这里是《微步一周荐读》，每周微步在线会从国内外网站筛选出最新、最具价值的安全资讯和技术文章，让大家每周只花5分钟，就能获得安全最新趋势解读
谷歌等提出 MVSP 供应商最小可行安全清单据 helpnetsecurity 报道，近日包括谷歌、Salesforce、OKta、Slack 等公司在内的企业提到了一个最小可行安全产品（Minimum Viable Secure Product）的概念，希望企业软件或业务流程供应商就各方明确的基本标准达成一致
所谓最小可行安全产品，可以看成一个安全清单，其中列出了确保一个合理安全状况，必须采取的最低控制要求，涵盖业务控制、应用程序设计控制、应用实施与操作控制四个方面
具体而言，包括企业客户针对应用的安全性测试，系统的年度渗透测试，特殊的密码测试，利用加密保护敏感数据与静态数据，培训开发人员预防特殊漏洞，建立授权访问企业网站数据的三方名单等，都可作为最小可行安全产品的内容
MVSP 是一个对厂商而言中立的最小化安全要求，可在企业采购团队针对服务商做相关信息收集、安全团队筛选供应商、法律团队简化合同谈判过程、合规团队记录流程等环节起到作用，从而消除采购供应商安全评估过程中的复杂性与繁琐度，缩短整体周期
在近两年供应链安全风险不断的情况下，MVSP的提出具有一定行业意义
（具体MVSP清单可查看网址：https://mvsp.dev/）搜索引擎投毒，SEO 引擎武器化趋势明显安全厂商 Menlo Security 上周发布一份报告，表示类似通过 SEO 搜索引擎分发 REvil 勒索软件和 SolarMaker 后门的策略使得最近几个月被攻击的企业猛增
在此类搜索引擎优化投毒攻击过程中，攻击者会首先攻陷某合法网站，然后将特定关键词注入用户主要搜索引擎可搜索到的网站
其中，注入关键词目的是确保用户通过搜索关键词搜索内容，受感染网站会出现在搜索结果附近或顶部
以 Menlo Security 观察到的 SolarMaker 事件为例，攻击者设置了2000多个独特的关键词，将用户引导至其托管的 SolarMaker 网站，点击有毒链接后，用户就会被定向到托管在受感染站点上的恶意 PDF，从而在系统安装后门
此类攻击占比增加，既反映当前攻击者的攻击策略调整，将攻击目标选定在更容易攻击成功的个人用户身上，同时也是对企业安全培训提出的全新要求
该策略目前被认为是有效的，在 SolarMaker 攻击事件中，42%的个人用户成功被骗，通过特定关键词点击了恶意 PDF
对于企业而言，配备具备威胁拦截能力的 DNS 则是比较直接有效的防御策略
钓鱼邮件可用二维码绕过安全控制近日，攻击者又在不断开发新的技术欺骗受害者
Abnormal Security 近期检测到大约200封钓鱼邮件利用二维码，而不是通常的恶意软件或者URL链接，诱导用户进入钓鱼网站
这些钓鱼邮件传递的主要意思是，二维码包含了用户错过的语音邮件，并成功绕过了企业邮件的网关扫描，后者通常只用于检测恶意附件和链接
虽然利用二维码进行后续的攻击，用户需要在计算机上打开电子邮件，然后用移动设备扫描，后续执行目标还不清楚，但通过二维码进行攻击的趋势不应该忽视
因为越来越多的攻击者通过社交媒体消息、短信、或者邮件、纸质传单、电子邮件发送恶意的二维码，手机扫描的用户则会被直接定向到收集个人信息与登录凭证、自动关注恶意社交媒体账户、或启动支付应用程序的网络钓鱼网站
因此加强防范意识，不随便扫不明来历的二维码很关键
员工随手拍与截图有风险，小心企业机密与数据泄露近日，SecurityIntelligence 指出，社交媒体平台的安全也很重要
很多企业对于员工工作场所分享的照片与视频内容在安全层面的审核并不严格，涉及到知识产权与商业机密泄露
这其中不是企业不希望保护自身的知识产权或商业机密，而是不清楚员工发布的内容，对内容的发布机制未实施相关政策，存在实际的风险
例如员工分享自己电脑屏幕，可能无意识把公司的电子邮件或者电脑 PIN 码等分享出去，在攻击者眼中，这些都能成为取得企业网络访问权的重要入口
因此，企业在进行网络安全培训时，应将在社交媒体上发布企业相关的图片及视频涉及的风险也考虑进去
同时，为了应对社交分享产生的潜在安全风险，也可考虑相关安全措施，包括：多因素身份认证；安全地密码存储；制定相机使用相关规则，如在暴露知识产权的区域，禁止拍照分享；复盘企业自身数据隐私规则，清楚数据泄露对企业的潜在影响等等
个人信息保护法今日（11月1日）正式生效实施据证券时报报道，11月1日起，《中华人民共和国个人信息保护法》正式实施
这是国内首部个人信息保护方面的专门法律
《个人信息保护法》明确，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式；个人信息处理者利用个人信息进行自动化决策，不得对个人在交易价格等交易条件上实行不合理的差别待遇
对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，该法特别规定了其需要履行的义务
至此，《个人信息保护法》与《中华人民共和国网络安全法》、《中华人民共和国数据安全法》共同构成我国网络空间治理框架性规则的基础法律
对于企业而言，三法之下，企业往往具备网络运营者、数据处理者及个人信息处理者的多重身份，在数据治理的活动过程中，企业应当根据其数据处理身份识别、厘清并履行所适用的法律义务，建立完善业务开展以及内部数据管理过程中所涉及的网络安全、数据安全及个人信息三方面的合规举措
70%的家庭与小型办公室 WiFi 网络可被攻击者破解据 SearchSecurity 报道，CyberArk 研究人员称攻击者只需配备一套简单、廉价的黑客设备，就能将四分之三的家庭及小型办公室 WiFi 网络渗透
具体而言，在实际的操作过程中，攻击者只要了一台笔记本以及50美元的 WiFi 扩展器，然后使用信号增强器运行脚本，利用漏洞与数据包捕获工具及专用硬件驱动程序等等，大约70%的网络路由器密码均被破解
对于企业产生的风险在于，攻击者能够获得对于远程办公员工的 WiFi 初始密码权限，从而跳到员工的计算机，等待 VPN 连接或者直接控制员工系统进入到企业网络，并进行横向移动到企业高价值应用程序或者数据
因此，企业需更加重视更换默认的用户名和密码，并且设置复杂密码，同时也建议禁用弱加密协议比如 WAP，WAP1 等，提升密码安全性

（图片来源网络，侵删）