近期，由美创科技数据安全从业专家主编的《数据安全实践指南》一书正式发布，并由机械工业出版社面向全国出版发行。该书介绍了DSMM中三级（充分定义级）定义下各过程域对应组织建设、人员能力、制度流程以及技术工具相关要求，并提供了实践指南操作建议。

4月6日，新华三集团与亚信安全签署战略合作协议，双方表示将基于各自在硬件及软件安全领域的能力和优势，在边界安全、应用安全、终端安全、威胁情报与检测等多个领域展开积极合作，助力百行百业数字化转型与变革，为客户创造更大价值。

据工信部官网消息，近日，工信部、公安部、交通运输部、应急管理部、国家市场监督管理总局等五部门联合印发《关于进一步加强新能源汽车企业安全体系建设的指导意见》。要求企业明确新能源汽车安全管理的负责部门，统筹推进本企业安全体系建设。在健全网络安全保障体系方面，企业要依法落实关键信息基础设施安全保护、网络安全等级保护、车联网卡实名登记、汽车产品安全漏洞管理等要求。

Avast的威胁分析人员发现了Parrot TDS，他们报告称，它目前用于一项名为FakeUpdate的活动，该活动通过虚假的浏览器更新通知提供远程访问特洛伊木马（RATs）。Parrot用符合特定配置文件的潜在受害者重定向到网络钓鱼和恶意软件投放网站等。Parrot活动的迹象早在2021年10月就已经被追踪到了，目前可能有16500个站点被感染。

2022年4月，外媒曝光了一家巴拿马公司将其SDK代码，通过所谓的激励计划方式，向世界各地的开发人员付费，以帮助将其SDK整合到他们的应用程序中，这个SDK的存在使巴拿马公司能够秘密地从数百万台 Android 设备上收集数据。目前该SDK已经集成在数个下载量超过 1000 万次的热门APP中。另外外媒还声称该公司与弗吉尼亚州的一家为美国国家安全机构从事网络情报、网络防御和情报截获工作的国防承包商存在关联关系。

4 月 5 日消息，A 股上市公司大亚圣象上周发布了 2021 年年度审计报告。在年报中，大亚圣象披露，公司子公司遭遇电信欺诈，涉案金额约 356.9 万美元（折合人民币约 2275.49 万元）。大亚圣象表示，子公司 HomeLegendLLC 已向美国地方联邦执法当局备案并向中国公安机关报案，截至报告日，被盗资金追回可能性较低。

2022年4月7日，全国信息安全标准化技术委员会秘书处发布通知， 根据《全国信息安全标准化技术委员会标准制修订工作程序》要求，现将该3项标准征求意见稿面向社会公开征求意见。标准相关材料已发布在信安标委网站，如有意见或建议请于2022年6月6日24:00前反馈秘书处。

4月8日，360政企安全集团正式推出360核心安全大脑3.0。360核心安全大脑3.0相当于整个安全能力架构中的核心CPU，它能够助力网络安全产品的信息共享、大数据集中分析研判、高级威胁情报赋能、网络安全产品体系化联动、安全策略协同等全方面提升，全面激活360云端安全大脑的能力、企业自身产品的安全能力、生态产品的安全能力等多种能力的协同一致与战术统一，大幅度提高安全风险的识别、保护、检测、响应、恢复等各项能力。

据安全公司Check Point称，自漏洞被发现以来的第一个周末，他们观察到了大约37，000次试图利用Spring4Shell漏洞的尝试。数据表明，针对这些漏洞，全球16%的组织已经看到了利用这些漏洞的尝试。“受影响最大的行业是软件供应商，其中28%的组织受到该漏洞的影响，” Check Point表示，“其次是教育 研究和保险 法律行业。”

4月7日，《证券日报》记者从蔚来汽车内部发布的一项处理通报获悉，蔚来汽车某集群服务器管理员张某在在职期间，利用职务上的便利，用公司服务器挖虚拟货币，并从中获利。调查期间，张某对于自己的违规行为供认不讳。而张某的这一行为，或涉嫌触犯非法控制计算机信息系统罪，可能被处3年以下有期徒刑或者拘役，并处或者单处罚金；若情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

由Jeremiah Fowler领导的团队表示，因为配置错误，福克斯新闻内部的近1300万条内容管理数据记录，包括数量不详的员工详细信息被泄露。Fowler表示“经过进一步研究，几乎所有记录都包含显示福克斯新闻内容、存储信息、福克斯内部电子邮件、用户名、员工ID号、附属电台信息等信息。”目前福克斯声称已在接到通知后立刻采取了行动来缓解问题。

VMware 发布警告，称其多个产品中存在关键漏洞，攻击者能够利用这些漏洞发起远程代码执行攻击，并建议用户应该立即修补，以防止遭受网络攻击。VMware也为那些无法立即修补其设备的人提供了临时解决方案。然而，该公司表示，临时解决方案虽然简单方便，但不能彻底消除漏洞，完全消除漏洞的唯一方法是应用补丁，因此 VMware 强烈建议用户尽快打补丁。

《华尔街日报》报道，谷歌应用商店下架了数十款秘密收集用户数据的应用程序，这并不是 Google第一次因收集用户数据而将应用从商店中删除。2019 年，超过 1000 款未经允许收集用户数据的应用程序被发现和删除。从本月开始，Google 要求第一和第三方 Android 开发商在其应用程序中加入隐私政策。这一要求将让人们在下载应用程序之前看到安全和隐私准则，这样用户就会知道他们的数据是如何被收集、存储和使用的。

据《连线》（Wired）报道，在过去的15年里，在欧洲搜寻罪犯的警察部队已经能够相互分享指纹、DNA数据和车主的详细信息。如果法国官员怀疑他们要找的人在西班牙，他们可以要求西班牙当局根据他们的数据库检索指纹。现在，欧盟准备将数百万张人脸照片纳入这一系统，并允许以前所未有的规模使用面部识别。

近日，南非和美国调查人员联手逮捕了可能与尼日利亚商业电子邮件诈骗(BEC)集团相关联的数名诈骗团伙成员。该骗局使一家美国公司损失了 45.5万欧元。“利用全球化和数字化进程，犯罪分子能够以越来越高的效率和复杂性实施金融犯罪”。 目前，国际刑警组织全球金融犯罪工作组正在开展打击西非欺诈集团的行动。

近日，由腾讯安全、腾讯防水墙联合制作的《2021年移动广告反欺诈白皮书》正式发布。《白皮书》表示，2021年广告主因欺诈致损高达220亿人民币。这一数字比2020年预估的180亿增加22%。数据表明，2021年验证广告请求超1万亿次，异常流量占比为27%。尽管反欺诈系统过滤掉了大部分异常流量，但是部分复杂异常流量最后会进入曝光和点击环节，整体反欺诈形势严峻。     原文链接

安全公司Kryptowire称，他们发现了一个漏洞（CVE-2022-22292），该漏洞可能允许黑客开展一系列行动，包括拨打电话、安装 卸载应用程序、通过安装未经验证的证书来削弱HTTPS 安全性、甚至恢复出厂设置。 由于预装的手机应用程序具有“不安全组件”，该漏洞影响了几乎所有运行Android 9至12的三星智能手机。Kryptowire也于2022年2月发布了修复程序，希望所有三星用户立即更新以确保他们的手机安全。

近年来，国家出台多项政策指导数字政府和智慧城市建设，“十四五”规划中提出要分级分类推进新型智慧城市建设，完善城市信息模型平台和运行管理服务平台，推进城市数据大脑建设。即日起，由中国信息通信研究院牵头的“城市大脑”系列标准编制和评估测试工作正式启动，欢迎广大企业、专家，共同制定切合我国城市大脑发展实际和趋势的标准，推动城市大脑建设提质增效！

近日，跨国视频托管服务公司Vevo表示，将对最近发生的一起安全事件进行调查，事件中黑客攻击了数位知名艺术家的YouTube页面（包括蕾哈娜、泰勒·斯威夫特、迈克尔·杰克逊等），并上传音乐视频或更改热门视频的名称。Vevo的一位发言人对《纪录报》表示 ，“一些视频被未经授权直接上传到少数Vevo艺术家频道。目前所有这些不当上传的视频都已被Vevo删除。虽然艺术家频道已得到保护，事件也已解决，但是Vevo将对自己的安全系统进行审查。”

AWS Lambda作为Amazon Web Services的一部分，是一个被广泛使用的无服务器计算平台。近日，Cado实验室的研究人员表示，他们发现了第一个专门设计在AWS Lambda环境中执行的恶意软件。研究员Matt Muir称，“该恶意软件使用更新的命令和控制流量地址解析技术，以规避典型的检测措施和虚拟网络访问控制。”