11月5日，第十一届中国信息安全法律大会在北京举办。会议以“主权 治权 权利”为主题，设主论坛和数据安全治理、个人信息保护、密码法治、网络犯罪生态治理、优秀论文线上交流五个分论坛，关注后疫情时代网络安全法律体系在保障安全与创新发展之间的冲突与平衡，重视法律规范落地中的现实困境与解决路径，探索我国网络空间安全治理的未来方向。

中国银保监会、中国人民银行发布《网络小额贷款业务管理暂行办法（征求意见稿）》，要求经营网络小额贷款业务的公司使用独立的业务系统，并符合网络与信息安全管理要求，具有完善的防火墙、入侵检测、数据加密、应急处置预案以及灾难恢复等网络安全设施和管理制度，保障系统安全稳健运行和各类信息安全。

新加坡重新修订了其《个人数据保护法》（Personal Data Protection Act，PDPA），允许当地企业在未经事先同意的情况下就使用消费者的数据，例如进行业务改进和研究。同时修正案还规定对数据泄露处以更严厉的罚款，最高罚款超过了此前的100万新加坡元。

据外媒报道，声称每年从勒索软件中赚取1亿美元的 REvil 勒索软件团伙在上个月的一次黑客论坛拍卖中花6500美元购买了 KPOT 2 0木马的源代码，这是 KPOT 恶意软件的最新版本，KPOT 可以从受感染计算机上的各种应用程序中提取和窃取密码。安全研究员称，该团伙将对 KPOT 进一步开发，然后添加到有针对性地入侵公司网络期间使用的大量黑客工具中。

欧洲电力巨头Enel集团昨日遭遇了来自Netwalker勒索软件的攻击，Netwalker勒索软件运营者表示，他们从Enel集团窃取了大约5tb的数据，在收到1400万美元的赎金之前，他们会持续泄露数据。目前，已有部分关于Enel集团大量未加密文件的截图被Netwalker勒索软件运营者在网络中公开。

近日，研究人员发现了一种名为RegretLocker的新勒索软件，该勒索软件使用了多种高级功能，可以使它加密虚拟硬盘驱动器，并关闭已打开的文件进行加密。 据称，RegretLocker目前还不太活跃，但这是一个需要密切关注的新家族。

近日，谷歌的Project Zero团队研究人员在GitHub中披露了一个高危漏洞，研究人员称，该漏洞使GitHub Action的工作流命令容易受到注入攻击，该漏洞可能允许攻击者在受影响的系统上远程执行代码。 发现该漏洞的费利克斯·威廉研究员表示，GitHub Action中的工作流命令是以“根本不安全”的方式实现的，因此解决该漏洞可能是一个困难的过程。

11月3日，瑞典最大的保险公司之一Folksam披露了一起涉及约100万瑞典人的数据泄露事件。 该公司在进行内部审计时发现，此前公司曾与包括Facebook，Google，Microsoft，Linkedin和Adobe在内多家科技巨头分享了客户的社保号以及个人购买的工会及怀孕保险等敏感个人信息。 发现违规行为后，Folksam已立即停止与其合作伙伴共享敏感信息，并要求接收该信息的公司删除信息。

根据惠普公司最新的数据显示，从今年第二季度到今年第三季度，检测到使用Emotet木马的勒索软件攻击激增了1200%，特别是在8月份增加最多。针对该活动的激增，日本和澳大利亚受到的攻击尤其严重，分别为32%和20%。惠普称，按照目前的模式，Emotet可能会出现在每周的垃圾邮件中，直到2021年初。

一周前，用户反馈称升级到多个版本的Windows 10时会发生证书丢失的故障。Microsoft现在已经确认，从Windows 10版本1809升级到更高版本时，系统和用户证书可能会丢失，微软表示正在努力修复。 ​

据外媒报道，美国司法部周一表示，Aleksandr Brovko今年2月因共谋实施银行和电汇欺诈而认罪，获刑8年。根据美政府的说法，他是精英网络论坛的成员，旨在为讲俄语的网络犯罪分子收集和交换犯罪工具和服务。从2007年到2019年，他与其他犯罪分子合作，通过“僵尸网络”或受感染计算机网络窃取的大量数据获利，例如个人身份信息和在线银行凭证，预计造成损失超过1亿美元。

谷歌今天发布了Chrome浏览器的安全更新，修补了10个安全漏洞，包括一个零日漏洞，这个漏洞目前正在被广泛利用。建议Chrome用户将浏览器升级到86 0 4240 183或更高版本。

11月2日15时，世界互联网大·互联网发展论坛新闻发布会在北京举办，国家互联网信息办公室副主任赵泽良介绍，将取消举办第七届世界互联网大会，改为以世界互联网大会组委会名义举办“世界互联网大会·互联网发展论坛”，论坛将于11月23日至24日在浙江乌镇举行，本次论坛主题为“数字赋能 共创未来——携手构建网络空间命运共同体”。

据外媒报道，11月2日，GitHub的原始布局从存储库中消失了，大量资源无法正确加载，例如图像、JavaScript、CSS样式表格，这似乎是该公司没有续订SSL证书造成的，该时间持续了大约30分钟，随后GitHub安装了新的证书，新的证书将于2021年11月过期。

据外媒报道，在线黄金零售商JM Bullion称其网站在几个月前遭到Magecart攻击，攻击者可能在今年早些时候造窃取了某些交易用户的信用卡信息，包括姓名、地址、账号、有效期和安全码。因为他们的调查显示，2020年2月到7月网站上有恶意代码，能够捕获在有限情况下输入网站的客户信息。

TechRepublic Premium进行了 一项调查，询问专业人士他们对量子计算有什么了解，结果发现对于大部分人而言量子计算仍然是个谜，90%的称对这个话题了解甚少或根本不了解，尽管这样，也有58％的受访者表示，量子计算将对企业产生重大或某种影响。

FireEye的调查部门Mandiant发布消息称攻击者利用Oracle Solaris操作系统中的零日漏洞对电信、金融和咨询公司进行攻击，该零日漏洞是Solaris可插拔身份验证模块（PAM）中的一个漏洞，可以使攻击者绕过身份验证过程，并在暴露于Internet的Solaris服务器上安装名为SLAPSTICK的后门。Mandiant认为此漏洞是从黑市购买的，因为他们4月在黑市发现了一则以3,000美元的价格购买相关漏洞的广告。

10月31日，在中国网络空间安全协会主办、南开大学承办的“网安中国行”智能网络安全论坛上，由天津市委网信办、中国网络空间安全协会、中国新一代人工智能发展战略研究院联合发起的智能网络安全研究中心正式设立，该平台是着眼于人工智能的发展和安全，集聚高校、研究机构、企业等多方资源，共同开展的创新探索。

为了减少引起轰动和令人恐惧的漏洞名称的使用，卡内基梅隆大学的CERT协调中心（CERT CC）启动了一个Twitter机器人，该机器人将为接收CVE标识符的每个安全漏洞分配随机名称和中性名称。该机器人名为 Vulnonym，由CERT CC运营，这是有史以来第一个创建的CERT团队，这个机器人的想法是在围绕“是否应该命名漏洞”这一主题进行了多次讨论之后提出的。

据外媒报道，印度证券交易委员会（SEBI）未采用公开的方式发出一份通函，呼吁市场参与者提高信息安全防护，因犯罪分子试图利用金融服务从业者在家办公的机会发动攻击。印国家证交所、孟买证交所以及印度商品交易所都在上周发布了系统的要求，其中要求使用多因素认证、VPN、定期拍摄用户照片并结合图像识别等手段来对用户进行身份验证。