1月2日，Facebook官方发布了一则新闻，称他们将在未来几周内关闭社交平台Facebook上的人脸识别系统，并删除超过10亿人的个人面部识别模板，这项决定是全公司限制在产品中使用人脸识别的举措之一。

按照Facebook的说法，目前有超过三分之一的该平台用户选择使用人脸识别功能，这项功能使得人们可以在他人发布的照片或视频中出现自己时获得通知，并可为用户标识照片或视频中的人物身份。不久这些人将不再能在照片和视频中自动识别，而他们的人脸识别数据也将被删除。

Facebook称，尽管做出了这样的决定，但他们仍将人脸识别技术视为一种强大的工具。如他们的Automatic Alt Text（AAT）系统就是一个很好的正面例子，AAT使用先进的AI为盲人和视觉障碍人士生成图像描述，人脸识别系统可帮助AAT告诉视障人士是他们的哪位熟人在照片中。而在身份验证这方面，人脸识别技术更是可以有效减少欺诈和冒名顶替。

众所周知，Web是互联网中分布全球的应用服务，可以边界的传输信息。但是于此同时，互联网也出现了许多虚假的Web网站，用于非法获取互联网用户信息，钓鱼网站就是其中的一种。“钓鱼网站”的页面与真实网站界面基本一致，欺骗消费者或者窃取访问者提交的账号和密码信息。在用户浏览的网页中利用弹出窗或悬浮窗的方式发布通知；通过在中小网站甚至搜索引擎中投放广告等手段吸引用户点击进入钓鱼网站。

黑客总会通过一些办法来伪装发送的内容，来迷惑用户的判断。通常抓住一些人的好奇心或贪欲，利用社会工程学的方法诱使上网用户访问钓鱼网站。钓鱼网站是互联网中最常碰到的一种诈骗方式，通常伪装成银行及电子商务、窃取用户提交的银行账号、密码等私密信息的网站。

警惕性不高的用户都是在无意之间访问到钓鱼网站的，因此当发现自己的利益受损后，往往无法回忆起这些关键信息是如何泄露出去的，这对相关事件的处理带来了很大困难。

DoControl最近发布的报告显示，当今企业中存在大量无法管理的数据导致外部和内部威胁数量不断增加，尤其是大量SaaS数据暴露。所有SaaS资产中，有40%无人管理，作为公共数据可供内部和外部访问。

据Gartner称，从2019年到2022年，全球SaaS收入将增长近38%，超过1400亿美元。尽管基于云的应用程序极大地提高了整个企业的效率和生产力，但CIO和CISO往往低估了一个重大威胁——SaaS提供商未经检查和不受管理的数据访问。

在报告调查的公司中，平均每个企业有400个加密密钥被内部共享给任何获得链接的人；为基准，人员规模平均1,000人的公司在SaaS应用程序中存储50万到1000万个资产。允许公开共享的公司资产多达20万项。报告指出：“过去一年，疫情迫使许多企业与更多第三方合作，并调整其现有员工队伍以支持远程协作。迄今为止，安全从业者专注于以安全的方式启用SaaS访问，现在是他们优先考虑内部和外部数据访问相关性的时候了。

近日，美国网络安全与基础设施安全局（CISA）发布了306个被积极利用的漏洞目录，并配套出台了一系列具有强约束力的操作指令，命令美国联邦机构在特定时间范围内及时修补这些漏洞。

CISA命令联邦机构在6个月内修复2021年之前分配的CVE（公共漏洞和暴露出弱点的统称），并在两周内修复其他漏洞。如果发生严重威胁联邦机构安全的事件，这些漏洞修补期限也将随即进行调整。

“恶意行为者每天都在利用已知漏洞攻击联邦机构。作为联邦网络安全运营负责人，我们正发布可操作指令，尽量减少恶意行为者积极利用的漏洞，为联邦网络安全作出自己的努力。”CISA主任Jen Easterly说，“指令明确要求，联邦民事机构应立即采取行动改善其漏洞管理实践，大幅减少联邦机构遭受网络攻击的风险。”

虽然该指令只要求联邦机构立即采取行动，但实际上所有的机构都应该遵从目录进行漏洞修补，因为漏洞并不只威胁联邦机构的网络安全，而是所有机构。

11月5日，据美国国防承包商 Electronic Warfare Associates (EWA) 披露的信息显示，EWA遭到了犯罪分子的网络攻击，公司的电子邮件系统遭到入侵，包含了个人敏感信息的文件已经泄露，但目前无法确认政府机密文件是否已经泄露。

信息显示，Electronic Warfare Associates (EWA) 是美国通信、访问控制、模拟、培训、管理、测试和监控系统(雷达)高科技国防硬件和软件解决方案的供应商。该公司的主要客户包括美国国防部、司法部和国土安全部 (DHS)，其中很多产品涉及军事机密信息，具有非常高的敏感度。

“根据EWA公司的调查结果显示，在2021年8月2日，攻击者入侵了EWA电子邮件系统，并试图通过邮件发起网络诈骗等攻击行为。因此，EWA有理由相信，攻击者的目标是网络诈骗，而非窃取个人数据和信息。但是，在这次网络攻击中，还是有一些包含个人信息的文件出现了不可避免的泄露。目前还无法确认，是否窃取了政府机密文件和军事信息。

近日，有专家发现了一项冒充安全公司Proofpoint的网络钓鱼活动。钓鱼者冒充网络安全公司Proofpoint的名义向潜在受害者发送电子邮件。这些钓鱼邮件信息以抵押贷款为诱饵，诱使受害者提供微软Office 365和Gmail的账号密码。 

该电子邮件包含一条由Proofpoint发送的安全文件链接。当有用户实际点击该链接时，页面将自动跳转到Proofpoint品牌启动页，一起显示的还包括多个电子邮件提供商的登录链接。

该钓鱼攻击还包括微软和谷歌的专用登录页面。单击带有 Google 和 Office 365 标识的链接，潜在受害者将被带到精心设计好的 Google 和 Microsoft 网络钓鱼页面，要求用户提供登录账号及密码。

调查发现，网络钓鱼邮件由一个被盗用的私人账户发送，发件人的域名(sdis34[.]fr)是法国南部的消防救援部门。这些钓鱼网页被托管在 'greenleafproperties[.]co[.]uk '域名上，该域名在2021年4月被更新。目前，该网址已重定向到 'cvgproperties[.]co[.]uk'。