根据BHUSA在8月6日发布的报告，在2024年上半年的分类调查中，信息窃取恶意软件占 29%。特洛伊木马和远程访问特洛伊木马 （RAT） 分别占威胁的 15% 和 12%。在检测到的1780万封网络钓鱼电子邮件中，62%绕过了DMARC检查，56%逃避了所有现有的安全层。攻击者越来越多地使用 Dropbox 和 Slack 等合法的第三方服务来混入常规网络流量，使检测变得更加困难。

根据8月6日发布的《2024 年关键起点网络风险态势同行报告》，86% 的受访者将未知的组织网络风险确定为首要问题。66%的企业对其网络风险状况的了解有限，65%的高管担心网络安全投资与组织风险降低优先事项之间的错位。这些数字与去年的调查结果一致，表明网络风险管理协议几乎没有改善。

近日，研究人员发现，Apache OFBiz中的一个新的严重漏洞，跟踪为CVE-2024-38856，CVSS得分为9.8。该漏洞是Apache OFBiz中的一个不正确的授权问题，影响18.12.14到18.12.15版本，18.12.15版本解决了该漏洞。

8月5日，研究人员发现了一种名为BlankBot的新型Android银行木马。根据研究人员的分析报告，BlankBot具备多种恶意功能，包括客户注入、键盘记录、屏幕录制，并通过WebSocket连接与控制服务器通信。据了解该木马旨在窃取金融信息。

近日，研究人员披露了Rockwell Automation ControlLogix 1756设备中的一个高严重性安全绕过漏洞，该漏洞可能被利用来执行常见的工业协议（CIP）编程和配置命令。该漏洞被分配了CVE-2024-6242标识符，CVSS v3.1评分为8.4。如果在1756机箱的任何受影响模块上被利用，威胁行为者可能执行CIP命令，修改Logix控制器上的用户项目和 或设备配置。

最近，《国家网络身份认证公共服务管理办法（征求意见稿）》发布，「国家网络身份认证App（认证版）」的推出在众多应用商店引起了广泛关注，众多著名的应用程序如微信、淘宝、小红书等，也开始试验加入「网络身份证」的新系统。虚拟证件能够在需要实名制的互联网平台上进行认证，无需再次手动输入姓名、身份证号码等个人信息。达到方便人民群众使用、保护个人信息安全、推进网络可信身份战略的目标。

根据Check Point Research发布的季度报告，涵盖他们在全球范围内观察到的网络攻击活动。发现，第二季度，全球网络攻击同比增长30%，比第一季度增长25%。每个组织平均每周遭受1636次攻击。受攻击最多的行业分别是教育 研究、政府 军事和医疗保健。教育行业同比增长53%，平均每个组织每周遭受3341次攻击。

近日，美国政府问责局(GAO)的一份新报告中发现，美国环境保护署(EPA)迫切需要解决水和废水系统日益增长的网络风险。GOA报告指出，改善供水行业网络安全的主要障碍是普遍存在的旧技术难以通过网络安全保护进行更新。在回应政府问责局的报告时，环保署表示，它完全接受了这些建议。

近日，全球最大白银生产商之一Fresnillo PLC近日披露，该公司遭遇了一次网络攻击，导致部分IT系统和数据被非法访问。在发现攻击后，Fresnillo立即启动了应急响应措施以控制数据泄露。目前正在调查评估此次事件的影响。Fresnillo表示，此次网络攻击并未影响其生产运营，预计也不会对财务或物质层面产生影响。

近日，印度小型银行的关键技术服务提供商C-Edge Technologies遭到勒索软件攻击，近300家当地金融机构的支付系统被迫暂时关闭。目前负责监管印度支付系统的印度国家支付公司（NPCI）发布了一份公告，确认已“暂时禁止C-Edge Technologies接入NPCI运营的零售支付系统”。

7月31日，AI 安全领域的领导者 Protect AI 宣布收购 SydeLabs。此次战略收购增强了 Protect AI 平台测试和改进 LLM 安全性的能力，并扩大了公司作为唯一端到端 AI 安全解决方案提供商的领先地位。

7月30日，帕森斯公司（纽约证券交易所代码：PSN）宣布已达成最终协议，以价值 2 亿美元的增值交易收购 Razor s Edge 投资组合公司 BlackSignal Technologies， LLC。Parsons预计收购将于2024年8月完成。此次收购将扩大帕森斯在国防部和情报界的客户群，并显著加强帕森斯在全频谱网络和电子战方面的定位，同时在反太空射频领域增加新的能力。

近日，根据 Vipre Security Group 的一项新研究，由于使用 AI 工具生成诈骗消息，商业电子邮件入侵 （BEC） 攻击在过去一年中急剧上升。Vipre在全球范围内处理了 18 亿封电子邮件，检测到 2.26 亿条垃圾邮件和近 1700 万个恶意 URL。这些被阻止的垃圾邮件中有近一半（49%）是BEC攻击，最常见的目标是首席执行官，其次是人力资源和IT。与 2023 年同期相比，Vipre 在第二季度的 BEC 攻击增加了 20%。

近日，非营利性血库OneBlood，遭到了破坏性的勒索软件攻击，扰乱了其医疗运营。目前该组织没有提供有关攻击的详细信息，例如感染其系统的恶意软件家族以及是否遭受了数据泄露。现在其仍在运营并继续其活动，但运作能力大大降低。

根据身份盗窃研究中心 2024年上半年的最新数据泄露分析，2024 年网络攻击导致的数据泄露数量是 2023 年全年的两倍，仅在1571 次泄露中，全球就有10.78 亿数据泄露受害者，金融服务、医疗保健、专业服务和制造业受到的打击最大，

奇安信7月31日晚间公告，公司股东中国电子信息产业集团有限公司全资子公司中电金投于2024年7月31日与公司持股5%以上股东天津奇安壹号科技合伙企业（有限合伙）签署了股份转让协议，中电金投拟通过协议转让方式受让奇安壹号持有的奇安信3425.86万股无限售流通股，受让价格为22.73元 股，受让股份占公司总股本的比例为5%。本次权益变动后，中国电子合计控制公司23.1%股份。本次权益变动不会导致公司控股股东、实际控制人发生变化。

根据工信部发布的报告，2024年上半年，我国信息安全产品和服务收入达到了909亿元。我国软件业务收入和利润均保持两位数增长，软件业务出口收入增速由负转正。软件业务收入62350亿元，同比增长11.5%。软件业利润总额7347亿元，同比增长15.7%。软件业务出口254.6亿美元，同比增长0.6%。这一亮眼成绩不仅彰显了我国信息安全产业的蓬勃生机，也为全球信息安全领域的发展注入了新的动力。

7月31日，ISC.AI 2024创新独角兽沙盒大赛迎来巅峰对决，数字安全创新赛道的十强黑马经过终极较量及评审团的考评后，和人广智夺得大赛总冠军，犬安科技荣获创新能力奖，酷德啄木鸟荣获商业价值奖，中安网星荣获团队协同奖。全国十强企业共同接受入驻未来数字安全名人堂的荣誉加冕，并将获得ISC特殊扶持与资源对接等专属权益。本届大赛以“安全夯基，智竞未来”为主题，首次推出数字安全、AI应用以及ISC沙盒新星三大赛道，挖掘并孵化AI时代下的创新独角兽，助力产融协同发展。

据外媒消息，国外安全实验室发现了Proofpoint的邮件转发服务器中的安全漏洞和利用该漏洞的钓鱼攻击活动，该活动被称为“EchoSpoofing”，向财富100强公司的大型实体发送了数百万封伪造的电子邮件，其中包括迪士尼、耐克、IBM和可口可乐等，这些钓鱼邮件旨在窃取敏感的个人信息并导致未经授权的费用。目前Proofpoint已经通知受影响的客户。

近日，一名国外研究人员详细描述了LangChain中的两个重大安全漏洞。这些漏洞被有可能允许攻击者执行任意代码和访问敏感数据。鉴于有一百多万名开发者依赖LangChain，这一发现给众多AI驱动的应用程序带来了重大安全风险。利用漏洞，攻击者可以从内网获取敏感信息，并可能绕过访问控制。亦或者进行提示注入，使他们能够执行有害的命令或代码。研究人员强烈建议使用LangChain的开发者和组织将LangChain更新到最新的修补版本，以确保应用安全。