【全球动态】

1.微软在欧盟调查之际更新数据隐私条款

微软周一表示，将更新其商业云合约中的隐私条款。此前，欧洲监管机构发现，微软与欧盟机构达成的协议未能按照欧盟法律保护数据。欧盟数据监管机构EDPS今年4月启动了一项调查，以评估微软与欧盟委员会（European Commission）和其他欧盟机构签订的合同是否符合数据保护规定。它在10月份提出了对合规的担忧。[阅读原文]

2.Linux 市场估值将超 70 亿美元，主要原因是安全与开源需求

根据 Market Research Future（MRFR）的最新研究报告，预计全球Linux操作系统市场在2018年至2023年的预测期内将实现18.5%的复合年增长率。全球Linux操作系统市场主要由对安全操作系统和对开源操作系统需求的增长所驱动。到2023年，全球Linux操作系统市场的估值预计将超过70亿美元。[阅读原文]

3.InfoTrax和FTC就数据泄露问题达成和解

后端运营服务提供商InfoTrax Systems上周宣布与美国联邦贸易委员会（FTC）就2016年发现的数据泄露问题达成和解。总部位于美国犹他州的InfoTrax除了为其客户提供网站门户外，还为多层营销人员提供各种服务，包括薪酬，库存，会计和培训以及数据安全性。[外刊-阅读原文]

4.针对主要零售商的超过10万个具有有效TLS证书的虚假域名

一家致力于帮助组织保护密钥和数字证书安全的公司Venafi表示，它已经发现了超过10万个带有有效TLS证书的虚假域名，这些域名似乎是针对主流零售商的。在109000个虚假域名中，有将近84000个目标零售商位于美国，其中包括将近50000个模仿美国顶级零售商之一的域名。在英国，Venafi标识了为假零售商域颁发的近14000张证书。[外刊-阅读原文]

5.谷歌修补Gmail动态电子邮件功能中的“awesome” XSS漏洞

本周一，谷歌已经修复了Gmail的XSS漏洞，该漏洞被自己的团队称为“awesome”。 Securitum的首席安全研究员发布一篇博客文章，说到在Gmail中的7月全面推出的一项功能AMP4Email中存在安全漏洞。实施AMP4Email（也称为动态电子邮件）是为了使动态内容更容易显示在电子邮件中，例如评论主题或活动邀请。 [外刊-阅读原文]

6.选择开源项目 “可接受的开源许可证”最为受重视

根据 Tidelift 和 The New Stack 的联合调查，控制着开源项目的开源许可证才是最需要考量的因素。86% 的受访者认为“可接受的开源许可证”对于决定使用开源软件包来讲非常重要，其中 61% 的人将其描述为“非常重要”。[阅读原文]

7.国内首张基于区块链的企业往来电子函证发布

据北京市政府信息公开专栏，近日，基于久其软件联合立信会计师事务所于发布的“基于区块链的电子函证云平台V1.0”，立信会计师事务所工作人员制作并发出了国内第一张基于区块链的企业往来电子函证，并当场演示了从制作到归档的电子函证全过程。[阅读原文]

【安全事件】

1.《Magic：The Gathering》开发商证实 安全漏洞使超45万玩家数据遭泄露

据外媒TechCrunch报道，游戏《Magic：The Gathering》的开发商 Wizards of the Coast已经确认，安全漏洞使数十万游戏玩家的数据遭泄露。该游戏开发商将数据库备份文件留在了公共的Amazon Web Services存储桶中。但是存储桶上没有密码，任何人都可以访问其中的文件。[阅读原文]

2.新型勒索软件NextCry攻击针对Linux服务器上的Nextcloud

NextCry是一种新的勒索软件，研究人员在野外加密Linux服务器上的数据时发现了这种勒索软件。因勒索软件附加到加密文件的扩展名而得名“NextCry”。 恶意代码主要针对Nextcloud，安全系统当前未检测到该恶意代码。[外刊-阅读原文]

3.骗子使用刷卡机器人检查被盗的信用卡数据

网络犯罪分子在假日购物季节进行欺诈性交易或出售之前，需要测试被盗卡数据的有效性。网络罪犯使用刷卡机器人在较小零售商的网站上进行小额购买，以此自动化手段来测试被盗信用卡。来自PerimeterX的研究人员发现了两个针对电商的梳理机器人，它们在假日购物季节来临之前较为活跃。[外刊-阅读原文]

4.为防止 Zombieload v2 攻击 Windows 和 Linux 引入选项关闭英特尔 TSX

为防止近日曝光的 Zombieload v2 攻击，微软 Windows 和 Linux 内核团队都引入了方法关闭英特尔 TSX（Transactional Synchronization Extensions）。Zombieload 漏洞与 TSX 有关，它与之前披露的 Meltdown、Spectre 和 Foreshadow 漏洞类似，都是利用预测执行去实现跨线程、权限边界和超线程的数据泄露。英特尔释出了微码更新去修正最新的漏洞，但补丁会对性能产生严重影响。[阅读原文]

5.中国互联网金融协会：正牵头开展金融App实名备案工作

11月18日至19日，2019北京国际金融安全论坛于在北京金融安全产业园举办。会上，中国互联网金融协会秘书长陆书春表示，当前协会正在按照人民银行《关于发布金融行业标准，加强移动金融客户端应用软件安全管理通知》的要求，在积极开展加强客户端软件行业自律管理的职责，牵头开展App实名备案的工作。[阅读原文]

6.微博管理员：用美女图片加微信诈骗账户已被关闭，正排查类似内容

近日，微博@淮南公安在线发文称，淮南超话出现多条涉嫌色情、诈骗的帖子，随后@淮南公安在线及时发出安全防范提醒，超话管理员进行了处置。 @淮南公安在线提醒网民，警惕陌生“美女”加微信索要红包，诱导点击木马链接，拒绝转账汇款，防范网络诈骗。[阅读原文]

【优质文章】

1.基于大数据企业网络威胁发现模型实践

关于企业安全威胁数据收集分析是一个系统工程，每天在我们网络环境中，都会产生各种形式的威胁数据。为了网络安全防护，会收集各种流量日志、审计日志、报警日志、上网设备日志，安防设备日志等等。我们根据过去的实践经验，总结出了一个威胁数据处理模型，因为引用增长黑客的模型的命名方式，我们称这种模式为：沙漏式威胁信息处理模型。[阅读原文]

2.监管发文规范网络“爬虫”：大数据公司需切断非持牌合作

近日，21世纪经济报道记者获悉，中国互联网金融协会于11月6日向其会员单位下发《关于增强个人信息保护意识依法开展业务的通知》。中国互联网金融协会发文要求，不与违规收集和使用个人信息的第三方开展数据合作，不滥用、非法买卖和泄露消费者个人信息。[阅读原文]

3.ICT 供应链完整性：政府和企业政策的原则

卡内基国际和平基金会于2019 年10 月发布报告《ICT 供应链完整性：政府和企业政策的原则》。该报告是世界各地的政府官员，企业高级管理者以及政策、法律和技术专家进行深入研究和对话的结果，旨在满足合法的国家安全要求与保护数字经济和企业股权之间达成平衡。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。