全防护工具能够分析电子邮件的 300 多点特征信息，包括电子邮件主题行的细微差别、以前的电子邮件历史记录、SMTP 特征及电子邮件正文内容，可高效发现基于网关的传统电子邮件系统可能会忽略的异常情况。” 在检测到潜在威胁后，高级电子邮件解决方案不会将相关电子邮件发送到收件箱，而会隔离可疑电子邮件、拦截有害附件、删除危险链接，甚至通知 IT 团队需要执行进一步调查。因此，高级电子邮件安全防护解决方案能够有效缓解电子邮件安全风险，防患于未然。
正确选择电子邮件防护解决方案

鉴于电子邮件安全防护至关重要，企业必须确保做出明智的选择。 王跃霖表示：“验证高效电子邮件解决方案的最简单方法就是将其作为最后一道防线安装在 Defender 或任何传统网关后面。最后一道防护解决方案通常能拦截大量攻击，用户可以根据所处环境中的电子邮件风险和挑战做出下一步决策。

在恶意邮件横行的当下，企业应选择一家既提供先进解决方案又注重用户体验的电子邮件安全防护厂商。自 2021 年发布至今，Check Point 的 Harmony Email & Collaboration 安全平台不断与时俱进，新增约 150 项功能，持续致力于为用户提供业内领先的安全解决方案。Check Point相信，通过“预防为先”的安全理念，用户能够在保障安全的前提下，享受邮件沟通通畅带来的便利与高效。

案例介绍：

此案例旨在通过一系列人工智能技术，检测识别人工智能生成合成音视频图像文本内容的检测鉴定产品，提供针对音视频图像传统伪造、深度伪造以及AI生成对象检验鉴定的完整解决方案。该方案支持新建卷宗、智能鉴定、专业鉴定、综合评断、报告生成等功能，运用多种方法对音视频图像进行原始性、真实性检验鉴定分析；支持对传统伪造、深度伪造以及AIGC生成的音视频图像进行全面分析识别、溯源鉴定，覆盖司法鉴定、视频侦查、案件侦办、音视频图像内容审核、个人隐私保护等应用场景。

需求痛点：

（1）可解决公安、司法等技术部门视频图像检验鉴定装备缺乏、视频图像深伪鉴定技术欠缺等问题，助力打击新型网络犯罪。

（2）该方案以软硬件一体化的形式进行落地，为用户提供一站式的检验鉴定服务。

案例创新点介绍：

（1）伪造方法鉴定全覆盖，包括传统PS图像检测与识别、AI换脸视频图片检测与识别、伪造方法溯源、生成式AI鉴定、数字人检测与识别等

（2）全面的视频图像真实性鉴定算法，支持40+种视频图像真实性、原始性检验鉴定方法

（3）检测准确率超过90%，国内领先

（4）一站式服务，操作简单，快速上手

项目背景：

随着AI在多个领域广泛应用，尤其近年“深度伪造”等AI生成、合成技术的滥用，对国家安全、经济安全、人民财产安全，以及对物证、视听资料等证据的有效性都构成极大的威胁。面对这些安全风险，国家也相继出台制度规范新技术的使用。针对AI生成的信息，执法部门急需能高效判断真伪、识别伪造方法的智能装备。因此，研发专业的视频图像真伪检验鉴定装备具有重要的现实意义。

客户概况：公安、司法、监委、检察院、第三方司法鉴定机构等

解决方案：此方案依托AI-3300慧眼视频图像鉴真工作站系统，精准识别并分析多种篡改手法，涵盖传统PS篡改、图像美化处理、视频帧的增加或删除等。此外，它还能检测由深度伪造技术和AI生成技术所生成合成的图像视频，如AI换脸、伪造溯源等。该系统集成了多种合规的视频图像检验鉴定算法，可以有效鉴别数字图像和视频是否符合原始性、真实性特征，为行业客户在视频图像物证化处理中提供符合科学的鉴定支撑。

案例价值：

（1）有利于支撑国家和行业政策落地

（2）降低深伪技术给国家安全带来的潜在风险

（3）提高国家对互联网深伪犯罪的打击能力和手段

随着数字化转型在各行各业的深入发展，手机应用程序（APP）的功能日益多样化，尤其是在政务、金融等领域，超级APP所提供的服务范围越来越丰富。然而，针对这类APP的网络攻击事件也随之频发。近期，梆梆安全收到了多起客户反馈，均指出其APP被植入了恶意外链，这些链接大多导向色情和赌博等不良内容。

案例一

案例二

超级APP外链攻击的主要方式

梆梆安全通过对攻击过程进行溯源分析及黑灰产研究发现，针对APP外链的主要攻击方式有三种，分别是：

1、网络链路攻击：包括DNS劫持、HTTP数据劫持、WiFi劫持等；这种是目前最为常见的攻击方式，重点表现为受害者连接了一些公共WIFI，而这些WIFI被攻击者掌握，在网络链路中植入恶意广告内容。

2、终端攻击：终端中存在病毒木马，以及违规应用，自动拦截终端流量植入广告；这种情况主要出现在一些老年人的手机上，而这些手机往往来源于非正规的二手渠道。

3、服务端攻击：通过注入攻击等手段来获取Web站点管理员权限，进而直接篡改网页内容；虽然这种攻击方式的技术门槛相对较高，但考虑到超级APP中可能嵌入了其他第三方站点，而这些第三方外链站点的安全防护能力各不相同，因此仍存在安全风险。

梆梆安全针对外链攻击防护思路

梆梆安全全渠道应用安全监测平台通过在前端植入安全SDK，该SDK通过APP初始化后，动态监控APP内部Webview的流量访问行为，通过同步/异步分析模式，针对APP内的H5外链访问情况进行动态监控/管控，及时发现异常行为；同时，全渠道应用安全监测平台支持构建白名单机制，仅允许授权内的域名/IP进行应用进行加载访问，支持针对加载内容进行动态检查，及时发现违规展示内容，针对风险情况及时上报后端平台进行预警展示。

梆梆核心能力及优势

1、域名/IP动态管控：构建域名/IP白名单机制，仅允许授权范围内的地址加载展示；

2、动态内容监控：针对H5加载内容进行特征匹配检查，及时发现展示内容中的违禁内容；

3、动态风险管控：通过策略配置，及时针对前端异常加载内容进行同步/异步多样化处置，支持禁止加载或弹窗提醒；

4、风险态势感知：及时上送终端风险数据，利用大数据计算及关联分析，及时展示风险情况，掌握终端及站点异常风险态势；

综上所述，超级 APP 凭借其庞大的用户基础和丰富的功能生态，成为网络攻击的潜在目标。梆梆安全建议超级 APP 运营方需加强对外链来源的验证与风险评估，完善用户点击提醒机制；同时，持续更新安全防护策略，对应用内的授权、跳转流程进行严格的安全审查与漏洞修复，以降低外链攻击带来的安全风险，保障用户数据与使用体验的安全稳定。

近日，360数字安全集团联合江苏安全技术职业学院、北京天雨乔松教育科技有限公司共同基于苏安院-网络安全与应急响应现代产业学院的合作共建完成战略签约及揭牌仪式。依托现代产业学院提供的创新平台与创新资源，校企三方将围绕智慧校园、数字安全、人工智能、应急响应等多方面开展合作，致力于促进科教融汇、产教融合与高质量卓越人才培育，为关键技术攻关、新型数字城市建设、数字徐州产业升级提供充分助力。

揭牌仪式现场，360数字安全集团副总裁、ISC学院主理人卜思南，江苏安全技术职业学院校长李桂萍，北京天雨乔松教育科技有限公司董事长房宇等领导代表出席。

江苏安全技术职业学院校长李桂萍对一行的到来表示热烈欢迎。她表示，江苏安全技术职业学院作为全国应急安全职业教育联盟的重要发起单位之一，是华东地区以安全类专业为特色， 技术类专业为主体的重点职业技术学院。多年来，学院积极融入国家、省市应急管理体系，为推动行业发展进步贡献了智慧和力量。此次针对江苏省徐州市新兴产业链、现代服务产业链的实际需求，三方共建现代产业学院，将进一步推动校企深度融合，助力实现新型人才培养、技术科学研究、服务区域经济。

360数字安全集团副总裁、ISC学院主理人卜思南在致辞中谈到，近年来，360基于近20年在安全和AI领域的经验沉淀，和全国多所院校开展了实战型人才培养方面的合作，深度参与教学活动，引入企业项目进行校内实训，承担数字安全领域师资培训，承办国家级技能大赛，并参与编写国家相关专业领域的实训教学标准，不断探索人才培养的新模式。

针对此次现代产业学院的成立，360将紧密围绕徐州市网络安全产业发展的人才需求，与校企开展多领域的务实合作，确保能够培养出一批高质量、高技能、高层次的实战型人才，并为这些人才提供参与一线攻防项目、城市网络安全建设的机会，助力学校实现从育人到用人全过程的无缝衔接。

北京天雨乔松教育科技有限公司董事长房宇谈到，网安专业人才培养需要构建基于国家网络安全需求的创新培养模式，此次合作三方将秉承“优势互补、资源共享、讲求实效、互惠双赢、共同发展”的原则，为学生提供理论与实践相结合的教育环境，促进学生技能的全面发展。

未来，校企三方将紧密围绕数字安全产教融合发展及公共应急响应监测与防护的实际需求，汇聚跨区域产教资源，探索创新数字安全人才培养新模式，共建高质量教学资源，实现“双元双向”人才培养机制，为国家数字化建设贡献力量。