1.《2022年中国企业数据安全现状调查报告》发布

为全面深入、客观准确挖掘当前数据安全市场需求侧的痛点与观点、需求与趋势，《2022年企业数据安全现状调查报告》于2022年3月10日至4月28日，采用线上交互和走访方式访问了金融、电信、能源、医疗、互联网、汽车、政府等十多个行业的95家大型企业的111位网络安全主管（CSO）和安全专家，收到111份有效问卷反馈。

受访企业安全主管中，约四分之一（27%）承认发生过较大数据安全事件，实际数字可能会更高。本次调研暴露出的最大问题之一是：超过三分之一（36%）的企业认为网络安全厂商的数据安全“产品/服务与需求差距大”是数据安全能力建设的最大障碍，其次是“预算不足”（29%）和“领导不够重视”（27%）。在企业数据安全的十大威胁的调查中，内部威胁（25%）和勒索软件（25%）是企业安全主管们评选出的两个最大威胁，其次是人员错误/远程办公/BYOD”（14%）、后门与漏洞（13%）等。在企业数据安全的十大痛点调查中，71%的受访企业安全人士认为“人员安全意识”是数据安全的主要痛点，其次是特权账号（58%）、内部威胁（56%）、第三方与供应链安全（56%）、API广泛调用（52%）、新场景新业务的复杂性（52%）、数据资产能见度（50%）、风险与合规（41%）、混合云跨云环境（41%）、人才短缺（41%）。

在热门数据安全技术的调研中，隐私增强和隐私保护相关的数据安全技术受到了企业安全主管的重点关注，从高到低依次为同态加密、数据脱敏、安全多方计算、智能数据识别、数据匿名等。同态加密作为目前市场上最强大的隐私增强保护技术之一，可以让企业在云环境中安全存储、使用和管理数据，而无需向云服务商提供对加密密钥的访问权限，同态加密可广泛应用于在数据隐私、法规合规、数据货币化等领域。

来源：GoUpSec

2. 全球数据勒索攻击威胁新特点及对策建议

随着全球数字化进程的不断推进，数据价值越发凸显，网络攻防双方均围绕数据展开角力，其中，对数据强行加密的勒索手段成为最常用且有效的攻击方式。2021年，数据勒索成为全球网络攻击的主角，给多国带来机密数据泄露、社会系统瘫痪等重大危害，严重威胁了国家安全。

攻击目的：由单纯经济牟利转向实施数据破坏、窃取战略机密、谋取政治诉求等多重企图，勒索意图愈加复杂化。攻击对象：由无差别的个人设备转向政府及公共部门、大型企业等具有关键信息基础设施属性的定向机构，且勒索策略日趋精准化。攻击主体：由个人或单个黑客团伙攻击转向层级分明、分工明确的黑色产业活动，勒索行为日益专业化。攻击模式：由单一加密勒索转向多重勒索获利，勒索手段趋于多样化。

加快反勒索立法，强化应对勒索攻击的法治保障。一是建立强制性勒索攻击事件报告机制。二是规范勒索赎金支付，防止缴纳大额勒索赎金引发的重复攻击。三是赋予执法人员“数据中断”权利，帮助勒索攻击受害者在不支付赎金的情况下防止潜在的数据泄露风险。四是对勒索攻击者实施更严厉的惩罚，增强勒索犯罪活动威慑力。

强化关键信息基础设施网络安全保护，增强勒索攻击防护能力和抵御弹性。一是推进标准化勒索攻击应急响应机制建设与落实，二是加强反勒索攻击技术的研发与应用，三是提供反勒索专业培训、工具等安全方案支持。

来源：中国电子信息产业发展研究院

3. CNCERT：2021年恶意挖矿威胁趋势分析报告

近日，CNCERT发布《2021年恶意挖矿威胁趋势分析报告》。该报告首先将介绍挖矿活动的相关介绍，对2021年第四季度我国主机挖矿态势进行简要分析，接着从流行恶意挖矿威胁、挖矿木马传播方式以及恶意挖矿趋势等方面向社会公众发布2021年恶意挖矿威胁趋势分析情况。

2021年第四季度，CNCERT监测到涉及挖矿的通信行为1309亿次，共涉及约1072万个挖矿主机IP。其中11月份的挖矿事件较多，12月份较少。在监测发现的1072万个活跃挖矿主机IP中，78.26%为境内IP。在境内的挖矿主机IP中，归属于广东、江苏、浙江等省份的挖矿主机IP较多，分别占12.57%、11.72%、7.6%。2021年第四季度，CNCERT监测发现约585万个矿池服务IP。585万个矿池服务IP中，26.10%为境内IP。境内矿池以广东、北京、江苏的服务IP较多，分别占17.40%、17.33%、9.93%。

预防恶意挖矿软件最常见的方法是在常用的浏览器中阻止 JavaScript脚本运行。虽然该功能可以有效阻止路过式网页挖矿攻击，但同样也会阻止用户使用浏览器插件功能，另外一种方法是安装专门用于防范浏览器挖矿的拓展程序，例如“No Coin”和“MinerBlock”，两者都有适用于 Chrome、Firefox 和 Opera 的扩展程序。另一种防范本地系统感染恶意挖矿的方法与常规恶意软件基本相同：提高个人安全意识，从正常的应用市场和渠道下载安装应用程序，不轻易安装来历不明的第三方软件，或随意点击和访问一些具有诱导性质的不良网页；安装终端安全防护并定时进行全盘查杀；及时修复系统漏洞，更新系统版本、软件版本和应用版本。

来源：国家互联网应急中心CNCERT

4. 2021年全球数据库暴露报告

2020年7月，有研究人员发现，超过10000个数据库暴露在互联网上，导致100多亿（10,463,315,645）条记录无需任何验证可供直接访问。日前，新加坡网络安全厂商Group-IB公布最新数据，发现这一情况已经进一步恶化。

Group-IB旗下的攻击面管理团队表示，2021年发现308000个暴露的数据库，其中超过165000个是在下半年发现的。Group-IB持续扫描全球IPv4网络，试图检测出托管易受攻击/暴露在外的数据库、网络钓鱼面板、恶意软件以及JS嗅探器的公开资产。从2021年第一季度至2022年第一季度，研究人员共发现399200个暴露在外的数据库。按季度增速来看，2022年第一季度发现的暴露数据库比去年后两季度的平均值增加了16%。据IBM报告显示，2021年新冠疫情流行期间，单次数据泄露的平均成本已超过420万美元，比2020年高出10%。

Redis数据库最易受影响，美国暴露量最多。Group-IB报告显示，这些暴露的数据库大多采用Redis数据库管理系统（DBMS），占比高达37.5%。第二大易受攻击的数据库为MongoDB，占比31%。排在第三的则是Elastic，存在于29%的暴露数据库当中。2021年，超过30%（约93600个）的暴露数据库位于美国。中国的数据位列第二，共54700个，德国有11100个，法国有9723个。

来源：secrss.com

5. uClibc库安全漏洞或影响数百万物联网设备

据悉，uClibc库域名系统（DNS）组件中的一个漏洞影响了数百万的物联网设备。攻击者可以利用该漏洞发起DNS缓存中毒或DNS欺骗的网络攻击，并将受害者重定向到恶意网站。

全球工业网络安全领域领导者Nozomi Networks警告说，大量物联网产品使用的uClibc库域名系统（DNS）组件中存在漏洞，被追踪为CVE-2022-05-02。该漏洞还影响所有版本的uClibc-ng库的域名系统（DNS），uClibc-ng库是专门为关键基础设施部门路由器的通用操作系统OpenWRT设计的分支。

Nozomi Networks在公告中表示，该漏洞是由库生成的DNS请求中包含的事务ID可预测性引起的，这使得攻击者能够对目标设备发起DNS中毒攻击。uClibc库被主要的供应商使用，包括Linksys、Netgear和Axis，以及Embedded Gentoo等Linux发行版。因为供应商尚未解决该问题，所以安全专家没有透露该漏洞的细节。

Nozomi的研究人员通过查看物联网设备在其测试环境中执行DNS请求的过程发现了这个问题。他们能够从Wireshark的输出中确定执行DNS请求的模式，事务ID首先是递增的，然后重置为0x2值，然后再次递增。请求的事务ID是可预测的，这种情况可能允许攻击者在某些情况下发起DNS中毒攻击。

来源：E安全

6. 开源内容管理软件dotCMS被曝严重漏洞

用Java编写的开源内容管理系统dotCMS中存在一个预认证远程代码执行漏洞。dotCMS在全球70多个国家有10000多名客户使用，包括财富500强公司。该严重漏洞的编号为CVE-2022-26352，源自执行文件上传时触发的目录遍历攻击，可导致攻击者在底层系统上执行任意命令。

AssetNote 公司研究员Shubham Shah在报告中指出，“攻击者可向系统上传任意文件。通过向tomcat的根目录上传JSP文件，攻击者很可能实现代码执行，从而执行命令。” 换句话说，该任意文件上传缺陷可被滥用于通过web shell取代系统中的已有文件，最后获取持久的远程访问权限。

该公司指出，“当通过内容API将文件上传至dotCMS时，但在它们成为内容之前，dotCMS在临时目录中写该文件。dotCMS未清理通过多部分请求头传入的文件名称，因此并未清理临时文件的名称。攻击者可滥用该漏洞，将特殊的.jsp文件上传到dotCMS的webapp/ROOT目录中，从而实现远程代码执行。”

来源：代码卫士

7. 网络攻击致使汽车租赁巨头全球系统中断

国际大型汽车租赁公司Sixt在全球110多个国家和地区拥有2000多个业务点。由于突然来袭的网络攻击，致使其业务发生临时中断。

Sixt公司表示，他们4月29日在IT系统上检测到可疑活动，并很快确认自己遭受到网络攻击。这家总部位于德国的公司宣称，事件“在早期得到控制”，而且已经在外部专家的协助下开展调查。“根据公司的标准防范措施，我们立即限制了对IT系统的访问，同时启动了预先规划好的恢复流程。”但IT系统被限制访问，导致了Sixt公司的客户、代理和业务点发生业务中断。只有对业务连续性至关重要的系统仍保持运行，比如主网站和应用程序等。公司称，此次攻击对公司运营与服务的影响已经被降至最低。

该公司并未公布任何其他信息，但据猜测此次事件可能属于勒索软件攻击。外媒SecurityWeek已经查看了多个主要勒索软件团伙的网站，但尚未发现有组织宣称，对此次Sixt攻击事件负责。

来源：secrss.com

8. 美国知名农业机械生产商爱科遭勒索攻击

美国知名农业机械生产商爱科（AGCO）宣布遭受勒索软件攻击，部分生产设施受到影响。

爱科经销商表示，拖拉机销售在美国最重要的种植季节停滞不前。地区经销商B&G Equipment Inc总裁Tim Brannon表示，从5月5日起，他一直无法访问爱科网站来订购和查找零件。他表示，“我们正进入一年中最繁忙的时期，这将对我们的业务和客户造成了非常大的伤害。”爱科是农业机械制造行业的巨头之一，年收入超过90亿美元。

从官方新闻稿来看，调查工作仍在进行中，预计此次攻击的影响将持续较长时间。因此，勒索软件攻击造成的任何生产中断，都可能给爱科的设备生产与交付造成重大的供应链影响。

来源：secrss.com