前言
网络安全大事记,最早起源于2004年的《中国信息安全年鉴》。目的是为了记述网络安全产业发生的大事件以反映行业现状与趋势,至今已有17个年头。国内的网络安全产业从不到10亿元发展到700亿元的市场规模,网络安全的历史进程也从最初的通信安全时代,经历了计算机安全和信息安全时代,来到了网络空间安全时代。
1994年国务院发布《计算机信息系统安全保护条例》伊始,网络安全产业基本依赖政策合规驱动。从2008年国内第一家网络安全企业的上市,到2019年科创板的成立,网络安全产业进入资源整合时代,先后十几家网络安全企业成功上市,充分利用市场、政策、用户、资本等各种资源实现企业与产业的快速发展。数世咨询认为,随着国家层面的大力推动,安全意识的深入人心,数字经济的蓬勃发展,网络安全技术与产业的基础正在夯实,百花齐放、百家争鸣,突显能力、突出创新的时代已经到来。未来十年一定是创新能力的十年,而2020年将是网络安全产业创新时代的开启元年。在2021元旦即将到来之际,数世咨询发布《2020年网络安全大事记》。
一、2020年十大网络安全态势
1. 信息泄露正如往年大事记的预测,规模不断扩大,影响不断加剧,今年更是达到了350亿条信息记录之巨,并且丝毫没有减缓的趋势。数字经济的飞速发展和数据时代的来临,是信息泄露的本质基础,机会与挑战永远并存。
2. 勒索病毒呈爆发趋势,占所有攻击事件数量的三分之一,其他依次是不断突破带宽记录的DDoS和国家支持的APT攻击。此外,由于遭受网络攻击,医疗系统中断,导致患者无法得到及时治疗而死亡,这是迄今为止第一例因网络攻击造成的死亡事件。可以预见,未来还将有类似的事件发生,这也是物理世界与网络世界融合的必然结果。
3. 各大漏洞平台在漏洞披露与共享方面越来越采取谨慎和保留的态度,因此漏洞公开信息并未明显增长,甚至出现有所下降的迹象。但实际上漏洞数量如同信息泄露规模,呈逐年激增态势。这也是为什么开发安全近来得到业界广泛关注的原因。此外,根据漏洞影响程度的进行漏洞优先级管理的用户需求,也出现明显上升趋势。
4. 全球经济遭受新冠疫情的冲击,网络安全行业也不例外。但相对于个人消费和其他企业级IT服务,虽然地方政府的安全预算有很大削减,但互联网、金融,以及大型民营企业等以线上业务为重的网络安全需求,仍然增长强劲。数世咨询预计,2020年国内网络安全市场规模的增速较往年略有减缓,约为18%。
5. 网络安全的技术本质“伴生”,商业本质“服务”,和理念本质“对抗”,决定了网络安全的“碎片化”特性。这一特性意味着,网络安全技术与产业还将不断地裂变与细分,并随着万物互联的脚步,渗透到数字化世界的方方面面。
6. 网络安全行业虽然是一个潜力巨大的市场,但其“碎片化”的特性亦是资本市场的选择难点,因此“广撒网”、“共成长”和“长期持有”的模式,逐渐成为资本方对网络安全行业的投资逻辑共识。同时科创板的成立,为一级市场的资本提供了良好的退出通道。
7. 国家重要法规政策及大型演练活动成为网络安全产业快速发展的强大推动力,以新基建为典型代表的数字经济建设和发展,成为新一轮产业增长的基础支撑。
8. 新冠疫情的爆发,导致今年上半年大量的在线会议和下半年线下会议的集中。同时,线下结合线上的会议形式呈爆发性增长。可以断言,未来线上结合线下的会议形式将成为常态。
9. 发达国家不断加大网络安全方面的预算和投入,以应对范围越来越广的各种网络空间威胁。网络安全已经渗透到人类社会活动的各个方面,从政治意识形态,到科技经济发展,甚至是重要军事力量,各国政府之间的政治分歧和争斗,越来越多的体现在无所不在的网络空间上。
10. 随着政治、经济和科技地位的崛起,中国已经被美国认为是其全球地位的最大威胁,并试图以技术禁运、贸易封锁以及舆论攻击等各种手段遏制中国的发展。美国政府近年来频频指责中国的网络攻击活动,其根本目的在于影响美国国内及全球各区域、国家对中国的友好态度,以形成“中国威胁论”的政治共识。
二、信息泄露与网络攻击篇
01 信息泄露
数世咨询根据公开的泄露事件统计,2020年全球信息泄露用户凭证数达8.27亿个,泄露信息记录达352.79亿条,涉及人数约21.2亿人。
(数世咨询供图,转载请注明来源)
(数世咨询供图,转载请注明来源)
(数世咨询供图,转载请注明来源)
(数世咨询供图,转载请注明来源)
(数世咨询供图,转载请注明来源)
重要结论
信息泄露正如往年大事记的预测,规模不断扩大,影响不断加剧,并且丝毫没有减缓的趋势。数字经济的飞速发展和数据时代的来临,是信息泄露的本质基础,机会与挑战永远并存。
黑客攻击与错误配置是信息泄露的两大原因,软件与互联网、个人消费与电子商务是信息泄露的灾难大户。此外,政府信息泄露也呈上升趋势,反映出国与国之间的网络空间对抗。
北美、欧洲与亚太地区接近全球信息泄露事件的90%,侧面反应出信息技术发达地区与落后地区的数字鸿沟,也意味者后者存在着巨大的发展机遇。
以下列出影响较大的信息泄露事件:
时间:2020年1月
涉及机构:checkpeople.com
国家:美国
泄露信息:5,600万人的个人信息
泄露原因:N/A
其他信息:位于杭州的服务器被人发现可以直接连接,其中有5,600万美国人的个人信息,最终发现该数据来源为checkpeople.com
时间:1月
涉及机构:微软
国家:美国
泄露信息:客户支持记录,2.5亿条
泄露原因:Elasticsearch数据库暴露在公网上
其他信息:个人敏感信息、财务信息等在记录的时候已经被脱敏
时间:2月
涉及机构:N/A,部分印度大型银行
国家:印度
泄露信息:个人信息、财政信息,共461,976张银行卡
泄露原因:N/A
其他信息:在暗网被贩卖
时间:3月
涉及机构:N/A
国家:美国
泄露信息:个人信息,2亿人
泄露原因:错误配置(未设置接入权限)
其他信息:2亿人的住宅信息及个人信息被暴露在公网
时间:3月
涉及机构:微博,互联网
国家:中国
泄露信息:用户信息,5.38亿条
泄露原因:N/A
其他信息:在暗网上兜售,但是不含密码。微博方面表示是攻击者非法调用了接口获取了用户信息,但是有其他人指出数据来源是通过脱库进行,而非API接口,同时部分非公开信息不大可能是通过API获取。
时间:3月
涉及机构:
国家:英国
泄露信息:50亿条记录
泄露原因:错误配置(Elasticsearch)
其他信息:该服务器由于配置错误暴露在公网上,里面的记录是某英国研究公司收集的在2012年到2019年间发生的数据泄露事件的信息
时间:3月
涉及机构:N/A
国家:美国
泄露信息:个人信息,800Gb,2亿人
泄露原因:错误配置
其他信息:未进行保护放置于公网
时间:4月
涉及机构:
国家:巴基斯坦
泄露信息:个人数据,1.5亿用户
泄露原因:
其他信息:1.5亿手机用户的手机数据(包括个人信息)在暗网被出售。
时间:4月
涉及机构:Facebook
国家:美国
泄露信息:个人信息,2.67亿条
泄露原因:Elasticsearch错误配置
其他信息:
时间:5月
涉及机构:Le Figaro
国家:法国
泄露信息:个人信息、数据文件,74亿条、8TB
泄露原因:Elasticsearch错误配置
其他信息:
时间:5月
涉及机构:CAM4
国家:爱尔兰
泄露信息:7TB、108.8亿条记录、2,120万人
泄露原因:Elasticsearch错误配置
其他信息:成人网站数据库被直接接入,受影响的人有660万美国人、540万巴西人、490万意大利人和420万法国人,还有53万中国人。
时间:5月
涉及机构:Natura
国家:巴西
泄露信息:个人信息、财务信息,1.5TB,1.92亿条,25万用户,4万信用卡信息
泄露原因:缺乏安全配置
其他信息:
时间:5月
涉及机构:
国家:俄罗斯
泄露信息:个人信息,1.29亿人
泄露原因:
其他信息:1.29亿俄罗斯车车主的个人信息被泄露,研究人员认为极有可能这些信息来自于当地警局的数据库泄露。
时间:5月
涉及机构:Advanced Info Service,运营商
国家:泰国
泄露信息:用户记录,83亿条,4.7TB
泄露原因:Elasticsearch错误配置
其他信息:
时间:7月
涉及机构:MGM Resorts
国家:美国
泄露信息:个人信息,1.42亿人
泄露原因:
其他信息:2月份事件的更新,泄露数量激增。在暗网上以2,939美金贩卖。
时间:7月
涉及机构:Wattpad,2.71亿账户
国家:加拿大
泄露信息:用户信息
泄露原因:黑客攻击
其他信息:包括用户的地理位置信息等敏感信息。Wattpad是一个UGC故事网站。这些信息被黑客在暗网上以10个比特币的价格出售。
时间:8月
涉及机构:Social Data
国家:
泄露信息:用户信息,2.35亿账户
泄露原因:缺乏安全配置
其他信息:Social Data是一家数据采集公司,这次事件因为数据库不需要认证就能接入造成了Instagram、TikTok和Youtube共2.35亿账户的信息泄露。
时间:9月
涉及机构:Mailfire
国家:
泄露信息:个人信息、聊天记录,882.1GB,3.7亿条
泄露原因:Elasticsearch错误配置
其他信息:Mailfire为多个网站提供邮件市场服务,因此,这次泄露直接影响了70多个网站
时间:9月
涉及机构:Windeln.de
国家:德国
泄露信息:个人信息,6.4TB,70万人,60亿条
泄露原因:
其他信息:电商网站。
时间:9月
涉及机构:BrandBQ
国家:波兰
泄露信息:个人信息、用户信息、订单信息,1TB,10亿条,670万人
泄露原因:Elasticsearch错误配置
其他信息:
时间:10月
涉及机构:
国家:美国
泄露信息:个人信息,1.86亿
泄露原因:
其他信息:研究表示,在数个黑客论坛上,发现几乎所有美国选民的个人信息。
涉及机构:Bumble
国家:美国
泄露信息:个人信息,1亿人
泄露原因:系统漏洞
其他信息:约会应用Bumble在已知漏洞255天后才修复漏洞,但是已经造成了大量的信息泄露。
时间:11月
涉及机构:GO SMS Pro
国家:
泄露信息:聊天信息,1亿人
泄露原因:系统漏洞
其他信息:
时间:12月
涉及机构:
国家:巴西
泄露信息:个人信息,2.43亿人
泄露原因:人员失误
其他信息:其中包括已故的人的信息。开发者将数据库的密码写在了巴西卫生部的官方网站的源代码里。
02 网络攻击
据资本咨询机构Cybersecurity Ventures的研究统计,全球网络犯罪造成的损失将从2015年的3万亿美元增长到2025年的10.5万亿美元,年增长率达到15%。2020年,数世咨询对全球近300余起公开披露的攻击事件进行了统计分析,见下图:
(数世咨询供图,转载请注明来源)
(数世咨询供图,转载请注明来源)
(数世咨询供图,转载请注明来源)
重要结论
美国、英国、澳大利亚和中国是发生攻击事件最多的国家,对应地区分别为北美、欧洲和亚太。
勒索病毒呈爆发趋势,占所有攻击事件的33%,其他依次是不断突破带宽记录的DDoS和国家支持的APT攻击。此外,由于遭受网络攻击,医疗系统中断,导致患者无法得到及时治疗而死亡,这是迄今为止第一例因网络攻击造成的死亡事件。可以预见,未来还将有类似的事件发生。
网络攻击的两大原因,经济利益与政治对抗。近年来政府遭受攻击的事件不断上升,敌对国家之间相互的网络攻击态势已经十分明显。
以下列出影响较大的信息攻击事件:
时间:1月
受攻击方:德州某学区
国家:美国
行业:教育
攻击手段:BEC
损失:230万美元
影响:
时间:1月
受攻击方:Toll Group,物流/邮政公司
国家:澳大利亚
行业:物流
攻击手段:勒索病毒
损失:
影响:造成澳大利亚、印度、菲律宾等国家的服务器宕机,无法追踪包裹信息,受影响服务器达1万台。
时间:2月
受攻击方:
国家:多个国家
行业:特定人群
攻击手段:钓鱼攻击,鱼叉式钓鱼攻击
损失:
影响:研究人员发现伊朗APT组织(APT35)在针对全球,尤其是欧美和中东国家的记者、民权活动人员发起钓鱼攻击。
时间:2月
受攻击方:
国家:波多黎各
行业:政府
攻击手段:BEC
损失:260万美元
影响:
时间:2月
受攻击方:某天然气工厂
国家:美国
行业:能源
攻击手段:勒索病毒
损失:
影响:系统崩溃,IT和OT系统瘫痪。
时间:2月
受攻击方:微盟
国家:中国
行业:互联网
攻击手段:内部威胁
损失:
影响:SaaS服务暂停,涉及300万商户,并造成股份大跌。
时间:3月
受攻击方:Epiq
国家:美国
行业:企业服务
攻击手段:勒索病毒
损失:
影响:全球80个办公室受影响,服务无法使用。
时间:3月
受攻击方:Brno University Hospital
国家:捷克
行业:医疗
攻击手段:勒索软件
损失:
影响:造成医院彻底关闭了自己的IT系统
时间:3月
受攻击方:ODT LLC
国家:俄罗斯
行业:军队
攻击手段:漏洞攻击
损失:
影响:信息泄露。俄用来秘密监控全球的“网络武器”—— “Fronton”物联网僵尸网络计划细节被公之于众。
时间:4月
受攻击方:武汉政府、中国应急管理部
国家:中国
行业:政府
攻击手段:APT攻击
损失:
影响:
时间:5月
受攻击方:Stadler Rail
国家:瑞士
行业:交通运输
攻击手段:勒索病毒
损失:部分IT系统下线
时间:5月
受攻击方:Elexon
国家:英国
行业:能源
攻击手段:
损失:
影响:内部网络、部分员工电脑以及邮件服务器系统中断。
时间:6月
受攻击方:
国家:波兰
行业:政府
攻击手段:网页篡改
损失:
影响:俄罗斯黑客攻击了其政府网络页面,并在波兰和外国资源网站上发布关于北约“欧洲防御者2020”演习的虚假内容和操纵信息。
时间:6月
受攻击方:Lion
国家:澳大利亚
行业:生产
攻击手段:勒索病毒
损失:
影响:IT系统崩溃造成产线中断。
时间:6月
受攻击方:Knoxville(城市)
国家:美国
行业:政府
攻击手段:勒索病毒
损失:
影响:多个IT系统因被加密而关闭,相关市政服务器下线。
时间:6月
受攻击方:AWS
国家:美国
行业:互联网
攻击手段:DDoS
损失:
影响:创纪录的2.3 Tbps DDoS攻击.
时间:6月
受攻击方:Postbank
国家:南非
行业:金融
攻击手段:内部威胁
损失:
影响:超过2.5万笔欺诈交易,涉及金额预计超过320万美元。而Postbank需要花费额外5,800万美元对总共1,200万张卡进行替换。
时间:6月
受攻击方:加州大学旧金山分校
国家:美国
行业:教育
攻击手段:勒索病毒
损失:114万美元。
影响:
时间:7月
受攻击方:X-FAB
国家:德国
行业:电子制造
攻击手段:勒索软件
损失:
影响:业务中断
其他:硅晶片厂商 X-FAB 遭攻击:6 个生产基地已关闭。
时间:7月
受攻击方:Twitter
国家:美国
行业:互联网
攻击手段:账号劫持
损失:
影响:比尔盖茨、马斯克和其他名人的推特账户被短暂劫持,用于实行比特币诈骗攻击。
时间:7月
受攻击方:上海某金融科技公司
国家:中国
行业:金融科技
攻击手段:弱口令
损失:730万元
影响:上海某互联网公司由于使用弱口令被攻击者破解,入侵其自主研发的“代付系统”,并通过该系统令公司的银行账户汇款共730万余元。
时间:8月
受攻击方:2gether
国家:
行业:加密货币交易平台
攻击手段:
损失:120万欧元
影响:
时间:8月
受攻击方:美国军人
国家:
行业:
攻击手段:社会工程
损失:3.79亿美元
影响:在过去五年中,美国现役及退伍军人共因诈骗被骗3.79亿美元。
时间:8月
受攻击方:新西兰证券交易网站
国家:新西兰
行业:金融
攻击手段:DDoS
损失:
影响:业务中断。网站连续三天关闭。
时间:8月
受攻击方:思科
国家:美国
行业:
攻击手段:内部威胁
损失:
影响:前员工非法接入思科在AWS上的系统,删除了WebEx视频会议和协作应用的456个虚拟机。该行为导致 16000 多个WebEx Teams 帐户关闭时间长达两周,这使思科花费约 140 万美元的工时用于修复问题,并向客户退款逾 100 万美元。
时间:8月
受攻击方:Github用户
国家:
行业:加密货币
攻击手段:伪造更新包
损失:1,400个比特币
影响:
时间:9月
受攻击方:10+欧洲ISP
国家:
行业:运营商
攻击手段:DDoS
损失:
影响:业务中断。
时间:9月
受攻击方:Hartford(城市)
国家:美国
行业:政府公共设施
攻击手段:勒索病毒
损失:
影响:业务中断。受攻击系统包括了交通管理系统以及学生校车的实时信息系统,导致全市的开学时间将延后。
时间:9月
受攻击方:Eterbase
国家:斯洛伐克
行业:加密货币
攻击手段:
损失:价值540万美元的加密货币
影响:
时间:9月
受攻击方:University Hospital Düsseldorf
国家:德国
行业:医疗
攻击手段:勒索病毒
损失:
影响:业务中断,一名女性患者无法及时得到救助,造成死亡。
时间:9月
受攻击方:环球健康服务公司
国家:美国
行业:医疗
攻击手段:勒索病毒
损失:
影响:业务中断,造成美国、英国、波多黎各的所有系统下线。
时间:9月
受攻击方:KuCoin
国家:新加坡
行业:加密货币平台
攻击手段:
损失:价值1.5亿美元的加密货币
影响:
时间:10月
受攻击方:伊朗两个政府部门
国家:伊朗
行业:政府
攻击手段:
损失:
影响:业务中断,遭到攻击的两个部门的系统暂时下线。
时间:10月
受攻击方:谷歌
国家:美国
行业:互联网
攻击手段:DDoS
损失:
影响:谷歌披露的这次攻击在2017年发生,攻击最高峰达2.54Tbps,是至今所知的DDoS攻击中的最高 峰值。
时间:10月
受攻击方:Sopra Steria
国家:法国
行业:企业服务
攻击手段:勒索病毒
损失:因为系统修复以及业务中断产生的成本与损失高达5,000万欧元。
影响:业务中断,可能需要数周才能恢复系统。
时间:10月
受攻击方:Harvest Finance
国家:
行业:金融
攻击手段:加密货币漏洞利用
损失:2,400万美元
影响:
时间:10月
受攻击方:威斯康星州共和党
国家:美国
行业:政府
攻击手段:BEC
损失:230万美元
影响:
时间:10月
受攻击方:大范围
国家:n/a
行业:
攻击手段:僵尸网络
损失:
影响:研究人员估计,在过去的十一个月中,大概23万个网站沦陷。
时间:11月
受攻击方:大范围
国家:n/a
行业:软件与互联网
攻击手段:漏洞利用
损失:
影响:在过去12个月中,成功攻击了60个国家,超过1,200个机构的VoIP服务器。
时间:11月
受攻击方:巴西最高法院
国家:巴西
行业:政府
攻击手段:勒索病毒
损失:
影响:网站下线
时间:11月
受攻击方:Akropolis
国家:直布罗陀
行业:加密货币
攻击手段:
损失:200万美元的Dai加密货币
影响:
时间:12月
受攻击方:巴尔的摩公里学校IT系统
国家:美国
行业:教育
攻击手段:勒索病毒
损失:
影响:业务中断,超过11.5万名儿童在线上课中止,同时要求由县分发的Windows电脑检查是否存在感染。
时间:12月
受攻击方:SolarWinds
国家:美国
行业:软件与互联网
攻击手段:木马后门
损失:
影响:280家企业或机构受到恶意软件感染,思科、SAP、英特尔、德勤、英伟达、富士通等科技巨头包括在内。
时间:12月
受攻击方:欧洲药品管理局
国家:欧洲
行业:医疗健康
攻击手段:APT
损失:
影响:服务器上的新冠病毒疫苗BNT162b2的数据,被非法访问。
三、漏洞篇
CNNVD平台目前(12月25日)为止公布的漏洞数量为17,417个,2019年全年的漏洞总数为17,829个,同比减少2%。NVD公布的漏洞数量为18,912个(12月25日),2019年全年的漏洞总数为18,938个,同比减少了0.1%。
重要结论
各大漏洞平台在漏洞披露与共享方面越来越采取谨慎和保留的态度,因此漏洞公开信息并未明显增长,甚至出现有所下降的迹象。但实际上漏洞数量如同信息泄露规模,呈逐年激增态势。这也是为什么开发安全近来得到业界广泛关注的原因。此外,根据漏洞影响程度的漏洞优先级管理平台的用户需求,也出现明显上升趋势。
物联网设备与应用软件的激增,是漏洞数量不断爆发的直接原因。同时,由于人类活动愈加依赖网络信息系统和智能设备,漏洞造成的影响程度也在愈发严重。
由于漏洞信息数量庞大且繁杂,以下仅从数世咨询统计的近千个漏洞事件中,列出三十余起影响较大或典型性的漏洞事件:
时间:1月
公司/系统:思科
类型:
数量:120+
影响范围:
可造成攻击:远程任意代码执行、远程接入
可引发后果:几乎任何后果
其他:研究人员在思科的数据中心网络管理中发现了超过120个漏洞,包含多个高危漏洞,攻击者可以利用这些漏洞绕过认证,直接接入数据中心管理器并执行几乎任意操作。
时间:1月
公司/系统:微软
类型:软件
数量:
影响范围:截止1月所有的Windows版本
可造成攻击:
可引发后果:信息泄露
其他:这个漏洞位于名为 crypt32.dll 的 Windows 组件中,用于处理CryptoAPI 中的证书和加密消息传递功能。该组件于20年前就引入Windows,几乎影响了所有的Windows系统。
时间:1月
公司/系统:Linux
类型:软件
数量:1
影响范围:几乎所有Linux发行版本
可造成攻击:远程代码执行
可引发后果:
其他:一个越界写入漏洞存在于E2fsprogs文件系统中,该系统几乎在是所有Linux版本必备存在。
时间:2月
公司/系统:WhatsApp
类型:软件
数量:多个
影响范围:数十亿用户
可造成攻击:
可引发后果:信息泄露
其他:攻击者可以利用这一系列的漏洞组合,通过向被攻击者的WhatsApp桌面客户端发送一张特殊处理过的图片,远程窃取Windows和Mac中的文件。
时间:2月
公司/系统:戴尔(商务笔记本)
类型:软件
数量:1
影响范围:Dell SupportAssist for business PCs version 2.1.3之前的版本以及家用电脑version 3.4 之前的版本(上千万台)
可造成攻击:代码执行
可引发后果:
其他:存在于戴尔商务笔记本自带Windows系统的SupportAsssit当中,本地的低权限攻击者可以让DellSupportAssist载入修改过的DLL文件,从而实现一定程度的提权,执行恶意软件。
时间:2月
公司/系统:4G、5G网络
类型:
数量:
影响范围:所有使用LTE的设备
可造成攻击:
可引发后果:
其他:攻击者可以利用4G和5G网络中的漏洞,伪装成其他人进入网络,甚至对某些收费服务进行订阅。
时间:2月
公司/系统:Wifi
类型:
数量:
影响范围:全球几十亿设备
可造成攻击:
可引发后果:
其他:类似于airmon-ng的Wifi嗅探攻击,只不过该漏洞是存在于PC端芯片。攻击名称为KrØØk。
时间:3月
公司/系统:英特尔
类型:硬件
数量:1
影响范围:大部分过去五年中英特尔生产的芯片组
可造成攻击:
可引发后果:信息泄露
其他:如果攻击者可以物理接入芯片组,就能够获取加密数据,并且无效化数据防护措施。暂时来看,该漏洞无法修复。
时间:3月
公司/系统:PPP daemon
类型:软件
数量:1
影响范围:几乎所有Linux发行版本、思科CallManager、TP-LINK产品等
可造成攻击:远程代码执行、堆缓冲溢出
可引发后果:完全控制系统
其他:存在于PPP daemon因EAP分隔符产生的逻辑错误中。
时间:3月
公司/系统:苹果(MacOS)
类型:软件/系统
数量:5
影响范围:macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina10.15.3版本在内的所有苹果笔记本
可造成攻击:
可引发后果:完全控制目标
其他:MacOS中的蓝牙存在漏洞,这5个漏洞都属于“零点击无接触”漏洞。
时间:4月
公司/系统:推特
类型:软件/网站
数量:1
影响范围:使用Firefox接入推特的用户
可造成攻击:
可引发后果:信息泄露
其他:通过Firefox浏览器登录推特的用户,会在Firefox的浏览器cache里存储相关信息,即使用户登出也不会删除,形成信息泄露隐患。但是用户可以手动清除浏览器中的cache。
时间:4月
公司/系统:使用高通芯片的安卓系统
类型:
数量:2
影响范围:所有使用高通芯片的安卓系统
可造成攻击:
可引发后果:完全控制目标
其他:
时间:4月
公司/系统:苹果
类型:软件
数量:2
影响范围:全球超十亿部苹果设备
可造成攻击:
可引发后果:完全控制目标
其他:苹果默认邮件程序存在漏洞,可能已经被国家黑客利用发动针对性攻击。
时间:4月
公司/系统:
类型:
数量:1
影响范围:几乎所有杀毒软件
可造成攻击:
可引发后果:系统崩溃
其他:杀毒软件“实时扫描”设计上存在的漏洞可以被攻击者利用禁止杀毒软件,甚至使操作系统无法使用。
时间:5月
公司/系统:三星
类型:软件
数量:1
影响范围:2014年起所有的手机
可造成攻击:
可引发后果:
其他:零点击漏洞。该漏洞存在于Qmage格式的图片文件中,仅影响三星的安卓手机(因为该格式的厂商为韩国)。
时间:5月
公司/系统:特斯拉
类型:软件
数量:
影响范围:几乎所有特斯拉用户
可造成攻击:
可引发后果:信息泄露
其他:研究人员发现,从二手市场买到的特斯拉组件中,可以从车载娱乐系统中还原出前使用者的信息,包括多媒体信息、地址、电话号码,甚至Netflix和Shopify的信息。
时间:5月
公司/系统:
类型:协议
数量:
影响范围:包括苹果、博通、Cypress、英特尔、三星等在内的设备和固件
可造成攻击:
可引发后果:完全控制木杓岙
其他:研究人员在蓝牙协议中发现漏洞,新攻击方式命名为BIAS,攻击者可以利用此攻击方式控制目标蓝牙设备。
时间:5月
公司/系统:
类型:协议
数量:
影响范围:所有DNS软件商
可造成攻击:DDoS
可引发后果:系统中断
其他:研究人员发现,NXNSAttack可以利用DNS协议中存在的漏洞实现DDoS。
时间:6 月
公司/系统:
类型:
数量:1
影响范围:500多万台物联网设备
可造成攻击:
可引发后果:僵尸网络
其他:漏洞会对UPnP造成影响,攻击者可以利用该漏洞劫持设备进行DDoS攻击的同时,还能作为跳板扫描被攻击者整个网络。
时间:6月
公司/系统:英特尔
类型:硬件
数量:1
影响范围:
可造成攻击:
可引发后果:
其他:研究人员发现另一个英特尔处理器漏洞,攻击者可以利用该漏洞在一个CPU核上执行代码,从而获取另一个CPU核上运行软件的信息。英特尔已经发布相关补丁。
时间:6月
公司/系统:Facebook
类型:软件
数量:1
影响范围:最多可能有13亿用户
可造成攻击:
可引发后果:
其他:在Facebook Messenger for Windows软件中存在漏洞,可以让攻击者执行在被攻击系统上已经存在的恶意文件,从而让恶意程序更长久地留在目标系统中。
时间:6月
公司/系统:
类型:硬件
数量:多个
影响范围:上百万物联网设备
可利用攻击点:代码执行
可引发后果:完全控制目标
其他:漏洞存在于嵌入式TCP/IP库中。
时间:7月
公司/系统:Zoom
类型:软件/程序与应用
数量:1
影响范围:超过3亿用户
可利用攻击点:
可引发后果:
其他:可以让攻击者伪造身份,从而进行社工。
时间:7月
公司/系统:
类型:固件
数量:1
影响范围:数十亿Windows与Linux设备
可利用攻击点:缓冲溢出
可引发后果:完全控制系统
其他:BootHole漏洞,影响几乎所有用GRUB2进行安全启动的设备,甚至可能所有只要有安全启动的设备。
时间:8月
公司/系统:奔驰
类型:硬件
数量:19
影响范围:梅赛德斯奔驰E级轿车
可利用攻击点:
可引发后果:完全控制目标
其他:奇虎360研究人员展示如何通过漏洞,远程控制奔驰汽车。
时间:8月
公司/系统:TinyMCE
类型:软件/程序与应用
数量:1
影响范围:超过1亿网站
可利用攻击点:XSS
可引发后果:提权、信息泄露、账号窃取
其他:文本编辑软件。已在之后发布的版本中修复。
时间:8月
公司/系统:宝塔Linux
类型:
数量:
影响范围:全球大约2,592,629个服务
可利用攻击点:
可引发后果:
其他:
时间:9月
公司/系统:蓝牙4.2、蓝牙5.0
类型:协议
数量:1
影响范围:数十亿物联网相关设备
可利用攻击点:中间人攻击
可引发后果:
其他:尚无补丁解决该问题
时间:9月
公司/系统:Firefox
类型:软件/程序与应用
数量:1
影响范围:所有安卓用户
可利用攻击点:
可引发后果:
其他:该漏洞可以劫持同一个WiFi网络上使用Firefox浏览器的安卓用户的流量,导向恶意网站。Mozilla已修复。
时间:10月
公司/系统:SS7
类型:协议
数量:
影响范围:
可利用攻击点:
可引发后果:
其他:1975年就开发的SS7协议中存在漏洞,会影响到5G网络。
时间:10月
公司/系统:苹果
类型:软件
数量:55
影响范围:
可利用攻击点:XSS、注入攻击
可引发后果:账号劫持、信息泄露
其他:安全研究团队在三个月中,发现了苹果在线服务中的55个漏洞,其中有11个高危漏洞。
时间:11月
公司/系统:AWS
类型:API
数量:20+
影响范围 :覆盖16种AWS服务,大约22个API
可引发后果:信息泄露
其他:受影响服务包括Amazon S3、Amazon KMS、Amazon SQS服务。
时间:11月
公司/系统:EA Games
类型:软件/程序与应用
数量:1
影响范围:3,000万用户
可利用攻击点:
可引发后果:提权
其他:在EA Games Origin的客户端中发现漏洞,可以让潜伏的攻击者利用该漏洞获取主机的管理员权限。该漏洞已经被EA Games修复。
时间:12月
公司/系统:SolarWinds
类型:软件/程序与应用
数量:1
影响范围:280家企业或机构受到恶意软件感染,思科、SAP、英特尔、德勤、英伟达、富士通等科技巨头包括在内。
可利用攻击点:绕过API身份验证
可引发后果:命令执行
其他:
四、技术产业与资本市场篇
01 技术产业
据数世咨询对约550家具备原厂技术、产品与服务能力的安全企业的初步调查统计,预计2020年,中国网络安全技术、产品与服务的总收入约为700亿元,同比增长18%。(注:此收入不包括IT厂商、行业三产公司、事业单位和分销/渠道/代理商的收入)
据数世咨询的网络安全能力图谱统计,国内网络安全技术、产品与服务的细分领域已达50个大类和150多个子类。其中,技术创新程度大部分集中在“融合创新”与“集成创新”阶段,市场成熟度大部分集中在“新兴市场”与“发展市场”阶段。见下图:
基于技术先进性、落地实现和市场需求,数世咨询提出近两年网络安全的十大技术创新趋势:
1)云主机安全
2)云原生安全
3)开发安全
4)零信任架构
5)大数据交换
6)网络资产测绘
7)蜜罐诱捕
8)威胁检测与响应(TDR)
9)网络靶场
10)工控安全
02 资本市场
据数世咨询统计,2020年国内网络安全融资笔数达到100多次,融资总额172.94亿元(不包括股权置换与上市公司增发募资),与去年相比增长32.58%。
(数世咨询供图,转载请注明来源)
(数世咨询供图,转载请注明来源)
(数世咨询供图,转载请注明来源)
(数世咨询供图,转载请注明来源)
海外资本市场方面,融资次数接近200余笔,融资总额约为189.82亿美元。
(数世咨询供图,转载请注明来源)
(数世咨询供图,转载请注明来源)
(数世咨询供图,转载请注明来源)
重要结论
自2016年以来,国内网络安全行业融资始终呈激增态势。从14亿元到几近173亿元的融资总额,显现出资本市场从个人消费市场转向企业服务市场的明显转变趋势。
从未有过任何一个网络安全理念像“零信任”一样得到快速的接纳和普及,究其原因无非两点:一是理念层面的易懂性(永不信任,始终验证),二是集技术热点于一体(云安全、身份安全、数据安全)。
安全运营的概念正在深入人心。数世咨询今年提出安全运营的五要素:工具+平台+人,结合管理机制和业务流程。只有安全运营才能充分发挥工具与平台的价值,从而赋予用户真正的安全能力。
网络安全行业虽然是一个潜力巨大的市场,但其“碎片化”的特性亦是资本市场的选择难点,因此“广撒网”、“共成长”和“长期持有”的模式,逐渐成为资本方对网络安全行业的投资逻辑共识。同时,尤其是科创板的成立,为一级市场的资本提供了良好的退出通道。
中国已经上升成为网络安全企业融资次数仅次于美国的国家。虽然目前的统计存在融资额度高低和公开披露意愿的因素,但国内各层面对网络安全的重视度已是不争的事实。
据不完全统计,2020年的海外融资并购总金额为191.82亿美元。其中,收并购事件53起 ,16家收购总金额为128.49亿美元,37家未披露收购金额。3家公司上市,其中2家公司IPO总金额为9.7亿美元,115起风险与战略投资事件,融资额为61.33亿美元。
五、会议活动篇
据数世咨询统计,今年规模在300百人以上的网络安全相关会议活动达到100多场。现将影响力较大的活动列表如下:
重要结论
国内以安全为重要元素的大型活动,主要有三种形式,技术讨论、攻防竞赛和综合性会议。三者的侧重点也各有不同。技术讨论重在技术研究与交流探讨,攻防竞赛重在选拔人才和检验效果,综合性会议重在宣传推广与合作洽谈。
过去的会议活动主要以网络安全厂商为主办或主导,但现在的趋势是安全企业越来越寻求与政府部委进行合作。网络安全产业的发展,离不开国家政府层面的支持和推动。同时,大型互联网企业纷纷举办安全会议活动,反应出安全越来越得到用户的重视。
新冠疫情的爆发,导致今年上半年大量的在线会议和下半年线下会议的集中。同时,线下结合线上的会议形式呈爆发性增长。可以断言,未来线上结合下的会议形式将成为常态。
六、国家安全与法规政策篇
01 国家安全
1月,美国商务部发布新规以限制人工智能相关软件的出口,智能化传感器、无人机、卫星和其他自动化设备的目标识别软件(无论民用或军用)都在限制范围之内。
2月,据Recorded Future的研究报告,朝鲜高层已经将互联网用于产生经济收入和逃避国际制裁与控制的工具。2017年以来朝鲜的网络活动量增长了300%。另据2019年联合国安理会的报告,朝鲜从2015年开始,从至少35个国家的金融机构与加密货币交易平台窃取了价值约20亿美元的财富。
2月,美国司法部起诉四名“中国黑客”入侵Equifax,该事件影响近1.5亿美国公民。对此中国外交部回应,中国政府和军队及其相关人员从不从事或参与通过网络窃取商业秘密活动。
2月,全球多家媒体报道,美国和德国情报部门通过暗中控制瑞士加密公司Crypto AG,秘密控制了全球各国政府数十年来的绝密通信。这家瑞士公司向大约120个国家提供编码通信设备。
2月,美英两国指控俄罗斯情报机构GRU,组织了2019年对格鲁吉亚包括总统、法院和媒体等约2000家网站的网络攻击活动。
2月,美国政府2021财年预算提案显示,分配给网络安全的的188亿美元,其中约90亿美元专门用于民营部门以保护网络安全,包括保护关键基础设施、增强网络安全人才以及其他优先事项。
3月,美国包括国防部、国土安全部、司法部、国家安全局和联邦调查局在内的8家政府机构联合发表声明,警告企图干涉公众观点和美国大选的国家会遭受严重的后果。
3月,360公司披露美国中央情报局CIA攻击组织对中国进行的长达十一年的网络攻击渗透。在此期间,我国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位均遭到不同程度的攻击。
3月,美国总统特朗普签署剥离与替代中国科技公司华为、中兴设备的法案,将提供10亿美元给本国的运营商。
3月,特朗普签发执行《保护5G与未来法案》,该法案中发布了《保护5G国家战略》。该战略文件的目标是明确表述“在全世界范围,美国与最紧密的合作伙伴和盟友一起,引领安全、可靠的5G通信基础设施的开发、部署与管理”。
4月,美国国务院、财政部、国土安全部和联邦调查局联合通告来自朝鲜的网络威胁和网络攻击活动。
5月,美国参议院商务委员会批准《2020网络跃迁法案》,该法案的立意在于提升网络安全竞争力。
6月,澳大利亚政府宣布将在10年内投入13.5亿美元用于保障澳大利亚情报及安全机构的网络空间安全,其中4.7亿美元将用于建立500个网络空间的相关职位。
6月,美国商务部与国务院发表声明,禁止美国生产的国防设备与技术出口到香港,以防止中国大陆出于军事目的的利用。
7月,雅虎新闻披露,美国中央情报局正在进行一项针对俄罗斯、中国、伊朗和朝鲜的秘密网络战。
7月,欧盟首次实施了一项针对中国、俄罗斯和朝鲜的经济制裁,理由是这些国家在过对欧洲公民和商业进行了网络攻击。
8月,美国众议院通过了一项高达1.3万亿的拨款法案,其中5亿美元用于增加竞选安全。
8月,美国总统特朗普签署行政令,将在45天后禁止任何美国个人或实体与抖音海外版、微信及其中国母公司进行任何交易,违反此规定的美国个人或实体将面临制裁。
8月,英国军方提出取消对主战坦克部队的投入,将节省下来的军费投入到网络空间及其他前沿科技领域上。
10月,美国司法部披露俄罗斯情报机构人员为国家支持的黑客组织Sandworm成员,并将过去十年来包括乌克兰电厂、法国竞选、NotPetya勒索软件、平壤冬奥会等一系列网络攻击事件归于该组织。
10月,瑞典当局禁止中国公司华为与中兴在该国建立新的高速无线网络。之前,该国最高级别的安全官员声称,中国为瑞典的最大威胁之一。
10月,美国国务院宣布增加了四个与美国签订5G安全声明的欧洲国家,签订声明的国家只选择“可信”的电信设备提供商。
11月,美国网络安全与基础设施局和联邦调查局警告,伊朗黑客利用网络设备与系统的漏洞访问了美国的竞选投票系统。
11月,美国三大社交网络脸书、推特和油管声称,对可能影响美国大选的虚假信息的操纵与传播保持高度警惕,并采取高技术手段对社交平台进行实时监控。
11月,英国政府宣布了165亿英磅的国防安全投入,并披露了新近建立的国家网络空间部队和人工智能机构。
11月,印度政府出于国家安全考虑,增加了43款中国移动应用的禁止令,总共数量已达到220个。
11月,瑞士媒体曝光了另一家瑞士加密公司同样在美国中央情报局和国家安全局的控制之下, 并已向外国政府和军队乃至本国客户出售可被操纵的加密设备。
12月,美国商务部宣布将包括中芯国际、大疆无人机等一批中国科技公司共77家,列入实体清单。
12月,美国国土安全部警告美国机构,使用与中国有关联公司的数据服务和设备的安全风险。
重要结论
朝鲜已经将互联网用做产生经济收入的工具。联合国安理会的报告将2014年的索尼影业、2016年的孟加拉银行、2017年的WannaCry、2018年的加密货币交易平台等大型黑客事件归咎于朝鲜。
从瑞士加密公司的设备后门事件以及近年来的代码武器库泄露和各种顶级攻击手段可以看出,以美国为首的西方发达国家的情报部门才是全球网络空间安全的最大刺探者和威胁者。
中国大型科技公司已被美国认为是国家安全和经济发展的严重威胁,不断增加的实体清单和各种子虚乌有的指控,显现出这个超级大国的心虚、不甘和强硬态度。
利用机器爬虫、僵尸粉丝与Deepfake等技术散播虚假信息,不仅影响政治舆论走向,还会伤害商业名誉、散布恐慌、制造与传播谣言,严重危害社会安全、公共安全,甚至是国家安全。
02 法规政策
国内法规政策
重要结论
“数据”是今年网络安全政策中的最热词,最值得注意的是《数据安全法》(征求意见稿)的发布,让数据安全从此有法可依。中共中央、国务院联合下发《关于构建更加完善的要素市场化配置体制机制的意见》中,第一次将“数据”作为“要素”列入市场化配置体制机制,并明确提到了对数据资源的安全保护。几大部委、经济头部省份、特区相继发布了各自的数字数据政策,外交部也向国际社会发起了“全球数据安全倡议”。由上到下、由内到外都体现出国家对数字经济和数据安全的重视程度。
物联网、工业、金融、电力、5G等关键基础设施的安全,是另一个重要安全趋势。大国博弈期涉及到国家安全,需要有不计成本的重视和投入。中美两国在物联网、5G等关键领域今年都有了政策法规方面的重要动作。
疫情是今年贯穿整年的主题,因此,在做好疫情防控公民防病的同时,各地如何做好防疫App(小程序)的数据安全防护,以及对公民个人信息保护就成为与每一位公民直接相关的网络安全问题。《个人信息保护法》、网信办下发的多个指南文件都对此提出了明确的要求和建议。
国外法规政策
重要结论
列实体名单、向企业施压、签署新法案、五眼联盟建立协同安全响应机制。西方国家的多个动作表明,“大国博弈”的大环境在今年得到了延续和加强,罕见的“黑天鹅”已经成为眼前的“灰犀牛”。
基础科学和关键技术是大国博弈的必争制高点。量子网络、太空安全,人工智能、5G、物联网等前沿技术及对应的网络安全问题,各国都在发力,既要“弯道超车”,也要避免“弯道翻车”。
结语
科技发展的必然规律,技术越高级,系统越复杂,风险就越大。同时,网络空间安全或数字空间的安全,区别于物理世界割裂的安全,将成为数字世界一切活动的基本需求。此二者决定了网络安全必将在全球政治、经济、军事、科技等所有社会活动中,占据最为关键和重要的位置之一。
习总书记在2018年中央外事工作会议上首次提出“百年未有之大变局”的重大论断,深刻揭示了当今世界发展的时代特征。其中的内涵之一,是科学技术的进步和发展推动着“百年未有之大变局”的情形前所未有。2020年前所未有的全球新冠疫情的爆发,大量的社会活动转到在线上,更是从现实实践上验证了“前所未有大变局”这一论断的准确性。而站在在人类科技文明进程的尺度上,“人类命运共同体”是应对“世界大变局”的唯一答案。
作者:
数世首席分析师:李少鹏
产业市场分析师:左 晶
综合调研分析师:刘宸宇
技术应用分析师:潘颉阳
数据统计分析师:牛爱民
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。