政策法规 《能源基础设施安全法》 美国

6月28日，美国参议院审议通过《能源基础设施安全法》，将探讨用低技术含量方法替代自动化系统的方案，比如用人工过程而非联网方式，直接由人类操作员来控制等“降维”技术对抗电网网络攻击。据悉，该法案旨在促进与产业界合作，运用工程概念清除漏洞，防止黑客利用数字软件系统中的漏洞访问电网，从而防卫美国能源网络。

政策法规  个人数据保护  宪法  巴西近日，巴西参议院批准了一项提案，将个人数据保护加入到宪法保障的基本权利中。提案将交给众议院投票，最终由政府负责立法。提案的起草人 Simone Tebet 称，一般而言，只要真正需求，国家和社会有权利了解彼此。但除此之外，数据隐私应该尽可能的保留。巴西在今年初已经成立了个人数据保护的国家机构，将制定如何处理数据以及机构如何遵守规定的框架。该机构还将负责监督和对违反规定的机构进行罚款。

融资并购  反病毒基于零信任的恶意软件隔离公司Menlo Security近日获得D轮融资7,500万美元。在Menlo Security的解决方案中，客户的网络不再直接和外部网络进行传输，而是通过他们的云服务器进行。任何没有通过Menlo Security服务器而直接进入客户网络的流量都会被认定为恶意流量。Menlo Security到今日为止已经总共融资了1.6亿美元。

融资并购  合规合规与数据保护公司TrustArc周三宣布获得D轮融资7,000万美元，总融资额达1.07亿美元。TrustArc帮助企业进行GDPR、CPAA等数据保护要求的合规行为，客户包括AT&T、IBM和阿里巴巴等世界百强企业。

融资并购  终端安全终端安全公司enSilo周四宣布获得B轮融资2,300万美元，总融资额达5,700万美元。与此同时，enSilo宣布了自己最新4.0版本的新防御能力、数据可视化和自动化能力：其中，包括了虚拟补丁能力禁止存在严重漏洞的应用进行通信；对已知风险的物联网设备进行发现、评估和控制；USB控制以及编排能力扩展。同时，enSilo表示自己的年收入增长率达250%。

行业动态  GDPR罚款  英国航空  万豪酒店继英国航空公司 (British Airways，简称BA) 因数据泄露被开出创纪录的2.3 亿美元罚单之后，国际酒店集团万豪也将面临英国数据隐私监管机构开出的 9920万英镑（约1. 23 亿美元）的罚单，原因是其于 2016 年收购的喜达屋酒店多年前所发生的数据泄露事件影响了 3.39 亿用户。

调查报告  金融系统安全  网络攻击近日，Positive Technologies开展了一项针对信贷和金融领域安全性得调研报告，报告明确阐述了2018年信贷和金融组织网络攻击得情况。报告指出，75%的银行表示曾受到过黑客攻击威胁。此外，75％的银行员工点开过钓鱼邮件链接，25％的信贷机构员工曾在钓鱼网站输入凭证进行身份验证。同样在25％的银行中，至少有一名员工在计算机上运行恶意程序。报告还指出，银行内部网络安全性同样令人堪忧：67％的信贷机构无法保障软件及时更新，58％的银行机密数据并未被妥善保存。在超过50％的金融机构中，工作人员使用词汇密码。手机应用情况也不乐观。38％的iOS应用程序和43％的Android应用程序中都被检测到严重漏洞。

调查报告  SQL注入  游戏行业安全  Akamai近日，Akamai发布了《2019年互联网安全状况报告：Web攻击和游戏撞库》。报告显示，作为最有利可图的行业之一，游戏行业成了黑客攻击的主要目标。从2017年11月至2019年3月的这17个月中，黑客已经针对游戏网站进行了120亿次撞库攻击，占总撞库次数(550亿次) 的21.8%。报告指出：玩家账号一旦成功遭到黑客入侵，即被交易或出售。报告称，65.1%的Web应用程序攻击来自SQL注入。本地文件包含(LFI)攻击占24.7%。作为一种攻击向量，SQLi攻击以惊人的速度增长。在2017年第一季度，SQLi攻击占所有应用程序层攻击的44%。

调查报告  Android应用  用户隐私保护近日，国际计算机科学研究所（ICSI）发布一项调查报告，指出即使是在用户明确拒绝授权之后，仍有多达1325个Android应用能绕过限制，从用户设备上收集精确的地理位置数据和手机序列号等信息。这一研究结果凸显了用户想要保护自己的在线隐私是多么困难。

恶意软件  Agent Smith  安卓应用近日，研究人员发现新安卓恶意软件Agent Smith，可伪装成第三方应用程序商店分发的合法软件，分发恶意广告获取利润。该恶意软件可对设备上的所有应用程序进行替换，而非仅仅交换合法应用与受感染双重应用程序。此外，Agent Smith还能反复使用最新的恶意补丁来感染同一设备。截至目前，研究人员已检测到超过28亿个感染记录，受影响设备约2500万。

勒索软件  Windows提权漏洞  Sodin近日，卡巴斯基实验室的研究人员表示，他们发现了一款名为 “Sodin” 的新型勒索软件。据悉，该勒索软件利用了去年8月他们向微软报告的 Windows 漏洞 (编号：CVE-2018-8453)，可以利用 win32k.sys 在受感染的系统中提升权限，并利用中央处理器 (CPU) 的架构来避免检测。研究人员称，此次得勒索软件是在一个联盟内部分发传播的可能是由开发人员在软件上留下了一个漏洞，能够使他们在不被联盟成员察觉的情况下解密文件：一个不需要供应商的密钥进行解密的 “万能钥匙”。目前，大多数得受害目标都在亚洲地区：尤其是台湾、香港和韩国。然而，在欧洲、北美和拉丁美洲也发现了攻击事件。

漏洞补丁  MAC摄像头  非法调用  Zoom当地时间7月9日，安全研究员Jonathan Leitschuh公开披露了在Mac电脑上Zoom视频会议应用中出现的一个严重零日漏洞。他已经证明，任何网站都可以在安装了Zoom应用的Mac电脑上打开视频通话。这在一定程度上是可行的，因为Zoom应用在Mac电脑上安装了一个网络服务器用于接收普通浏览器不会接收的请求。事实上，即便卸载了Zoom网络服务器仍会持续存在，并且可以在不需要用户干预的情况下重新安装Zoom。

漏洞补丁  Windows微软近日的七月更新修复了近80个漏洞，包括了两个0day漏洞以及六个之前被公布的隐患。两个0day漏洞都能造成攻击者成功提权，不过其中一个只影响了较老的Windows系统，比如Win7和Server 2008。

漏洞补丁  网络协议漏洞  医疗设备安全据外媒报道，安全研究人员发现，美国医院的麻醉机和呼吸机所使用的网络协议存在一个漏洞，如果利用该协议，这些医疗设备可能会遭到恶意篡改。来自医疗安全公司CyberMDX的研究人员表示，通用电气 (GE) Aestiva和GE Aespire设备中使用的协议可以在连接到医院网络终端服务器时发送命令。研究人员指出，这些指令可以关闭警报、改变记录，另外还可以被滥用来改变呼吸器和麻醉机中吸入气体的成分。美国国土安全局在周二发布的一份报告称这些漏洞只需要低水平的技术就能遭到利用。不过如果设备没有连接到网络那么就会安全得多。

黑客攻击  勒索病毒上周，英国慈善机构St John Ambulance遭到勒索病毒攻击。不过 ，他们依靠自身的安全能力，隔离了病毒并且在半小时内解决了问题。勒索病毒并为影响到机构的操作系统，只是对机构训练课程的预订系统进行了阻断并且加密了顾客信息。St John Ambulance表示，尽管用户信息遭到攻击，但是没有任何敏感信息被泄露。St John Ambulance没有支付任何赎金，并且通告了警察。

数据泄露  智联招聘近日，北京市朝阳区人民法院审理了一起“智联招聘”员工参与倒卖个人信息案。该案涉及公民个人信息达16万余份，一份信息被卖5元左右。被告甚至当庭表示，“卖简历”在整个行业这个可能是公开的秘密。被告称此事不是第一例、也不可能是最后一例，友商中其实很多人都在这么做。随后，智联招聘发布声明回应称，关于此案，最早由智联招聘在日常巡查中发现淘宝网络上有售卖简历的行为，并于第一时间报案，积极协助公安机关进行调查。对此，智联招聘将持续关注这一案件的进展。