一周回顾:勒索飙升、AI上阵、人形机器人被盯上
本周全球网络安全态势呈现显著的“多线高压”:勒索软件赎金在过去三年累计突破 21 亿美元,显示产业化、专业化趋势持续加速;AI 被进一步武器化,日本出现高中生借助 ChatGPT 绕过防护实施大规模攻击的现实案例;与此同时,从医疗数据合规重罚到人形机器人安全预警,再到基础防护薄弱单位被处罚,安全边界正被快速扩大,风险呈跨行业、跨场景扩散态势。
[勒索高压:近三年企业勒索赎金金额创新高]
近日,美国财政部下属的金融犯罪执法网络(FinCEN)发布的《金融趋势分析》报告显示,2022年至2024年勒索软件赎金总额超过21亿美元(约合人民币148亿元)。
在过去三年(2022年1月至2024年12月)内,FinCEN共收到7395份涉及4194起勒索软件事件的基于BSA(《银行保密法》)报告,累计赎金总额超过21亿美元。此前的九年(2013年至2021年底)期间,FinCEN共收到3075份BSA报告,勒索软件赎金总额约为24亿美元。
根据报告,金融服务、制造业和医疗行业受勒索软件影响最为严重。制造业涉及456起事件,相关赎金总额约2.846亿美元;金融服务业涉及432起事件,赎金总额约3.656亿美元;医疗行业涉及389起事件,赎金总额约3.054亿美元。
[美国医疗巨头违规共享患者数据赔偿4750万美元]
安全内参12月10日消息,美国医疗巨头凯撒医疗集团(Kaiser Permanente)近日同意支付最高4750万美元(约合人民币3.35亿元),以了结一桩涉及患者隐私的集体诉讼。
该诉讼指控凯撒医疗在其官方网站、患者门户及移动应用程序中嵌入网页跟踪代码(包括SDK),未经患者充分同意,便将超过1340万患者的健康信息共享给了谷歌、微软必应、推特(现X)等第三方科技公司。这一行为涉嫌违反了美国《健康保险流通与责任法案》(HIPAA)及相关州法律。
根据双方达成的和解协议,将建立和解基金,所有符合条件的集体诉讼成员(即受影响的约1340万患者)将从中获得等额的现金赔付。具体金额将根据最终提交有效索赔的人数按比例计算。凯撒医疗集团在声明中强调,目前没有证据表明这些被共享的信息遭到了实际滥用。
专家警告,人形机器人将带来“劫持、僵尸网络”等风险
近日,Recorded Future 旗下 Insikt Group 在最新《人形机器人的未来》报告中指出,随着 AI 驱动的人形机器人逐步融入家庭、工厂及公共空间,其相关安全风险正急速上升。潜在威胁包括远程劫持、数据泄露、乃至被黑客组织控制并纳入僵尸网络。这不仅可能危及用户安全,也将给机器人制造商带来持续的供应链与合规压力。
全球正加速迈入人形机器人时代。美国银行全球研究部预测,到 2060 年全球机器人数量将达 30 亿台,主要承担家务、陪护和个人助理等场景。目前,从宇树科技、敏捷机器人和 Engineered Art,到宝马、丰田、特斯拉和现代等主要汽车制造商,都在加速研发人形机器人。
专家强调,机器人安全体系仍远未成熟。《报告》呼吁,应在人形机器人全面落统网络安全的核心原则,如严格的访问控制、端到端加密、固件安全更新等,以确保机器人在内部运行机制、外部通信以及与环境交互时保持受控与安全。
[日本高中生借助ChatGPT实施网络攻击,窃取超700万条个人数据]
安全内参12月9日消息,NHK消息报道,今年1月,日本知名网吧连锁品牌“快活CLUB”的官方应用遭网络入侵。调查发现,嫌疑人自小学阶段即自学编程,具备独立开发恶意软件的能力。更引人关注的是,在攻击过程中,当企业升级防护措施后,该高中生转而向ChatGPT寻求“技术支持”,询问并成功获取了绕过特定安全系统的方法,随即修改自身攻击程序,最终累计发起超过724万次攻击。此次事件不仅造成大规模数据泄露,也迫使受害企业一度被迫暂停了应用部分功能。
辽宁抚顺一单位因数据安全保护义务履行不到位被处罚
12月10日公安部网安局消息,辽宁抚顺某单位因未履行数据安全保护义务,管理平台遭非法侵入,被公安机关依法处罚。经查,该单位在数据安全保护方面存在严重漏洞:未建立全流程安全管理制度,数据处理长期处于无规则状态;未开展数据安全培训,员工缺乏风险防范意识;未部署防火墙、入侵检测等基本技术防护措施,系统端口长期暴露。由于该单位日常存储和处理大量数据,防护薄弱极易导致数据泄露。根据《中华人民共和国数据安全法》,公安机关已对其作出处罚,并责令限期整改。
总体来看,本周安全事件折射出三个明显趋势:攻击端自动化和智能化加速,数据合规处罚趋严,物理智能体的安全风险开始显形。企业需同步提升勒索防护能力、端到端数据治理能力,并前瞻布局 AI 与新兴智能体的安全体系建设。
学习资源
如果你是也准备转行学习网络安全(黑客)或者正在学习,这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你
知识库由360智榜样学习中心独家打造出品,旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力,熟练掌握基础攻防到深度对抗。
读者福利 |CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)
1、知识库价值
深度: 本知识库超越常规工具手册,深入剖析攻击技术的底层原理与高级防御策略,并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等,提供了独到的技术视角和实战验证过的对抗方案。
广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。
实战性: 知识库内容源于真实攻防对抗和大型演练实践,通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
2、 部分核心内容展示
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
内容组织紧密结合攻防场景,辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合,是你学习过程中好帮手。
1、网络安全意识
2、Linux操作系统
3、WEB架构基础与HTTP协议
4、Web渗透测试
5、渗透测试案例分享
6、渗透测试实战技巧
7、攻防对战实战
8、CTF之MISC实战讲解
3、适合学习的人群
一、基础适配人群
- 零基础转型者:适合计算机零基础但愿意系统学习的人群,资料覆盖从网络协议、操作系统到渗透测试的完整知识链;
- 开发/运维人员:具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能,实现职业方向拓展或者转行就业;
- 应届毕业生:计算机相关专业学生可通过资料构建完整的网络安全知识体系,缩短企业用人适应期;
二、能力提升适配
1、技术爱好者:适合对攻防技术有强烈兴趣,希望掌握漏洞挖掘、渗透测试等实战技能的学习者;
2、安全从业者:帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力;
3、合规需求者:包含等保规范、安全策略制定等内容,适合需要应对合规审计的企业人员;
因篇幅有限,仅展示部分资料,完整版的网络安全学习资料已经上传CSDN,朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】
;
因篇幅有限,仅展示部分资料,完整版的网络安全学习资料已经上传CSDN,朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】
文章来自网上,侵权请联系博主
