2022年伊始，你是不是又被各种预测刷屏了？不过，我更倾向于回顾过去一年发生的安全问题，以便从中吸取所有必要的经验教训。

未来一年，企业和机构可能会将更多服务转移到云端。据ITProPortal称，到 2022 年关键 IT 领域 28% 的支出将迁移到云端。基于云的服务的增长将影响 1.3 万亿美元的 IT 支出。作为回应，企业领导者需要注意保护他们基于云的服务。网络安全网格、多云和混合云安全策略以及云原生工具可以帮助他们做到这一点。

业界对零信任的关注与日俱增。IDG《2020年安全重点研究》中的数据表明，40%的受访者主动研究零信任技术，相比2019年的仅11%可谓是飙升；而18%的受访企业已经部署了零信任解决方案，这一比例是2018年8%的两倍还多。另有23%的受访者计划在未来一年里部署零信任。

2021年将被记住，因为这一年勒索软件团伙将注意力转向关键基础设施，尤其是围绕制造业、能源分配和食品生产的公司作为目标。仅仅是Colonial Pipeline的勒索软件就导致了5500英里的管道关闭，因为人们担心对其IT网络的勒索软件攻击会蔓延到控制分配燃料的管道的操作网络。

去年3月，元宇宙概念股罗布乐思（Roblox）在美国纽约证券交易所正式上市；5月，Facebook表示将在5年内转型成一家元宇宙公司；8月，字节跳动斥巨资收购VR创业公司Pico……2021年，元宇宙无疑成为了科技领域最火爆的概念之一。虽然它只是一个想法，但发展势头很猛。它结合了增强现实和虚拟现实，是另一种数字现实，人们在其中工作、娱乐和社交，是继互联网之后的一大热门。

很多企业在保护数据安全和隐私方面的工作，很难跟上新兴科技的发展，在这种情况下，企业会选择上云等途径，实现数据的安全。但是，上云依然不能解决这个问题，如果没有适当的安全措施和风险评估，网络威胁依然会造成风险。

TrojanSourceFinder是一款功能强大的漏洞检测工具，该工具可以帮助广大研究人员检测源代码中的Trojan Source算法漏洞。

许多组织选择通过多种方式共享网络威胁情报(Cyber Threat Intelligence, CTI)订阅各种信息源，其中包括妥协指标方案(Indicators of Compromise, IOC)。在当前市场上，威胁情报最普遍的使用场景是利用IOC情报(Indicators of Compromise, IOC)进行日志检测来发现内部重要风险。这种方式可以发现传统安全产品无法发现的很多威胁，并且因为这其中大多是已经被成功攻击的操作，所以“亡羊补牢”对于安全运营仍会有较大的帮助。

近日，数世咨询正式发布了《工业互联网安全能力指南》报告，对工业互联网安全能力进行了分析。三六零集团旗下的360政企安全集团实力入选该报告工业互联网安全管理平台能力点阵图，并在应用创新力及市场执行力等方面表现突出，彰显象限领导者实力。

CDN的全称是Content Delivery Network，即内容分发网络。CDN是构建在网络之上的内容分发网络，依靠部署在各地的边缘服务器，通过中心平台的负载均衡、内容分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率。CDN的关键技术主要有内容存储和分发技术。

据权威数据显示，2021年上半年，全球发生DDoS攻击约 540 万次，同比增长11%，据估计，2021年整年DDoS攻击次数将创纪录地达到1100万次。其中超百G的大流量攻击次数在上半年就达到了2544次，同比增长50%以上，大幅高于整体攻击次数的增长幅度。

构建零信任网络，自然离不开网络准入(NAC)，这就涉及到交换机的一些安全测试，于是有了此文《从交换机安全配置看常见局域网攻击》。

2022年1月20日，国际知名第三方网络安全检测服务机构——赛可达实验室发布2021年度赛可达优秀产品奖（SKD AWARDS）获奖名单，腾讯、阿里安全、奇安信、瑞星、深信服、安恒信息、知道创宇、TEHTRIS、亚信安全、CloudWonder 嘉云、CHOMAR 等11家单位的24款网络安全产品在众多国内外产品中脱颖而出，以优异表现上榜

笔者作为某公司的安全开发独自一人负责安全运营平台的开发，经过数个月的折腾以及其他安全同学的合作，目前该平台已经运营了几百个安全漏洞以及一些安全事件，其它一些安全能力也在慢慢地接入中

IEC62443是国际公认的工控安全领域的黄金标准，由IEC国际电工委员会和ISA国际标准化协会联合制定，正逐步被越来越多的国际制造商、系统集成商、运维商、业主、设计单位所采用，以确保其产品、系统在整个生命周期中的网络安全。近日，经过国际知名检测认证机构德国DEKRA集团的检测与评估，天地和兴凭借贯穿整个产品安全开发生命周期的专业管理流程，顺利通过IEC62443-4-1工业网络安全产品开发生命周期的审核并成功取得了CB及DEKRA SEAL国际双认证。

国家互联网应急中心CNCERT发布的《2021年上半年我国互联网网络安全监测数据分析报告》显示，仅在2021年上半年，中国捕获计算机恶意程序样本数量约2,307万个、比2020年同期增长约492万个，日均传播次数达582万余次，涉及计算机恶意程序家族约20.8万个。

事实证明，经历了几年的攻防演进，勒索软件攻击不仅没有减少，反而变本加厉，攻击事件层出不穷。可以预见，2022年勒索软件攻击事件还将显著增长，攻击者的数量也将达到空前的程度。

在恶意软件领域中，能够针对多个操作系统发起攻击的跨平台恶意软件是很多的。2020 年 9 月发现的 Vermilion Strike 就是最新的示例。

作为企业精细化管理的重要手段，全面预算在国内推行已有20余年，但纵观各行各业的成功案例却并不多。究其原因，一是全面预算强调全员、全业务、全过程的预算编制、执行控制及分析，要求业务和财务数据的融会贯通，因此带来了很高的业务复杂度，且不同行业的落地差异很大；二是受限于传统预算工具的性能和功能，企业难以达到全面预算的要求

2021 年，当全世界的目光都聚焦在备受瞩目的供应链攻击时，却忽略了另一个岌岌可危的领域——移动应用。回顾 2021 年，移动应用安全事件频发：从 Amazon Ring 和 Slack 等企业到美国海关和边境保护局（ CBP ），全球有接近四分之一的企业组织遭受过移动或物联网数据泄露。以下整理出 2021 年度移动应用代表性安全事件，供读者参考了解。