隨著(zhù)網(wǎng)絡(luò )安全等級保護制度的全面推廣，網(wǎng)絡(luò )層和系統層的安全問(wèn)題在部署防護設備、配置安全策略、升級補丁等措施的實(shí)施下日趨減少，但應用層安全問(wèn)題仍然較為突出。由于“內生”于軟件開(kāi)發(fā)過(guò)程，限于事后補救的手段以及成本因素，應用軟件安全已經(jīng)成為網(wǎng)絡(luò )安全整體防護體系的最后一塊短板。若要補上這塊短板，就需要我們把安全視角由外部轉向內部，聚焦軟件開(kāi)發(fā)安全，從“源頭”上尋找解決問(wèn)題的思路。

首先，軟件安全的實(shí)現離不開(kāi)各類(lèi)載體的基礎保障，即，人、制度、工具、環(huán)境等方面，通過(guò)制定并完善各類(lèi)管理制度、關(guān)注開(kāi)發(fā)過(guò)程中各類(lèi)開(kāi)發(fā)工具的安全、建設和維護各類(lèi)環(huán)境、規范人員操作各類(lèi)開(kāi)發(fā)行為等，從而支撐軟件開(kāi)發(fā)安全有序進(jìn)行。其次，根據目前主流的軟件安全開(kāi)發(fā)生命周期模型，軟件開(kāi)發(fā)生命周期主要包括需求分析、設計、實(shí)現、測試、發(fā)布、交付等活動(dòng)。不同的開(kāi)發(fā)活動(dòng)對于一款應用軟件的“安全生成”都起著(zhù)貫穿前后的重要作用。因此確保各個(gè)開(kāi)發(fā)活動(dòng)的安全開(kāi)展是保障軟件安全的關(guān)鍵。

缺乏網(wǎng)站保護、發(fā)件人策略框架（SPF）記錄和 DNSSEC 配置使公司容易受到網(wǎng)絡(luò )釣魚(yú)和數據泄露攻擊。到 2022年，公司的有效數據泄露風(fēng)險從上一年的平均得分30增加到100分中的44分（其中100分表示風(fēng)險最大），這表明數據泄露的總體風(fēng)險有所增加。這是根據 Cymulate 的排名得出的，該排名處理了100萬(wàn)次滲透測試的數據，其中包括在其生產(chǎn)環(huán)境中進(jìn)行的170萬(wàn)小時(shí)的攻擊性網(wǎng)絡(luò )安全測試。

該公司在3月28日發(fā)布的“2022年網(wǎng)絡(luò )安全有效性狀況”報告中指出，存在各種持續存在的問(wèn)題導致風(fēng)險增加。報告指出，一方面，雖然許多公司正在提高網(wǎng)絡(luò )和組策略的采用率和嚴格性，但攻擊者正在適應規避此類(lèi)保護措施。

而且基礎知識仍然滯后：該公司發(fā)現，在客戶(hù)環(huán)境中發(fā)現的前10個(gè) CVE 中，有四個(gè)已存在超過(guò)兩年。其中包括可允許惡意可執行文件通過(guò)安全檢查的高危 WinVerifyTrust 簽名驗證漏洞 (CVE-2013-2900)，以及 Microsoft Office 中的內存損壞漏洞 (CVE-2018-0798 )。

人工智能（AI）的崛起給所有行業(yè)帶來(lái)翻天覆地的變化。從醫療到金融行業(yè)的眾多企業(yè)都在使用AI工具實(shí)現流程自動(dòng)化、改進(jìn)決策以取得競爭優(yōu)勢。在信息技術(shù)（IT）行業(yè)，AI正在改變企業(yè)治理、風(fēng)險與合規工作（GRC）以及安全運營(yíng)的方式。

AI工具可以通過(guò)實(shí)現上述流程的自動(dòng)化和提高速度，協(xié)助團隊快速準確地識別并應對潛在的風(fēng)險和問(wèn)題。團隊可訓練機器學(xué)習算法識別數據模式、檢測數據異常，也可利用自然語(yǔ)言處理分析電子郵件和社交媒體資料等非結構化數據源，從而更好地管理日益復雜龐大的數據、改善風(fēng)險和合規管理、加強組織的整體安全態(tài)勢。

自動(dòng)化是GRC工作運用AI工具的一大主要好處。GRC工作往往耗時(shí)漫長(cháng)、繁重復雜，需要企業(yè)與不斷變化的法律法規保持同步。而AI工具就可以幫助團隊自動(dòng)化處理許多任務(wù)，確保企業(yè)始終合規。

Bitter（蔓靈花）是一個(gè)長(cháng)期活躍的南亞網(wǎng)絡(luò )間諜組織，主要針對能源和政府部門(mén)實(shí)施敏感資料竊取等惡意行為，過(guò)去曾攻擊過(guò)巴基斯坦、中國、孟加拉、沙特阿拉伯等國，具有明顯的政治背景。

該APT組織主要采用魚(yú)叉釣魚(yú)等攻擊方式，通常會(huì )向攻擊目標單位的個(gè)人發(fā)送嵌入攻擊誘餌的釣魚(yú)郵件。在其最近的攻擊中，網(wǎng)絡(luò )安全公司Intezer發(fā)現了七封偽裝成來(lái)自吉爾吉斯斯坦大使館的電子郵件，這些電子郵件被發(fā)送給了中國核能行業(yè)相關(guān)人員，另外還有部分核能學(xué)術(shù)界的人員也收到了這類(lèi)郵件。

攻擊者在這些作為誘餌的郵件上向收件人發(fā)送了參與核能相關(guān)主題會(huì )議的邀請，實(shí)則是在誘騙收件人下載并打開(kāi)其RAR附件。這些附件解壓后看似是與主題相關(guān)的常見(jiàn)的excel、word、jpg等文件，但在受害者運行后，受害者以為自己打開(kāi)的是普通文檔，實(shí)則已暗地里執行了惡意文件，被攻擊者接手了設備控制權。

據統計，在網(wǎng)絡(luò )安全信息泄露事件中，很多員工是因為點(diǎn)擊了黑客發(fā)來(lái)的虛假釣魚(yú)網(wǎng)址鏈接而中招。不少釣魚(yú)網(wǎng)站顯示頁(yè)面跟真網(wǎng)站頁(yè)面幾乎一模一樣，該如何識破虛假的釣魚(yú)網(wǎng)址鏈接呢？

域名網(wǎng)址識別：官方網(wǎng)站的域名地址大多非常容易辨認，一般采用漢語(yǔ)拼音、英文縮寫(xiě)或者官方服務(wù)電話(huà)作為域名網(wǎng)址。黑客為了規避文字識別和封堵，會(huì )采用亂序的字母和數字組合作為域名網(wǎng)址，看起來(lái)像亂碼一樣。

查詢(xún)域名備案：官方網(wǎng)站的地址都需要嚴格備案，通常在官方網(wǎng)站的最下面就有備案信息，我們可以到工信部政務(wù)服務(wù)平臺的域名信息備案管理系統進(jìn)行查詢(xún)，判斷網(wǎng)站的可信程度。

在查詢(xún)備案信息時(shí)，切記還要核對網(wǎng)站內容與備案主體是否一致。

域名收錄搜索：正規的網(wǎng)址鏈接，都會(huì )顯示大量的收錄頁(yè)面，而虛假的網(wǎng)址鏈接都會(huì )屏蔽搜索引擎的收錄，查不到任何信息。

反詐APP鏈接檢測：下載“國家反詐中心”APP，使用主頁(yè)面“風(fēng)險查詢(xún)”功能，可以對疑似涉詐的虛假網(wǎng)址鏈接進(jìn)行查詢(xún)檢測。

終端作為金融行業(yè)日常辦公、業(yè)務(wù)處理、系統維護的設備，承載著(zhù)重要的金融數據。終端是企業(yè)外部與內部系統連接的切入點(diǎn)，在嚴峻的外部網(wǎng)絡(luò )環(huán)境下面臨非法訪(fǎng)問(wèn)、病毒入侵、信息泄露等安全風(fēng)險。隨著(zhù)移動(dòng)辦公、遠程辦公需求的不斷增長(cháng)，終端安全面臨更大的挑戰。如何加強終端的安全管理，抵御外來(lái)攻擊，確保數據得到有效保護是金融行業(yè)面臨的重要課題。

金融行業(yè)經(jīng)過(guò)多年的探索和建設，已逐步建立了適合自身業(yè)務(wù)發(fā)展的終端安全管理體系。但隨著(zhù)計算機技術(shù)的發(fā)展及攻擊手段的提高，終端安全面臨著(zhù)嚴峻的挑戰。

傳統終端使用范圍廣、終端環(huán)境復雜，是外部攻擊的重點(diǎn)對象。傳統終端安全管理大體上包括行為安全、數據安全、邊界安全、系統安全四大方面，內容涵蓋非授權軟件管理、互聯(lián)網(wǎng)訪(fǎng)問(wèn)控制、行為監控與處置、敏感信息掃描、文檔加密、數據外發(fā)管控、防火墻、漏洞防護、病毒查殺、網(wǎng)絡(luò )準入、外聯(lián)及移動(dòng)存儲管控等。然而，目前金融行業(yè)仍存在游離于傳統安全防護體系之外的諸多信息泄露問(wèn)題。

你被人欺負了，第一反應可能是還手，那在網(wǎng)絡(luò )世界中，被攻擊的受害者能夠采取同樣的反制措施嗎？答案是否定的。目前絕大多數國家尚未制定相關(guān)法律，來(lái)支持企業(yè)或組織對黑客發(fā)起反擊?！敖谷魏稳嗽谖传@得授權的情況下侵入別人的電腦”幾乎是所有國家法律的共識，這意味著(zhù)，反擊黑客就如同黑客入侵一樣，同樣是違法行為。換句話(huà)說(shuō)，你可以關(guān)門(mén)，但不能去開(kāi)別人家的門(mén)，不論門(mén)后面是否藏著(zhù)犯罪組織。聽(tīng)起來(lái)是不是很玄幻？現實(shí)生活中，只要手續合法，警察可以選擇破門(mén)而入抓捕犯罪分子，但是網(wǎng)絡(luò )空間卻萬(wàn)萬(wàn)不行?！绊樦?zhù)網(wǎng)線(xiàn)去抓你”實(shí)現的難點(diǎn)在于合法性，而非技術(shù)性。

或許正因為攻防處于不對稱(chēng)的地位，導致全球網(wǎng)絡(luò )攻擊愈演愈烈。僅2022年一年，全球網(wǎng)絡(luò )攻擊數量就增長(cháng)了38%，造成大量業(yè)務(wù)損失，其中包括財務(wù)和聲譽(yù)損失。勒索攻擊更是如此。

隨著(zhù)近年來(lái)網(wǎng)絡(luò )攻擊越發(fā)猖獗，反擊黑客合法化的呼聲日益強烈。近期，深受網(wǎng)絡(luò )攻擊困擾的澳大利亞宣布將通過(guò)政府層面的舉措，對以該國組織為攻擊目標的黑客進(jìn)行反擊，引發(fā)了行業(yè)擔憂(yōu)，這一做法究竟是能真正打擊并震懾黑客，還是給網(wǎng)絡(luò )空間帶來(lái)更多風(fēng)險和混亂？