隨著網(wǎng)絡(luò)安全等級保護(hù)制度的全面推廣，網(wǎng)絡(luò)層和系統(tǒng)層的安全問題在部署防護(hù)設(shè)備、配置安全策略、升級補(bǔ)丁等措施的實(shí)施下日趨減少，但應(yīng)用層安全問題仍然較為突出。由于“內(nèi)生”于軟件開發(fā)過程，限于事后補(bǔ)救的手段以及成本因素，應(yīng)用軟件安全已經(jīng)成為網(wǎng)絡(luò)安全整體防護(hù)體系的最后一塊短板。若要補(bǔ)上這塊短板，就需要我們把安全視角由外部轉(zhuǎn)向內(nèi)部，聚焦軟件開發(fā)安全，從“源頭”上尋找解決問題的思路。

首先，軟件安全的實(shí)現(xiàn)離不開各類載體的基礎(chǔ)保障，即，人、制度、工具、環(huán)境等方面，通過制定并完善各類管理制度、關(guān)注開發(fā)過程中各類開發(fā)工具的安全、建設(shè)和維護(hù)各類環(huán)境、規(guī)范人員操作各類開發(fā)行為等，從而支撐軟件開發(fā)安全有序進(jìn)行。其次，根據(jù)目前主流的軟件安全開發(fā)生命周期模型，軟件開發(fā)生命周期主要包括需求分析、設(shè)計(jì)、實(shí)現(xiàn)、測試、發(fā)布、交付等活動。不同的開發(fā)活動對于一款應(yīng)用軟件的“安全生成”都起著貫穿前后的重要作用。因此確保各個(gè)開發(fā)活動的安全開展是保障軟件安全的關(guān)鍵。

缺乏網(wǎng)站保護(hù)、發(fā)件人策略框架（SPF）記錄和 DNSSEC 配置使公司容易受到網(wǎng)絡(luò)釣魚和數(shù)據(jù)泄露攻擊。到 2022年，公司的有效數(shù)據(jù)泄露風(fēng)險(xiǎn)從上一年的平均得分30增加到100分中的44分（其中100分表示風(fēng)險(xiǎn)最大），這表明數(shù)據(jù)泄露的總體風(fēng)險(xiǎn)有所增加。這是根據(jù) Cymulate 的排名得出的，該排名處理了100萬次滲透測試的數(shù)據(jù)，其中包括在其生產(chǎn)環(huán)境中進(jìn)行的170萬小時(shí)的攻擊性網(wǎng)絡(luò)安全測試。

該公司在3月28日發(fā)布的“2022年網(wǎng)絡(luò)安全有效性狀況”報(bào)告中指出，存在各種持續(xù)存在的問題導(dǎo)致風(fēng)險(xiǎn)增加。報(bào)告指出，一方面，雖然許多公司正在提高網(wǎng)絡(luò)和組策略的采用率和嚴(yán)格性，但攻擊者正在適應(yīng)規(guī)避此類保護(hù)措施。

而且基礎(chǔ)知識仍然滯后：該公司發(fā)現(xiàn)，在客戶環(huán)境中發(fā)現(xiàn)的前10個(gè) CVE 中，有四個(gè)已存在超過兩年。其中包括可允許惡意可執(zhí)行文件通過安全檢查的高危 WinVerifyTrust 簽名驗(yàn)證漏洞 (CVE-2013-2900)，以及 Microsoft Office 中的內(nèi)存損壞漏洞 (CVE-2018-0798 )。

人工智能（AI）的崛起給所有行業(yè)帶來翻天覆地的變化。從醫(yī)療到金融行業(yè)的眾多企業(yè)都在使用AI工具實(shí)現(xiàn)流程自動化、改進(jìn)決策以取得競爭優(yōu)勢。在信息技術(shù)（IT）行業(yè)，AI正在改變企業(yè)治理、風(fēng)險(xiǎn)與合規(guī)工作（GRC）以及安全運(yùn)營的方式。

AI工具可以通過實(shí)現(xiàn)上述流程的自動化和提高速度，協(xié)助團(tuán)隊(duì)快速準(zhǔn)確地識別并應(yīng)對潛在的風(fēng)險(xiǎn)和問題。團(tuán)隊(duì)可訓(xùn)練機(jī)器學(xué)習(xí)算法識別數(shù)據(jù)模式、檢測數(shù)據(jù)異常，也可利用自然語言處理分析電子郵件和社交媒體資料等非結(jié)構(gòu)化數(shù)據(jù)源，從而更好地管理日益復(fù)雜龐大的數(shù)據(jù)、改善風(fēng)險(xiǎn)和合規(guī)管理、加強(qiáng)組織的整體安全態(tài)勢。

自動化是GRC工作運(yùn)用AI工具的一大主要好處。GRC工作往往耗時(shí)漫長、繁重復(fù)雜，需要企業(yè)與不斷變化的法律法規(guī)保持同步。而AI工具就可以幫助團(tuán)隊(duì)自動化處理許多任務(wù)，確保企業(yè)始終合規(guī)。

Bitter（蔓靈花）是一個(gè)長期活躍的南亞網(wǎng)絡(luò)間諜組織，主要針對能源和政府部門實(shí)施敏感資料竊取等惡意行為，過去曾攻擊過巴基斯坦、中國、孟加拉、沙特阿拉伯等國，具有明顯的政治背景。

該APT組織主要采用魚叉釣魚等攻擊方式，通常會向攻擊目標(biāo)單位的個(gè)人發(fā)送嵌入攻擊誘餌的釣魚郵件。在其最近的攻擊中，網(wǎng)絡(luò)安全公司Intezer發(fā)現(xiàn)了七封偽裝成來自吉爾吉斯斯坦大使館的電子郵件，這些電子郵件被發(fā)送給了中國核能行業(yè)相關(guān)人員，另外還有部分核能學(xué)術(shù)界的人員也收到了這類郵件。

攻擊者在這些作為誘餌的郵件上向收件人發(fā)送了參與核能相關(guān)主題會議的邀請，實(shí)則是在誘騙收件人下載并打開其RAR附件。這些附件解壓后看似是與主題相關(guān)的常見的excel、word、jpg等文件，但在受害者運(yùn)行后，受害者以為自己打開的是普通文檔，實(shí)則已暗地里執(zhí)行了惡意文件，被攻擊者接手了設(shè)備控制權(quán)。

據(jù)統(tǒng)計(jì)，在網(wǎng)絡(luò)安全信息泄露事件中，很多員工是因?yàn)辄c(diǎn)擊了黑客發(fā)來的虛假釣魚網(wǎng)址鏈接而中招。不少釣魚網(wǎng)站顯示頁面跟真網(wǎng)站頁面幾乎一模一樣，該如何識破虛假的釣魚網(wǎng)址鏈接呢？

域名網(wǎng)址識別：官方網(wǎng)站的域名地址大多非常容易辨認(rèn)，一般采用漢語拼音、英文縮寫或者官方服務(wù)電話作為域名網(wǎng)址。黑客為了規(guī)避文字識別和封堵，會采用亂序的字母和數(shù)字組合作為域名網(wǎng)址，看起來像亂碼一樣。

查詢域名備案：官方網(wǎng)站的地址都需要嚴(yán)格備案，通常在官方網(wǎng)站的最下面就有備案信息，我們可以到工信部政務(wù)服務(wù)平臺的域名信息備案管理系統(tǒng)進(jìn)行查詢，判斷網(wǎng)站的可信程度。

在查詢備案信息時(shí)，切記還要核對網(wǎng)站內(nèi)容與備案主體是否一致。

域名收錄搜索：正規(guī)的網(wǎng)址鏈接，都會顯示大量的收錄頁面，而虛假的網(wǎng)址鏈接都會屏蔽搜索引擎的收錄，查不到任何信息。

反詐APP鏈接檢測：下載“國家反詐中心”APP，使用主頁面“風(fēng)險(xiǎn)查詢”功能，可以對疑似涉詐的虛假網(wǎng)址鏈接進(jìn)行查詢檢測。

終端作為金融行業(yè)日常辦公、業(yè)務(wù)處理、系統(tǒng)維護(hù)的設(shè)備，承載著重要的金融數(shù)據(jù)。終端是企業(yè)外部與內(nèi)部系統(tǒng)連接的切入點(diǎn)，在嚴(yán)峻的外部網(wǎng)絡(luò)環(huán)境下面臨非法訪問、病毒入侵、信息泄露等安全風(fēng)險(xiǎn)。隨著移動辦公、遠(yuǎn)程辦公需求的不斷增長，終端安全面臨更大的挑戰(zhàn)。如何加強(qiáng)終端的安全管理，抵御外來攻擊，確保數(shù)據(jù)得到有效保護(hù)是金融行業(yè)面臨的重要課題。

金融行業(yè)經(jīng)過多年的探索和建設(shè)，已逐步建立了適合自身業(yè)務(wù)發(fā)展的終端安全管理體系。但隨著計(jì)算機(jī)技術(shù)的發(fā)展及攻擊手段的提高，終端安全面臨著嚴(yán)峻的挑戰(zhàn)。

傳統(tǒng)終端使用范圍廣、終端環(huán)境復(fù)雜，是外部攻擊的重點(diǎn)對象。傳統(tǒng)終端安全管理大體上包括行為安全、數(shù)據(jù)安全、邊界安全、系統(tǒng)安全四大方面，內(nèi)容涵蓋非授權(quán)軟件管理、互聯(lián)網(wǎng)訪問控制、行為監(jiān)控與處置、敏感信息掃描、文檔加密、數(shù)據(jù)外發(fā)管控、防火墻、漏洞防護(hù)、病毒查殺、網(wǎng)絡(luò)準(zhǔn)入、外聯(lián)及移動存儲管控等。然而，目前金融行業(yè)仍存在游離于傳統(tǒng)安全防護(hù)體系之外的諸多信息泄露問題。

你被人欺負(fù)了，第一反應(yīng)可能是還手，那在網(wǎng)絡(luò)世界中，被攻擊的受害者能夠采取同樣的反制措施嗎？答案是否定的。目前絕大多數(shù)國家尚未制定相關(guān)法律，來支持企業(yè)或組織對黑客發(fā)起反擊。“禁止任何人在未獲得授權(quán)的情況下侵入別人的電腦”幾乎是所有國家法律的共識，這意味著，反擊黑客就如同黑客入侵一樣，同樣是違法行為。換句話說，你可以關(guān)門，但不能去開別人家的門，不論門后面是否藏著犯罪組織。聽起來是不是很玄幻？現(xiàn)實(shí)生活中，只要手續(xù)合法，警察可以選擇破門而入抓捕犯罪分子，但是網(wǎng)絡(luò)空間卻萬萬不行?！绊樦W(wǎng)線去抓你”實(shí)現(xiàn)的難點(diǎn)在于合法性，而非技術(shù)性。

或許正因?yàn)楣シ捞幱诓粚ΨQ的地位，導(dǎo)致全球網(wǎng)絡(luò)攻擊愈演愈烈。僅2022年一年，全球網(wǎng)絡(luò)攻擊數(shù)量就增長了38%，造成大量業(yè)務(wù)損失，其中包括財(cái)務(wù)和聲譽(yù)損失。勒索攻擊更是如此。

隨著近年來網(wǎng)絡(luò)攻擊越發(fā)猖獗，反擊黑客合法化的呼聲日益強(qiáng)烈。近期，深受網(wǎng)絡(luò)攻擊困擾的澳大利亞宣布將通過政府層面的舉措，對以該國組織為攻擊目標(biāo)的黑客進(jìn)行反擊，引發(fā)了行業(yè)擔(dān)憂，這一做法究竟是能真正打擊并震懾黑客，還是給網(wǎng)絡(luò)空間帶來更多風(fēng)險(xiǎn)和混亂？