【安全头条】沃尔玛否认遭勒索软件攻击 - 网安 - 专业的网络安全产业、社区、知识平台

1、沃尔玛否认

遭勒索软件攻击

美国大型连锁商超沃尔玛集团对黑客宣布成功攻击沃尔玛的消息进行了驳斥，表示其并不准确。

根据他们发给安全媒体的声明，沃尔玛安全团队全天候监控系统，但并未观测到任何异常。与此相对，前几天Yanluowang勒索组织在官方数据泄露站点新增了沃尔玛数据，宣布成功攻击沃尔玛并加密近5万台设备。如果勒索组织所言不虚，那么早在一个月前他们的攻击就进入了尾声，也没有窃取很多敏感数据只是加密了设备并要求支付5000万美元赎金。由于一直没有收到沃尔玛的反馈，此次便放出部分数据作为威胁的筹码。考虑到黑客手中并没有足以卖出高价的敏感数据，沃尔玛很可能会选择忍气吞声吃下五万台加密设备的亏，反正用户数据也没丢就当没发生过。有安全媒体就此事咨询了沃尔玛但还未收到回复。[点击“阅读原文”查看详情]

2、IDC：2021年

中国运维安全管理

产品硬件产品市场规模

达到1.6亿美元

同比增长 18.9%

随着企业数字化转型的持续推进，信息化、数字化、智能化已经不可逆地融入到企业整体发展战略，企业管理者越来越清晰地认识到网络安全对保障业务持续发展的重要作用。在此背景下，安全运维人员往往需要更多的工具来应对日益增加的 IT 资产、业务系统，而每年发生的运维安全事件屡见不鲜，部分运维人员的误操作、故意破坏等非合规行为往往会对企业造成巨大商业损失。于是，运维安全成为政府、金融、运营商、能源、公共事业等重点行业用户日益关注的重点安全领域。IDC 于 2022 年 6 月正式发布了针对中国运维安全管理硬件产品的市场份额研究报告，即：《中国运维安全管理硬件市场份额，2021：技术融合，场景适配》（# CHC48499422）。IDC 在报告中针对 2021 年中国运维安全管理硬件产品市场的规模、增长速度、主要玩家、市场与技术的发展趋势等内容进行了详细研究。报告数据显示，我国对新冠肺炎疫情的有效防控，帮助企业尽快实现了复工复产，企业信息化建设的步伐明显加快，同步提升了对网络安全产品和服务的需求，促进了中国整体网络安全市场快速增长。2021 年中国运维安全管理产品硬件产品的市场规模达到 1.6 亿美元，同比增长 18.9%，整体市场呈现平稳增长的态势，市场竞争主要以 “综合型安全厂商 + 专业技术领域安全厂商” 格局为主，头部玩家包括启明星辰集团、安恒信息、奇安信、齐治科技、绿盟科技等厂商。具体情况详见下图：

IDC 认为，技术服务商应从性能提升和场景覆盖两方面入手，重点关注如下趋势：

产品性能受到行业头部客户的重点关注。支持多场景、任意环境、大体量的集群与分级部署可以更好地匹配大型数据中心的规模，实现高可用、高负载，通过可编程环境通道实现便捷、安全、高效的数据流通。
向数据库运维场景的延伸。《数据安全法》的发布促进了数据安全重要性的迅速提升，企业对数据库运维过程中的深度协议解析、数据访问控制、数据脱敏以及数据库操作审计等要求明显提高，运维安全管理产品成为企业数据库运维的门户，在降低数据库运维复杂度的同时，保证数据的安全性。另外，对于数据安全的有效管控可以为大数据治理打下坚实的基础。
重点行业对运维安全管理产品提出更多定制化需求。尤其是金融、运营商、公共事业、能源等行业正在从采购标准化产品为主向 “定制化服务 + 产品” 模式需求转变。技术提供商需要结合不同行业的业务需求提供较强的定制化服务能力，将产品进行定制化改造以便更好地与企业内部其他 IT 业务系统进行耦合。
产品的云化成为发展趋势。公有云、私有云等云计算平台在我国持续快速发展，越来越多的企业资产和重要业务迁移到云端，运维安全管理产品的云化部署将成为日益普遍的市场需求。技术提供商正在不断加大与云平台的合作，并促进了运维安全管理软件市场的快速发展。

IDC 中国网络安全市场研究经理赵卫京表示，每年因运维人员操作失误或故意破坏等非合规行为导致的数据泄露、系统配置错误等威胁事件层出不穷，包括政府、运营商、金融、公共事业等重点行业在内的诸多企业级客户结合自身业务属性，对运维安全管理产品提出了更为详细的要求。技术提供商一方面努力尝试在产品原有功能基础上不断增加适配客户业务特点的新功能和新产品形态，用以提升自身产品市场竞争力；另一方面也在持续开拓广阔的中小型企业市场，满足企业网络安全合规与业务安全防护的双重需求。[点击“阅读原文”查看详情]

3、2022移动互联网

蓝皮书：高级别智能网联

汽车在功能技术

应用方面仍面临挑战

人民网北京6月30日电（记者栗翘楚）6月29日，人民网研究院发布的《中国移动互联网发展报告（2022）》（以下简称《报告》）指出，当前，低级别智能网联汽车功能和封闭环境下的自动驾驶已基本成熟，但支撑高级别，特别是开放环境下的高级功能技术应用，依然面临挑战。

《报告》指出，在技术方面，尽管环境感知技术产品进步很快，但从近年特斯拉、蔚来等公司量产智能网联功能汽车引起的几起事故看，环境感知依然是实现高级别智能网联汽车功能的最大短板。

在政策法规方面，我国智能网联汽车相关法规政策呈现更加高效务实的特点，一方面，强政策引导，推动自动驾驶技术产业落地；另一方面，强调主体责任，加强产品、数据和网络安全管理，同时细化管理规则、规范测试示范应用活动。然而，我国对智能网联汽车驶人道路系统仍持保守态度，并未将其纳人法律考量范围。特定开放区域和封闭区域内的智能网联汽车应用虽已得到支持，但相关配套政策仍有待完善。地图开放问题有待政策支撑，围绕成熟应用场景的商业运营政策供给不足。

在网络和数据安全方面，智能网联汽车面临严峻的风险挑战。据华为统计数据，2020年智能网联汽车被黑客攻击的次数较2015年增长了20倍，其中27.6%的攻击涉及车辆控制。我国面向智能网联汽车的信息安全系列标准仍在布局和研制阶段，工信部门正组织研究编制《汽车信息安全通用技术要求》《车载网关信息安全技术要求》《汽车信息交互系统信息安全技术要求》，旨在技术层面建立分层网络安全防护机制。[点击“阅读原文”查看详情]

4、亚马逊修复

Android照片

应用高危漏洞

亚马逊发现超过5000万次下载的亚马逊照片应用存在高危漏洞，紧急进行了修复。

漏洞出在配置错误上，关键功能处未设置身份验证，同一设备上的恶意应用可窃取用于API身份验证的令牌。拿到令牌后就能取得如姓名、邮箱、住址等敏感信息。不仅官网受影响，连Prime Video、Alexa、Kindle等同属亚马逊旗下的服务也逃不过，范围相当广。好在漏洞发现和修复都算及时，安全团队查看日志后也没找到漏洞已被利用的证据。[点击“阅读原文”查看详情]

5、乌克兰逮捕坐拥

400个钓鱼网站

的黑客组织

乌克兰网络警察部队突袭钓鱼黑客组织，抓获九名嫌疑黑客，涉案金额哒300万美元。

这伙黑客以欧盟为饵，诱骗受害者为乌克兰人捐款，不仅捐款会进入黑客的口袋，捐款过程中泄露的银行卡信息也会让受害者所有余额变成黑客的囊中物。截至目前，至少5000人上当受骗，损失超过336万美元。警方公布了400多个钓鱼网站域名，呼吁在这些网站上捐过款的马上检查自己的受损情况并报告给警方。公告中并未提及黑客是如何引诱受害者到钓鱼网站的，根据惯例猜测是邮件、社交媒体假信息等。律师认为，这九人违反乌克兰刑法，最高可被处以15年有期徒刑。[点击“阅读原文”查看详情]