行业动态 会议活动 世界信息安全大会（Insec World）10 月 22 日，首届 Insec World 成都 • 世界信息安全大会如期举行，大会期间显现了三大亮点。其一，主办方特意安排了 CSO 的分论坛，邀请了来自钉钉、蚂蚁金服、滴滴等CSO 以及安全负责人讲解他们在安全落地上的实践。其二，主办方也邀请了来自北京航天大学、广州大学、南开大学等国内多位高校网络安全方面的院长详细讲述了他们在高等学院培养网络安全人才方面的方法。亮点三，本次会议也邀请了国外知名安全媒体Dark Reading，并希望将一些来自中国的声音传到国外。

行业动态 印度政府 Facebook 隐私保护10月22日，印度总检察长向最高法院表示，考虑到个人权利和国家完整性、主权和安全受到的威胁越来越大，要求印度政府计划制定新的法规来管理社交媒体，并同期责令Facebook帮助他们解密其网络用户的私人信息。截至目前，Facebook旗下消息应用WhatsApp在印度拥有约4亿用户，允许用户使用端到端加密技术交换文本、照片和视频，而不受调查人员甚至是平台本身的监督。随后，Facebook律师在法庭上，以印度政府没有权利与法律效力的合同为由，予以回绝印度政府的解密要求。目前，案件还未得出最终审判结果。

行业动态 运营技术网络安全联盟（OTCSA） 工控安全几家主要的网络安全公司联合发起了一项名为“运营技术网络安全联盟”（Operational Technology Cyber Security Alliance, OTCSA）的新计划，该计划旨在通过提供指导和资源来帮助工业和关键基础设施组织应对与OT安全相关的挑战。OTCSA的创始成员包括设备制造商ABB和Wärtsilä，以及Microsoft和网络安全解决方案提供商Check Point Software，BlackBerry Cylance，Forescout，Fortinet，Mocana，NCC Group，Qualys，SCADA Fence和Splunk。

融资并购 趋势科技 Cloud Conformity 云安全本周一，趋势科技宣布以 7000 万美元收购云安全公司 Cloud Conformity。趋势科技表示， Cloud Conformity 作为 2019 年度AWS 技术合作伙伴，他们的产品和方案可以完美地补充趋势科技现有的产品组合，并可以立即为客户提供价值。通过收购Cloud Conformity，趋势科技希望可以扩展其云安全服务类型，特别是基础设施配置错误的检查，并帮助客户确保遵守 PCI DSS、GDPR、HIPAA 等监管标准。

融资并购 威胁情报 Flashpoint威胁情报公司Flashpoint本周宣布，它总共收到了3,400万美元的投资和债务融资。其中，600万美元来自投资者的新股本，2,800万美元来自蒙特利尔银行的债务融资，该公司自2015年以来总融资金总额超过8,000万美元。Flashpoint提供基于技术、数据收集与人类分析能力的威胁情报和风险解决方案，以帮助组织改善其网络安全状况、检测内部威胁、解决第三方风险、处理欺诈并协助尽职调查工作。

融资并购 数据安全 VeryGoodSecurity本周四，旧金山的数据安全公司Very Good Security宣布获得由高盛领投的B轮融资3,500万美元，总融资额达4,490万美元。VGS为企业提供一个确保数据安全、合规和隐私安全的平台，从而企业自身不再需要进一步运维一个数据安全环境。另一方面，VGS运用受信任的终端进行安全的数据传输，确保客户依然对数据拥有完整控制权的同时消除相关的成本与责任。

融资并购 工控安全 天地和兴近日，北京天地和兴科技有限公司宣布完成C及C+轮近2亿融资。C轮融资由毅达资本领投，广州国资黄埔智造基金跟投，C+轮融资引入的战略投资方为中兴、松禾资本，密码资本担任独家财务顾问。天地和兴自2007年成立以来，持续研究工控安全，不断创新，实现连续三年100%增长，累计服务超过300家客户，包括能源、交通、市政、冶金、智能制造等多个国家关键信息基础设施领域。据有关人士介绍，本轮融资将主要用于基于可信技术的自主可控工控安全产品技术研发与战略行业开拓。

报告调研 卡巴斯基 物联网安全近日，卡巴斯基研究报告显示，2019年前半年，基于卡巴斯基建立的一个蜜罐网络观测到了1.05亿次针对物联网设备的攻击，这些攻击分别来自276000的不同的IP地址。相比之下，2018年上半年只有1200万次攻击。报告显示，Mirai及其变体仍然是物联网攻击中最常见恶意软件，占所有感染案例的39%。而感染物联网设备的方法多种多样，包括暴力破解设备密码、利用各种不同设备中发现的未修补漏洞等。卡巴斯基指出，物联网攻击的前三大来源国分别是中国（30％）、巴西（19％）与埃及（12％）。

报告调研 DigiCert 量子计算近日，DigiCert发布2019年量子后加密调查报告显示，全球大多数组织（71％）将量子计算机视为主要的安全威胁，相关威胁事件预计将在未来三年内出现。据悉，此次报告的调查对象为美国，德国和日本的400家企业组织。尽管量子计算有望实现令人印象深刻的功能，但仍有95％的受访者表示，他们正在讨论至少一种保护自己免受量子计算危害的策略。

漏洞补丁 酒店机器人 隐私保护日本连锁酒店HIS Group对于忽视室内机器人潜在漏洞而造成的影响深表歉意。在酒店中，用户通过对应房间机器人的面部识别技术进入房间，并使用房间内的其他服务。然而，黑客可以利用其包含“未签名代码”的漏洞，在机器人“后脑勺”贴上一个NFC芯片，从而远程访问摄像头和麦克风，监视在房间中的人。研究人员在发现该漏洞后对酒店进行了上报，然而因为迟迟未获得回复，在本月13日成功进行了一次攻击引起了公众的注意。

漏洞补丁 杀软漏洞 恶意.dll安全研究人员发现，杀毒软件Avast、AVG和Avira中的漏洞可能允许攻击者加载恶意.dll文件，以绕过防御并提升特权。该漏洞跟踪代码为CVE-2019-17093，影响了所有版本的Avast和AVG，应用程序共享核心代码，该代码的利用可能会实现SafeBreach所说的自主防御绕过、防御逃逸以及可持续性提权。研究人员于7月报告了对Avira的漏洞。尽管供应商于9月通知他们该问题已得到解决；MITER依然于10月发布了CVE-2019-17449漏洞。但是，Avira认为该漏洞实际上对攻击者没有用，因此它决定对CVE提出质疑。

恶意绕过 趋势科技 反威胁工具包（ATTK）一个趋势科技反威胁工具包（ATTK）中的漏洞可能会被黑客利用，用以操控受害者的软件。简而言之，只要文件名是cmd.exe或regedit.exe，该程序就会被骗进而执行任何文件，也包括恶意软件。因为ATTK是由经过认证的发布方签署的，会绕过MOTW的安全警告，一旦下载了恶意软件，会引起一系列安全性问题。最终，这种攻击可以成为一种持久性机制，因为每次反威胁工具包运行时，恶意软件也会被启动。该漏洞已经于周五通过新发布的补丁修复。

恶意软件 MSSQL Server 行为隐藏

近日，ESET的安全研究人员发现了一个新的恶意软件，允许黑客利用新恶意软件在微软SQL Server（MSSQL）系统上潜伏，并秘密控制系统。据悉，该恶意软件被称为“ skip-2.0”,针对MSSQL Server 11和12版本，允许黑客使用魔术密码连接到任何MSSQL帐户，同时自动对日志隐藏这些连接。后门恶意软件会被导入sqlserv.exe进程中，加载sqllang.dll，并连接多个功能。例如绕过身份验证、禁用日志和事件发布机制，使黑客能够长期在MSSQL服务器中运行命令，并且不被发现。

勒索软件 僵尸网络“性勒索”邮件近日，安全公司 CheckPoint 报告称，名为 Phorpiex 的僵尸网络最近新纳入一款垃圾邮件机器人程序，可将被黑电脑用作代理，并且正在以每小时 3 万封的速度发出性勒索电子邮件，且全程不引起被感染电脑拥有者的注意。据悉，Phorpiex作为一款面世十年之久的一款僵尸网络恶意软件目前控制着全球 45 万台电脑。截至目前仍不清楚勒索者是如何绕过电子邮件提供商封锁，发送如此大量的电子邮件。

网络攻击 NordVPN 供应商安全近日，NordVPN表示在2018年3月旗下芬兰的一个数据中心遭受到了未经授权的访问，原因是数据中心提供商使用了不安全的远程管理系统。这使得黑客可以模仿NordVPN欺骗用户并窃取数据。目前，暂无用户数据受到威胁，也没有感染任何其他数据中心。NordVPN已开始将所有服务器移至RAM，预计明年完成。

网络攻击 AWS DNS DDoS攻击 网络瘫痪10月23日，AWS DNS服务器受到了DDoS攻击，恶意者企图向系统发送庞大的垃圾网络流量，导致服务无法访问。据悉，这次局部故障即美国东海岸时间09：00左右大概持续了15个小时。本次DDoS攻击影响的不仅仅是S3，还会妨碍客户连接到依赖外部DNS查询的亚马逊服务，比如亚马逊关系数据库服务（RDS）、简单队列服务（SQS）、CloudFront、弹性计算云（EC2）和弹性负载均衡（ELB）。无数网站和应用软件依赖这些服务以处理访客、处理客户信息。

漏洞补丁 Oracle 近日，甲骨文发布了大量安全补丁，用于修补23种产品中的219处漏洞。黑客可在未授权的情况下远程利用超过140个漏洞。其中，Fusion Middleware的安全补丁数量最多， 37个。而MySQL则有34个补丁、Java SE有20个补丁。据了解，CVE-2018-14721是此次更新中最严重的漏洞，其CVSS v3得分为10分（满分为10分）。该漏洞存在于甲骨文NoSQL数据库的jackson-databind Java库组件中，将影响该数据库19.3.12之前的版本。

安全研究 亚马逊Alexa 谷歌家庭智能助手 隐私保护近日，安全研究人员发现，黑客可以滥用亚马逊Alexa和谷歌家庭智能助手，在用户不知情的情况下窃听用户对话，或者欺骗用户交出敏感信息。今年早些时候，安全研究实验室 (SRLabs) 发现了这些漏洞，并于上周向ZDNet分享了他们的发现。钓鱼和窃听都可以通过亚马逊和谷歌提供给Alexa或谷歌家庭定制应用程序的开发人员的后端进行利用。这些后端提供了对函数的访问，开发人员可以使用这些函数定制智能助理响应的命令和助理响应的方式。

奔驰 应用缺陷 数据泄露近日，梅赛德斯·奔驰（Mercedes-Benz）在美国的应用程序出现了严重的安全漏洞，可以看到其他车主的个人信息。据悉，有美国的梅赛德斯·奔驰的车主反映，他们用来解锁和启动汽车的应用程序错误地显示了其他车主的账户和车辆信息，包括可以看到姓名、最近的活动、电话号码等。这一明显的安全漏洞发生在当地时间10月18日晚些时候，随后该应用程序以“网站维护”的原因而下线。根据谷歌Play的排名，已经有超过10万客户安装了这款应用。

数据泄露 黑市BriansClub 信用卡信息近日，世界上最大的黑市网站之一的BriansClub被曝遭到了黑客攻击。专家估计，本次攻击中，黑客窃取了超过2600万张信用卡的信息，约占黑市上可用卡的30％。随后，BriansClub 的管理员确认，网站的数据中心已于今年早些时候被黑客入侵，并且声称被盗数据已经删除，但有多个消息确认这些数据仍在BriansClub上销售。

数据泄露 美国政府 Autoclerk近日，Autoclerk的一个用于酒店预订管理系统的Elasticsearch数据库发生了数据泄露，造成了共179GB的数据泄露。这之中包含了数千名酒店客人以及美国政府、军方和国土安全部（DHS）成员的个人数据和行程安排。该数据库连接了多个出行相关平台，其中一个平台属于美国政府、军方和国土安全部的承包商，该承包商负责管理政府和军事人员的旅行数据。因此，此次事件泄露了政府雇员的个人身份信息和旅行计划，包括前往莫斯科、特拉维夫和其他地方的美军将领的日志以及电子邮件地址和电话号码。