网络安全相关资讯，业界发展大事要闻，安在媒体重要发布，甲方社群互动交流，都在安在 · 网安周报。与网安发展同步，采业界资讯共赏，天天见闻，周周必报。

本期焦点

俄罗斯联邦储蓄银行遭遇史上最大规模DDoS攻击

据央视新闻援引塔斯社10月25日报道，俄罗斯联邦储蓄银行（Sberbank）董事会副主席库兹涅佐夫当天在接受“俄罗斯-24”电视台采访时表示，俄联邦储蓄银行在10月初抵御了一次重大的分布式拒绝服务攻击（简称DDoS攻击），有超过10万名黑客参与这次网络攻击。

库兹涅佐夫此前指出，俄联邦储蓄银行在2022年前三季度遭受约450起DDoS攻击，超过了过去五年该银行及其子公司系统遭受的网络攻击数量总和。库兹涅佐夫表示，根据俄罗斯联邦储蓄银行的数据，自2022年年初以来，针对该公司的网络攻击数量增加了14倍。

另据央视新闻6月10日报道，俄罗斯外交部国际信息安全司司长克鲁茨基赫9日说，俄方不会对西方针对俄的网络攻击行为置之不理。

网络时代，信息安全，全融安全，我们都无法置之事外。否则，俄罗斯的今天就会成为咱们的明天。

—腾讯某创作者

 

专家点评：

俄罗斯联邦储备银行占整个俄罗斯银行资产的三分之一，在俄乌战争后西方采取金融制裁的背景下，来自网络空间的最大规模DDOS攻击，以金融服务可用性作为攻击目标，形成了近期网络战中最大的实践案例，这值得我们全面关注并做好中美冲突背景下网络空间安全的战争推演。

以下几点需要特别关注：

一、网络战身份不明，缺少溯源和证据：本次规模性的ddos攻击，分布式的攻击模式，僵尸网络的控制，难以确认攻击方身份，也难以追溯和取证。

二、网络战的不宣而战，缺少合法性约束：俄乌战争的冲突，北约保持克制不能直接参与战争以避免规模性冲突的战争扩大，但在网络战领域，缺少法理约束。

三、攻击目标明确，损害不亚于真实战争：对金融资产的可用性银行领域开展可用性的拒绝服务攻击，一旦成功，造成的社会动乱，甚至社会崩溃，相对于战争损害不遑多让。

四、跳出企业安全误区，网络空间国防安全需要体系化协同作战：俄罗斯的外交谴责以及网络战威胁，体现国防安全对网络空间战争的重视，要跳出商业银行企业安全的范畴，以国防安全体系化防御体系保障关键基础设施网络空间的安全。      

本期特邀专家

刘志诚

乐信信息安全中心总监

网安行业热点

1、七家非法社会组织网站被关停

2、Black Basta 勒索软件组织通过QAKBOT，Brute Ratel和Cobalt Strike渗透网络

趋势科技的研究人员最近分析了一个与QAKBOT相关的示例，该示例导致了Brute Ratel C4和Cobalt Strike有效负载，这可以归因于Black Basta 勒索软件组织。

3、伊朗原子能组织遭黑客攻击，大量敏感数据泄露

自称 "黑色奖赏 "的黑客组织在Telegram上宣布了对原子能组织的黑客攻击，并分享了布什尔工厂的合同、施工计划和设备细节的文件。

4、乌克兰黑客入侵电脑获5000万份私人信息

调查人员发现，攻击者已经从受害者那里窃取了超过5000万份不同的个人信息凭证和身份证明，如电子邮件地址、信用卡卡号、加密货币地址和银行账户详细信息等。

5、欧洲超市巨头麦德龙遭网络攻击

因遭遇网络攻击，麦德龙的IT和支付服务被迫中断，奥地利、德国、法国等多国超市受影响。

６、苹果曝严重漏洞，可窃听用户与Siri对话

在苹果近期披露的漏洞中包含了名为SiriSpy的 iOS 和 macOS系统漏洞，使具有蓝牙访问权限的应用程序能够窃听用户与 Siri 的对话。

1、《信息化和工业化融合 数字化转型 价值效益参考模型》正式发布

该标准是我国发布的首个数字化转型国家标准，对数字化转型领域标准化建设具有重大里程碑意义。

2、关于征集《网络安全保险发展白皮书（2022年）》参编单位的通知

白皮书旨在科学分析网络安全保险的内涵外延，系统总结国外网络安全保险的发展态势，全面梳理我国网络安全保险发展现状问题并提出发展建议。

1、华云安灵知·互联网威胁监测预警中心（Ai·Radar）发布深度暴露面监测版本

新版灵知（Ai·Radar）以攻击者视角，对传统场景下企业没有关注的数字资产，通过分布式探针进行定期的数字暴露面收集，溯源暴露路径。

2、联软科技发布政务外网终端一机两用SDP解决方案

方案满足了各级政务部门终端“一机两用”情况下安全访问政务外网的业务诉求，实现了政务外网终端一体化安全防护，有效保护政务外网的整体安全。

1、《网络安全产业人才发展报告（2022年版）》发布

报告显示，网络安全行业作为新兴赛道，尚在快速发展阶段，从业人员薪资水平提升较快，也显示出网络安全行业相对更重视人才留存。

2、《思科2022年消费者隐私调查报告》

调查发现，39%的受访者选择 "数据透明度 "作为企业在如何使用和保护他们的个人数据方面可以与他们建立信任的首要任务。

3、《信创环境下的数据安全落地解决方案白皮书(2022版)》

《白皮书》指出，发展信创产业的目标是实现信息技术领域的自主可控和信息安全，在基础硬件、基础软件、应用软件、信息安全等领域实现国产替代。

4、《网络安全行业投资新风向洞察报告》重磅发布

《报告》对 2021 年至今的中国网络安全行业融资事件及 IPO 情况进行梳理，同时通过对比中美两国网络安全产业发展路径异同点。

5、《工控安全管理平台应用指南》报告发布

《指南》为了深入探讨工业企业在数字化转型过程中，如何利用工控安全“大脑”实现从单点防护到体系化建设的转变。

直播回顾｜学位/证书/学历/经验，啥是安全从业“硬通货”？

直播回放 | 网络安全职场进阶，上升通道路在何方？

在Z｜华福证券高薪诚招安全合规、数据安全、安全生命周期（SDLC）等方向工程师

话题一：安全信息和事件管理系统在对抗高级持久性威胁时最有效

话题二：辖区某券商OA系统遭受攻击

话题三：事故管理的主要业务目标是影响控制

话题四：网盘跨境共享主要关注个人信息和重要数据

话题五：正规培训和辅导式培训有啥区别

资料荟萃

1、2022年中国网络安全市场年度报告-142页

2、TOP 10 SOAR 安全剧本最佳实践

3、艾瑞咨询：中国基础云服务行业发展洞察

4、从组织架构看信息安全（第一版）

5、数字孪生城市白皮书

本期“在看”全文所述报告、话题、活动议题PPT等各类资料，都已在诸子云知识星球分类归档，即入可取。

在看 | 美驻华使领馆过度采集中方雇员信息

在看 | 网络安全法迎来修改

戳“原文阅读”查看往期网安精彩内容

齐心抗疫 与你同在 

点【在看】的人最好看

原文始发于微信公众号（安在）：在看 | 俄罗斯联邦储蓄银行遭遇史上最大规模DDoS攻击