《个人信息保护法》表决通过 将于11月1日起施行

据新华社消息，十三届全国人大常委会第三十次会议20日表决通过《中华人民共和国个人信息保护法》。个人信息保护法自2021年11月1日起施行。其中明确：1、通过自动化决策方式向个人进行信息推送、商业营销，应提供不针对其个人特征的选项或提供便捷的拒绝方式；2、处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息，应取得个人的单独同意；3、对违法处理个人信息的应用程序，责令暂停或者终止提供服务。个人信息保护法明确了个人信息处理和跨境提供的规则、个人信息处理者的义务等内容。更明确指出了任何个人、组织不得过度搜集个人信息；不得非法买卖、提供或者公开他人个人信息；不得进行“大数据杀熟”；在公共场所安装图像采集等设备应设置显著提示标识。对违法处理个人信息的应用程序，责令暂停或者终止提供服务;拒不改正的，并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

普普点评

明确不得过度收集个人信息、大数据杀熟，对人脸信息等敏感个人信息的处理作出规制，完善个人信息保护投诉、举报工作机制……这部专门法律充分回应了社会关切，为破解个人信息保护中的热点难点问题提供了强有力的法律保障。今后，个人信息保护有了法律“安全锁”。

网络钓鱼让大型企业年均损失1500万美元

某安全供应商委托Ponemon Institute对近600名IT和IT安全从业人员进行了调查，编制了最新的网络钓鱼研究报告。报告指出，美国大型企业平均每年因与网络钓鱼相关的网络犯罪而损失1480万美元，远高于2015年的380万美元，过去六年来，美国大型企业的网络钓鱼平均成本飙升了289%，年均损失近1500万美元。网络钓鱼凭据是勒索软件和商业电子邮件入侵 (BEC) 的常见起点。该研究称，勒索软件每年给大型企业造成570万美元的损失，而BEC则为600万美元。网络钓鱼造成的损失被比勒索软件和BEC损失的总和还多。遏制初始凭证网络钓鱼攻击的平均成本从2015年的381,920美元增加到了2021年的692,531美元。企业通常每年会经历五次以上的此类事件。网络钓鱼攻击增加了企业数据泄露和业务中断的可能性，公司投入的成本更多的是用于弥补生产力损失和问题修复，而不是支付给攻击者的实际赎金。

普普点评

由于攻击者现在的目标是员工而不是网络，因此近年来凭证泄露呈爆炸式增长，为BEC和勒索软件等更具破坏性的攻击敞开了大门。企业只有部署以人为本的网络安全方法，整合安全意识培训和集成式威胁防护，才能阻止和修复网络钓鱼攻击威胁。

2021年上半年3亿多次勒索软件攻击量创纪录 已超2020全年数据

SonicWall的一份新报告发现，勒索软件攻击量在2021年上半年猛增，多达3.047亿次。2021年上半年看到的勒索软件攻击总数超过了2020年全年数量总和的3.046 亿，同比增长了151%。根据2021年SonicWall网络威胁报告，年初至今，该公司发现美国和英国的勒索软件攻击数量大幅飙升了185%和144%。在2021年上半年，美国、英国、德国、南非和巴西是受勒索软件影响最严重的国家。该报告是根据SonicWall Capture Threat Network收集的信息编制的，该网络系统包括215个国家和地区的超过110万个安全传感器，从全球数以万计的防火墙和电子邮件安全设备收集恶意软件和IP信誉数据。报告指出，2021年最常受到攻击的是政府组织，其遭受的索软件攻击数量是去年的三倍。教育领域、医疗保健和零售组织的勒索软件攻击分别增长了615%、594%和264%。报告同时指出，恶意软件和加密劫持攻击数量也有不同程度的大幅增长。

普普点评

勒索软件、加密劫持和其他以货币化为目标的独特恶意软件形式持续增加，它们的策略不断演变，这表明了网络犯罪活动始终追随金钱利益，并且能够抓取新的机会和迅速适应不断变化的环境。全球疫情的蔓延导致远程工作成为常态，而企业也将继续面临高度的网络安全风险。

1720万次/秒!HTTP DDoS攻击峰值创下新高

根据Cloudflare的监测报告，今年7月份的一次短暂DDoS攻击（分布式拒绝服务攻击）的攻击峰值为每秒1720万次请求 (rps)，创下历史新高。Cloudflare的DDoS保护系统记录了此次攻击，占2021年第二季度所有合法HTTP流量平均速率的70%左右。

7月份的这次“瞬间攻击”持续了不到一分钟，总共发送了超过3.3亿条针对金融行业企业的请求。攻击峰值的每秒请求数高达 1720 万，并在15秒的高峰期内基本保护在每秒1500万次左右。虽然此次攻击的持续时间不长，但它威力惊人，这表明DDoS攻击者正在提高他们的攻击能力。

Cloudflare表示，攻击者利用了来自世界各地的至少20,000台设备的僵尸网络。产生攻击流量的大多数IP地址位于印度尼西亚（15%），其次是印度和巴西（合计17%）。

据悉，Cloudflare应对的这种HTTP DDoS攻击几乎是我们所知道的此前攻击的三倍。Cloudflare服务负载每秒超过2500万个HTTP请求，7月份的DDoS攻击最猛烈，达到了其服务容量的68%。

普普点评

面对DDoS攻击，目前还没有完美的抵御手段。但是完全可以通过部署对应的安全措施来降低DDoS攻击带来的影响。在部署企业整体安全策略时可以将DDoS防御作为其重要部分，同时防恶意植入、反病毒保护等安全措施同样不可或缺。企业要重视自身的网络安全体系建设。

你知道如何应对电子邮件威胁吗？

Area 1 Security日前发布了一份研究报告，数据显示网络钓鱼电子邮件和BEC商业电子邮件欺诈正在给企业带来高昂损失。报告还指出，安全意识培训固然重要，但由于误报率居高不下，仍然需要采取“人+技术+流程”多管齐下的安全措施来保障企业电子邮件应用的安全。

报告指出，网络钓鱼是一种有利可图的商业模式，大多数网络安全事件都始于网络钓鱼电子邮件。一些看似无害的普通电子邮件却可能会导致公司范围内的业务中断、关键数据丢失以及数百万的财务成本。防止攻击的一个关键方面是深入了解网络攻击者的行为模式，并持续监控和分析其活动以预测未来的攻击。

从勒索软件、凭据收集器到商业电子邮件入侵 ( BEC ) ，这些难以发现但代价高昂的威胁，每年正在给大型企业用户造成超过 3.54 亿美元的直接损失。

报告分析师认为：大约 92% 的企业员工所报告网络钓鱼邮件并不是真正恶意的，而是良性的垃圾邮件或群发邮件，这通常会干扰IT团队发现和阻止实际威胁。而有效的解决方案之一是先发制人的、基于云的电子邮件安全解决方案，可以防止网络钓鱼攻击收件箱。

普普点评

防御电子邮件威胁的有效措施：

1.可通过增加动态验证码、双重密码等方式来保护帐户，切勿重复使用密码。

2.提升安全防范意识，点击电子邮件前通过发送者信息等评估邮件安全性，不点击来历不明的的电子邮件。

3.建立和培训应对BEC的预案和流程，例如要求多个审批者或“带外”供应商验证才能将资金转移到新账户。

巴林政府监控人权活动家 间谍软件实现零点击感染

据外媒报道，巴林政府在利用Pegasus间谍软件监控巴林人权活动人士。NSO Group在这款间谍软件上利用“Zero Click”的iMessage 漏洞，规避了苹果的安全防护。

Pegasus是以色列公司NSO Group研发的一款用于监控手机短信、邮件、照片等隐私信息的间谍软件，能够入侵世界范围内的苹果与安卓手机，通常出售给人权信用良好的政府和执法机构。据NSO称，Pegasus只会用于调查及对抗犯罪和恐怖活动。但有流言说NSO为了利益不负责任地售卖，间谍软件也被滥用于监视国家领导人、活动家、记者等。

“Zero Click”，即 “零点击”，意思是无需用户交互即可实现攻击，与需要用户点击链接才能实现攻击的“One Click”对应。

苹果于今年年初为iPhone和iPad增加了一个“BlastDoor”沙箱安全系统，负责在安全的环境中解析iMessage中所有不受信任的数据，检视其中是否含有恶意代码，以防止利用信息应用进行的攻击。而在本次事件中，间谍软件通过苹果iMessage中的一个0day漏洞，零点击感染了攻击目标的手机。研究人员将这个安全漏洞称为ForcedEntry。

普普点评

在信息技术飞速发展的今天，任何用户都需要具备一定的信息安全意识。虽然这个间谍软件能够肆意侵犯苹果与安卓手机，但其价格高昂，绝大部分人不用担心自己的手机会遭到其攻击。对于“Zero Click”个人也许无能为力，但对于“One Click”，防范手段则很简单，不要随意点击不明链接即可。

美国白宫组织网络安全密会 微软谷歌投资300亿美元

苹果公司首席执行官蒂姆·库克（Tim Cook）、微软首席执行官萨蒂亚·纳德拉（Satya Nadella），还有谷歌、亚马逊和IBM的负责人于当地时间周三访问白宫，与总统拜登讨论紧迫的网络安全问题。

会议的主题围绕政府和私营部门如何共同努力改善国家的网络安全。在政府努力加强国家网络安全的基础上，政府和商界领袖也在关键领域发表了声明。据悉，科技公司CEO 还与拜登内阁成员会面，探讨如何建立更持久的网络安全，而其他高管将专注于关键基础设施和网络安全从业人员（近50万个公共和私人网络安全岗位仍然空缺）。

与会者宣布的相关承诺和倡议：

NIST与微软、谷歌、IBM等合作开发新框架；

ICS网络安全计划，扩展至天然气管道；

苹果：技术供应链安全；

谷歌：5年投资100亿美元；

微软：5年投资200亿美元；

IBM：3年培训15万人；

亚马逊：免费安全意识培训。

普普点评

白宫在会上宣布美国国家标准和技术研究所将与各行业合作，创建一个关于提升技术供应链安全的框架，为如何建立技术安全提供指导，并评估包括开源软件在内的产品安全性。包括谷歌、微软、IBM在内的行业巨头也都对此框架做出了承诺。重视网络安全问题，在大国之间已经是公开的秘密，相信随着信息技术的持续演进，网络安全行业必将迅猛发展！