国内外最新网络安全发展动态

国内

01 信通院发布信息通信业 (ICT) 十大趋势

2021年12月23日，中国信息通信研究院(以下简称“中国信通院”)主办的2022 中国信通院ICT＋深度观察报告会-主论坛在京举办，中国信通院副院长王志勤发布了信息通信业(ICT)十大趋势。

十大趋势以数字经济为统领，发展与治理并重，各行业数字化转型纵深推进，呈现出数字化、绿色化和智能化发展趋势。面向未来，5G、人工智能、先进计算、信息网络等ICT技术将加速集成创新，网络安全向数字安全拓展延伸，ICT产业自身在快速发展的同时，将更好、更快、更深的赋能行业数字化转型，推动数字经济健康快速发展。

信息通信业(ICT)十大趋势：

一、数字经济持续稳步增长，数实相融进入加速轨道
二、数字治理规则深刻调整，推动数字经济健康发展
三、数字化转型向纵深推进，各行业迎来系统性变革
四、“双碳”战略系统部署，数字化绿色化同步推进
五、“三维”坐标定义方向，牵引AI走向工程化落地
六、ICT技术集成应用深化，产业发展开拓增长空间
七、5G融合应用扬帆远航，规模化发展成为主旋律
八、信息网络多维演进创新，算力供给多元异构泛在
九、多路径体系化协同创新，先进计算供给能力升级
十、网络安全“四新”延伸，培育构建数字安全体系

02 公安部：深入推进公安网络安全和信息化工作

公安部网络安全和信息化领导小组会议25日召开，国务委员、公安部部长、部网络安全和信息化领导小组组长赵克志主持会议并讲话。会议强调，要深入贯彻落实习近平总书记关于网络安全和信息化工作的重要指示精神，增强“四个意识”、坚定“四个自信”、做到“两个维护”，加强统一领导，统筹力量资源，深入推进公安网络安全和信息化工作，更好履行党和人民赋予的新时代职责使命。

会议指出，党的十八大以来，以习近平同志为核心的党中央从发展中国特色社会主义、实现中华民族伟大复兴中国梦的战略高度，系统部署和全面推进网络安全和信息化工作，习近平总书记多次作出重要指示、提出明确要求，为我们做好网络安全工作指明了前进方向、提供了根本遵循。我们要认真学习领会、坚决贯彻落实，切实把思想和行动统一到习近平总书记重要指示精神和党中央决策部署上来，进一步加强和改进公安网络安全和信息化工作。健全部网络安全和信息化领导机构，是加强对公安网络安全和信息化工作统一领导的重要举措，是积极适应形势变化有效应对网络安全风险的迫切需要，是全面提升公安网络安全和信息化工作水平的重要保障。要充分认识健全部网络安全和信息化领导机构的重要意义，统筹公安网络建设发展和安全保障，统筹公安机关内部资源力量，加强统筹规划和协调指导，全面提升公安网络安全和信息化水平，坚决维护网络空间安全。

会议强调，要以落实党委网络安全责任制为抓手，深入推进公安网络安全和信息化工作。要坚持统筹发展和安全，加强统筹协调，统一谋划、统一部署、统一推进、统一实施公安网络安全和信息化工作，切实下好工作“一盘棋”，着力形成整体工作格局。要紧紧围绕公安“十四五”发展规划，认真研究谋划公安网络安全和信息化基础战略，明确基本要求和主要目标、工作任务和保护措施，切实筑牢公安网络和信息安全屏障。要强化科技创新能力建设，深化公安大数据建设应用，积极推广智慧警务新模式，着力助推公安工作质量变革、效率变革、动力变革。要坚持统筹国内国际两个大局、网上网下两个战场，充分发挥各部门各警种职能作用，整合各种力量资源手段，切实形成维护网上政治安全工作合力。要加强《关键信息基础设施安全保护条例》的宣传解读和贯彻落实工作，进一步增强风险意识、强化底线思维，扎实做好关键信息基础设施安全保护工作，为推动经济社会发展、建设网络强国提供有力安全保障。要切实加强对公安网络安全和信息化工作的统一领导，明确工作任务，细化工作方案，统筹推进各项工作。各成员单位要认真履行工作职责，密切协作配合，确保公安网络安全和信息化各项工作措施落到实处。

03 中央网信委印发《“十四五”国家信息化规划》

近日，中央网络安全和信息化委员会印发《“十四五”国家信息化规划》(以下简称《规划》)，对我国“十四五”时期信息化发展作出部署安排。《规划》是“十四五”国家规划体系的重要组成部分，是指导各地区、各部门信息化工作的行动指南。

《规划》指出，“十四五”时期，信息化进入加快数字化发展、建设数字中国的新阶段。加快数字化发展、建设数字中国，是顺应新发展阶段形势变化、抢抓信息革命机遇、构筑国家竞争新优势、加快建成社会主义现代化强国的内在要求，是贯彻新发展理念、推动高质量发展的战略举措，是推动构建新发展格局、建设现代化经济体系的必由之路，是培育新发展动能，激发新发展活力，弥合数字鸿沟，加快推进国家治理体系和治理能力现代化，促进人的全面发展和社会全面进步的必然选择。

《规划》强调，要深入贯彻党的十九大和十九届二中、三中、四中、五中、六中全会精神，坚持以习近平新时代中国特色社会主义思想特别是习近平总书记关于网络强国的重要思想为指导，紧紧围绕统筹推进“五位一体”总体布局和协调推进“四个全面”战略布局，坚定不移贯彻新发展理念，坚持稳中求进工作总基调，以推动高质量发展为主题，以建设数字中国为总目标，以加快数字化发展为总抓手，发挥信息化对经济社会发展的驱动引领作用，推动新型工业化、信息化、城镇化、农业现代化同步发展，加快建设现代化经济体系；以深化供给侧结构性改革为主线，进一步解放和发展数字生产力，加快构建以国内大循环为主体、国内国际双循环相互促进的新发展格局；以改革创新为根本动力，完善创新体系和发展环境，激发创新活力，增强发展动能；以满足人民日益增长的美好生活需要为根本目的，统筹发展和安全，推进国家治理体系和治理能力现代化，加强数字社会、数字政府、数字民生建设，让人民群众在信息化发展中有更多获得感幸福感安全感，为开启全面建设社会主义现代化国家新征程、向第二个百年奋斗目标进军提供强大动力。

《规划》提出，要坚持党的全面领导，坚持以人民为中心，坚持新发展理念，坚持深化改革开放，坚持系统推进，坚持安全和发展并重。到2025年，数字中国建设取得决定性进展，信息化发展水平大幅跃升。数字基础设施体系更加完备，数字技术创新体系基本形成，数字经济发展质量效益达到世界领先水平，数字社会建设稳步推进，数字政府建设水平全面提升，数字民生保障能力显著增强，数字化发展环境日臻完善。

《规划》围绕确定的发展目标，部署了10项重大任务，一是建设泛在智联的数字基础设施体系，二是建立高效利用的数据要素资源体系，三是构建释放数字生产力的创新发展体系，四是培育先进安全的数字产业体系，五是构建产业数字化转型发展体系，六是构筑共建共治共享的数字社会治理体系，七是打造协同高效的数字政府服务体系，八是构建普惠便捷的数字民生保障体系，九是拓展互利共赢的数字领域国际合作体系，十是建立健全规范有序的数字化发展治理体系，并明确了5G创新应用工程等17项重点工程作为落实任务的重要抓手。

《规划》根据《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》中主要目标和重点内容，把基础能力、战略前沿、民生保障等摆在了优先位置，确定了全民数字素养与技能提升、企业数字能力提升、前沿数字技术突破、数字贸易开放合作、基层智慧治理能力提升、绿色智慧生态文明建设、数字乡村发展、数字普惠金融服务、公共卫生应急数字化建设、智慧养老服务拓展等10项优先行动。

《规划》从加强组织领导、健全政策体系、强化队伍建设、规范试点示范、强化战略研究和加强舆论宣传等6个方面保障实施，确保目标任务落到实处。

国外

01 美国国家安全局（NSA）发布《缓解Log4Shell及其它Log4j相关漏洞》的报告

美国国家安全局(NSA)、网络安全与基础设施安全局(CISA)、联邦调查局(FBI)、澳大利亚网络安全中心(ACSC)、加拿大网络安全中心(CCCS）、新西兰计算机应急响应小组(CERT NZ)和和英国国家网络安全中心安全中心(NCSC-UK_于2021年12月22日联合发布了题为《缓解Log4Shell及其它Log4j相关漏洞》的报告，以提供Apache的Log4j软件库中的漏洞缓解指南。

该报告介绍了近期曝光的重大软件漏洞CVE-2021-44228(即Log4Shell)、CVE-2021-45046和CVE-2021-45105，包括它们的技术细节、造成的影响以及应对措施。同时NSA要求受影响的组织立即打上补丁，开展安全审查以及向网络安全与基础设施安全局(CISA)和联邦调查局(FBI_上报入侵事件。

02 美国防部高级研究计划局投资人工智能，旨在将数据转化为增强现实系统的指令

美国防部高级研究计划局(DARPA)已向一个建造人工智能系统的团队发布了一份价值580万美元的合同，该系统能够扫描指令手册，并将数据转换为增强现实系统的指令。

已有公司在制造过程中使用增强现实技术。例如，洛克希德·马丁公司使用增强现实护目镜为美国宇航局组装其空间系统。戴上护目镜，技术人员可以在工作时看到周围空间中的相关信息和说明，从而避免技术人员不停地走来走去查阅物理手册或计算机显示器。

根据合同，施乐公司PARC将与加州大学圣芭芭拉分校、德国罗斯托大学合作，并为自主感知的任务指导项目提供面向目标的支持(AMIGOS)项目的自主多模式吞吐。简而言之，我们的目标是利用现有的纸质和视频手册，并将其自动转换为用于增强现实系统。

“增强现实技术、计算机视觉、语言处理、对话处理和推理都是人工智能技术，人工智能的不同细分领域技术渗透了许多行业，但从未以如此协调和协同的方式出现，”AMIGOS首席研究员查尔斯·奥尔蒂斯在一份声明中说。“通过利用现有的教学材料创建新的AR指南，AMIGOS项目将加速这一进程，使实时任务指导和反馈可按需提供。”

这些团队将向美国防部高级研究计划局交付两个不同但相关的系统。第一个是人工智能系统，这个系统能够从文本、插图和视频中提取任务信息。第二个系统将获取这些信息，并在此基础上创建增强现实制导。此外，第二种人工智能将能够根据用户的技能和情绪状态以个性化的方式交付任务和信息。

03 美国开发生成机器学习模型训练数据的新方法

美国VISIMO公司宣布正在与科罗拉多州立大学合作，为美空军研究实验室提供机器学习模型训练数据生成器，用于快速创建合成的、带有注释的图像数据集。该公司计划在第一阶段实现在几分钟内以卫星图像生成合成孔径雷达图像数据集；在第二阶段强化“条件生成对抗网络”输出图像生成变量的能力。

04 美DARPA推出开放资源以支持评估人工智能的弹性与防御能力

DARPA“确保人工智能对抗欺骗的弹性”(GARD)项目团队近日推出测试平台、数据集以及虚拟工具等开放资源，以支持评估和验证人工智能模型和防御措施在应对对手攻击方面的有效性，包括：①Armory虚拟平台，评估防御措施与攻击场景相对抗的方式，能够转换和修改场景，确保防御措施能够在一系列攻击中提供可重复的结果；②ART工具箱，为研究人员提供评估机器模型和应用对抗敌对威胁的工具；③APRICOT基准数据集，用于评估对手探测攻击系统的有效性；④谷歌研究自学库，为研究人员提供正确评估防御措施有效性的经验。

05 美军将气象领域纳入信息战关注范围

美军多个部门已将气象领域以及相关数据纳入信息战关注范围。美空军第16航空队司令蒂莫西·霍表示，环境情报与气候联队可以处理大量数据，了解天气如何影响对手决策；美海军也将气候纳入信息战活动中，海洋学在其中起着核心作用。从防御角度来看，气象数据可为部队提供转移人员及资产的决策信息，如果能比对手更早了解更远期的环境态势，就可更大程度利用联合部队。从进攻角度来看，可以通过拒止和发出能妨碍对手做决策的信息来对抗对手。此外，研究太阳风暴也可帮助美军预测卫星在太空中的机动空间。

06 美陆军多域特遣部队将开展数据、战术云实验

在《陆军数字化转型战略》与《陆军统一网络计划》的支持下，美陆军多域特遣部队将作为陆军数据和云计算的试点单位，测试相关新兴技术及概念，随后还将扩展至更高级别。美陆军首支多域特遣部队创建于2017年，重点面向印太地区。通过开展相关实验，研究如何在战术边缘启用数据，可增强陆军的观察、感知、理解、决策与行动能力，实现多域部队的决策优势。同时，美陆军正在寻求重新制定数据和云战略，测试目前战术边缘的云能力（即混合云环境）。

07 2021网络安全领域六大发展特点

2021 年是网络安全行业疯狂的一年。从SolarWinds等供应链攻击到 NSO集团的飞马间谍软件丑闻，再到Colonial Pipeline输油管道的勒索软件攻击，各国政府和企业每天都面临着新的攻击。根据身份盗窃资源中心的数据，截至 2021年9月的数据泄露总数已经超过 2020 年17%。日前有国外媒体对 2021 年网络安全行业进行了回顾总结，盘点出6大发展特点。

特点1：关键基础设施保护更加重要

全球已经意识到保护关键基础设施的重要性。世界各国政府已通过立法并投资庞大的计划，以保护和维护与国家安全相关的任何事物。不过，目前，关于如何对关键基础设施进行分类（横向按 GPS 等多个关键基础设施系统中使用的技术，或纵向按能源、金融、通信等行业）的争论十分激烈。同时，围绕保护系统的最佳方式也出现了争论，一些方法流派主张以安全边界策略为基础，而另一些则以数字保证技术和实践为基础。当然，人们普遍认为硬件和软件都必须受到保护，因为我们目睹了应用程序和操作系统层以下的攻击越来越多。

发展趋势：关键基础设施正在扩展到内部空间和外部空间。从围绕我们大气层运行的卫星到监控我们身体内部器官之间相互作用的纳米系统，攻击面已经扩展到与我们有密切接触的技术。虽然体内医疗设备和轨道航天器已经有了安全更新的方法，但这些方法仍需要改进和扩展。此外，供应链时间框架的定义也在不断演变。仅仅确保所有先前步骤都是安全的已经不够了。有些企业已经开始致力于保护产品发布后，甚至进入第二次生命周期或回收的整个流程。

特点2：人工智能的善与恶

与任何工具一样，人工智能正在迅速扩大其应用范围，结果喜忧参半。在网络安全领域，企业正在使用人工智能作为传统漏洞扫描的力量倍增器，以发现潜在的新漏洞、漏洞利用和威胁。人工智能在推动某些硬件和软件安全工具自动化方面发挥着关键作用。虽然安全人员仍然是企业脆弱性和安全保护的中心，但人工智能旨在释放人力资源，使其专注于真正独特的部分，而人工智能则处理其余部分。另一方面，人工智能的使用者并不一定都是好人，不法分子也正在使用人工智能来收集网络信息并识别潜在弱点。

发展趋势：人工智能和机器学习将用于发现系统异常行为。就像在放射学中使用人工智能一样，它可以比人眼更早地识别模式以检测问题。通过在系统的典型行为上构建和训练 AI （人工智能）模型，再加上在受到攻击时针对系统的历史行为训练这些相同的模型，企业将使用 AI 来更早地发现问题并更快地响应隐蔽威胁。

特点3：安全与隐私的不完美结合

安全和隐私使用相似的技术来实现有时一致但有时冲突的目标。隐私是一个复杂的概念。在某些领域，比如数据保护，安全和隐私大多是一致的。在其他情况下，隐私要求与安全要求经常冲突，例如技术和/或业务模型的基本特征需要识别参与者及其活动（例如，在金融领域这一情况更加明显）。当前，安全与隐私的复杂性进一步提高，其原因在于隐私法律和法规并未在全球范围内统一，并且在某些情况下是域外的(例如GDPR)。

发展趋势：在短期内，各国的监管要求将继续推动隐私技术的进步，这在很大程度上将依赖于为安全开发的技术适应性。隐私和安全的流程要求（例如选择退出/加入或披露要求）将继续纳入法规和标准。但这些技术和法规只涵盖表面和局部问题，虽然也有一些亮点，例如网络浏览器的隐私保护等，随着人工智能和边缘计算越来越依赖于移动数据，从长远来看，预计隐私保护功能将嵌入到通信协议中，并且法规将越来越多地解决隐私的基本问题，包括用户控制和用户数据使用的透明度等。

特点4：用机器监管人的威胁

闯入任何被锁定系统的简单方法是获得某人的钥匙。多因素身份验证有效解决这一问题，并使攻击者开发越来越复杂的入侵策略，包括物理接近系统和供应链攻击等。不过，较常见的策略仍然是网络钓鱼或者贿赂内部人员。人工智能正在与人为因素和心理学领域相结合，以建立越来越强大的检测能力，使得异常的数字行为触发相关调查。

发展趋势：即使是最强大的人类验证和异常行为检测也只能解决一半的问题。越来越多的企业开始质问：“能否让机器自我证明/验证？”有些企业要求员工每次登录时对系统进行加密的内部数字硬件证明，以确保系统本身没有受到入侵。随着越来越多的员工在企业办公室或实验室的传统安全范围之外工作，这一点越来越引起人们的兴趣。

特点5：硬件和软件安全的结合

软件曾经并且仍然是黑客攻击的主要目标，大多数成功的攻击都发生在这个领域。但是随着软件变得更加安全，黑客成功的攻击并不总是像过去那样能够一发入魂，获取完整的系统访问权限。因此，他们正在深入研究更高权限的领域，例如固件和硬件。系统安全建立在复杂的信任关系之上，硬件和软件之间的关系对于可信系统的执行至关重要。

发展趋势：硬件和软件被设计为更好地协同，这应该会产生新的信任机制，允许持续、实时、验证和证明。随着计算世界的不断发展，在保护系统和数据时，软件和硬件之间的可信切换将变得更有价值。

特点6：数字化转型与“云化”

现在很多人在家工作，导致越来越多的应用程序和数据迁移到云端。精明的企业认识到这种模式的好处和潜在风险，他们会就硬件的物理安全性和保护软件的方法提出适当问题。

发展趋势：企业了解如何使用数据以及如何保护数据将变得越来越有价值。数字化转型中的企业需要明确对客户隐私、可信度和道德(基于收集和存储数据的决定)的看法，利益相关者还需要准备好解决硬件层如何保护处于任何状态(静止、传输中和使用中)的数据。

08 2022年APT与工控安全威胁趋势预测

随着新冠疫苗和防疫措施的普及，更加难以防范的新冠病毒变异也接踵而来。2022年，与新冠病毒类似，随着企业部署新的网络安全工具和保护，工控安全威胁也快速“变异”。而最近肆虐全球的Log4j2超级漏洞被称为网络安全的“新冠病毒”，而工控安全领域，正是Log4j2漏洞的重灾区之一，这使得2022年工控安全领域的安全态势进一步恶化。

卡巴斯基根据2021年度监测数据给出的2022年APT攻击和工控安全威胁趋势预测：

APT攻击的四大趋势

单次攻击的目标数量减少

网络犯罪活动中针对个人的攻击针对性越来越高，每次攻击的受害者数量越来越少。例如，我们看到基于间谍软件的身份验证数据盗窃犯罪生态系统中出现了一种新趋势，每次攻击都针对极少数目标(从个位数到几十个)。这一趋势正在迅速滚雪球，在世界的某些地区，被阻止的针对工控系统计算机的间谍软件中，多达20%都使用这种策略进行攻击。明年，此类攻击可能会占威胁格局的更大部分，而且这种策略也可能传播到其他类型的威胁。

恶意软件生命周期缩短

为避免被发现，越来越多的网络犯罪分子采用频繁升级其所选家族中的恶意软件的策略。他们以最高效率使用恶意软件来突破安全解决方案的防御，然后在当前版本变得易于被检测时立即切换到新版本。对于某些类型的威胁(例如间谍软件)，其开发部署生命周期都在缩短，并且在许多情况下不会超过3-4周(通常甚至更少)。现代MaaS平台的发展使全球恶意软件运营商更容易使用此策略。2022年我们肯定会在各种威胁场景中更频繁地遇到它。结合每次攻击的受害者数量呈下降趋势，这种策略的广泛使用将导致恶意软件的种类更多。

“持久”比“高级”重要

越来越多的APT开始采用“持久战”策略。缩略词APT中的“P”(持久性)已变得不那么依赖“A”(高级)。我们很早就看到了APT运营者如何“艰苦朴素”，以低成本方式顽强地在受害者基础设施中长期驻留——他们通过扩展和定期升级工具包，而不是采用昂贵而复杂的“高级”框架来逃避检测。这种策略很可能将在APT活动中越来越频繁地被采用。

最大限度地减少恶意基础设施的使用

在与安全工具和防护措施的斗争中，攻击者会不断尝试减少攻击留下的可检测痕迹。尤其明显的一点是，攻击者正在尽量减少对恶意基础设施的使用。例如，一些APT中的C&C服务器的生命周期非常短，在攻击阶段运行不超过几个小时。

有时，攻击者不仅会设法避免使用任何恶意基础设施，而且还会避免使用可疑和不受信任的基础设施。例如，间谍软件攻击中的一种流行策略是：从目标受害者合作伙伴组织的受感染企业邮件帐户发送网络钓鱼电子邮件。在这种情况下，精心设计的钓鱼邮件内容实际上与合法邮件难以区分，并且几乎无法用自动化工具检测到。

2022年工控系统APT攻击趋势

网络钓鱼是有针对性(和非针对性)攻击的首要初始渗透工具。
面向互联网的硬件中的已知漏洞也肯定会继续成为流行的渗透媒介，建议及时更新防火墙和SSL VPN网关。
操作系统组件和流行IT产品中的零日漏洞将仍是高级APT中相对罕见的工具，而相对小众(因此可能未经充分测试)的产品中的未知安全漏洞将也被网络犯罪分子积极利用。
针对域名注册商和认证机构以及供应商的攻击

09 英国发布国家网络空间战略，确定五大战略支柱

12月15日，英国政府发布了《国家网络空间战略2022版》(National Cyber Strategy 2022)。英国政府认为，网络空间正在彻底改变传统的生活方式和对待国家安全的方式。英国需要明确保护和促进其网络空间利益的方法，从而确保英国继续成为负责任的和民主的网络大国。新的国家网络空间战略将强化英国的网络空间安全，使其能够满怀信心地追求和促进其在网络空间的利益，同时确保领先于对手，加强其在网络空间采取行动的能力，以及影响和塑造未来的能力技术。战略制定了英国未来五年的五项“优先行动”，也是支撑战略的五大支柱。

战略的前言中称，在接下来的十年里，互联网、数字技术和支撑它的基础设施对于英国及其的盟友和对手的利益将变得更加重要。随着英国在竞争更加激烈的时代需要为自己打造新的角色，加强其网络力量将使其能够引领工业和其他国家的道路，领先于未来的技术变革，减轻威胁并获得对其对手的战略优势。

战略描绘的愿景是，到2030 年，英国将继续成为负责任和民主的网络强国，能够保护和促进其在网络空间中和通过网络空间的利益，以支持国家目标：

·一个更安全和更有弹性的国家，为不断变化的威胁和风险做好更充足的准备，并利用其网络能力保护公民免受犯罪、欺诈和国家威胁
一个创新、繁荣的数字经济，机会更均匀地分布在全国和多样化的人口中科技超级大国，安全地利用变革性技术支持更绿色、更健康的社会
在全球舞台上成为更具影响力和价值的合作伙伴，塑造开放稳定的国际秩序，同时维护其在网络空间的行动自由

该战略制定了五项“优先行动”，也是该战略框架的支柱，指导和组织英国未来采取的具体行动以及到 2025 年打算实现的成果：

支柱1：加强英国网络生态系统，投资于人员和技能，并深化政府、学术界和工业界之间的伙伴关系

支柱2：建设一个有弹性和繁荣的数字英国，降低网络风险，使企业能够最大限度地利用数字技术的经济利益，让公民在线更安全，并确信他们的数据受到保护

支柱3：在对网络力量至关重要的技术方面处于领先地位，构建英国的工业能力并开发框架以确保未来技术的安全

支柱4：提升英国的全球领导地位和影响力，以建立更安全、繁荣和开放的国际秩序，与政府和行业合作伙伴合作并分享支撑英国网络力量的专业知识

支柱5：检测、干扰和威慑英国的对手，以加强英国在网络空间中和通过网络空间的安全，更加综合、创造性和常规地利用英国的全方位力量。

10 俄罗斯最大社交平台明年将强制实施双因素身份认证

VK，全称VKontakte，是俄罗斯及独联体国家最流行的社交媒体平台，拥有超过6.5亿用户。VK已决定在其服务中引入2FA(two-factor authentication，双因素身份认证)。从明年2月开始，所有订阅人数超过一万人的社区(在VK上有超过14万个这种规模的社区)管理员都必须进行双因素身份认证，以防止大规模网络钓鱼事件。

VK的这一举措可能与本周一的一起诈骗事件有关，在那天有诈骗者入侵了VK上的Yandex Go官方社区，并向所有订阅者发送了网络钓鱼信息，有不少用户因此蒙受了损失。

VK推进双因素身份认证无疑是保障用户安全的积极进展，不过，这并不代表用户的账户就足够安全了。双因素身份认证通常设置为通过短信发送验证码(one-time passcodes)，而攻击者仍可对此实施SIM卡交换攻击。为避免此种情况，用户可以使用Authy、Google等身份验证器，这些应用只能通过你的设备访问，可使攻击者无法得逞。