行业动态

【发布 | 国家工信安全中心发布《网络安全威胁情报行业发展报告（2021年）》】

近日，国家工业信息安全发展研究中心发布了《网络安全威胁情报行业发展报告（2021年）》。报告主要围绕网络安全威胁情报基本概念、国外威胁情报发展情况、我国威胁情报产业调研分析、威胁情报服务能力评价框架以及未来发展趋势及建议等方面展开，旨在为更好发挥威胁情报价值、促进威胁情报落地应用、推动威胁情报产业发展提供参考。

来源：中国信息安全

【《我国网络安全产业调研报告》：发展现状和存在问题】

12月10日，信息政策所网络安全研究室副研究员陈凤仙发布了《我国网络安全产业调研报告》。报告基于前期国家工信安全中心针对网络安全产业的行业专家、供给方、需求方、投资机构等多类主体的全方位调研，从供需双轮驱动、产业创新、产融合作、人才培育等方面，研究分析我国网络安全产业发展现状和存在问题，并提出推动产业发展的实施路径。调研结果显示，当前我国网络安全产业正处于快速发展阶段，网络安全企业供给能力稳步提升，工业互联网安全等细分市场逐渐被打开。与此同时，网络安全产业供给主体日益多元化，产融合作加速助力产业迈上新台阶。

来源：互联网安全内参

【中国信通院联合发布《数字规则蓝皮报告（2021年）》】

随着近年来数字经济的快速发展，数据作为基础性战略资源的地位日益凸显，数据非法收集、非法使用、非法交易等现象愈发普遍，平台垄断、大数据杀熟、个人信息泄露等问题日益严峻。加强数字规则研究，规范数据收集使用管理，具有十分重要的现实意义。在此背景下，中国信息通信研究院西部分院联合重庆市大数据应用发展管理局、中国信息通信研究院政策与经济研究所共同编写了《数字规则蓝皮报告（2021年）》

来源：中国信息安全

【国际标准ISOIEC 27070《信息技术 安全技术 虚拟信任根建立要求》发布】

2021年12月，我国主导提出的国际标准ISO/IEC 27070《信息技术 安全技术 虚拟信任根建立要求》正式发布，该标准通过功能视图和活动视图两种视角规定了建立虚拟信任根的要求。

来源：FreeBuf

安全动态

【近66%的企业缺乏基本API安全策略】

根据API安全服务提供商Salt Security的最新报告，近66%的企业缺乏基本 API 安全策略。这种安全能力差距尤其令人担忧，因为随着GraphQL等相对较新技术的采用，针对 API 的网络攻击正在增加。据了解，从 2020 年到 2021 年，GraphQL的采用率翻了一番，并且还在继续加速。但是，围绕 GraphQL 的安全意识仍然相对较低，GraphQL API可能会产生难以评估的安全风险。

来源：安全牛

【南澳大利亚8万政府员工信息遭泄露】

12月10日，南澳大利亚州政府披露，由于外部薪资软件提供商Frontier Software的系统于上个月遭到Conti勒索软件攻击，因此州政府的数万名员工的敏感个人信息遭到泄露。

来源：安全圈

【研究发现，数亿WIFI芯片存在数据窃取和流量操纵风险】

据Security Affairs网站报道，来自姆施塔特大学、布雷西亚大学、CNIT 和安全移动网络实验室的一组研究人员发现了WiFi芯片中的安全漏洞，攻击者可利用这些漏洞通过定位设备的蓝牙组件来提取密码并操纵WiFi芯片上的流量。

来源：FreeBuf

【微软、谷歌OAuth漏洞被用于钓鱼攻击】

微软、谷歌OAuth漏洞被用于钓鱼攻击。Proofpoint研究人员发现一系列针对弱OAuth 2.0实现的URL重定向攻击。攻击可以使受害者感觉钓鱼URL看起来是合法的。相关的攻击活动目标包括Outlook Web Access、PayPal、Microsoft 365和Google Workspace。

来源：嘶吼专业版

声明：本文内容来源于网络，如有内容或版权问题，请联系我们协商或删除，谢谢！