1.28億iOS用戶(hù)被攻擊，蘋(píng)果卻對(duì)此進(jìn)行隱瞞

2021年3月，Hackread.com報(bào)告了一次供應(yīng)鏈攻擊，在此次攻擊活動(dòng)中，網(wǎng)絡(luò)犯罪分子使用了XcodeSpy惡意軟件來(lái)攻擊那些使用Xcode集成開(kāi)發(fā)環(huán)境的開(kāi)發(fā)人員，而2015年也曾出現(xiàn)過(guò)類(lèi)似的惡意軟件。該惡意軟件代號(hào)為XcodeGhost，它將允許攻擊者使用從第三方網(wǎng)站下載的惡意版本Xcode在合法應(yīng)用程序中插入惡意代碼。需要注意的是，Xcode是蘋(píng)果的官方應(yīng)用程序開(kāi)發(fā)工具。在當(dāng)時(shí)，有報(bào)道稱(chēng)蘋(píng)果很快就終止了相關(guān)的攻擊活動(dòng)。

然而，根據(jù)一份最新報(bào)告，Epic Games在跟蘋(píng)果打官司的過(guò)程中層提交過(guò)一份電子郵件內(nèi)容，并披露了關(guān)于這一特定攻擊的令人吃驚的新細(xì)節(jié)。結(jié)果顯示，近1.28億iOS用戶(hù)下載了包含XcodeGhost惡意軟件的應(yīng)用程序，而蘋(píng)果方面卻對(duì)此次惡意軟件攻擊一直保密，沒(méi)有透露任何關(guān)于此次攻擊活動(dòng)的細(xì)節(jié)內(nèi)容。

蘋(píng)果公司選擇不通知用戶(hù)大規(guī)模泄密的事實(shí)，肯定會(huì)損害其六年前聲稱(chēng)自己專(zhuān)注于隱私的公司聲譽(yù)。

拜登簽署加強(qiáng)國(guó)家網(wǎng)絡(luò)安全的行政命令

2021年5月12日，美國(guó)總統(tǒng)拜登簽署名為“加強(qiáng)國(guó)家網(wǎng)絡(luò)安全的行政命令”（Executive Order on Improving the Nation’s Cybersecurity）以加強(qiáng)網(wǎng)絡(luò)網(wǎng)絡(luò)安全和保護(hù)聯(lián)邦政府網(wǎng)絡(luò)。行政命令9個(gè)主要部分內(nèi)容：

（1）政策

（2）移除威脅信息共享的障礙

（3）聯(lián)邦政府網(wǎng)絡(luò)安全現(xiàn)代化

（4）增強(qiáng)軟件供應(yīng)鏈的安全

（5）成立網(wǎng)絡(luò)安全審查委員會(huì)

（6）聯(lián)邦政府網(wǎng)絡(luò)安全漏洞和事件應(yīng)急響應(yīng)標(biāo)準(zhǔn)化（7）加強(qiáng)聯(lián)邦政府網(wǎng)絡(luò)中網(wǎng)絡(luò)安全漏洞的檢測(cè)能力（8）加強(qiáng)聯(lián)邦政府網(wǎng)絡(luò)安全事件的調(diào)查

（9）修復(fù)能力、國(guó)家安全系統(tǒng)

SolarWinds供應(yīng)鏈攻擊事件、微軟exchange漏洞、COLONIAL PIPELINE輸油管道事件等近期發(fā)生的網(wǎng)絡(luò)安全事件使得美國(guó)政府和人民意識(shí)到來(lái)自網(wǎng)絡(luò)的復(fù)雜惡意活動(dòng)，暴露出網(wǎng)絡(luò)安全防御能力不足等問(wèn)題，使得公私部門(mén)使得更容易受到相關(guān)事件的影響

美國(guó)土安全部警告——

針對(duì)中小企業(yè)的勒索軟件攻擊已超過(guò)50%

美國(guó)國(guó)土安全部部長(zhǎng)Alejandro Mayorkas5月12日在演講中表示，美國(guó)的勒索軟件攻擊中約有50%到70%是針對(duì)中小企業(yè)的，去年總計(jì)造成3.5億美元的損失。他指出，這也是為什么國(guó)土安全部不斷與勒索軟件斗智斗勇的原因。

美國(guó)國(guó)土安全部（DHS）通過(guò)美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）以及美國(guó)特勤局提供了相關(guān)的工具和教育程序，小型企業(yè)可以使用它們來(lái)幫助企業(yè)更好地抵御勒索軟件攻擊。Mayorkas表示，國(guó)土安全部將與中小公司一同協(xié)手對(duì)抗勒索軟件的攻擊。他指出，在過(guò)去的一年中，針對(duì)小型企業(yè)的勒索軟件攻擊增加了300%。3月，Mayorkas宣布美國(guó)國(guó)土安全部將進(jìn)行為期60天的演練，重點(diǎn)是與勒索軟件作斗爭(zhēng)。隨后的4月，司法部成立了勒索軟件和數(shù)字勒索工作組，其中包括司法部官員以及美國(guó)聯(lián)邦調(diào)查局和美國(guó)檢察官執(zhí)行辦公室的代表“在網(wǎng)絡(luò)安全領(lǐng)域，我們有一系列的打擊計(jì)劃。

小型企業(yè)是美國(guó)經(jīng)濟(jì)的支柱，因此它們也是勒索軟件團(tuán)伙的主要目標(biāo)。關(guān)注小型企業(yè)網(wǎng)絡(luò)安全至關(guān)重要。

網(wǎng)絡(luò)安全屆的年度盛會(huì)召開(kāi)

網(wǎng)絡(luò)安全屆的年度盛會(huì)RSA Conference 2021已于美國(guó)時(shí)間2021年5月17日8：00正式召開(kāi)（北京時(shí)間5月17日20：00）。此次RSA大會(huì)不同以往，采用了網(wǎng)絡(luò)虛擬會(huì)議的形式進(jìn)行全線上展示，圍繞著本次大會(huì)的主題——Resilience（彈性）分享一系列干貨滿(mǎn)滿(mǎn)的新觀點(diǎn)、新方法、新技術(shù)。

RSA會(huì)議是一系列IT安全會(huì)議。每年約有上萬(wàn)人次參加，其主打事件是每年在舊金山舉行的安全會(huì)議。RSA 會(huì)議始于1991年，當(dāng)時(shí)只是以“密碼，標(biāo)準(zhǔn)和公共政策”為主題的小型加密會(huì)議，為密碼學(xué)家收集和分享互聯(lián)網(wǎng)安全領(lǐng)域的最新知識(shí)和進(jìn)步的論壇。從1995年開(kāi)始，RSA大會(huì)每年都會(huì)定下一個(gè)精煉的主題。這些主題一定程度上反映了全球安全市場(chǎng)的趨勢(shì)變化。

關(guān)注網(wǎng)絡(luò)安全屆的年度盛會(huì)可以收獲各路大牛的觀點(diǎn)、學(xué)到最新的方法與技術(shù)、掌握網(wǎng)絡(luò)安全最新趨勢(shì)。

美國(guó)陸軍開(kāi)發(fā)出深度偽造檢測(cè)技術(shù)：DefakeHop

深度偽造（Deepfake）不僅是社工釣魚(yú)攻擊、BEC商務(wù)郵件攻擊的下一個(gè)“熱點(diǎn)”，同時(shí)也對(duì)業(yè)務(wù)欺詐檢測(cè)、生物特征身份認(rèn)證等安全技術(shù)構(gòu)成嚴(yán)重威脅，更是未來(lái)“毫秒級(jí)”數(shù)字化現(xiàn)代戰(zhàn)爭(zhēng)的重大隱患。而對(duì)抗“深度偽造”最好的方法就是“深度檢測(cè)”，用AI來(lái)檢測(cè)惡意AI。

近日，陸軍研究人員宣布開(kāi)發(fā)出一種深度偽造檢測(cè)方法，可以開(kāi)發(fā)出先進(jìn)的軍用技術(shù)來(lái)幫助士兵快速檢測(cè)和識(shí)別深度偽造相關(guān)威脅。這項(xiàng)研究工作的目標(biāo)是開(kāi)發(fā)出輕量化的、低訓(xùn)練成本、高性能的面部生物特征識(shí)別技術(shù)，可以滿(mǎn)足士兵在戰(zhàn)斗中對(duì)隨身設(shè)備的尺寸、重量和功率要求。美國(guó)陸軍作戰(zhàn)能力發(fā)展指揮部（DEVCOM）、陸軍研究實(shí)驗(yàn)室（ARL）與南加州大學(xué)教授c-c Jay Kuo的研究小組著手解決深度偽造對(duì)社會(huì)和國(guó)家安全構(gòu)成的重大威脅。研究成果就是一個(gè)稱(chēng)為DefakeHop的創(chuàng)新技術(shù)解決方案。

深度偽造技術(shù)對(duì)軍事和日常生活都有影響（威脅），而在對(duì)抗深度偽造的研究領(lǐng)域，DefakeHop方案相比現(xiàn)有技術(shù)有著顯著優(yōu)勢(shì)，為人工智能、計(jì)算機(jī)視覺(jué)、智能場(chǎng)景理解和面部生物特征識(shí)別等人工智能領(lǐng)域的研究提供了全新的范型和知識(shí)。