技术标准规范

　　1.中央网信办会同有关部门深入推进摄像头偷窥等黑产集中治理工作

　　今年5月以来，中央网信办会同工业和信息化部、公安部、市场监管总局深入推进摄像头偷窥等黑产集中治理工作，对人民群众反应强烈的非法利用摄像头偷窥个人隐私画面、交易隐私视频、传授偷窥偷拍技术等侵害公民个人隐私行为进行集中治理。

　　https://mp.weixin.qq.com/s/_1cJ9ExBjNwb-qdoghspiQ

　　2.工信部、应急部、国资委召开油气管道行业“工业互联网+安全生产”试点启动会

　　8月6日，工业和信息化部、应急管理部、国务院国资委在国家管网集团公司联合召开油气管道行业“工业互联网+安全生产”试点启动会，应急管理部党委委员、副部长（正部长级）尚勇，工业和信息化部副部长徐晓兰，国家管网集团公司董事长、党组书记张伟出席会议并讲话。

　　https://mp.weixin.qq.com/s/1-uuHB5R_wZdVpEIpj6ZbA

　　3.中共中央 国务院印发《法治政府建设实施纲要（2021－2025年）》

　　近日，中共中央、国务院印发了《法治政府建设实施纲要（2021－2025年）》，并发出通知，要求各地区各部门结合实际认真贯彻落实。《法治政府建设实施纲要（2021－2025年）》全文如下

　　https://mp.weixin.qq.com/s/pbjKnY50KVf0XFGZZXme9A

　　4.发布 | 工信部印发《关于加强智能网联汽车生产企业及产品准入管理的意见》

　　为加强智能网联汽车生产企业及产品准入管理，维护公民生命、财产安全和公共安全，促进智能网联汽车产业健康可持续发展，根据《中华人民共和国道路交通安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《道路机动车辆生产企业及产品准入管理办法》等规定，提出以下意见。

　　https://mp.weixin.qq.com/s/qerXJOZvckeeNf8OeAjyrQ

　　5.大数据时代下的《数据安全法》

　　2019年全国政协十三届二次会议上，全国政协委员、360集团董事长兼首席执行官周鸿祎在提案里提到了IMABCDE字母歌。IMABCDE每个字母都有所指代，分别是IoT、移动通信、人工智能、区块链、云计算、大数据、边缘计算。周鸿祎通过这样的方式来解读数字经济，加深了人们对这些互联网技术的印象。

　　https://mp.weixin.qq.com/s/j2l3oWkchH27sMl7Q-wKJg

　　行业发展动态

　　6.企业安全建设 | 建设规划与需求实践思考

　　在企业的信息安全建设方面，真正进行安全规划的企业并不多，大多数仍属于“事件驱动”和“项目驱动”型建设。发生信息安全事件后才进行信息安全的资源投入建设，在建设时又由于项目目标需求明确和事件急迫，仓促上马，而忽略对体系化的针对性考虑和设计。

　　https://mp.weixin.qq.com/s/rQj9FaBLPOA0lMOCo_N7Bg

　　7.随着新一波新冠疫情的到来，汹涌的点击欺诈活动又开始了

　　随着新一波新冠疫情的到来，许多国家重新实施了封锁和限制，人们又再次被困在家里。随着奥运会比赛如火如荼地进行，很多人都被吸引到网站上来观看比赛了，这无意间使攻击者发现了大量的点击欺诈攻击机会。

　　https://mp.weixin.qq.com/s/KV7r8WnR7bHt1kuQegi_Gg

　　8.英美澳多国联合发布最“热门”漏洞排行榜

　　近日，来自美国、英国和澳大利亚的多家网络安全机构发布的联合安全公告揭示了过去两年间被利用最多的30个安全漏洞。与此同时，CISA、澳大利亚网络安全中心（ACSC）、英国国家网络安全中心（NCSC）和联邦调查局（FBI）也分享了缓解措施，以帮助私营和公共部门组织应对这些漏洞。

　　https://mp.weixin.qq.com/s/fWHND8qLj3hvSA4_nU_imQ

　　9.美欧《隐私盾协议》之无效及中国应对路径

　　数据跨境自由流动已经成为数字经济发展的关键议题，美欧为解决美欧之间数据跨境提供问题，做了多种尝试，已从《安全港协议》过渡到《隐私盾协议》，但是 2020 年 7 月《隐私盾协议》也被欧盟法院裁定无效。

　　https://mp.weixin.qq.com/s/Mue25e3Jh0-kqATYdo6BRQ

　　10.美国国土安全部部长在美国黑帽大会上发表讲话

　　大家下午好。很抱歉我没有亲临现场。我非常期待与大家在拉斯维加斯再次相聚，包括参加 QueerCon 和其它活动。前所未有的疫情和不断上升的 Delta 变体风险，致使我无法与大家在一起。但可以保证，如果我亲自在场，我就不会穿得像现在这样（正式）。

　　https://mp.weixin.qq.com/s/3vQgMhvD4eu9jvBRMRv7hg

　　11.原创 | 黑帽大会议题解读  BadAlloc内存分配漏洞致数百万设备易受攻击

　　2021年8月5日，来自微软Azure Defender for IoT 团队的研究员Omri Ben-Bassat 和 Tamir Ariel，在 BlackHat USA 2021 上分享了以内存分配程序漏洞BadAlloc为主题的演讲。本文将和大家一起来看看议题中涉及的内容。

　　https://mp.weixin.qq.com/s/Hqty39bLFoRmFuBSF7iGbw

　　安全威胁分析

　　12.国际级控制系统安全大咖“防勒索”建言--传感器监控技术可以降低关键基础设施对勒索软件的吸引力

　　接连不断的勒索软件攻击事件，使工业界和网络安全研究者对于关键基础设施的网络安全问题空前关注。摆脱勒索软件攻击的梦魇，不仅仅是一个技术、管理、治理问题，更是经济、法律和国际合作的系统性问题。国际知名自动化控制专家Joe Weiss近日撰文《Sensor monitoring technology can make critical infrastructures less attractive targets for ransomware》，从自动化控制安全的角度给出了他的解决思路。

　　https://mp.weixin.qq.com/s/wyaZndVU322MqLv60b66jQ

　　13.中国台湾电脑巨头技嘉遭勒索软件攻击，上百GB数据失窃

　　电脑大厂技嘉遭RansomExx勒索软件攻击，位于台湾的系统被迫关闭，超112GB签署保密协议的商业数据遭泄露，涉及英特尔、AMD等合作伙伴；

　　过去几年来，台湾科技行业一直笼罩在勒索软件攻击的阴影之下，宏碁、研华、仁宝、广达以及佳明等知名厂商均遭受过重大打击。

　　https://mp.weixin.qq.com/s/9wtU5nbWrbql_LqG-ECG0A

　　14.DNS漏洞使国家级间谍活动像注册域一样简单

　　Wiz首席技术官Ami Luttwak和Shir Tamari于上周在拉斯维加斯举行的Black Hat网络安全会议上公布展示了他们发现的一类新漏洞，这些漏洞暴露了来自全球数百万个端点的宝贵动态DNS数据。DNS（域名服务）是互联网的基础之一，是一个极其复杂和分散的系统，其核心是将可读域名转换为数字IP地址。

　　https://mp.weixin.qq.com/s/9em0bg3kRi6z7sgqG-y14g

　　15.阻止商业电子邮件犯罪 （BEC） 攻击的最佳策略

　　商业电子邮件犯罪 （BEC） 是指没有有效载荷的所有类型的电子邮件攻击。尽管有多种类型，但攻击者利用 BEC 技术渗透组织的主要机制主要有两种：欺骗和帐户接管攻击。

　　https://mp.weixin.qq.com/s/mrNm5lKWELiV__xK8BXlIg

　　16.关键信息基础设施网络安全（物联网安全专题）监测月报202107期

　　根据《网络安全法》和《关键信息基础设施安全保护条例（征求意见稿）》对关键信息基础设施定义和范围的阐述，关键信息基础设施（Critical Information Infrastructure，CII）是指一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的信息基础设施，包括能源、交通、水利、金融、电子政务、公共通信和信息服务等关键行业和领域。

　　https://mp.weixin.qq.com/s/jWmSNkeL9UIbm4rZhF6HAQ

　　17.前沿 | 解读重大勒索攻击事件下的网络安全态势及应对

　　当地时间 5 月 7 日，美国最大成品油管道运营商科洛尼尔管道运输公司遭到勒索软件攻击，5500 英里输油管被迫停运，致使美国交通部下属的联邦汽车运输安全管理局发布“区域紧急状态声明”。美国情报部门及网络安全公司调查显示，攻击科洛尼尔公司的勒索软件团伙是“黑暗面”。

　　https://mp.weixin.qq.com/s/dZ7T5Z8bdaXCCjxqxONVFg

　　18.深度视点｜网络安全行业正加速“织就”新图景

　　7月份以来，《网络安全产业高质量发展三年行动计划（2021-2023年）（征求意见稿）》（以下简称《行动计划》）发布，《网络安全审查办法（修订草案征求意见稿）》（以下简称《审查办法》）也在公开征求意见，《网络产品安全漏洞管理规定》和《数据安全法》将于9月1日正式施行。

　　https://mp.weixin.qq.com/s/pDpf6R-1_usRxfn1Y1_PBQ

　　19.原创 | 针对路由器的最新在野漏洞利用，或影响数百万设备

　　CNCERT物联网威胁数据平台近期捕获到一种新的在野漏洞利用，开源情报显示该漏洞属于路由器设备漏洞，于2021年8月3号由Tenable 公司的安全研究员首次披露【1】。该漏洞已存在12年之久，Tenable 公司警告称可能影响全球数百万台的路由器设备。我们的物联网威胁数据平台于2021年8月3日第一时间捕获到该漏洞攻击行为，到目前为止已监测发现了20余万次该攻击行为。

　　https://mp.weixin.qq.com/s/R-7xvEM--JvSwuDmC2Ax3Q

　　20.Android木马通过社交媒体劫持攻击140个国家/地区的10,000名受害者

　　网络安全公司Zimperium 发现了一种新的 Android 木马，该公司周一发布会了一份报告，解释了该恶意软件如何能够攻击144个国家/地区的10000多名受害者。

　　https://mp.weixin.qq.com/s/_wSxfuoyyWmodQm9Azjfjg

　　21.2021年上半年美国拜登政府网络安全政策分析

　　从“太阳风”（SolarWinds）供应链攻击事件到克罗尼尔（Colonial Pipeline）网络勒索攻击事件，都使美国拜登政府以网络安全事件调查与处置为牵引，逐步健全相关安全机构，出台一系列安全政策。2021 年 5 月 12 日，美国总统拜登签署《改善国家网络安全的行政命令》（以下简称“行政令”），以美国政府前所未有的极具安全举措操作细节关注的方式确保网络安全政策落实，标志美国拜登政府网络安全政策的初步成熟与体系化。

　　https://mp.weixin.qq.com/s/xBH-UG9fqO1LB8zQBwjdfg

　　22.苹果为美国政府获取公民数据？新功能要扫描用户iCloud相册

　　北京时间8月5日，苹果宣布上线一系列新的儿童安全功能，其中包括扫描用户iCloud相册中暗含的儿童色情图片。但该功能遭到爱德华·斯诺登等众多安全专家反对，他们称该功能的本质是一个加密后门，是苹果为政府获取公民数据扫清道路。

　　https://mp.weixin.qq.com/s/6gCqNoNABAvUPCWVfnM7jg

　　23.利用污点分析批量挖掘路由器固件安全漏洞

　　在过去的几个月里，我们开发了一个污点分析工具，专门用于寻找路由器中的安全漏洞。我们还参考编号为CVE-2019-8312到CVE-2019-8319之间安全漏洞开发了一个检测工具；这些漏洞都是固件版本为1.12A1的D-Link DIR-878路由器中的命令注入漏洞。我们的目标是自动检测此类漏洞。在理想情况下，使用该工具应该比手动查找漏洞更快。

　　https://mp.weixin.qq.com/s/vVN12ZSjJtjYGwfHvVkEkA

　　24.疫情之下企业互联网访问行为的变化与调查

　　2020初，一场突如其来的新型冠状病毒肺炎疫情席卷全球。疫情之下，社交隔离、旅行限制给人们的生活带来不少变化，社会生产也受到极大影响，而互联网及IT技术的应用则在全民抗“疫”中发挥了关键作用。随着疫情防控常态化，将对正处于信息化转型关键时期的企业及其信息化应用产生深远影响，企业信息安全也将同步迎来“大考”。

　　https://mp.weixin.qq.com/s/LN7tIZOL0P_52Kcde3ZWQQ

　　25.史上最大规模DeFi被黑事件：Poly Network被窃超6亿美元

　　Poly Network是一家位于中国的区块链跨链去中心化金融（DeFi）平台，可以在不同区块链之间交换token。8月10日，黑客从从Polygon网络窃取了价值6.11亿美元的数字货币，其中包括价值2.73亿美元的以太坊token、币安链BSC（Binance Chain）上价值2.53亿的token、以及价值8500万美元的USDC。

　　https://mp.weixin.qq.com/s/Dmapj_TO8gZFxZF9Ux4dsg

　　26.全球财富500强咨询公司埃森哲遭遇勒索攻击

　　据称，全球IT咨询巨头财富500强公司埃森哲已成为勒索软件攻击的受害者，埃森哲遭到LockBit勒索软件团伙的勒索软件网络攻击。

　　https://mp.weixin.qq.com/s/jXiWOKyEu6UBEht7ZJA2pQ

　　27.严重的随机数生成器漏洞披露，数十亿IoT设备受影响

　　研究人员披露了数十亿物联网（IoT）设备中使用的随机数生成器严重漏洞，这意味着大量用户面临潜在攻击风险。

　　https://mp.weixin.qq.com/s/z_Svlignd8iDGSk7hjfhVw

　　安全技术方案

　　28.美联合网络防御协作机构将创造包容、协作、积极的网络防御联合环境

　　当地时间8月5日，美国网络安全和基础设施安全局（Cybersecurity and Infrastructure Security Agency）宣布了一项名为“联合网络防御协作”机构（Joint Cyber Defense Collaborative，JCDC）的新行动倡议，旨在帮助美国抵御针对关键基础设施的网络威胁。

　　https://mp.weixin.qq.com/s/dzWBXk0gd6WMilRjlKidIQ

　　29.StrongPity APT 组织首次部署了 Android 恶意软件

　　研究人员最近对出现在叙利亚电子政务网站上的恶意 Android 恶意软件示例进行了调查，他们认为该示例可能是 StrongPity APT 组织研发的。据研究人员所知，这是该组织首次被公开观察到使用恶意 Android 应用程序作为其攻击的一部分。

　　https://mp.weixin.qq.com/s/7ao4Rh7OeNx7T5fQOpS0HA

　　30.微软披露BazaCall网络钓鱼攻击细节，分析躲避检测的多种方法

　　针对今年年初开始出现的BazaCall钓鱼邮件攻击行动，微软披露了详细的攻击流程，并指出攻击者可能会在受害电脑网络传播勒索软件Conti或Ryuk。

　　https://mp.weixin.qq.com/s/DYKSW4g2igd8HLRsA7gOhA

　　31.新视野 | 大数据时代的信息安全

　　《中华人民共和国数据安全法》即将于9月1日起生效施行。近日，工信部委托中国互联网协会召开头部平台座谈会，召集国内12家知名企业参加，要求强化平台数据管理责任，明确数据安全责任人，并加强重要数据安全评估和出境管理。

　　https://mp.weixin.qq.com/s/fRpgwIStF7JB5di1r4Eyrw

　　32.基于智慧安全的零信任落地实践

　　随着新基建和数字经济的加速建设，5G、云计算、大数据、人工智能等新技术、新应用不断深入发展， 网络安全正面临恶意程序样本泛滥、APT攻击持续演进、0-day漏洞等前所未有的挑战。同时，国家高度重视网络安全风险，《网络安全法》《数据安全法》陆续出台，网络安全在IT架构中的分量日益加重。