Python是由Guido van [...]

据CyberScoop网站报道，美国网络安全和基础设施安全局（CISA）局长Jen Easterly日前表示，CISA将在今年年底前完成自动化漏洞预警系统的相关技术准备和全面部署工作，以提升美国关键基础设施单位的网络攻击防护能力。

在数字化的世界里，每一个组织都必须具备在危险环境中航行的能力，这需要由他们的守护者——网络安全专业团队进行守护。在这场没有终点的攻防博弈中，开展主动威胁狩猎活动是一项重要的安全实践，它使防御者能够先发制人，破坏对手精心布置的攻击计划，将安全团队从被动应对攻击的哨兵转变为主动发起攻击的网络战士。

日前，盈高科技宣布推出新一代“统一”信任接入平台。该平台是基于零信任网络安全理念和统一接入理念，根据软件定义边界（SDP）架构构建的安全访问控制系统，通过盈高小助手、统一安全接入管理平台、网络准入控制（NAC）以及统一接入网关（UAG）等组件，共同建立动态虚拟网络安全边界，实现企业员工全网统一信任接入。

现代企业组织在开展网络安全建设时，往往会侧重于防范网络攻击引发的风险，却容易忽视物理环境的安全性，甚至有些网络安全专业人员会认为物理环境安全与网络信息安全并不相关。但是事实上，网络安全是一个整体，只要有一个地方出现了漏洞，攻击者就有可能入侵成功，而保障物理环境安全是组织计算机网络系统安全稳定运行的前提和基础。

[...]

直播预告 | AI大模型在开发安全领域的应用 作者：aqniu 日期：2024年04月24日 阅：67

在网络安全领域中，有一个无法避免的“魔鬼交易”原则：为了让各种先进的安全工具能够顺利完成工作，它们会被授予最高等级的访问权限，并且可以充分获取网络系统中的各种资源。事实证明，一旦这些先进的安全防护能力被攻击者所利用，它们就可能会变成非常邪恶的恶意软件，对组织造成更巨大的危害。

近日，山西警方成功破获一起特大侵犯公民个人信息案，铲除一个在境外平台买卖公民信息的特大新型网络犯罪团伙，抓获犯罪嫌疑人7名，冻结涉案资金3000余万元，扣押涉案手机、电脑30余台。

[...]

日前，HelloKitty勒索软件组织对外宣称，他们将更名为“HelloGookie”，并以此建立新的暗网门户网站。发布这一消息的威胁者名叫“Gookee/kapuchin0”，自称是HelloKitty勒索软件的原始创建者之一。

[...]

日前，联合国开发计划署（UNDP）对外证实遭遇网络勒索攻击。本次攻击活动发生在3月底，一名攻击者成功侵入了UNDP总部位于哥本哈根的服务器系统，并窃取了包括人力资源和采购信息在内的敏感数据。

[...]

据外媒报道，美国网络安全和基础设施安全局（CISA）日前发布了一份编号为（24-02）的紧急公告，要求美国所有政府部门及联邦机构立刻采取行动，对所使用的电子邮件系统进行安全性检查，评估系统是否存在数据泄露的迹象，如果发现异常，应在4月30日前向CISA进行报告。

[...]

[...]

随着数字化转型的加速，企业组织也更容易受到各种网络攻击的威胁。XDR（可扩展威胁检测与相应）技术作为一种综合性的威胁检测和响应解决方案，可以帮助组织更好地适应数字化转型，确保其数字化环境的安全性。

[...]

日前，Zscaler公司表示正在全力推进收购初创SASE厂商Airgap Networks的计划，以扩展其在零信任安全和安全访问服务边缘（SASE）方面的方案能力。不过具体的收购细节和进展情况目前尚未具体披露。

[...]

数据威胁检测和响应技术（Data Detection and [...]

4月10日，工业和信息化部正式发布《关于开展增值电信业务扩大对外开放试点工作的通告》。通告内容显示，我国将在北京、上海、海南、深圳率先开展试点，取消互联网数据中心、互联网接入服务、在线数据处理与交易处理等业务的外资股比限制。对在试点地区开展前述业务的外商投资电信企业，我国将遵循“内外资一致”原则进行管理。

随着人类社会的技术、商业和工业活动不断发展，网络犯罪分子也总在寻找更先进的攻击技术和模式。不久前，欧盟网络安全机构（ENISA）编写发布了《2030年网络安全威胁展望报告》，对未来可能影响数字领域的10种新兴网络安全威胁进行了分析和评估，其中也包括了一些目前已经存在但未来会变得更加严重的网络安全问题。

[...]

未修补的漏洞是网络犯罪分子最容易攻击的目标之一。企业中很多的数据安全事件往往由于已知的漏洞造成的，尽管相关的安全补丁已经发布，但许多企业由于种种原因并不能及时发现并修补这些漏洞。

一个健全的网络安全治理结构（包括网络风险管理）应该包括对网络安全的明确问责和对组织内网络决策的明确授权。从公认的治理和风险管理规范模型之一的三线模型（即过去的三道防线模型）的角度审视网络安全治理尤为有益。

2023年7月，修订版《商用密码管理条例》正式施行，这为规范商用密码管理、促进商用密码发展进一步奠定了基础，同时也将推动着商用密码企业从技术、产品和服务模式上不断创新，适应不断发展的商业密码技术创新应用需求。

日前，北京天地和兴科技有限公司（以下简称“天地和兴”）宣布完成E轮融资，共计约8亿元人民币。本轮融资由北京国管控股下属京国瑞、联通集团下属联通中金、长城集团产业投资平台蜂云资本联合领投，北京信息产业发展投资基金、中关村科学城公司、中核新兴产业基金、网宿科技等跟投，老股东松禾资本继续追投。

[...]

[...]

近日，闪捷信息安全与战略研究中心发布《2023年度数据泄漏态势分析报告》（以下简称“《报告》”），《报告》通过统计分析2023年国内所发生的数据泄漏事件，结合全球数据泄漏事件的趋势，从数据泄漏事件、时间、人员、动机、数据源以及个人信息泄漏态势进行总结分析，多维度呈现2023年国内数据泄漏的态势全景。

[...]

日前，开源软件XZ被植入“后门”事件，引发了网络安全界的轩然大波。研究人员发现，在包括Red Hat和Debian在内的多个流行Linux版本中，一款压缩工具被悄悄植入了恶意代码，这样攻击者即使没有有效账号，也可以通过SSHD（一个负责SSH连接工作的关键二进制文件）访问系统了。

[...]

API（应用程序编程接口）是互联网不可或缺的一部分。当我们访问一个网站时，承载该网站的Web服务器会展示网页。API正是那个使网站数据能够为登录所使用的客户端（无论是台式机、笔记本电脑还是移动设备）消化理解的工具。API作为服务器提供的程序，可以是处理Web流量同一程序的一部分，也可以是向客户端提供数据的独立程序。

在Gartner发布的《Hype Cycle for Enterprise Networking [...]

为集中整治涉企侵权信息乱象，切实维护企业和企业家网络合法权益，近日，中央网信办印发通知，部署开展“清朗·优化营商网络环境—整治涉企侵权信息乱象”专项行动。

随着数字化转型的深入发展，加强网络安全能力建设已经成为全球企业组织的普遍共识。然而，在经过多年的网络安全建设后，企业组织面临的网络安全威胁态势依然非常严峻。通过回顾2023年多个研究机构发布的网络安全调查统计数据可以发现，当前企业组织所面临的网络安全风险态势仍在不断恶化。对企业的网络安全防护人员而言，未来的工作任重道远。

[...]

日前，按照《商用密码管理条例》、《商用密码检测机构管理办法》有关规定，国家密码管理局组织对商用密码检测机构（商用密码应用安全性评估业务）资质申请材料进行了审查，并将通过材料审查的机构名单予以公示。

日前，为促进网络安全产品互联互通资产信息有效互通和整合，全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——网络安全产品互联互通 资产信息格式》。本《实践指南》给出了网络安全产品互联互通时资产信息的描述格式，可用于指导网络安全产品互联互通功能的设计、开发、应用和测试。

OWASP（Open Worldwide Application Security [...]

最近的研究表明，DDoS攻击变得越来越强大，有时被威胁行为者用作勒索手段。日前，CISA、联邦调查局 （FBI） 和多州信息共享和分析中心 （MS-ISAC）联合发布了一份针对公共部门实体的新指南《 Understanding and Responding to Distributed [...]

商业间谍软件是一种软件应用程序/脚本，也被称为“跟踪软件”、“监视软件”，主要功能包括非法数据收集、后门行为、远程控制工具、屏幕截图、密钥记录以及复制设备剪贴板中的内容等。商业间谍软件可以帮助恶意行为者监视受害者的计算机设备，秘密地窃取数据并在现实世界中造成伤害。

[...]

[...]

根据2024年3月15日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2024年第1号），全国网络安全标准化技术委员会归口的5项网络安全国家标准正式发布。具体清单如下：

日前，全国信息技术标准化技术委员会秘书处发布公告，对《安全可靠  服务器操作系统技术要求》等9项行业标准公开征求意见。各有关单位可于2024年4月18日前，将意见建议反馈至电子邮箱：zhengqiuyijian@cesi.cn。

日前，据安全网站SC Media报道，Google 旗下的Firebase平台被安全研究人员测试发现存在超过900个配置错误，使得近 1900 万个密码以明文方式存储，这可能会导致近1.25亿用户记录存在泄露隐患。