普普每日安全咨询一周概览(09.05—09.11)

作者:

时间:
2020-09-11

2020.09.05  周六



01

 深度伪造技术正在垫付网络空间的可信性


数据显示,当前qian388国网络视频用户规模达8.5亿,占网民的94.1%。网络视频应用在快速普及的过程中也带火了“人工智能+人脸识别”类软件,比如ZAO、Deepfacelab等。此类软件所使用的的深度伪造技术在带来娱乐的同时,可能引发的安全风险也备受关注。如果通过深度伪造技术制作造假新闻和色情信息等违法信息,必将造成“眼见不一定为实”的普遍信任感,进而会对国家安全、政治安全和个人合法权益造成威胁。


普普评述

相关部门应尽快制定相关技术标准:

明确深度伪造技术的适用范围;

涉及国家安全、公共利益和公民合法权益的,要对齐适用性明确限制;

尤其是对深度伪造视频的传播应严格限制,如传播需用水印表明;

将伪造视频纳入违法和不良信息规制范围,严禁违法有害信息的传播;

对深度伪造软件使用信息的行为进行评估,加强对人脸等生物识别信息的保护;

明确互联网平台和伪造视频者的责任,督促平台利用自身技术优势加对强违法违规行为的管理。


2020.09.06  周


02

 欧盟5G安全政策对qian388国产业影响的思考


欧洲被视为中国5G走出去的重要市场。2019年以来,欧盟高度重视5G技术的战略自主权和网络安全,出台了一系列旨在解决本地区5G网络安全问题的政策文件,这些文件特别强调对非欧盟国家5G供应商的风险评估。中国5G企业在欧盟开展业务面临严峻挑战。

美国对欧盟影响深远。目前美国将5G视为核心国家利益,以“瓦森纳协议”为基础封锁半导体技术出口,用“军事情报分享”威胁欧盟国家,将5G安全问泛政治化。

普普评述

欧盟对中国5G企业态度的根本转变,深层原因在于美国对欧盟的控制欲威慑。中国能否顶住压力,实现基础核心技术自主创新,将决定未来欧盟对中国的态度,未来在“十四五”规划中,应该会出台针对性地进行集中攻关举措。


2020.09.0 周


03

 华纳音乐集团被黑客入侵,用户信用卡详细信息被盗


全球第三大音乐唱片公司华纳音乐集团(Warner Music Group,WMG)披露了一项影响客户个人和财务信息的数据泄露事件,该公司位于美国的几家电子商务商店于2020年4月遭到黑客攻击,看起来像是Magecart攻击。

该公司表示,这起事件涉及多个通过外部服务提供商运营的电子商务网站,安全漏洞可能使黑客窃取进入网站的个人信息。尽管WMG的调查没有发现任何信息被外泄的迹象,但它并不排除这种情况发生的可能性,并警告受影响的个人有可能在攻击期间利用被盗的个人和财务信息进行欺诈活动。

普普评述

这次攻击具有教科书式的Magecart攻击的所有迹象。

他们的最终目标是收集所有的付款或个人信息,并在他们控制下的远程服务器上收集这些信息。


2020.09.08  周


04

 ITIF报告:对中美融合还是脱钩的深度分析


近日,美国科技智库信息科技和创新基金会(ITIF)发布报告《与中国竞争:战略框架》,系统分析了中美争端的复杂性。

文章认为,很多人将中美争端与美苏冷战和美日贸易战相比但是,中美争端的情况要复杂得多。美苏冷战是美苏两个超级大国在军事和意识形态方面的竞争;美日贸易战,日本在许多行业中成为非常强硬的竞争对手和重要的供应商,但对于大多数西方公司而言,日本从来都不是必不可少的市场,且双方不是军事和意识形态的竞争对手。

对于美国等西方国家而言,前苏联和日本在经济上没有与美国形成深度融合,因此有很大的回旋余地。在当年解决美日纠纷过程中,美国利用日本对美国安全保护伞的依赖,迫使日本在半导体、汽车、汇率调整方面作出了重大让步。

普普评述

ITIF认为,中国日益增长的经济实力,使中美竞争从根本上是两种发展模式的竞争,中国模式与西方模式截然不同。ITIF认为,一个新的“伟大游戏”正在上演,但是谁(中美)发挥得最好?本世纪20年代可能是决定性的十年。


2020.09.09 周三


05

“脱钩”只是美国对华科技遏制战略的冰山一角


2018年中美爆发贸易摩擦以来,美国对华科技创新的战略遏制全面开启。美国以知识产权和技术转让为借口,利用其国内法对中国高科技企业发起调查,滥用其国家安全理由对中国科技企业进行制裁和投资审查,密集出台出口管制政策加紧封堵中美技术合作,通过驱逐、拘捕、拒签等手段切断中美科技人员交流互访等,这一系列对华政策动向被普遍研判为“脱钩”战略,由此,“中美科技大脱钩”论在政策界和学术界产生了普遍影响。

从国家间科技各领域互动而言,即使是“大脱钩”,也无非是带来两国科技交流中断、技术合作停止、科技产业链切割等后果,各国间的科技交流与合作仍然可以广泛开展。

普普评述

从美国对华战略遏制目标的三个层次可以看出,美国一系列对华科技打压措施和步骤不是简单的科技“脱钩”,而是为实现其对华大战略目标的系统性战略设计和科技霸权体系。


2020.09.10  周四


06

 2021年全球网络犯罪将每分钟造成1140万美元损失

 

RiskIQ的一份报告显示,网络犯罪使企业每分钟损失24.7美元,同比增长了近10%。到2021年,全球网络犯罪每分钟造成的损失将达到1140万美元,比2015年增涨了100%。

报告涵盖了当今企业面临的最大威胁,这些威胁以每分钟375个的速度激增,原因之一是今年利用新冠病毒大流行的攻击激增。

报告涵盖的策略范围从网络钓鱼到域名攻击以及针对电子商务的供应链攻击,例如自COVID-19疫情爆发以来,Magecart黑客攻击增加了30%。网络罪犯的动机包括金钱利益、大规模名誉损害、政治动机和间谍活动。


普普评述

统计数据显示,威胁活动很普遍,但也显示了威胁情报在保卫企业方面的重要作用。企业需要更多的网络安全知识、更好的安全意识,以及更多的努力来实施必要的安全控制,这对于阻止攻击者有着巨大的作用。


2020.09.11 周五


07

 数十亿的工业物联网设备可能存在缺陷


最近,IBM的X-ForceRed黑客团队在一系列物联网芯片中发现了一个漏洞,该漏洞可以被远程利用,使数十亿的工业、商业和医疗设备处于危险之中。所发现的安全漏洞影响了法国制造商泰利斯公司(Thales)开发的CinterionEHS8M2M模块。作为正在进行的研究的一部分,IBM团队发现以EHS8模块为目标的攻击者可以远程利用它,并获得对托管它的机器的完全控制。这带来了严重的威胁,因为EHS8模块存储了密码、加密密钥和证书等敏感信息,以支持通信。如果攻击者设法按照IBM的方法渗透进来,他们可能“潜在地控制一个设备或进入中央控制网络进行广泛的攻击——在某些情况下甚至通过3G进行远程攻击。”

普普评述

公司可以考虑雇佣黑客来识别任何安全漏洞或未修补的区域。在黑客社区中,有几类黑客,他们的目的是由他们“帽子”的颜色决定的。在这种情况下,白帽黑客(又称道德黑客)通常会帮助企业找出系统中的漏洞,并设计出加强安全堡垒的计划。