随着网络安全等级保护制度的全面推广，网络层和系统层的安全问题在部署防护设备、配置安全策略、升级补丁等措施的实施下日趋减少，但应用层安全问题仍然较为突出。由于“内生”于软件开发过程，限于事后补救的手段以及成本因素，应用软件安全已经成为网络安全整体防护体系的最后一块短板。若要补上这块短板，就需要我们把安全视角由外部转向内部，聚焦软件开发安全，从“源头”上寻找解决问题的思路。

首先，软件安全的实现离不开各类载体的基础保障，即，人、制度、工具、环境等方面，通过制定并完善各类管理制度、关注开发过程中各类开发工具的安全、建设和维护各类环境、规范人员操作各类开发行为等，从而支撑软件开发安全有序进行。其次，根据目前主流的软件安全开发生命周期模型，软件开发生命周期主要包括需求分析、设计、实现、测试、发布、交付等活动。不同的开发活动对于一款应用软件的“安全生成”都起着贯穿前后的重要作用。因此确保各个开发活动的安全开展是保障软件安全的关键。

缺乏网站保护、发件人策略框架（SPF）记录和 DNSSEC 配置使公司容易受到网络钓鱼和数据泄露攻击。到 2022年，公司的有效数据泄露风险从上一年的平均得分30增加到100分中的44分（其中100分表示风险最大），这表明数据泄露的总体风险有所增加。这是根据 Cymulate 的排名得出的，该排名处理了100万次渗透测试的数据，其中包括在其生产环境中进行的170万小时的攻击性网络安全测试。

该公司在3月28日发布的“2022年网络安全有效性状况”报告中指出，存在各种持续存在的问题导致风险增加。报告指出，一方面，虽然许多公司正在提高网络和组策略的采用率和严格性，但攻击者正在适应规避此类保护措施。

而且基础知识仍然滞后：该公司发现，在客户环境中发现的前10个 CVE 中，有四个已存在超过两年。其中包括可允许恶意可执行文件通过安全检查的高危 WinVerifyTrust 签名验证漏洞 (CVE-2013-2900)，以及 Microsoft Office 中的内存损坏漏洞 (CVE-2018-0798 )。

人工智能（AI）的崛起给所有行业带来翻天覆地的变化。从医疗到金融行业的众多企业都在使用AI工具实现流程自动化、改进决策以取得竞争优势。在信息技术（IT）行业，AI正在改变企业治理、风险与合规工作（GRC）以及安全运营的方式。

AI工具可以通过实现上述流程的自动化和提高速度，协助团队快速准确地识别并应对潜在的风险和问题。团队可训练机器学习算法识别数据模式、检测数据异常，也可利用自然语言处理分析电子邮件和社交媒体资料等非结构化数据源，从而更好地管理日益复杂庞大的数据、改善风险和合规管理、加强组织的整体安全态势。

自动化是GRC工作运用AI工具的一大主要好处。GRC工作往往耗时漫长、繁重复杂，需要企业与不断变化的法律法规保持同步。而AI工具就可以帮助团队自动化处理许多任务，确保企业始终合规。

Bitter（蔓灵花）是一个长期活跃的南亚网络间谍组织，主要针对能源和政府部门实施敏感资料窃取等恶意行为，过去曾攻击过巴基斯坦、中国、孟加拉、沙特阿拉伯等国，具有明显的政治背景。

该APT组织主要采用鱼叉钓鱼等攻击方式，通常会向攻击目标单位的个人发送嵌入攻击诱饵的钓鱼邮件。在其最近的攻击中，网络安全公司Intezer发现了七封伪装成来自吉尔吉斯斯坦大使馆的电子邮件，这些电子邮件被发送给了中国核能行业相关人员，另外还有部分核能学术界的人员也收到了这类邮件。

攻击者在这些作为诱饵的邮件上向收件人发送了参与核能相关主题会议的邀请，实则是在诱骗收件人下载并打开其RAR附件。这些附件解压后看似是与主题相关的常见的excel、word、jpg等文件，但在受害者运行后，受害者以为自己打开的是普通文档，实则已暗地里执行了恶意文件，被攻击者接手了设备控制权。

据统计，在网络安全信息泄露事件中，很多员工是因为点击了黑客发来的虚假钓鱼网址链接而中招。不少钓鱼网站显示页面跟真网站页面几乎一模一样，该如何识破虚假的钓鱼网址链接呢？

域名网址识别：官方网站的域名地址大多非常容易辨认，一般采用汉语拼音、英文缩写或者官方服务电话作为域名网址。黑客为了规避文字识别和封堵，会采用乱序的字母和数字组合作为域名网址，看起来像乱码一样。

查询域名备案：官方网站的地址都需要严格备案，通常在官方网站的最下面就有备案信息，我们可以到工信部政务服务平台的域名信息备案管理系统进行查询，判断网站的可信程度。

在查询备案信息时，切记还要核对网站内容与备案主体是否一致。

域名收录搜索：正规的网址链接，都会显示大量的收录页面，而虚假的网址链接都会屏蔽搜索引擎的收录，查不到任何信息。

反诈APP链接检测：下载“国家反诈中心”APP，使用主页面“风险查询”功能，可以对疑似涉诈的虚假网址链接进行查询检测。

终端作为金融行业日常办公、业务处理、系统维护的设备，承载着重要的金融数据。终端是企业外部与内部系统连接的切入点，在严峻的外部网络环境下面临非法访问、病毒入侵、信息泄露等安全风险。随着移动办公、远程办公需求的不断增长，终端安全面临更大的挑战。如何加强终端的安全管理，抵御外来攻击，确保数据得到有效保护是金融行业面临的重要课题。

金融行业经过多年的探索和建设，已逐步建立了适合自身业务发展的终端安全管理体系。但随着计算机技术的发展及攻击手段的提高，终端安全面临着严峻的挑战。

传统终端使用范围广、终端环境复杂，是外部攻击的重点对象。传统终端安全管理大体上包括行为安全、数据安全、边界安全、系统安全四大方面，内容涵盖非授权软件管理、互联网访问控制、行为监控与处置、敏感信息扫描、文档加密、数据外发管控、防火墙、漏洞防护、病毒查杀、网络准入、外联及移动存储管控等。然而，目前金融行业仍存在游离于传统安全防护体系之外的诸多信息泄露问题。

你被人欺负了，第一反应可能是还手，那在网络世界中，被攻击的受害者能够采取同样的反制措施吗？答案是否定的。目前绝大多数国家尚未制定相关法律，来支持企业或组织对黑客发起反击。“禁止任何人在未获得授权的情况下侵入别人的电脑”几乎是所有国家法律的共识，这意味着，反击黑客就如同黑客入侵一样，同样是违法行为。换句话说，你可以关门，但不能去开别人家的门，不论门后面是否藏着犯罪组织。听起来是不是很玄幻？现实生活中，只要手续合法，警察可以选择破门而入抓捕犯罪分子，但是网络空间却万万不行。“顺着网线去抓你”实现的难点在于合法性，而非技术性。

或许正因为攻防处于不对称的地位，导致全球网络攻击愈演愈烈。仅2022年一年，全球网络攻击数量就增长了38%，造成大量业务损失，其中包括财务和声誉损失。勒索攻击更是如此。

随着近年来网络攻击越发猖獗，反击黑客合法化的呼声日益强烈。近期，深受网络攻击困扰的澳大利亚宣布将通过政府层面的举措，对以该国组织为攻击目标的黑客进行反击，引发了行业担忧，这一做法究竟是能真正打击并震慑黑客，还是给网络空间带来更多风险和混乱？