法规政策，业界动态，安全事件，媒体之声，从早前的“在看”，到后来的“网安同期声”，安在栏目一直调整，唯有一点不变，与网安发展同步，采业界资讯共赏。

本期特邀专家

杜建荣

友邦资讯科技（广州）有限公司云安全经理

前景提要：

本周的重点事件是国内首例数据合规不起诉案件，并分享了国外几例严重的安全事件，同时，2022的API安全研究报告也是一个值得一看的亮点。

本期重点事件

首例数据合规不起诉案件公开听证会举行，四名全国人大代表受邀旁听（阅读原文）

2019年至2020年，Z网络科技有限公司在未经授权许可的情况下，为运营需要，由公司首席技术官陈某某指使多名技术人员，通过数据爬虫技术，非法获某外卖平台数据，造成某外卖平台直接经济损失4万余元。

 

案发后，Z公司积极赔偿损失并取得谅解。根据Z公司申请，普陀区检察院向其制发合规检察建议，并启动范式合规审查。

 

普陀区检察院实地走访Z公司查看经营现状、会同监管部门研商Z公司运营情况后，从数据合规管理、数据风险识别、评估与处理、数据合规运行与保障等方面提出整改建议，指导Z公司作出合规承诺。

 

针对检察建议的整改要求，Z公司围绕管理、技术、制度进行自查整改，并聘请法律顾问团队制定数据合规整改计划，严格按照合规承诺扎实推进。

 

此次第三方组织成员包括网信办、某知名互联网安全企业、产业促进社会组织等专家成员，通过询问谈话、走访调查、审查资料、召开培训会等形式，全程监督Z公司数据合规整改工作。

 

考察期限届满，第三方组织评定Z公司合规整改合格。

 

为保障涉案企业及时复工复产，疫情期间，普陀区检察院采用“云听证”方式对本案合规评估合格、社会危害性和是否可是作不起诉处理进行公开审查听证。

 

经评议，参与听证各方认为涉案单位数据合规整改到位一致同意对涉案单位及人员作出不起诉决定。

 

点评：

数字化转型的大环境下，数据侵犯、网络犯罪等问题依旧层出不穷，这给社会发展、经济繁荣都带来了较大的影响，因为不够“安全”的背景下，什么科技进步、技术创新都只会是负面的，并同时会让群众的隐私、企业的数据没有保障。

 

而这次的个案办理却从正面告知了社会：“犯法必然会给自己带来处罚，但若是知错能改，就一定能在法律上得到公平公正的衡量。”可谓既帮助涉案企业恢复经营发展，落实“少捕慎诉慎押”刑事政策，又由点及面推动互联网行业建立数据合规经营体系，给合规之下的行业规范带来了积极的证明和推动。

 

专家点评：

本案例对于国内的安全合规有一个非常正面的影响，对于以后国家的执法力度与尺度提供的一个很好的模板，也警示了大小企业生产过程中务必要合法合规。

网安行业热点

1.北京市通信管理局开展2022年电信和互联网行业网络与数据安全检查

为有效防范重大活动保障期间可能发生的各类网络安全事件，各企业要自行组织力量或者委托具有通信网络安全专业服务能力资质的机构对本单位重要的通信网络和信息系统进行一次全方位的网络安全符合性评测和安全风险评估工作。通信管理局将组织专业机构开展远程网络安全检查，对未开展定级备案以及发现系统存在安全隐患的企业，将予以通报，问题严重的将依法依规予以处置。

1.欧盟EDPB《执法领域人脸识别技术应用指南》发布

EDPB和EDPS的联合呼吁禁止某些类型的处理，涉及（1）在公共可访问空间对个人进行远程生物识别，（2）人工智能支持的人脸识别系统，根据个人的生物特征，按照种族、性别、政治或性取向或其他因素将其分为不同的群组。（3）使用人脸识别或类似技术来推断自然人的情绪，（4）在执法环境中处理个人数据，这将依赖于通过大规模和不加区分地收集个人数据而填充的数据库，例如，通过“抓取”照片和可在线访问的人脸照片。

2.Gartner白皮书：360EDR是数字时代新终端防御利器

白皮书指出：面向数字时代的EDR技术应该致力于真正解决终端所面临的各类高级威胁问题，以云端能力为核心，以安全大数据、威胁情报、高精度异常数据采集等核心技术为支撑，有效规避传统终端安全产品（EPP）检测技术的弊端，打造高维度的威胁检测对抗能力，做到事前预防、事中检测和事后修复。

3.派拉软件参与编译的CSA《如何设计安全的无服务器架构》白皮书重磅发布

白皮书全面概括了无服务器平台的不同威胁，重点聚焦关注无服务器平台面临的应用程序所有者风险，聚焦于最佳实践和建议，并提供了适当的安全控制建议。白皮书以基于云原生的无服务器架构为中心点展开论述，需要翻译人员拥有相关领域的强大技术知识储备为支撑。

1.赞比亚央行遭勒索软件攻击，部分系统中断服务

因受到的损失很少，赞比亚银行拒绝向Hive勒索软件团伙支付赎金，这是近几年少有的针对勒索软件的强硬派；银行的部分信息技术应用中断服务，包括外汇管理局监控系统和网站，部分测试数据也可能被泄露；自2021年6月首次亮相以来，Hive勒索软件的攻击态势凶猛，已成为头部团伙之一。

2.勒索软件攻击已造成哥斯达黎加国家危机！

自4月17日Conti勒索软件攻击爆发以来，已至少影响了哥斯达黎加27个政府机构，其中9个受到严重影响，如征税工作受阻碍、公务员工资发放金额错乱等；哥国新任总统日前表示，有证据显示，国内有内鬼配合勒索软件团队敲诈政府，这场危机是政府多年未投资网络安全的苦果；安全专家称，这些犯罪团伙财力雄厚，完全有可能以收买的方式渗透进任何目标组织。

3.俄黑客组织对美英德10国政府宣战，意大利国家警察官网已沦陷

2022年5月16日，俄罗斯黑客组织“Killnet”在社交媒体Telegram上发布视频，正式宣布向美英德等十国政府发起网络战。“Killnet”称，普通民众在这次网络战中不会有危险，而这些“支持纳粹和恐俄症”国家的政府会被清算；“Killnet”称，他们已经成功攻击了意大利国家警察和邮政通讯警察局的官方网站，“顺便问一下，你们的网站已经停止运作了，为什么不阻止这次攻击呢？就像你们对欧洲电视网所做的那样。”

4.意大利多个重要政府网站遭新型DDoS攻击瘫痪，该国CERT发布警告

意大利参议院、上议院、国防部等多个重要政府网站遭到网络攻击，网站无法访问至少1个小时；意大利CERT发布预警称，此次攻击使用了“慢速HTTP”的新型DDoS手法，传统防御措施较难抵御，需要针对性处置；亲俄黑客团伙Killnet声称对本次攻击负责。

5.智能汽车曝出重大漏洞，黑客10秒开走特斯拉

BLE漏洞淹没智能汽车。NCC表示这个漏洞并非只是针对特斯拉，而是覆盖了绝大多数支持无钥匙进入的智能汽车，堪称智能汽车领域的一个“核弹级”漏洞，也为整个行业敲响了警钟。它就是低功耗蓝牙（BLE）协议漏洞，攻击者开发了一种工具可执行低功耗蓝牙 (BLE) 中继攻击，足以绕过现有目标设备上的身份验证系统。相较常规的蓝牙通信，BLE让不同设备在网络上能更加便捷地连接，并且可以显著降低功效和成本，是将不同传感器和控制设备连接在一起的理想选择。这也是BLE协议的设计初衷，如今它却成为黑客解锁智能技术装置新工具。

6.加拿大空军关键供应商遭勒索攻击，疑泄露44GB内部数据

加拿大、德国军方的独家战机培训供应商Top Aces透露，已遭到LockBit勒索软件攻击；LockBit团伙的官方网站已经放出要求，如不支付赎金将公布窃取的44GB内部数据；安全专家称，针对国防相关企业的攻击令人担忧，因为“无从得知被盗数据最终会落入哪里”，很可能流入对手国家；LockBit是目前最流行的勒索软件即服务平台之一，据统计今年已攻击了至少650个目标组织。

7.加拿大以“国家安全”为由禁止华为中兴参与加5G网络建设

报道说，加拿大创新、科学与工业部长商鹏飞19日在渥太华宣布了禁止所谓“高风险供应商”参与加拿大的5G网络建设的决定。根据这一决定，加拿大的电信公司将不被允许在其网络中使用包括这些中企的任何产品或服务，而已经安装这些设备的公司将被要求停止使用并拆除设备。

1.数据安全职业能力培训报名通道正式开启

为了为全方位满足数据安全人才市场需求， 由工业和信息化部网络安全管理局指导，中国软件评测中心与工业和信息化部教育与考试中心联合推出了数据安全职业能力培训。培训包含：数据安全评估师、数据安全工程师、数据安全咨询师、数据安全架构师、数据安全开发人员、数据安全运维人员的职业能力培训。亿赛通基于在数据安全行业的多年实践经验，受邀加入专家组共同开发培训课程，为数据安全领域人才培养提供支撑！

网安趋势研判

API安全研究报告2022

数字化的趋势是无法阻挡的，在数字时代，企业价值塑造需要由链条式转变为平台式。加之新冠疫情的影响，供应链的安全性和协作有效性、远程办公的紧迫性，也促使生态企业之间的整合逐渐加快了脚步。

为了应对数字时代的挑战，越来越多的企业已经在利用API的技术和经济模式来保证竞争力的延续。API不仅仅适用于云计算、物联网和大数据分析等数字化场景，它还可以帮助企业发掘并维系客户、构筑全新的业务生态。

然而，随着API巨大价值的体现，API攻击也呈现出指数级的增长趋势。据Gartner预测，“到2022年，API将成为网络攻击者利用最频繁的载体，而通过攻击API可以非授权使用企业的应用数据”。Gartner报告《Advance Your Platform-as-a-Service Security（25 August 2021）》已经明确地将API安全确立为保障PaaS安全的一个重要类别，该报告专注于指导企业如何提高PaaS的安全性，包括一个安全参考架构，显示了保护这些平台所需的内容，将API安全范畴独立于WAF和API网关，使其拥有了自己的功能分类。

根据Postman的监测数据显示，API已经在全球范围内被充分接受，并且呈现出持续增长的趋势。2021年，通过Postman平台的API通信遍布全球234个不同国家，较同期增长56%，API已经几乎在全世界被开发和调用。

根据Akamai的监测数据显示，2021年所有互联网流量的83%被API流量占据，API访问量以30%的速度逐年增长，预计到2024年将达到42万亿次访问。

根据GoogleCloud的调查结果表明，其API平台Apigee的用户API流量在2019年至2020年期间同比增长46%，已经达到2.21万亿次调用。这一增长反映了各行业数字化转型接受度的增长，越来越多的行业开展了数字化优先的业务战略。 

从上图可以看到，GoogleCloud的用户中有几个行业在使用API提高竞争力和效率方面特别突出。零售&旅游（34.5%）以及科技（34.3%）行业，它们占据了API流量的最大份额，而医疗保健（9%）和金融服务（5%）行业的同比增长却是最为突出的，增长率接近200%。

API-first在理念层面可以理解为通过实施以API思想为核心的整合战略来革新企业的业务和运营模式，通过使API-first与企业商业系统战略保持一致，支持商业模式转型。

企业商业系统战略的制定应根据商业目标和可衡量的成果来定义，而数字化转型就是其中最为重要的一部分。在数字时代，企业应该努力以新的方式做新的事情，为生态系统中的员工、客户和商业伙伴创造新的价值。

据Gartner预测，“到2022年，API将成为网络攻击者利用最频繁的载体，而通过攻击API可以非授权使用企业的应用数据”。

根据Akamai的攻击监测数据，其表示如今网上的大部分流量都是基于API的，Akamai观察到的网络攻击，几乎肯定是针对拥有面向公众应用程序和服务的组织。

上图显示，在2021年6月单日观察到1.138亿次与API有关的攻击，是2020年6月观察到的攻击数量的三倍多。其中 SQLi脱颖而出，成为过去18个月的头号攻击特征，记录了62亿次攻击尝试。排在第二位的是LFI，有33亿次攻击，最后是XSS，有超过10亿次的攻击。 

网安行业资料

网安行业动态

1.阿里云推出医保全平台智能运维方案

近日，阿里云正式推出医保全平台智能运维方案，通过打造“1分钟发现、5分钟响应、10分钟处置”的运维技术体系，保障医保信息平台高效平稳运行。目前这一方案已在全国多个省级医保信息平台落地，并取得了良好效果。

2.联软科技携手统信软件，共同打造「端点安全统一管理平台」国产化解决方案

为更好助力网络安全产业发展，联软科技携手统信软件，共同打造「端点安全统一管理平台」国产化解决方案，利用双方的技术、服务、市场等优势，共同探索不同行业用户对于端点安全的需求，让数据更集中，系统更协调，安全更简单。

3.绿盟科技推出绿盟边缘计算智能网关（SGEC）

绿盟科技重磅推出边缘计算安全产品——绿盟边缘计算智能网关（SGEC），聚焦工业互联网应用场景，整合工业企业上云业务需求与安全需求，选用微服务技术架构，整合功能安全和信息安全能力，形成了一整套包含工业数据采集、边缘计算、边缘安全能力的工业互联边缘计算安全产品。

4.奇安信发布数据跨境卫士

2022年5月18日，奇安信对外发布数据跨境卫士，帮助企业满足数据跨境传输、流转时面临的合规和合法监管需求，并为企业开展跨境业务、管理境外分支机构、境外上市、跨境数据流动等提供专业的安全保障。

5.深信服与视源电子达成战略合作，共创“屏、网、端”数字化一体化新方案

近日，视源电子与深信服就未来业务战略合作达成重要共识，并正式签署战略合作协议。双方将发挥各自优势，在数字化办公空间领域，围绕屏、网、端等方面进行优势互补与深度融合。携手推动方案产品创新和市场融合，助力用户数字化转型升级。

6.派拉云身份管理平台SSO360 3.0重磅发布

2022年5月20日，派拉云身份管理平台SSO360 3.0版本（以下简称：SSO360 3.0）发布会在线上成功举办。本次发布会围绕SSO360 3.0的全新能力进行深度的分析与阐释，与大家一起探索云原生安全世界，感受由SSO360 3.0带来的全新体验与极致安全。

1、物盾安全完成数千万元Pre-A轮融资

日前，上海物盾信息科技有限公司（以下简称：物盾安全）宣布完成Pre-A轮数千万元的融资，本轮融资由奇安投资领投，老股东源渡创投跟投。

戳“原文阅读”查看往期网安精彩内容

齐心抗疫 与你同在 

点【在看】的人最好看

在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接：

关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/
让资讯触达的更精准有趣：https://www.0xu.cn/