嘶吼

ZigBee是一种低复杂度、低功耗、低速率、低成本的近距离无线通信技术。它基于IEEE 802.15.4标准，主要用于短距离数据传输和监控应用。

ZigBee网络由协调器、路由器和终端设备组成，支持星型、树型和网状等多种拓扑结构。该技术广泛应用于智能家居、工业自动化、医疗监护等领域，通过低功耗和自组织网络特性，实现高效、可靠的无线数据传输。ZigBee的传输速率在10KB/秒到250KB/秒之间，支持大量设备连接，具有强大的网络容量和灵活的节点配置能力。

ZigBee协议组成主要涵盖了四个层次，这些层次共同构成了ZigBee网络协议栈的基础，确保了数据的可靠传输和网络的有效管理。以下是ZigBee协议组成的详细概述：

• 物理层
• 处理无线电硬件之间的实际通信
• 基于IEEE 802.15.4标准的无线通信技术
• 传输层
• 管理无线链路，包括处理帧的发送、接收、超时重传、收发确认等
• 提供了安全和管理机制，如加密、身份认证和底层设备管理
• 网络层
• 负责多跳网络的支持，主要包括路由选择、拓扑结构和组网等功能(星型、树型和网状拓扑结构)
• 协调器、路由器和终端设备
• 负责定义不同应用的数据格式和通信规则
• 节点之间的路由和寻址机制，确保数据传输的可靠性和安全性
• 不同设备之间的互相通信，允许节点在网络中相互切换

• 物理层
• SHR - 前导序列
• PHR -  PSDU长度信息
• PSDU - MAC层协议数据单元
• 传输层
• MHR - 控制信息、序列号、寻址信息等
• MSDU - 网络层和应用层数据
• MFR - 帧校验序列
• 网络层
• 网络层帧头和有效载荷
• 应用层
• 数据和服务

  信标帧

  数据帧

确认帧

ZigBee主要提供三个级别的安全模式:

• 非安全模式
• 不采取任务安全措施 - 可重发、中间人攻击
• 访问控制模式
• 只允许接入的硬件设备MAC地址存在列表中，限制无合法节点访问获取相关数据
• 安全模式
• 支持128位AES加密算法进行数据通信加密

Wireshark里面提供的安全级别可支持预设密钥用于解析数据包

2.4 密钥类型

• 主密钥
• 配合ZigBee对称密钥的建立(SKKE)过程来派生其它密钥，在建立网络时生成或配置的，用于后续生成网络密钥和链接密钥。
• 网络密钥
• 保护广播和组数据的机密性和完整性，同时也为网络认证提供保护
• 链接密钥
• 保护两个设备之间单播数据的机密性和完整性
• 其他密钥
• 除了上述主要密钥外，ZigBee协议还可能定义其他类型的密钥，如应用主密钥、应用链接密钥等，用于特定场景下的安全通信

ZigBee采用非安全模式，对数据传输内容没有加密，可能被窃取敏感数据内容。

在密钥传输过程中，密钥内容会以明文形式传输，因此可能被获取密钥信息，通过密钥对数据信息进行解密或者伪造合法接入设备。

当前，针对ZigBee协议的攻击策略主要聚焦于其密钥安全性的薄弱环节，其密钥安全是整个Zigbee协议中最重要一环。

CISA 表示，已发现威胁分子滥用未加密的持久性 F5 BIG-IP cookie 来识别和瞄准目标网络上的其他内部设备。

通过绘制内部设备图，威胁者可以潜在地识别网络上易受攻击的设备，作为网络攻击规划阶段的一部分。 

据 CISA 表述，“恶意分子可以利用从未加密的持久性 cookie 收集的信息来推断或识别其他网络资源，并可能利用网络上其他设备中发现的漏洞。”

F5 持久会话 cookie

F5 BIG-IP 是一套应用程序交付和流量管理工具，用于负载平衡 Web 应用程序并提供安全性。其核心模块之一是本地流量管理器（LTM）模块，它提供流量管理和负载平衡，以在多个服务器之间分配网络流量。使用此功能，客户可以优化其负载平衡的服务器资源和高可用性。

产品中的本地流量管理器 (LTM) 模块使用持久性 cookie，通过每次将来自客户端（Web 浏览器）的流量引导到同一后端服务器来帮助维护会话一致性，这对于负载平衡至关重要。

“Cookie 持久性使用 HTTP cookie 强制执行持久性”F5 的文档解释道。 

与所有持久模式一样，HTTP cookie 确保来自同一客户端的请求在 BIG-IP 系统最初对它们进行负载平衡后被定向到同一池成员。如果同一池成员不可用，系统会进行新的负载权衡决定。

这些 cookie 默认情况下未加密，可能是为了保持旧配置的操作完整性或出于性能考虑。从版本 11.5.0 及更高版本开始，管理员获得了一个新的“必需”选项来对所有 cookie 强制加密。

那些选择不启用它的人会面临安全风险。但是，这些 cookie 包含内部负载平衡服务器的编码 IP 地址、端口号和负载平衡设置。

多年来，网络安全研究人员一直在分享如何滥用未加密的 cookie 来查找以前隐藏的内部服务器或可能未知的暴露服务器，这些服务器可以扫描漏洞并用于破坏内部网络。还发布了一个 Chrome 扩展程序来解码这些 cookie，以帮助 BIG-IP 管理员排除连接故障。

据 CISA 称，威胁者已经在利用宽松的配置进行网络发现，并建议 F5 BIG-IP 管理员查看供应商有关如何加密这些持久 cookie 的说明。

请注意，“首选”配置选项会生成加密的 cookie，但也允许系统接受未加密的 cookie。可以在迁移阶段使用此设置，以允许先前发出的 cookie 在强制执行加密 cookie 之前继续工作。

当设置为“必需”时，所有持久 cookie 均使用强 AES-192 加密进行加密。据了解，F5 还开发了一种名为“BIG-IP iHealth”的诊断工具，旨在检测产品上的错误配置并向管理员发出警告。

WordPress 插件 Jetpack 本月发布了一个重要的安全更新，解决了允许登录用户访问该网站其他访问者提交的表单的漏洞。 

Jetpack 是 Automattic 推出的一款流行的 WordPress 插件，提供增强网站功能、安全性和性能的工具。据供应商称，该插件已安装在 2700 万个网站上。

该问题是在内部审计期间发现的，影响自 2016 年发布的 3.9.9 以来的所有 Jetpack 版本。

安全公告中写道：“在内部安全审计中，我们发现自 2016 年发布的 3.9.9 版本以来，Jetpack 中的联系表单功能存在漏洞。 网站上的任何登录用户都可以利用此漏洞来读取网站上访问者提交的表单。”

Automattic 已发布针对 101 个受影响的 Jetpack 版本的修复程序，全部列表如下：

依赖 Jetpack 的网站所有者和管理员需要检查其插件是否已自动升级到上面列出的版本之一，如果没有，请执行手动升级。

Jetpack 表示，没有证据表明恶意分子在该漏洞存在八年的时间里利用了该漏洞，但安全起见，建议用户尽快升级到已修补的版本。 

目前Jetpack 并未有证据表明此漏洞已被广泛利用。但是，既然更新已经发布，那么有人可能会尝试利用此漏洞。

需要注意的是，此漏洞没有缓解措施或解决方法，因此应用可用更新是唯一可用且推荐的解决方案。目前，有关该漏洞及其利用方式的技术细节目前已被隐瞒，以便用户有时间应用安全更新。

近日，360数字安全集团成功中标中国移动2024年至2026年终端安全软件产品集采项目。本次中标合作，将依托360终端安全管理系统打造智能化终端安全防护新体系，整体提升中国移动企业内部的数字安全防护能力，树立起运营商信创安全体系建设标杆。

伴随着以人工智能为代表的新一轮科技革命深入推进，中国移动作为全球网络规模最大、服务用户最多、盈利能力领先的电信运营企业，近年来主动顺应经济社会数字化、网络化、智能化发展趋势，助力推动5G与人工智能、物联网、云计算、大数据、边缘计算等新兴技术融合创新，积极组织引领产业链上中下游、大中小企业融通发展，战略合作伙伴超160家，各类产业链合作伙伴超30万家，构筑起开放、包容、普惠、共赢的产业合作生态，带动全产业链实现群体突破、跨越发展、韧性提升。

在此过程中，面对愈发复杂的业务和办公系统环境以及国家级网络攻击组织的威胁，为进一步提升安全防护和自主可控能力，中国移动率先推进信创安全体系建设，有效应对日趋频繁的攻击事件

其中，终端作为物理世界与数字世界的桥梁，一直是数字化过程中各类高级威胁组织重点“照顾”的对象，大量入网的终端都可能成为外部攻击的入口和跳板，也是信创纵深防御体系的关键一环。

为此，中国移动在近期启动2024年至2026年终端安全软件产品集采。经过多家供应商的严格测试和综合评估，360凭借突出的安全管理、运营维护，以及防病毒和补丁管理、桌面管理、数据防泄漏、网络准入等安全能力，成功中标。

360是国内唯一兼具人工智能和数字安全能力的公司，基于过去20年实战经验，构建了“看见+处置”为核心的数字安全运营服务体系，打造数字安全中国方案。作为其中的重要组成，此次中标的360终端安全管理系统在“看见与处置”方面具备三大突出能力。 

一是体系化的安全管控能力。360终端安全管理系统集成了高级威胁发现、防病毒、漏洞防护、停服加固、终端合规管控、终端准入、终端审计、数据安全、主机加固管理等安全能力于一体，能够实现终端安全管控一体化，后台管理一体化，构建可维护、易维护的终端安全运维体系。

二是场景化的实战对抗能力。360长期与国家级APT组织、黑灰产网络犯罪组织战斗在一线，截止目前，累计帮助我国发现54个境外APT组织。基于实战经验的核心赋能，360终端安全管理系统全面覆盖包括勒索软件防护、挖矿攻击防护、APT攻击防护、攻防演练、重大事件响应、等级保护合规性以及数据安全等多个场景，全方位提升端点威胁防御能力。

三是智能化的安全防御能力。为了提升高级威胁发现的效率，360安全大模型已全面赋能360终端安全管理系统，在安全大模型加持下，360终端安全管理系统能够实现智能化风险研判，运用大模型专家库、技能库实现漏洞捕获、高级威胁猎杀，增强“看见与处置”能力。

无疑，运营商作为国家关键信息基础设施，承担着维护网络空间安全、保障通信畅通的重要职责。中国移动作为信息通信行业的领军者，其在信创安全建设方面的战略布局显得尤为重要。

此次与360的合作是基于双方对当前安全形势的深刻认知以及对信创安全建设重要性的共识。未来，双方将加深在终端安全领域的协同合作，推进面向实战的安全体系建设，为行业的数字化转型提供坚实的安全保障。

当你在网上搜索“谷歌浏览器”时，下图中的地址可能会排在某搜索引擎结果的第一名，但你可能想不到，这是个带病毒的假官网！

点击假官网，将下载一个带有“后门”的安装程序，运行程序后，后门将开始一系列网络攻击，包括：探测并窃取虚拟货币钱包，窃取浏览器信息，监听键盘等，如果你并未持有虚拟货币或者无法被窃币，后门就会释放挖矿木马组件，榨干你的最后一点价值。

微步情报局研究发现，这波攻击自7月底开始，累计仿冒网站达20余个，有数据可查的攻击已有数十万次，被攻击行业领域极其广泛，国家有关部门、高校和研究机构、汽车行业、央国企等多个领域均有大量受害单位。该攻击团伙所使用的域名资产中含有大量“heimao-*(三位数字).com”特征域名，微步情报局据此将该团伙命名为“黑猫”。

（一）“黑猫”团伙画像

“黑猫”最早于2022年开始活跃，通过仿冒钓鱼网站投递各类恶意样本，包括“银狐”远控木马、变种Gh0st木马、窃密木马、XMRig挖矿木马等，受害目标为安全意识不足的机构/企业职员，通过远控主机来盗取受害者的虚拟货币并挖矿。“黑猫”的某C2地址和今年上半年APT组织“金眼狗”所使用的远控后门内置的C2地址相同，这表明“黑猫”疑似和“金眼狗”具有一定关联。

攻击特点

擅于使用各种提高搜索引擎排行的方式

部署钓鱼网站手法高超，使用中间下载链接来规避追踪和实时替换下载文件

以敛财盈利为主，主要目标为盗窃虚拟货币

当发现主机并无窃取价值，会下载挖矿组件进行挖矿盈利

平台

Windows

传播方式

部署虚假软件下载页面，并提高钓鱼网站在搜索引擎排行诱导下载

攻击地区

中国

攻击人群

下载谷歌浏览器，搜狗输入法，WPS办公软件等办公人群

数字货币持有者、行业从业人员

攻击目的

远控，窃密，盗取加密货币，控制肉鸡挖矿

表：“黑猫”攻击画像

（二）“黑猫”常用的攻击手法

“黑猫”的主要攻击手法是通过部署和推广虚假软件下载页面，进行窃密和盗窃虚拟货币、挖矿等攻击行为。“黑猫”投递的样本复杂多样，各种Gh0st魔改远控，银狐木马，窃密软件，XMRig挖矿木马层出不穷，且更新速度很快，投递的loader具备对各大杀软的免杀技术、反虚拟机调试、反沙箱技术，因此攻击成功率极高。

图：“黑猫”攻击路径示意图

“黑猫”大范围仿冒常见软件的下载网站，并通过SEO（搜索引擎优化）、SEM（搜索引擎竞价排名）等各种手段提高在搜索引擎关键字排行，诱导受害者访问钓鱼页面，并点击下载带有后门的安装程序。

（ToDesk搜索结果，钓鱼网站位列第二）

安装程序被受害者运行后，后门程序会窃取受害者虚拟货币钱包，浏览器信息，监听键盘等。如果受害者不具备盗币的可能，“黑猫”会释放XMRig挖矿木马组件进行挖矿。 

（三）“黑猫”仿冒的常见软件及下载地址

“黑猫”仿冒的常见软件下载地址，高达20余个，囊括了常用办公软件、虚拟币行情交易平台、VPN/上网加速器等程序。需要警惕的是，“黑猫”具备极强的SEO（搜索引擎优化）技术，不仅会仿冒网站，还会把仿冒网站的地址顶到搜索结果的首页，甚至能常年保持在排名第一第二的位置，因此受害者极易中招。现将2024年“黑猫”仿冒的部分网站地址列表如下。

仿冒软件名

假网站地址

搜索引擎最高排名

Chrome浏览器

http://zh-chrome.com/

https://guge-chrome.com/

https://zh-google.cn/

https://web-chrome.cn

https://chromecn.cn

https://chromem.cn

第一，截至发稿仍生效

Todesk远控软件

https://todesk-zh.com/

第二，截至发稿仍生效

WPS办公软件

https://cn-wps.com

第三，截至发稿仍生效

搜狗输入法

https://sogou-shurufa.com

第三，截至发稿仍生效

爱思助手

https://i4.com.vn/

第四，截至发稿仍生效

爱加速vpn

https://zh-aijiasu.com/

https://ajsvpn.com/

第三，截至发稿仍生效

MEXC数字资产一站式交易平台

https://zh-mexc.com/

第七，截至发稿仍生效

potato社交软件

https://zh-potato.com/

https://potato-zh.com/

第十一，截至发稿仍生效

穿梭VPN

https://cs-vpn.com/

https://zh-csvpn.com/

https://transocks-vpn.com/

第四，截至发稿仍生效

飞连vpn

https://fl-vpn.com/

第一，截至发稿仍生效

快帆加速器

https://www.qobddze.cn/

拓线获得，暂无排名

okx欧易交易所

https://oeokx.cn/

https://okx-client.cn/

https://zh-okex.cn/

第四，截至发稿仍生效

gate交易所

https://zh-gateio.cn/

拓线获得，暂无排名

aicoin

https://www.aicoinzh.com/

第二，截至发稿仍生效

tradingview

https://tradingview-en.com/

http://ayicoin.com

https://nbxieheng.cn/

https://zh-tradingview.cn/

第一，截至发稿仍生效

Telegram（电报）

https://www.telegramef.com/

第一，截至发稿仍生效

 （四）处置建议

1. 根据本文附录IOC内容进行自查，封禁相关恶意域名；

2. 对已经失陷的机器，及时隔离、清理，杜绝失陷机器外联恶意域名可能带来的监管合规问题；

3. 规范办公软件获取途径，收紧软件安装策略，禁止在办公终端上采用非官方途径进行下载安装。

2024年10月17日，由中国互联网协会举办的《中国互联网企业综合实力指数（2024）》发布会在厦门成功召开，中国互联网协会副秘书长裴玮在会上正式发布了《中国互联网企业综合实力指数（2024）》报告，梆梆安全成功入选“2024年中国互联网成长型前二十家企业”。

中国互联网协会副秘书长裴玮指出，自2013年以来，中国互联网协会已连续12年开展中国互联网企业综合实力指数研究工作，获得了政府部门、行业机构、业界专家的广泛关注和认可。2024年中国互联网成长型企业发展主要呈现以下特征：一是业务规模高速扩张。二是研发力度加大倾斜。三是业务形态丰富多元。

梆梆安全自2010年成立以来，始终以客户为中心，开创、繁荣了移动应用安全蓝海市场，建立了全面的移动应用安全防护生态体系，并在业务上形成了以移动安全为主体，联动安全服务和物联网安全的“一体两翼”业务体系，以及由技术、产品、解决方案和咨询服务构成的“四位一体”产研体系。

梆梆安全率先提出了基于“全生命周期全渠道移动应用安全建设”的技术防护理念，通过风险环境和异常行为的深度分析，精准发现复杂攻击并快速响应。移动应用安全建设矩阵涵盖了Android、iOS、鸿蒙App及H5、小程序、轻应用等，以及外发Android SDK和iOS SDK，由第三方引入的Android/iOS SDK。

同时，梆梆安全可以针对移动安全开发上线的整个生命周期（编码、测试、发布、运维、人工服务）提供全方位安全建议，确保上线应用的安全与合规，防止应用被反编译或调试，确保App符合相关的个人隐私监管要求。

目前，梆梆安全拥有10万家以上企业及开发者用户，安全技术覆盖的移动应用软件超过100万，这些应用已经累计安装在10亿个移动终端上，用户遍及金融、互联网、物联网、政府、运营商、企业、医疗、能源、教育等各大行业。

未来，梆梆安全将继续秉承“稳如泰山，值得托付”的服务观，持续加大研发投入和技术创新，积极探索移动安全的创新范式，精进产品能力，让更加标准化、智能化的安全解决方案走进真实的业务场景，让数字经济赋能数字中国高质量发展！

在这个信息化飞速发展的时代，数据已成为一种宝贵的资源。随着互联网技术的深入普及和智能设备的广泛使用，个人信息的保护问题日益凸显，成为社会各界关注的热点。企业如何处理用户的个人数据，不仅关系到用户的隐私权益，也是企业社会责任和法律遵循的体现。

隐私政策，作为规范企业数据处理行为和保障用户隐私权益、保护用户个人信息的重要文件，每个互联网产品或移动应用，都需要提供《隐私政策》，并主动引导用户阅读并同意，其重要性不言而喻。因此本文将阐述隐私政策的起源与基本框架，为用户和企业对隐私政策提供一个初步的理解基础。同时这也将为本文的下一部分《隐私政策精讲（下）》做好铺垫，届时我们将深入探讨每个关键要素的具体内容，指导企业如何构建一个既合法又合理的隐私保护机制。

一、隐私政策的实质与创建目的

1）隐私政策的实质

隐私政策是企业或组织对用户个人信息处理行为的正式声明。它详细说明了组织如何收集、使用、存储和保护用户的个人数据，以及用户对于自己数据拥有哪些权利。通俗来说是指公司就其如何收集和使用个人信息等问题制定的基础政策文件，用于向公司内外部各方（如内部员工、用户或消费者、供应商、监管机构等）传递及告知公司遵循的个人信息处理规则。隐私政策通常也是组织内部进一步制定个人信息保护合规相关流程、指引文件的政策依据和基础。

2）隐私政策的创建目的

隐私政策的创建目的主要包含以下几个方面：

①应对监管要求：随着个人信息保护法规的加强，隐私政策成为监管机构评估企业合规性的重要依据，企业需要通过隐私政策来展示其对监管要求的响应和遵守。

②确保合规性：隐私政策帮助企业确保其数据处理活动遵守适用的法律、法规和标准，如《中华人民共和国个人信息保护法》、《网络安全法》等，从而避免法律风险和潜在的处罚。

③保护用户隐私：通过明确声明企业如何收集、使用、存储和保护用户的个人数据，隐私政策旨在保护用户的隐私权利，增强用户对企业的信任。

④指导企业数据处理活动：隐私政策为企业提供数据处理的内部指导，确保企业内部员工在处理个人信息时遵循既定的规则和程序。

⑤提升企业声誉：一个清晰、全面的隐私政策可以提升企业的专业形象，展示企业对用户隐私的尊重和承诺，从而吸引更多的用户和客户。

二、隐私政策的发展历程

我国在21世纪初，通过参考国际惯例，主要的门户网站也都建立起了自己的隐私保护政策。然而，这一时期隐私政策的实施也暴露出一些问题，例如隐私保护措施的不成熟、缺乏统一的行业标准、以及企业在处理用户个人信息时存在的“黑匣子”问题。这些问题的出现，促使中国在个人信息保护法规上做出了更多的努力，立法步伐明显加快。下图就是近5年我国在隐私政策相关法规的重点发展线。

隐私政策发展的主要法规时间线与内容

从上图时间线可以归纳以下要点：

（1）这些法规中提到的文件名称”隐私政策“、”隐私声明“、”个人信息保护政策“、”个人信息处理规则“实质上的结构与内容都是一致的，只是不同监管单位或企业在编制法规或自身产品相关的个人信息保护政策时起的名称，本文全文都是以”隐私政策“来命名这份文件。

（2）从近几年的个人信息保护相关法规或规范性文件都提到了隐私政策内容，其内容的合规对于企业保障用户的个人信息合规越来越重要。

三、隐私政策的框架

1）基本的隐私政策框架

根据《中华人民共和国网络安全法》的规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

隐私政策作为落实该规定的文件载体，需要依法公开前述内容。而对于隐私政策应当包含的具体内容和公示要求，《信息安全技术个人信息安全规范》（GB/T 35273-2020) 给出了更为详细的指引，对基本框架总结如下：

2）一些常见隐私政策框架结构种类

①比较规范完整的隐私政策框架（隐私政策摘要+完整内容）

隐私政策摘要：便于用户快速查阅得知平台如何处理用户的个人信息且是对用户影响较大的个人信息，一般有：

·从隐私政策目录中提炼出来的对用户影响比较大的个人信息的处理说明构成的摘要，点开目录可以清晰地看到平台对个人信息、相关权限的处理说明、联系方式、第三方清单等。（如下图1所示）

·通过对个人信息收集清单、第三方收集清单、提供服务所需收集使用个人信息、未成年隐私政策、权限等逐项简洁列举出来，让用户直观了解个人信息的处理。（如下图2所示）

隐私政策完整内容：大致是基本框架的内容，只是呈现形式与一些名词的说法不同。

实际案例：

图1. 哔哩哔哩平台隐私政策概要+隐私政策

图2. 微博平台隐私政策概要+隐私政策

②只满足最基本框架隐私政策

在一些用户规模较小的平台上，他们的隐私政策往往遵循一个基本的框架，但内容表述可能不够清晰，有时甚至会遗漏一些关键要素。有些平台的隐私政策虽然提供了目录，其结构相对清晰（如图3左侧所示），但仍有许多平台的隐私政策没有目录，内容显得杂乱无章（如图3右侧所示）。

实际案例：

图3. 隐私政策内容

3）总结

隐私政策虽然形式多样，但其核心目的始终是让用户清楚地了解其重要内容。目前，由于不同平台处理的用户个人信息数量不同，监管部门对这些平台的关注程度也有所差异，导致隐私政策在内容和形式上出现了两极分化的现象。为了缩小这种差距，未来需要监管部门和检测机构更加关注这一问题，共同努力确保用户个人信息的保护符合合规要求。

四、结语

隐私政策是企业与用户之间信任的桥梁，它不仅体现了企业对用户隐私的尊重，也是遵守法律法规的体现。本文概述了隐私政策的起源、框架及其发展，强调了其在保护用户隐私权益中的核心作用。随着法规的完善和技术的进步，隐私政策将继续演化，以更好地适应社会的需求。在下一篇《隐私政策精讲（下）》中，我们将继续深入分析隐私政策的具体内容，探讨如何构建一个既合法又合理的隐私保护机制，以促进企业与用户之间的信任，共同营造一个更加安全、尊重隐私的网络环境。

10月19日，由澳门学人发展协会主办的以“网络安全”为主题的“青年创新论坛”盛大启幕。论坛现场，来自澳门、粤港澳大湾区及内地的杰出企业家、知名学者及青年人才们齐聚一堂，共同分享并深入探讨网络安全领域的新进展与新思路。丈八网安CEO王珩受邀出席论坛，并发表了题为《网络靶场——建立网络空间新防线》的精彩演讲。此外，王珩还与现场多家澳门权威机构及企业代表一同签署了《共同守护澳门网络安全倡议书》，庄严承诺将携手并进，积极践行并推广网络安全理念。

论坛上，中共珠海市委组织部副部长李腾东表示，如今粤港澳大湾区建设加速提质，横琴粤澳深度合作区在封关运作、民生融合、产业协同等方面硕果累累，积极促澳多元发展，珠海、横琴的产业布局逐年完善，为港澳青年发展提供更多的珠海机遇。澳门学人发展协会会长陈青飞表示，进入数字化时代以后，国家高度重视网络安全，人才培养和区域合作是网络安全的重要议题，澳门近年来加强网络安全学科建设和人才培养，推动产学研合作，旨在提高人才的实战能力。

而关于具体如何提升网络安全实战能力，丈八网安王珩则以公司的网络靶场产品作为切入点，分析了当前网络安全现状与挑战，以及建设网络靶场的重要性。他指出，网络靶场虽然不能直接阻断入侵行为，但可以提供人员能力提升、应急演练所需的全要素，解决了“人”的能力提升问题；提供集成化的评估流程，极大方便了试验鉴定类业务的开展；提供安全可控的测试环境，让关键基础设施的高强度测试成为可能。

同时，王珩分享了丈八网络靶场平台的全新体验，升级后的丈八网络靶场平台是基于“网络靶场操作系统”的解耦式多用途弹性平台。将网络靶场的典型功能场景：授课教学、考试评测、攻防演练、实战演练、测试床、CTF、AWD等以“应用”的形式开发并组合插装在系统上，实现快速部署、即插即用，在自有知识库的海量资源支撑下，形成多元化解决方案的交付。

丈八网安自主研发、不断升级的新型网络靶场产品及解决方案受到现场广泛关注与认可，论坛期间，丈八网安也受邀与澳门学人发展协会、澳门物联网协会、澳门数字中国科技联盟、澳门高校内地学生联合会、澳门超级计算研究中心、澳门网络及数据安全学会、粤港澳大湾区青年创新与创业联盟代表先后签署《共同守护澳门网络安全倡议书》，旨在共同推进澳门网络安全建设工作。

此次出席论坛的嘉宾还包括：澳门中联办北联部交流处处长司晨，澳门中联办教青部代表林震宇，教育及青年发展局教研人员发展处处长黄达财，澳门邮电局资讯科技发展处处长李广亮，司法警察局资讯及电讯协调厅厅长陈思晶，澳门特别行政区政府旅游局资讯处处长蔡昌鸿，澳门珠海社团总会理事长卢德基，粤港澳大湾区青年创新中心执行秘书长黄恩华，澳门圣若瑟大学数据工程与科学学院院长杜文才等。

青年创新论坛旨在探索澳门创新发展之路，丈八网安作为内地企业代表出席，彰显了主办方对公司产品技术和创新能力的认可。丈八网安也期望通过此次赴澳机会，分享前沿的网络安全理念，展示创新型产品解决方案的同时，为澳门的网络安全产业发展贡献智慧和力量，通过更多创新实践推动产业繁荣发展。

10月22-25日

2024中国国际社会公共安全产品博览会

于北京中国国际展览中心（顺义馆）/新国展

隆重开幕

CACTER于E2馆C51展位诚邀各位莅临

关于安博会

中国国际社会公共安全产品博览会（简称“安博会”，英文“Security China”）由中华人民共和国商务部批准，中国安全防范产品行业协会主办并承办，安博会在增进国际交流与合作，促进行业改革与创新，推动行业进步与发展，扩大我国安防行业国际影响力等方面起到举足轻重的作用，被誉为全国乃至国际安防行业发展的晴雨表和风向标。CACTER在数字安全主题馆E2，C51号展位恭候各位莅临。

邮箱被盗号并向外发送垃圾钓鱼邮件情况频发，不仅会导致收件人上当受骗，更会影响发信IP的可用度和发信域的声誉，影响域内用户的正常外发。

除了加强对账号异常登录、收发的行为的监控，以及加强对入信中钓鱼邮件的识别，有两个方向的努力也非常重要，一是提高用户的网络安全意识，二是降低账号被盗的概率。
在降低账号密码被盗的影响方面，开启二次验证登录是有效的办法。

一、高校邮件系统概述

1.高校邮箱的主要用途

高校的电子邮件系统，用户主要为教师和学生，用户量大，日常收发量大。对于教职工而言，除日常工作交流外，最重要的用途便是海内外学术交流和校务、课务通知等。对于学生而言，主要包括接收通知、提交作业、学术交流、找工作等。

2.高校邮箱用户的现状

用户类型：根据相关要求，高校需加强邮箱账号管理，建立和完善电子邮件账号注销机制，但在一定时间段内，邮件系统中可能同时存在离校学生/员工、在校学生、在校教职工的个人邮箱和院系部处工作邮箱。各高校均不同程度存在长期无人使用或管理的“僵尸账号”。存在被他人利用的网络安全风险。

使用方式：在使用方式上，日常以各种第三方邮箱客户端为主的用户不在少数。还存在使用自动转发、日常很少或几乎不登录的用户。 

安全意识：师生用户网络安全意识参差不齐、警惕性不足，不少用户喜欢使用常见的密码组合或与身份证号、生日、姓名拼音等个人信息相关的字符串。面对各类钓鱼邮件，也时有师生用户“中招”。

二、实施登录二次验证的流程

1.实施前准备工作

（1）系统对接与测试 

以Coremail XT6邮件系统为例，其二次验证目前支持Coremail论客App、第三方OTP、手机短信、备用邮箱、微信小程序等多种方式，需根据自身系统情况，对短信平台等进行对接测试，确保相关验证方式能正常运行。

（2）二次验证流程与信任逻辑的理解

邮件系统管理员和信息化部门（IT部门）工作人员需要熟悉二次验证绑定设置、使用、解绑全部流程，并进行试用，了解常见问题。
二次验证基本流程：用户登录——校验密码——二次验证请求下发——用户反馈或确认——校验通过——登录到邮箱界面。 建议邮件系统服务商与学校邮件系统管理员进行深入沟通，理清二次验证机制及各种验证方式的信任逻辑，对二次验证中可能存在的风险点或问题点形成更清晰的认识，也有助于出现问题后的排查研判。

例如：

①【豁免时间】

当用户已经绑定/解绑/修改绑定一次后，系统默认会提供15分钟豁免时间。在15分钟内用户再次绑定/解绑/修改绑定前，都不需要先二次验证。
②【Coremail论客App】

当更换设备时，新设备上的App会要求二次验证，这是由于绑定方式与设备相关，原信任设备不可用时，只能通过后台解绑，再绑定新设备。
③【忘记密码】

短息找回密码方式，如果仅在“个人信息”中维护过手机号，此方式不可用，需要在“二次验证”中绑定过手机号，或者在“高级功能”中设置过“绑定手机”；备用邮箱找回密码方式，则在“个人信息”中维护过备用邮箱即可用。
④【客户端专用密码】

如果对组织仅强制启用二次验证，组织内的账号仅在通过web页面登录时会强制跳转到配置二次验证页面。如果不绑定二次验证，用户依然可以使用原账号密码登录客户端协议，通过SMTP发送邮件（已经被盗的账号，依然可以通过客户端协议发送邮件）。因此，组织启用二次验证后，建议在密码策略-高级设置中，同时勾选强制使用客户端专用密码的设置项。

（3）用户手册的编制

 面向用户，编写详细的步骤指南，包括绑定设置、使用、换绑或解绑等全流程。并参考服务商和其他兄弟院校的经验，提供常见问题的解答。尤其是，启用二次验证后，客户端软件需要修改客户端专用密码。
基于该用户手册，对服务人员做好培训，以应对可能发生服务量增长。如有知识库或智能问答机器人，可将相关内容导入。

2.根据实际情况分阶段启用

分析用户构成情况，制定好通知和启用的计划。

(1）用户群体的识别与分析

对用户群体做好分析，例如教师、学生、部门邮箱，离校学生、在校学生，离校职工、在校职工，长期不登录的不活跃账号、6个月内有登录记录的活跃账号等。分析用户结构，为后续分批启用提供参考。

（2）针对不同用户群体制定启用计划

针对不同用户群体，分批发送通知，告知二次验证启用事宜，在通知的截止日期操作开启（仅举例供参考，请根据实际情况制定计划）。
例如： 

·长期不活跃账号：保护性锁定、强制开启二次验证

·学生账号：区分在校、非在校状态，先对非在校学生账号强制开启，再对在校学生账号强制开启

·教师账号：多次通知，建议开启，后根据启用情况，逐步全面覆盖；离校职工的账号应及时注销或锁定

·有被盗记录或大量被攻击的账号：强制开启

·部门邮箱：根据实际业务需求启用或设置例外

·新开通邮箱：强制开启

10月18日，以“合规赋能 数智未来”为主题的2024第三届SCIC网络安全合规创新大会在北京成功举办。大会由中国信息协会信息安全专业委员会主办，长春嘉诚信息技术股份有限公司承办，华易数安科技（吉林省）有限公司、北京赛博英杰科技有限公司、北京数字世界咨询有限公司支持，邀请政府部门、科研机构和行业领军企业的领导与专家近200人出席大会，共话安全合规创新，赋能数智未来！

会议现场

会上，公安部网络安全等级保护评估中心副主任沙淼淼，国家信息中心信息与网络安全部处长刘蓓，中国信息协会信息安全专业委员会常务副主任陈晓桦发表致辞。大会由中国信息协会信息安全专业委员会副主任郭森主持。

公安部网络安全等级保护评估中心副主任 沙淼淼

国家信息中心信息与网络安全部处长 刘蓓

中国信息协会信息安全专业委员会常务副主任 陈晓桦

中国信息协会信息安全专业委员会副主任 郭森

本届大会深入解读了 2024 年网络安全领域重大政策法规；围绕数据合规数据赋能、供应链安全、商用密码应用安全、大模型网络安全等领域的最新合规要求，结合数字经济和人工智能的发展趋势，从政策法规、标准技术、应用方案等多方面展开深度交流与探讨。

北京邮电大学人工智能法律研究中心主任崔聪聪，公安部第三研究所网络安全法律研究中心副研究员、副主任何治乐，国家信息中心信息与网络安全部数据安全处处长魏连，公安部网络安全等级保护评估中心业务实施部主任曲洁，长春嘉诚信息技术股份有限公司副总裁李忆平，中国电信天翼安全公司事业部副总经理路雪涛，北京赛博英杰科技有限公司高级分析师宋圣，火山引擎大模型安全产品与解决方案负责人林泽韬等领导和专家在会上发表了精彩的主题演讲。

北京邮电大学人工智能法律研究中心主任 崔聪聪

公安部第三研究所网络安全法律研究中心副研究员、副主任 何治乐

国家信息中心信息与网络安全部数据安全处处长 魏连

公安部网络安全等级保护评估中心业务实施部主任 曲洁

长春嘉诚信息技术股份有限公司副总裁 李忆平

中国电信天翼安全公司事业部副总经理 路雪涛

北京赛博英杰科技有限公司高级分析师 宋圣

火山引擎大模型安全产品与解决方案负责人 林泽韬

作为推动网络安全合规建设融合创新的重要活动，SCIC网络安全合规创新大会如今已连续举办三届，其旨在建立一个开放性、发展性、前瞻性的安全合规创新交流平台，持续跟进网络安全最新法律法规、标准要求，关注新趋势、新技术、新场景对网络安全合规工作的新要求、新演进；分享网络安全合规体系建设经验。希望在未来的工作中，更多安全从业者将以本次大会为契机，进一步加强合作与交流，共同推动网络安全合规建设的持续发展和创新。

Palo Alto Networks 近期提醒客户尽快修补安全漏洞（使用公开的漏洞利用代码），因为这些漏洞可以被链接起来让攻击者劫持 PAN-OS 防火墙。

这些漏洞是在 Palo Alto Networks 的 Expedition 解决方案中发现的，该解决方案有助于从其他 Checkpoint、Cisco 或支持的供应商迁移配置。它们可以被用来访问敏感数据，例如用户凭据，这可以帮助接管防火墙管理员帐户。

该公司在发布的一份公告中表示，“Palo Alto Networks Expedition 中的多个漏洞允许攻击者读取 Expedition 数据库内容和任意文件，以及将任意文件写入 Expedition 系统上的临时存储位置。 综合起来，这些信息包括用户名、明文密码、设备配置和 PAN-OS 防火墙的设备 API 密钥等信息。”

这些错误是命令注入、反射跨站脚本 (XSS)、敏感信息的明文存储、缺少身份验证和 SQL 注入漏洞的组合：

·CVE-2024-9463（未经身份验证的命令注入漏洞） 

·CVE-2024-9464（经过身份验证的命令注入漏洞） 

·CVE-2024-9465（未经身份验证的 SQL 注入漏洞） 

·CVE-2024-9466（存储在日志中的明文凭据） 

·CVE-2024-9467 （未经身份验证的反映XSS漏洞）

可用的概念验证漏洞

Horizon3.ai 漏洞研究员 Zach Hanley 发现并报告了其中四个漏洞，他还发布了一份根本原因分析文章，详细介绍了他在研究 CVE-2024-5910 漏洞，这允许攻击者重置 Expedition 应用程序管理员凭据。

Hanley 还发布了一个概念验证漏洞，该漏洞将 CVE-2024-5910 管理员重置漏洞与 CVE-2024-9464 命令注入漏洞链接起来，以在易受攻击的 Expedition 服务器上获得“未经身份验证”的任意命令执行。

Palo Alto Networks 表示，目前没有证据表明这些安全漏洞已被利用在攻击中。

Expedition 1.2.96 以及所有更高版本的 Expedition 中都提供了对所有列出问题的修复。受 CVE-2024-9466 影响的明文文件将在升级过程中自动删除。升级到 Expedition 的固定版本后，所有 Expedition 用户名、密码和 API 密钥都应轮换。

Expedition 处理的所有防火墙用户名、密码和 API 密钥应在更新后轮换。

无法立即部署当前安全更新的用户必须将 Expedition 网络访问限制为授权用户、主机或网络。 4 月份，该公司开始发布针对最严重的零日漏洞的修补程序，自 3 月份以来，该漏洞一直被追踪为 UTA0218 的国家支持的威胁者积极利用，以在 PAN-OS 防火墙中设置后门。

“我们正在跳出‘安全圈’看待网络安全市场。”盛邦安全副总裁、董秘袁先登在2024数字经济领航者交流大会上接受《证券日报》记者专访时表示，传统产业需求平稳，新兴产业能够成为网络安全行业新的蓝海。

“这些行业的发展将打破传统网络安全行业的边界，开拓卫星互联网安全的市场空间。”袁先登表示，网络安全属于伴生行业，因而更能敏锐地捕捉到行业的需求和变化。在他看来，智慧交通、低空经济、商业航天等新兴产业正在为传统安全行业带来巨大的市场空间。与此同时，数据要素所构成的数据资产也将成为网络安全行业的市场增长动能。下一步，盛邦安全将持续推进“两精一深”战略，精准识别、精确防御、深入业务场景，继续通过加码研发、积极“出海”、并购重组等方式扩大公司规模。

挖掘卫星互联网安全蓝海

在挖掘新兴产业市场机遇方面，盛邦安全已经付诸实践。

今年上半年，盛邦安全宣布收购天御云安部分股权。天御云安在卫星通信安全领域积累了多项核心技术，已经形成了一整套卫星通信安全解决方案，包括卫星互联网测绘、卫星通信加密、卫星通信脆弱性分析和安全加固。

此次收购的推进，标志着盛邦安全进入以场景化安全、网络空间地图和卫星互联网安全三大核心能力为驱动的战略2.0时代。卫星互联网安全业务被定义为盛邦安全的第三条增长曲线。

“卫星互联网的发展将为整个通信行业带来巨大的变化。”袁先登表示，“我们原来只有一个地网，现在则有了空天地一体化网络，这为传统网络安全带来了巨大挑战，也打破了传统安全行业原本的边界。”

早在2021年，盛邦安全已经布局卫星互联网安全，并在卫星互联网安全检测方面积累了多项专利和产品。收购天御云安，不仅体现出盛邦安全对于卫星互联网高速发展的预期，还能够进一步强化公司在卫星互联网安全领域的能力。“目前我们已经建立了针对商业航天、卫星互联网产业的安全检测和安全评估系统；同时也建立了一套卫星安全的防御系统，这一系统目前在国内外全行业中都处于领先水平。”袁先登表示。

在袁先登看来，卫星互联网安全虽然起步晚于传统网络安全，但在低空经济、智慧交通等新兴产业的推动下，市场空间有望快速生成。“传统地面网络安全行业发展了十几年，如今每年市场空间约为600亿元。卫星互联网安全需求将不低于地面网络安全市场空间。”袁先登表示，“传统网络安全行业中已经有了数千家从业公司，其中数十家公司已经上市。而在卫星互联网安全领域，盛邦安全处于全行业的先行者位置。”

数字经济有望带来新机遇

袁先登透露，盛邦安全的卫星互联网安全业务已经实现收入，并有望在2024年年度报告中有所体现。

“我们目前已经拿到了一些卫星互联网安全行业的订单，主要来自关基（关键信息基础设施）领域用户。”袁先登说，“以最近的两个大型订单为例，其中一个是来自能源企业的卫星加密项目，另一个是交通领域的链路加密传输项目，订单规模都相对较大。”他表示，随着项目陆续交付，相关营业收入将在未来的财报中逐步释放。

能源、交通等行业亦为传统网络安全行业的主要服务对象。据透露，未来盛邦安全对于卫星互联网安全的客户开拓，将以原有用户新的需求起步，逐步探索新的用户需求，并有计划开拓海外市场空间。

对于卫星互联网安全的布局只是盛邦安全拓展产品版图的缩影。袁先登认为，数字经济时代的发展有望为盛邦安全带来重大机遇，公司正在布局IP数据资产应用以及公民身份数据资产应用。“目前，盛邦安全IP数据资产应用的技术已经实现商业化，并且保持高速增长；公民身份数据资产应用也正在推向市场。与此同时，盛邦安全的空间探测产品正在进行网络空间资产的识别，推动网络空间资产形成数据资产。”

“我们的下一个目标是用三年的时间达到10亿元订单规模。”袁先登表示，对于盛邦安全而言，这并不是一个能够轻易实现的目标，但公司已经在产品布局、研发投入以及组织结构等多方面做好准备。

原文链接

文章来源：证券日报

目前，来自俄罗斯、土耳其、乌克兰和欧亚地区其他国家的超过 28,000 人正受到大规模加密货币窃取恶意软件活动的影响。

该恶意软件活动将自己伪装成通过 YouTube 视频和欺诈性 GitHub 存储库推广的合法软件，受害者在其中下载受密码保护的档案，从而引发感染。

据网络安全公司 Dr. Web 称，该活动使用盗版办公相关软件、游戏作弊和黑客行为，甚至自动交易机器人来欺骗用户下载恶意文件。

据悉，这次恶意软件活动总共影响了 28,000 多人，其中绝大多数是俄罗斯居民。另外。白俄罗斯、乌兹别克斯坦、哈萨克斯坦、乌克兰、吉尔吉斯斯坦和土耳其也发现了大量感染病例。

宣传 Microsoft Excel 本地化（俄语）下载的恶意网站

感染链

感染首先打开一个自解压存档，该存档在下载时会逃避防病毒扫描，因为它受密码保护。受害者输入提供的密码后，存档会释放各种混淆的脚本、DLL 文件和用于启动主有效负载的数字签名加载程序的 AutoIT 解释器。

该恶意软件会检查调试工具是否存在，以查看它是否在分析人员的环境中运行，如果发现任何工具，则会终止。

接下来，它提取攻击后续阶段所需的文件，然后使用图像文件执行选项 (IFEO) 技术修改 Windows 注册表以实现持久性。

简而言之，它利用恶意服务劫持合法的 Windows 系统服务以及 Chrome 和 Edge 的更新进程，因此恶意软件文件会在这些进程启动时执行。

Windows 恢复服务被禁用，并且恶意软件文件和文件夹的“删除”和“修改”权限被撤销，以防止尝试清理。

从那时起，Ncat 网络实用程序用于与命令和控制 (C2) 服务器建立通信。该恶意软件还可以收集系统信息，包括运行的安全进程，并通过 Telegram 机器人窃取这些信息。

完整的攻击链

财务影响

该活动将两个关键有效负载传送到受害者的机器上。第一个是“Deviceld.dll”，这是一个经过修改的 .NET 库，用于执行 SilentCryptoMiner，它使用受害者的计算资源来挖掘加密货币。

第二个有效负载是“7zxa.dll”，这是一个经过修改的 7-Zip 库，充当剪辑器，监视 Windows 剪贴板中复制的钱包地址，并将其替换为攻击者控制下的地址。

Dr. Web 没有在报告中具体说明 28,000 台受感染机器的潜在挖矿利润，但发现仅 Clipper 就劫持了价值 6,000 美元的交易，并将金额转移到攻击者的地址上。

为避免意外的经济损失，请用户仅从该项目的官方网站下载软件，并阻止或跳过 Google 搜索上的推广结果。此外，请小心 YouTube 或 GitHub 上的共享链接，因为这些平台的合法性并不能保证下载目的地的安全。

10月17日，《中国互联网企业综合实力指数（2024）》发布会在厦门举行。会议现场发布了《中国互联网企业综合实力指数（2024）》研究报告，公布“2024年中国网络安全前二十家企业”名单，国投智能凭借在相关领域的技术优势和综合实力（旗下业务子品牌：美亚柏科、安胜）成功入选，成为福建省唯一入围企业。

2013年以来，中国互联网协会已连续12年开展中国互联网企业综合实力指数研究，获得了政府部门、行业机构、业界专家的广泛关注和认可。此次入选，彰显了国投智能的综合实力，是对公司在科技创新能力、品牌影响力和成长潜力等方面的高度肯定。

国投智能副总经理、董事会秘书 高碧梅（左二）代表公司领奖

网络安全是国家安全的重要组成部分，也是经济社会稳定运行的基石。国投智能大力拓展新网络空间安全业务板块，聚焦数据安全和人工智能安全的技术创新，形成能力优势，构建“一中心两体系”的新一代网络空间安全防护体系，打造覆盖数据全生命周期的安全产品，发布人工智能大模型内容检测平台和慧眼视频图像鉴真工作站等人工智能大模型内容检测系列产品，并依托“星盾”多源威胁检测响应平台打造全方位的网络安全防护体系，将大模型能力融入了“星盾”，提升平台的风险感知准确率和风险自动处置能力，为网络安全运营体系建设提供了场景实践。

作为国投集团参与国家数字经济安全稳定发展平台，国投智能将继续秉承“数据更智能，网络更安全”的企业使命，在人工智能与网络安全技术融合的浪潮中，专注技术创新与突破，服务国家战略，践行央企责任，履行社会担当，护航数字经济高质量发展，为构建网络强国、平安中国贡献更大的力量！

博物馆、艺术馆、纪念馆等属于文化遗产与公共文化服务行业。这个领域涵盖了负责保护、研究、展示历史文物、艺术品和其他文化遗存的机构，它们通常由政府资助或支持，旨在教育公众、促进学术研究及增强文化认同感，对提升国家文化软实力、促进文化多样性保护具有不可替代的作用。在公众心中，文化馆往往是了解一个国家历史与文化深度的最佳窗口，好的场馆更是一票难求。

馆内预约现状：

某馆在节假日高峰期间，其线上预约系统主要会面临的问题困扰：

1） 访问量激增导致系统崩溃及信息更新不及时：节假日期间，由于参观需求急剧上升，大量用户同时登录预约系统，可能导致服务器过载，系统响应缓慢甚至崩溃，影响用户体验。且在高流量压力下，系统可能无法及时更新剩余票量信息，导致用户在实际上已无票的情况下仍尝试预约，浪费时间。

2） 黄牛囤票倒卖，票源迅速耗尽：由于预约名额有限，特别是在热门节假日，黄牛党活动频繁，利用各种手段大量抢占预约票，然后高价转卖给急于参观的游客，这不仅加剧了普通公众预约难的问题，也扰乱了正常的预约秩序。

3） 预约界面卡顿：高并发访问下，用户在操作预约界面时可能会遇到频繁的卡顿、页面加载慢等问题，影响预约效率。

4） 客户服务响应滞后：面对大量用户的咨询和投诉，客服热线和在线客服可能不堪重负，导致用户问题解决效率低下。

云盾智慧·慧御解决方案

慧御云防护根据以上的场景提供SaaS化的云安全解决方案，用户无需自行搭建和维护硬件或软件环境，只需通过订阅服务的形式即可享受云服务商提供的WAF保护，具有高度的灵活性、可扩展性和易用性，主要优势和特点如下：

快速部署：用户无需安装硬件或软件，仅需简单的DNS设置即可快速启用服务，大大缩短部署时间。

弹性扩展：云WAF服务可根据实际流量自动扩展防护能力，有效应对突发流量高峰，保持防护性能稳定。

成本效益：SaaS模式采用按需付费，降低了初期投入成本，对于中小型企业尤为友好。

专业维护：安全规则库和系统升级由云服务提供商负责，用户无需担心技术细节，专注于核心业务。

三大运营商覆盖：云服务商通常在全国三大运营商拥有广泛的数据中心，能提供低延迟的全球访问保护，适合跨国企业或有国际访问需求的网站。

易于管理：通过统一的管理界面，用户可以随时随地访问控制台，轻松管理多个网站的安全策略。

通过SaaS化部署的云WAF解决方案，客户能够高效、经济地提升其Web应用的安全防护水平，特别是在节假日等高峰期，确保线上服务的稳定与安全。

案例详情

慧御云防护重点落实以下几点，旨在帮助用户快速、高效地启用SaaS化防护服务，确保网站或应用的安全性：

1. 需求分析与服务选择

评估需求：根据业务性质、网站规模、预期流量、历史安全事件等因素，确定所需的防护等级和服务范围。

服务选择：选择合适业务的云WAF服务功能套餐，对比其功能、性能、价格、支持服务等，选择购买实施的功能模块：

·CDN加速：有效缓解用户服务端压力，保障服务流畅；

·DDoS与CC防护：保障业务连续性，防止出现因攻击导致的服务中断；

·WEB安全防护：检测SQL，XSS，Webshell，CSRF等Web攻击行为，防止漏洞利用；

·风险大数据防控：基于用户画像和威胁情报进行快速响应处置；

·爬虫智能防护：拦截机刷脚本行为，进行真人校验，防止相关信息泄露；

·防黄牛定制功能开发：针对黄牛提前验证或恶意绕过等行为进行分析，定制专用防护策略；

·专家服务：提供定制化安全策略、实时监控与日志分析，出具安全分析报告；

2. 网站接入配置

DNS变更：在云WAF控制面板中创建保护站点，按照指引修改网站DNS记录。

验证接入：完成DNS变更后，通过服务商提供的验证工具确认流量已经正确导向云WAF。

3. 安全策略配置

默认策略：启动时，云WAF通常会应用一套默认的安全策略，涵盖基础的防护规则。

自定义策略：根据实际需要，细化配置安全策略，如设置白名单/黑名单、自定义规则、访问控制、速率限制等，以适应特定业务场景。

4. 测试与调优

测试观察：

·功能测试：进行功能测试，确保正常访问未受影响，同时验证WAF能否有效拦截恶意请求。

·性能监控：启用监控功能，观察流量情况和WAF性能表现，确保无误报和漏报。

策略调优：

·针对重点 api，基于访问量进行日常监控，对高频访问ip，分析其未被拦截的原因，增加或调控频率限制条件；

·针对重点 api，可配置 js/delay+API 驱动验证，更好的进行人机校验，过滤脚本机刷行为；

·特殊时期通过地域封禁功能只允许或者限制某些地区访问；

·定制客户端校验规则，如协商用户指纹，区分正常业务流量和抢票终端；

·通过专家分析业务流量，学习黄牛周期性访问参观预约接口（查看获取余票信息）的行为模型，针对性的设置行为限制策略；

5. 正式上线

全面切换：在测试无误后，正式将所有流量切换到云WAF保护之下。

持续监控与优化：上线后持续监控安全日志和告警，根据实际情况调整安全策略，定期进行安全评估和优化。

6. 技术支持与应急响应

开通支持服务：确保与云WAF服务商建立了有效的沟通渠道，以便在遇到问题或攻击事件时，能够快速获得技术支持和应急响应。

加强业务巡检：

1) 确保所有API进行认证校验，部分API未进行安全校验，建议针对API资产进行梳理，确保不存在API未授权等问题。

2) 在节假日之前进行业务检测，经过分析，业务访问跟节假日强关联，在已知的节假日前，提前进行业务检查，确保业务能应对突增的流量。

3) 日常巡检中发现的可疑IP可以及时通过云WAF的ACL封禁进行防护。

效果展示

本安全服务产品已于2023年度到2024年度期间已进行了业务部署以及配置调整及策略调优等工作取得的成果如下:

1）2024年度春节期间成果

通过接入联通慧御云并配置缓存加速、爬虫防护等功能后，降低订票业务服务器40%的访问量，节省80%的带宽流量。

以2024.2.1-2024.2.17时间范围数据分析：该时间段联通慧御云防护处理请求共计14.11亿次, 其中云防护的缓存加速及防护能力共减少源站40%+请求量，识别到的异常IP占比25%。

图1 业务数据概览

联通慧御云防护缓存加速请求3.62亿次，加速请求减少源站服务器25%+请求数，降低源站带宽82%流量(加速请求一般为图片等较大资源文件,占带宽较大，加速请求由联通慧御云防护直接响应，速度更快，且一般不需要源站处理)。

图2 缓存加速数据概览

联通慧御云防护共拦截2.4亿次+请求（17%+）。

2）2024年度五一期间成果

该时间段云WAF处理请求共计12.73亿次, 其中云WAF的缓存加速及防护能力共减少源站53%请求量。

图1 业务数据概览

云WAF缓存加速请求2.39亿次，加速请求减少源站服务器28%+请求数，降低源站带宽85%流量(加速请求一般为图片等较大资源文件,占带宽较大，加速请求由云WAF直接响应，速度更快，且一般不需要源站处理)。

图2 缓存加速数据概览

云WAF共拦截4.4亿次+请求（35%+）。

服务期间网站云防护服务保障工作顺利，保障了预约系统政策访问和预约，期间未发生重大预约卡顿等事件。

TrickMo Android 银行木马的 40 个新变种已在野外被发现，与 16 个植入程序和 22 个不同的命令和控制 (C2) 基础设施相关，具有旨在窃取 Android PIN 的新功能。 

Zimperium 是在 Cleafy 之前发布的一份报告调查了当前流通的一些（但不是所有）变种之后报告了这一情况。

TrickMo 于 2020 年首次由 IBM X-Force 记录，但据悉其至少从 2019 年 9 月起就被用于针对 Android 用户的攻击。

假锁屏窃取 Android PIN

TrickMo 新版本的主要功能包括一次性密码 (OTP) 拦截、屏幕录制、数据泄露、远程控制等。该恶意软件试图滥用强大的辅助服务权限来授予自己额外的权限，并根据需要自动点击提示。

作为一种银行木马，它为用户提供各种银行和金融机构的网络钓鱼登录屏幕覆盖，以窃取他们的帐户凭据并使攻击者能够执行未经授权的交易。

攻击中使用的银行覆盖层

Zimperium 分析师在剖析这些新变体时还报告了一个新的欺骗性解锁屏幕，模仿真正的 Android 解锁提示，旨在窃取用户的解锁图案或 PIN。

欺骗性用户界面是托管在外部网站上的 HTML 页面，并在设备上以全屏模式显示，使其看起来像合法屏幕。 

当用户输入解锁图案或 PIN 码时，页面会将捕获的 PIN 码或图案详细信息以及唯一的设备标识符（Android ID）传输到 PHP 脚本。

TrickMo 显示的假 Android 锁屏

窃取 PIN 允许攻击者通常在深夜在设备未受到主动监控时解锁设备，以实施设备欺诈。

受害者分布图

由于 C2 基础设施安全不当，Zimperium 确定至少有 13,000 名受害者受到该恶意软件的影响，其中大多数位于加拿大，在阿拉伯联合酋长国、土耳其和德国也发现了大量受害者。

TrickMo 受害者分布图

根据 Zimperium 的说法，这个数字相当于“几台 C2 服务器”，因此 TrickMo 受害者的总数可能更高。 

据安全研究员分析表明，每当恶意软件成功窃取凭据时，IP 列表文件就会定期更新，在这些文件中已经发现了数百万条记录，表明威胁者访问了大量受感染的设备和大量敏感数据。

Cleafy 此前曾向公众隐瞒了妥协的迹象，因为配置错误的 C2 基础设施可能会将受害者数据暴露给更广泛的网络犯罪社区，但 Zimperium 现在选择将所有内容发布到这个 GitHub 存储库上。

然而，TrickMo 的目标范围十分广泛，涵盖银行以外的应用程序类型（和帐户），包括 VPN、流媒体平台、电子商务平台、交易、社交媒体、招聘和企业平台。

TrickMo 目前通过网络钓鱼进行传播，因此为了最大限度地降低感染的可能性，人们应避免不认识的人通过短信或直接消息发送的 URL 下载 APK。 

Google Play Protect 可识别并阻止 TrickMo 的已知变体，因此确保其在设备上处于活动状态对于防御恶意软件至关重要。

据安全研究人员发现，勒索软件团伙现在正利用一个严重的安全漏洞，让攻击者能够在易受攻击的 Veeam Backup & Replication (VBR) 服务器上获得远程代码执行 (RCE)。 

Code White 安全研究员 Florian Hauser 发现，该安全缺陷（现已追踪为 CVE-2024-40711）是由不可信数据漏洞的反序列化引起的，未经身份验证的威胁者可以在低复杂性攻击中利用该漏洞。

Veeam 于 9 月披露了该漏洞并发布了安全更新，而 watchTowr Labs 也发布了技术分析。不过，watchTowr Labs 将概念验证漏洞利用代码推迟发布，以便管理员有足够的时间来保护其服务器。

此次延迟是由于企业使用 Veeam 的 VBR 软件作为数据保护和灾难恢复解决方案来备份、恢复和复制虚拟、物理和云机器。

这使得它成为寻求快速访问公司备份数据的恶意分子非常受欢迎的目标。

正如 Sophos X-Ops 事件响应人员发现的那样，CVE-2024-40711 RCE 缺陷很快就被发现，并在 Akira 和 Fog 勒索软件攻击中与之前泄露的凭据一起被利用，以向本地管理员添加“点”本地帐户和远程桌面用户组。

Sophos X-Ops 表示：“在一个案例中，攻击者投放了 Fog 勒索软件。同一时间范围内的另一次攻击试图部署 Akira 勒索软件。所有 4 个案例中的指标都与之前的 Akira 和 Fog 勒索软件攻击重叠。” 

在每种情况下，攻击者最初都使用受损的 VPN 网关访问目标，而没有启用多因素身份验证。其中一些 VPN 运行不受支持的软件版本。

在 Fog 勒索软件事件中，攻击者将其部署到未受保护的 Hyper-V 服务器上，然后使用实用程序 rclone 来窃取数据。

这不是勒索软件攻击中的第一个 Veeam 漏洞

去年，即 2023 年 3 月 7 日，Veeam 还修补了备份和复制软件 (CVE-2023-27532) 中的一个高严重性漏洞，该漏洞可被利用来破坏备份基础设施主机。

几周后，芬兰网络安全和隐私公司 WithSecure 发现 CVE-2023-27532 漏洞部署在与出于经济动机的 FIN7 威胁组织相关的攻击中，该组织因与 Conti、REvil、Maze、Egregor 和 BlackBasta 勒索软件操作的联系而闻名。

几个月后，同样的 Veeam VBR 漏洞被用于针对美国关键基础设施和拉丁美洲 IT 公司的古巴勒索软件攻击。 

Veeam 表示，其产品被全球超过 550,000 家客户使用，其中包括全球 2,000 强公司中至少 74% 的客户。

数字化时代，上云是企业不可忽视的路径，因此对于云上安全治理以及云平台自身安全性的考量，也成为长期以来业界持续探索的课题。从参考传统网络安全而设计的云安全，到补丁式的云原生安全，再到如今的云安全治理体系，阶段演进的背后，是云安全治理能力提升的迫切性要求，以及思维和理念的革新。

进入3.0时代，云安全治理已然上升战略与价值层面。如何确保战略与企业组织业务发展一致，还能通过量化价值，实现安全投入产出的最大化，进而提升安全治理能力与效率？

本次活动邀请到腾讯云安全总经理李滨，安在新媒体创始人张耀疆，云安全联盟上海分会联席主席沈勇共话"云时代下，如何落地有效的云安全防御体系"，围绕腾讯云自身云安全治理实践展开研讨，让安全价值最大化！