查看原文
其他

2021年数字安全大事记

数世咨询 数世咨询 2022-06-08


前言


2021年可谓是数字安全时代的开启元年。习近平总书记在2021年世界互联网大会乌镇峰会开幕的贺信中强调,“筑牢数字安全屏障,让数字文明造福各国人民,推动构建人类命运共同体。” 中央网络安全和信息化委员会在2021年11月印发了《提升全民数字素养与技能行动纲要》,纲要在部署的第六个主要任务中明确了“提高数字安全保护能力”的要求。


随着国家层面的大力推动,数字经济的蓬勃发展,为了记述数字安全产业发生的大事件以反映行业现状与趋势,数世咨询于今日正式发布《2021年数字安全大事记》。


一、信息泄露与网络攻击篇


1、信息泄露


数世咨询根据公开的200余起影响较大的信息泄露事件统计,2021年全球信息泄露用户凭证数达4亿个,泄露信息记录达356亿条,涉及人数约18.6亿人。

数世咨询供图,转载请注明来源


重要结论


• 信息泄露的行业分布中,软件与互联网占比明显下降,但政府与国防、金融、运营商、制造业、交通物流等关键基础设施相关行业占比有所上涨,与此同时,针对特定目标的“黑客攻击”导致的信息泄露数量大幅增加,占比达到六成。

• 地域分布方面,北美、欧洲与亚太地区信息泄露数量合计占到了全球信息泄露事件的85%,这一点与去年保持一致,侧面反应出信息技术发达地区与落后地区的数字鸿沟,也意味后者仍然蕴含着较大的数字经济发展机遇和潜在的数字安全风险。


2021年度十大信息泄露事件


时间:1月

泄露公司:笨鸟社交

国家:中国

泄露信息:账号信息,2.14亿个,408GB

泄露原因:ElasticSearch错误配置

其他信息:大约2.14亿个账号的信息被泄露,包括部分个人信息。同时泄露关联账号信息,超过1,100万个Instagram账号、6,600万个LinkedIn账号、8,100万个Facebook账号。

链接:https://www.hackread.com/chinese-firm-leak-facebook-instagram-linkedin-user-data/


时间:3月

泄露公司:FBS

国家:塞浦路斯

泄露信息:个人信息,20TB,160亿条记录

泄露原因:ElasticSearch错误配置

其他信息:

链接:https://www.hackread.com/online-trading-broker-fbs-exposes-data/


时间:4月

泄露公司:Facebook

国家:美国

泄露信息:个人信息,5.33亿人

泄露原因:黑客攻击

其他信息:

链接:https://www.zdnet.com/article/facebook-data-on-533-million-users-posted-online/


时间:4月

泄露公司:

国家:全球

泄露信息:32.8亿个密码、21.8亿邮件地址

泄露原因:未知

其他信息:

链接:https://thehackernews.com/2021/04/32-billion-leaked-passwords-contain-15.html


时间:6月

泄露公司:Cognyte

国家:以色列

泄露信息:50亿条

泄露原因:配置不当

其他信息:带有50亿条记录的数据库直接暴露在公网上。该数据库为记录过去泄露事件的数据库,包括相关的邮件地址、密码等。

链接:https://www.darkreading.com/attacks-breaches/cyber-analytics-database-exposed-5-billion-records-online/d/d-id/1341297


时间:6月

泄露公司:淘宝

国家:中国

泄露信息:11.8亿条

泄露原因:黑客攻击

其他信息:攻击者从2019年开始对淘宝进行恶意爬虫,总共爬取淘宝用户信息11.8亿条。

链接:https://www.theregister.com/2021/06/16/alibaba_tabao_scraped_data_leak/


时间:8月

泄露公司:T-Mobile

国家:美国

泄露信息:个人信息、账号信息,1310万人、1亿账号

泄露原因:黑客攻击

其他信息:

链接:https://www.theregister.com/2021/08/18/t_mobile_us_admits_hack_48m_users/


时间:10月

泄露公司:Syniverse

国家:美国

泄露信息:

泄露原因:黑客攻击

其他信息:泄露从2016年五月开始,但到2021年5月才被发现。尚不可知具体有多少信息被泄露,但是考虑到攻击接入了内部系统,并且该运营商每年处理7,400亿条短信记录,泄露体量可能极大。

链接:https://www.darkreading.com/attacks-breaches/five-year-breach-may-have-exposed-billions-of-text-messages


时间:10月

泄露公司:Hariexpress

国家:巴西,电商

泄露信息:文件信息,17.5亿个

泄露原因:ElasticSearch错误配置

其他信息:

链接:https://www.zdnet.com/article/brazilian-e-commerce-firm-hariexpress-leaks-1-75-billion-sensitive-files/


时间:10月

泄露公司:

国家:中国,互联网

泄露信息:中国公民信息,54亿条记录

泄露原因:暗网

其他信息:

链接:https://mp.weixin.qq.com/s/bpmNRrD7BtqfSkm5y1Fm6Q


2、网络攻击

2021年,数世咨询对全球200余起大型攻击事件进行了统计分析,见下图:

 数世咨询供图,转载请注明来源


重要结论


• 美国、英国、法国、中国、新西兰是遭受攻击事件最多的国家,对应地区分别为北美、欧洲和亚太。

• 勒索病毒占所有攻击事件的21%,相比去年略有下降,但相比其他方式仍明显处于继续爆发的趋势。

• “加密货币”成为今年新的一大攻击目标。在多起此类攻击事件中,黑客利用智能合约错误导致的漏洞盗取了大量资金。毫无疑问,疯狂的虚拟货币价格是此类攻击事件背后的主要驱动力。

• 今年另一个较为突出的新攻击方式是“供应链攻击”。攻击目标也多为政府、金融等关键基础设施行业。结合0day漏洞利用、社会工程等方式,国与国之间的网络攻击态势依然明显,且趋于深化,攻击方式亦越来越多样化。


2021年度十大网络攻击事件


时间:2月

攻击方:

受攻击方:佛州某城市供水系统

国家:美国

行业:基础设施

攻击方式:

损失:

影响:

其他:攻击者通过TeamViewer成功进入该城供水系统,并试图将水中氢氧化钠投入倍数调整到原比例的100倍,被相关人员实时发现并阻断。

链接:https://www.securityweek.com/remote-hacker-caught-poisoning-florida-city-water-supply


时间:3月

攻击方:

受攻击方:Universal Health Services

国家:美国

行业:医疗健康

攻击方式:勒索病毒

损失:6,700万美元

影响:业务中断

其他:攻击发生在去年,造成税前损失达6,700万美元。

链接:https://www.darkreading.com/attacks-breaches/universal-health-services-suffered-$67-million-loss-due-to-ransomware-attack/d/d-id/1340285


时间:3月

攻击方:

受攻击方:Molson Coors

国家:美国

行业:制造业

攻击方式:

损失:1.4亿美元

影响:业务中断

其他:攻击导致业务中断,无法进行酿酒工作以及运输,短期损失预计达到1.4亿美元。

链接:https://www.zdnet.com/article/molson-coors-discloses-cyberattack-disrupting-its-brewery-operations/


时间:3月

攻击方:

受攻击方:CNA Financial Corporation

国家:美国

行业:金融

攻击方式:勒索病毒

损失:4,000万美元

影响:业务中断

其他:美国最大的商业保险公司之一。最终为了恢复系统,同意支付4,000万美元的赎金。

链接:https://www.securityweek.com/insurer-cna-says-cyberattack-caused-network-disruption


时间:5月

攻击方:Darkside

受攻击方:Colonial Pipeline

国家:美国

行业:基础设施

攻击方式:勒索病毒

损失:

影响:业务中断

其他:Colonial Pipeline的IT系统遭到攻击,导致企业不得不关闭油气传输管道,影响5,000万人的生活。

链接:https://www.secrss.com/articles/31069


时间:7月

攻击方:REvil

受攻击方:Kaseya VSA

国家:美国

行业:IT

攻击方式:勒索病毒

损失:

影响:业务中断

其他:Kaseya VSA的远程设备管理平台遭到REvil勒索病毒攻击,通过供应链影响超过1,500家公司。攻击者要求赎金7,000万美元。攻击的影响之一,导致瑞典800多家超市停止运作。

链接:https://thehackernews.com/2021/07/revil-used-0-day-in-kaseya-ransomware.html


时间:8月

攻击方:

受攻击方:Poly Network

国家:

行业:加密货币

攻击方式:漏洞利用

损失:

影响:

其他:攻击者利用智能合约中的漏洞,转移了价值6亿美元的加密货币。之后,攻击者几乎退回了所有转移的加密货币。

链接:https://www.zdnet.com/article/poly-network-hackers-potentially-stole-610-million-is-bitcoin-still-safe/


时间:10月

受攻击方:Cream Finance

国家:中国台湾

行业:加密货币

攻击方式:漏洞利用

损失:价值1.3亿美元的加密货币

影响:经济损失

其他:

链接:https://www.theregister.com/2021/10/28/cream_ethereum_theft/


时间:12月

受攻击方:BadgerDAO

国家:美国

行业:加密货币

攻击方式:漏洞利用

损失:1.2亿美元的加密货币

影响:经济损失

其他:

链接:https://www.hackread.com/hackers-steal-badger-defi-monox/


时间:12月

受攻击方:BitMart

国家:开曼群岛

行业:加密货币

攻击方式:N/A

损失:1.5亿美元的加密货币

影响:经济损失

其他:有安全研究人员认为,损失估计应接近2亿美元。

链接:https://www.theregister.com/2021/12/06/bitmart_breach/


二、漏洞篇


截止到目前(12月27日)为止,CNVD(国家信息安全漏洞共享平台)今年漏洞总数为18242,比去年20248减少约11%。CNNVD(国家信息安全漏洞库),2021年总漏洞数为20350,同比去年增长了约6.85%。截止12月28日,NVD共发布漏洞数量21859个,较去年同期增长13.6%。


2021年CNVD的漏洞分布显示排名第一的漏洞类型为“设计错误”,占比52.4%,再次为“输入验证错误”,占比28.8%。



2021年VULHUB收录的总漏洞数为25430,同比去年增长了约4.43%。其中高危漏洞6753个,中危漏洞11487个,低危漏洞7190个。VULHUB采用CWE作为漏洞分类标准,其中排名前10的漏洞类型分别为:在Web页面生成时对输入的转义处理不恰当(CWE-79),内存缓冲区边界内操作的限制不恰当(CWE-119),输入验证不恰当(CWE-20),信息暴露(CWE-200),权限、特权与访问控制(CWE-264),SQL命令中使用的特殊元素转义处理不恰当(CWE-89),跨界内存写(CWE-787),对路径名的限制不恰当(CWE-22),访问控制不恰当(CWE-284),资源管理错误(CWE-399)。 (注:漏洞内容由丈八网安提供)



截止2021年,据VULHUB统计累计漏洞发现最多的厂商如下:

微软(漏洞8996个)
甲骨文(漏洞6081个)
苹果(漏洞5962个)
谷歌(漏洞5159个)
IBM(漏洞4724个)
思科(漏洞4186个)
Linux(漏洞3454个)
Debian(漏洞3406个)
Adobe(漏洞3329个)
红帽(漏洞2962个)
Mozilla(漏洞2246个)
Canonical(漏洞2124个)
惠普(漏洞1853个)
SUN(漏洞1741个)
Novell(漏洞1569个)
OpenSUSE(漏洞1322个)
阿帕奇(漏洞1252个)
Joomla(漏洞820个)
Fedora Project(漏洞772个)
Drupal(漏洞771个)


截止2021年,VULHUB统计漏洞最多的产品如下:

macOS(漏洞3811个)
Linux Kernel(漏洞3409个)
Debian(漏洞3271个)
Android(漏洞3065个)
Ubuntu(漏洞2203个)
Firefox(漏洞1920个)
iOS(漏洞1866个)
Chrome(漏洞1860个)
Windows(漏洞1857个)
Windows7(漏洞1681个)
Windows Server 2008(漏洞1616个)
Windows Vista(漏洞1333个)
Adobe Acrobat(漏洞1314个)
Windows XP(漏洞1310个)
Windows10(漏洞1260个)
Adobe Acrobat Pro DC(漏洞1182个)
Adobe Acrobat Reader DC(漏洞1182个)
Windows8.1(漏洞1139个)
Internet Explorer(漏洞1102个)
Enterprise Linux Desktop(漏洞1096个)


由于2021年12月重大漏洞频发,截止2021年12月29日,VULHUB通过对近期漏洞风险状况进行综合评估计算得出当前的漏洞风险指数为“危急”。


参考:http://vulhub.org.cn/index


总体来看,2021年漏洞数量仍然呈现上升趋势,而且出现了类似Log4j2远程代码执行(CVE-2021-44228/CVE-2021-45046)这种危害极大、影响面超广的重大安全漏洞。


年度十大漏洞


1、Apache Log4j2 远程代码执行漏洞(CVE-2021-44228/CVE-2021-45046)


2、Microsoft MSHTML远程代码执行漏洞(CNVD-2021-69088,对应CVE-2021-40444)


3、SonarQube系统未授权访问漏洞(CNVD-2021-84502)


4、GitLab命令执行漏洞(CVE-2021-22205)


5、Google Chrome远程代码执行漏洞(CNVD-2021-27989)


6、Google V8引擎远程代码执行漏洞(CNVD-2021-29059,对应CVE-2021-21220)


7、微信Windows客户端远程代码执行漏洞(CNVD-2021-29068)


8、Microsoft Exchange Server远程代码执行漏洞(CNVD-2021-14768、CNVD-2021-14769、CNVD-2021-14770,对应CVE-2021-26854、CVE-2021-26412、CVE-2021-27078)、Microsoft Exchange Server任意文件写入漏洞(CNVD-2021-14810、CNVD-2021-14811,对应CVE-2021-27065、CVE-2021-26858)、Microsoft Exchange Server反序列化漏洞(CNVD-2021-14812,对应CVE-2021-26857)、Microsoft Exchange Server请求伪造漏洞(CNVD-2021-14813,对应CVE-2021-26855)。


9、VMware vCenter Server远程代码执行漏洞(CNVD-2021-12322,对应CVE-2021-21972)、VMware ESXi OpenSLP堆溢出漏洞(CNVD-2021-12321,对应CVE-2021-21974)。


10、微软Windows操作系统TCP/IP高危漏洞(CNVD-2021-10528,对应CVE-2021-24074,CNVD-2021-10529,对应CVE-2021-24086)。


三、技术产业与资本市场篇


1、技术产业


据数世咨询对约600家具备原厂技术、产品与服务能力的安全企业的初步调查,预计2021年,中国数字安全技术、产品与服务的总收入约为900亿元,同比增长19%。(注:此收入不包括IT厂商、行业三产公司、事业单位和分销/渠道/代理商的收入)


基于首创的“网络安全三元论”——信息技术、业务应用和网络攻防,数世咨询将能力图谱分为八大方向:信息基础设施保护、信息计算环境保护;行业环境安全、应用场景安全;基础与通用技术、体系框架、安全运营和数据安全。同时,网络安全能力图谱的名称也相应迭代成“数字安全能力图谱”。 


 

根据“专精特新”的技术先进性和落地可行性,数世咨询提出:


2021年度数字安全十大创新技术


1、内存保护
2、AD域安全
3、API安全
4、全栈云原生安全
5、IPV6架构安全
6、漏洞优先级技术
7、攻击面管理
8、入侵攻击模拟
9、数据访问安全域
10、隐私计算


2、资本市场


据数世咨询统计,2021年国内数字安全融资笔数达到180余次,股权投资总额约158.9亿,与去年相比增长52%。


 

数世咨询供图,转载请注明来源

 

海外资本市场方面,融资次数200余笔,股权融资总额约为173亿美元,收并购金额达到592亿美元。


数世咨询供图,转载请注明来源


重要结论


• 2021年数字安全行业股权融资涨幅激增,但与国外500多亿美元的收并购金额相比,国内的收并购微乎其微。一是反映出国内的安全企业体量较小,二是国内的安全产业还处于早期发展阶段。 

• 数据安全、威胁检测与响应、开发安全、安全运营、工业互联网安全、身份安全是全球投融资方向热点,意味着信息技术、业务场景与网络安全的加速融合,数字安全时代已经来临。


2021年度八大收并购事件


1、Partners收购McAfee,140亿美元

2、Thoma Bravo收购proofpoint,123亿美元

3、Avast PLC并购NortoLifeLock,86亿美元

4、Okta收购Auth0,65亿美元

5、Permiranhmq收购Mimecast,58亿美元

6、TransUnion收购Neustar,31亿美元

7、TPG Capital收购Thyoctic,14亿美元

8、STG收购FireEye,12亿美元


四、国家安全与法规政策篇


1、国家安全


1月,依据美国总统特朗普之前发布的行政令,纽交所取消三家中国电信公司上市资格,中国电信、中国移动和中国联通(香港)于1月7日至11日退市。


1月,联邦调查局(FBI)、国土安全部网络安全和基础设施安全局 (CISA)、国家情报总监办公室 (ODNI) 和国家安全局 (NSA) 发表联合声明,称最近发生的 SolarWinds 漏洞和对政府网络的攻击主要是“情报收集工作”,并指出俄罗斯可能是袭击的肇事者。 


1月,行将卸任的美国总统特朗普签署了一项新的行政命令,对 8 个中国应用程序发出禁令,包括支付宝、CamScanner、QQ钱包、SHAREit、腾讯QQ、VMate、微信支付、WPS Office。


1月,美国国务院宣布将成立一个新的网络安全和技术机构——网络空间安全与新兴技术局 (CSET) ,其将作为美国网络安全利益的外交机构。


2月,美国指控朝鲜三名军事黑客在全球范围内实施了“广泛且长期”的网络攻击和金融犯罪,其中包括从世界各地的组织窃取 13 亿美元的资金和加密货币。


2月,英国最高情报和安全机构 GCHQ 在“开拓新型国家安全”报告中披露其重磅投入的人工智能情况。由于GCHQ处理的大量数据给安全机构和执法机构带来了巨大压力,人工智能可以减轻这种负担,不仅可以提高速度,还可以提高专家决策的质量。 


3月,美国网络安全和基础设施安全局 (CISA) 在发布针对 Microsoft Exchange 中的零日漏洞的修复程序后又发布了一项紧急指令,CISA 表示,合作伙伴组织已经检测到“对 Microsoft Exchange 部署产品的漏洞利用”,要求联邦机构立即着手解决。 


3月,《纽约时报》发表了一篇报道,阐述美国“在接下来的三周内将针对俄罗斯网络进行一系列秘密行动”。


3月,美国国家情报局发布评估报告,称俄罗斯、伊朗试图干扰 2020 年选举。报告中称“在选举日之前的州、地方政府网络中出现了一些成功的网络攻击行为——以及大量不成功的尝试”,这些攻击“并非旨在改变选举程序”,而是“散布虚假或夸大的声明,声称所谓的投票系统妥协,以破坏公众对选举程序和结果的信心。”


4月,澳大利亚维多利亚州政府计划总投资 3000 万澳元,升级和现代化该州 28 家医院和医疗服务机构的 IT 基础设施,以防范进一步的网络攻击。3000 万澳元将分配给墨尔本的医院以及区域和农村卫生服务。墨尔本医院将获得近 2200 万澳元的大部分份额,而剩余的 800 万澳元将分配给区域和农村卫生服务。


4月,美国因 SolarWinds 网络攻击制裁俄罗斯并驱逐 10 名外交官。美国财政部对俄罗斯实施了全面制裁,理由是俄罗斯“破坏了美国自由公平选举和民主制度的进行”,并因其在 SolarWinds 黑客活动中的作用而对俄罗斯实施了全面制裁,同时还禁止了六家科技公司在为俄罗斯情报部门运行的网络计划提供支持的国家。此外,拜登政府还驱逐了俄罗斯驻华盛顿外交使团的10 名成员,其中包括其情报部门的代表。


4月,拜登政府宣布了一系列强有力的、协调一致的惩罚措施,以应对俄罗斯日益增长的恶意行为,包括对 SolarWind 软件的大规模黑客攻击、试图干预 2020 年大选以及其他针对美国的破坏性行为。


4月,联邦调查局和国土安全部发布公告,就俄罗斯外国情报局 (SVR) 通过 APT 29(又名 Dukes、Cozy Bear、Yttrium 和 CozyDuke)的网络威胁发布了联合网络安全咨询。该公告主要着眼于 APT 29 带来的威胁、其方法的演变以及防御最佳实践。


5月,FBI、NSA、CISA 和 NCSC 就俄罗斯外国情报局 (SVR) 活动发布联合咨询报告,该报告描述了有关 SVR 活动的更多详细信息,包括在 SolarWinds Orion 软件泄露之后的漏洞利用,以及使用各种技术工具,针对全球范围内的海外政府、外交、智囊团、医疗保健和能源等目标开展情报获取行动。


5月,作为 2021 年联邦预算的一部分,澳大利亚安全情报组织 (ASIO) 成为 19 亿澳元国家安全资金池的大赢家,获得了为期 10 年的资金支持。这笔 13 亿澳元的资金将用于建立 ASIO 保护澳大利亚和澳大利亚人免受安全威胁的能力。


5月,英国将斥资 2200 万英镑影响印太国家针对“专制政权”的网络安全政策。这笔资金将用于“国家级网络响应团队”,其目的是“加强网络调查合作”,以应对可能由国家支持的对企业和数字基础设施的攻击。


5月,国土安全部在Colonial 油管事件后发布新的管道网络安全指南,新规要求管道运营商向 CISA 报告任何网络安全事件,并聘请可以 24/7 全天候待命的网络安全协调员。


6月,拜登发布了一项行政命令,以扩大特朗普时代禁止中国科技和国防公司接受美国投资的禁令,黑名单将从 31 家增加到 59 家。拜登在命令中表示,有必要采取更多措施来应对“中国军工综合体及其参与军事、情报和安全研究与开发计划以及武器和相关中国军民融合战略下的装备生产。”


6月,拜登与普京在日内瓦进行了近四个小时的会晤,他和俄罗斯总统弗拉基米尔普京同意将两国的网络安全专家召集在一起,就网络活动的“禁区”以及美国和俄罗斯将如何“遵循”建立“具体理解”。他向普京提供了一份包括能源和水在内的大约 16 个关键基础设施部门的清单,这些部门应该是黑客“禁区”。拜登没有提供更多细节,但指出如果俄罗斯违反“这些基本规范”,美国将使用“重要的网络能力”。


6月,俄罗斯电信和媒体监管机构 Roskomnadzor (RKN) 周四对该国的VyprVPN和Opera VPN服务实施了限制。2019 年 3 月 28 日,俄罗斯政府曾要求VPN、匿名器和搜索引擎运营商保证他们通过联邦国家信息系统 (FSIS) 阻止 Roskomnadzor (RKN) 指定的站点。据俄罗斯国际文传电讯社报道,卡巴斯基实验室是唯一一家符合要求的公司。另一家网络安全供应商 Avast遵循该命令退出了 VPN 市场。


6月,恶意软件分析小组称,韩国核研究机构被朝鲜附属网络攻击者攻破。恶意软件分析组织 IssueMakersLab 在一份报告中表示,它于 5 月 14 日检测到针对韩国原子能研究所 (KAERI)的攻击。这次攻击的 13 个互联网地址来源中,其中一个可以追溯到朝鲜黑客组织 Kimsuky。


6月,波兰执政的右翼政党表示,最近从俄罗斯发起了针对波兰高级政客的“大规模”网络攻击。波兰的高级官员、部长、各种政治派别的立法者都是网络攻击的对象。


6月,欧盟(EU)计划成立一个新的网络安全工作组,以应对整个欧盟的网络攻击。该工作组被称为联合网络部门,将帮助遭受网络攻击的成员国寻求欧盟国家的帮助。此外,还将部署快速响应团队,实时应对黑客。该工作组与华盛顿新提议的勒索软件工作组非常相似,但欧盟的版本将协调整个欧盟网络机构/当局之间的当前工作。


6月,澳大利亚联邦政府已将其 7000 万澳元的网络安全技能合作创新基金中的 820 万澳元用于八个项目,旨在提高澳大利亚网络安全专业人员的技能和可用性。


7月,美国国家安全局 (NSA) 和美国国土安全部的网络安全和基础设施安全局 (CISA) 共同发布了一份警告,声称俄罗斯军事情报机构 GRU 开始对美国和全球组织进行广泛的网络攻击。攻击目标覆盖能源、政府、政治、国防、后勤、智库、媒体、法律和高等教育等部门。


7月,美国国家标准技术研究所NIST 定义了具有广泛安全功能的“关键软件”,目的是为美国政府购买的软件启用更可靠的安全实践。NIST 的定义“应反映功能所需的特权或访问级别,与其他软件的集成和依赖关系,对网络和计算资源的直接访问,对信任至关重要的功能与性能,以及如果受到损害的潜在危害。” 


7月,日本防卫省宣布计划通过增加人员帮助其防御日益复杂的网络攻击。根据日经新闻的一份报告,该部希望在2022 年 3 月底之前再增加 800 名员工,这将使日本政府的网络安全防御部门从大约 660 人增加到近 1,500 人。招聘人员的一部分将包括从私营企业招聘。


7月,美国国务院宣布悬赏 1000 万美元,奖励任何有关为外国政府工作的黑客的信息。这包括针对“关键基础设施”的勒索软件攻击。 


7月,英国政府表示,今年早些时候的 Microsoft Exchange Server 攻击是由中国国家黑客团队实施的“系统性网络破坏”,其中包括为一家间谍机构工作的私人承包商。通过在 Exchange Server 中使用四个0day漏洞,攻击者对地方政府、国防和航空航天公司、教育机构等目标进行了间谍活动。


7月,美国司法部周一宣布对四名中国公民提出指控,指控他们是一个黑客组织的成员,该组织在 2011 年至 2018 年间袭击了“美国和国外的公司、大学和政府实体”。该组织还袭击了美国、印度尼西亚、马来西亚、挪威、沙特阿拉伯、南非、瑞士、英国、奥地利、柬埔寨、加拿大和德国的公司。大多数攻击针对国防、教育、医疗保健、生物制药和航空领域的公司。 


8月,美国网络安全和基础设施安全局 (CISA) 宣布成立一个名为“联合网络防御协作组织”(JCDC) 的机构,目的是让私营部门与政府机构合作,以便他们能够制定和实施比目前实施的更好的网络安全计划。首批行业参与者是 Amazon Web Services、AT&T、Crowdstrike、FireEye Mandiant、谷歌、Lumen、微软、Palo Alto Networks 和 Verizon。


8月,英国监控摄像头专员就中国侵犯人权问题对海康威视进行质询。担心由在英国运营的海康威视等公司制造的面部识别摄像头正在收集面部识别数据,这些数据可以然后被中国政府使用。


8月,瑞士邮政与法国漏洞赏金平台 YesWeHack 合作推出漏洞赏金计划,全球 800 多名安全研究人员可以在该计划中寻找电子投票系统中的漏洞。现在,该组织表示愿意支付“高达 230,000 欧元甚至更高的奖励,用于确认电子投票中的高危漏洞”。


9月,美国司法部 (DoJ) 于 9 月 14 日宣布与两名美国公民和一名前美国公民达成延期起诉协议,这三人代表阿拉伯联合酋长国 (UAE) 将受保护的信息 (ITAR/AECA) 转移到阿联酋,并进行了危害美国实体的网络操作。这三人都是美国情报界(据信是国家安全局)或美国军方的前成员。


9月,澳大利亚维多利亚州启动为期五年、耗资 5000 万澳元的网络战略。新战略基于三个核心任务:改善政府服务提供、创建网络安全场所和创建“充满活力的”网络经济。


9月,美国联邦通信委员会 (FCC)为小型运营商出台补偿计划,小型运营商可申请共计 19 亿美元的资金,以剥离和更换华为、中兴通讯的网络设备和服务。


9月,网络安全公司 Group-IB 的首席执行官在俄罗斯因叛国罪被捕,这家俄罗斯网络安全公司于 2018 年底将总部迁往新加坡。


10月,微软发布数字防御报告:58% 的国家网络攻击来自俄罗斯,其次是朝鲜 (23%)、伊朗 (11%)、中国 (8%) 和韩国。数据显示,俄罗斯的攻击“越来越有效”,从去年的 21% 成功入侵率上升到今年的 32%。他们还针对更多政府机构进行情报收集,这一目标从去年的 3% 跃升至 2021 年的 53%。微软数据显示,俄罗斯的攻击主要针对美国、乌克兰和英国。


10月,网络安全和基础设施安全局 (CISA)、联邦调查局和国家安全局 (NSA) 发布了关于 BlackMatter 勒索软件的警告,警告说在过去几个月中,两家美国食品和农业公司以及关键基础设施机构均遭受了恶意代码攻击。美国国家安全局局长表示,勒索软件已成为“国家安全问题”。


10月,美国联邦通信委员会(FCC)取消了中国电信在美国运营的权限,并给予其60天的时间停止提供国内和国际服务。该委员会援引特朗普时代司法部的建议称,中国电信美国“未能反驳”委员会所提出的一系列担忧。


11月,拜登政府计划成立网络空间和数字政策局。新机构将增加 500 个新的公务员职位、增加 50% 的信息技术预算,并将网络安全作为核心优先事项。重点在制定必要的国际协议上,以惩罚经常受到中国等非盟国政府庇护的网络攻击者,俄罗斯、伊朗和朝鲜。


11月,美国商务部已制裁四家网络安全公司,因为它们涉嫌向压制性的外国政府出售间谍软件和其他黑客工具。这四家公司分别是以色列公司 NSO Group 和 Candiru 以及总部位于俄罗斯的 Positive Technologies 和总部位于新加坡的Computer Security Initiative Consultancy  (COSEINC)  。


11月,国会通过了拜登总统的标志性立法之一,即价值 1 万亿美元的基础设施投资和就业法案。法案不仅承诺对国家基础设施进行大规模升级,而且还将政府网络安全支出增加 19 亿美元。包括一项新的 10 亿美元赠款计划,以帮助州、地方、地区政府保护自己免受恶意攻击者的侵害,保护敏感数据、信息和公共关键基础设施。


重要结论


• 美国、英国、澳大利亚、日本等发达国家持续大力投入网络安全,凸现出其在经济、政治、国防、公共服务方面对网络安全的担忧。

• 供应链安全、软件和系统漏洞、勒索软件为网络攻击的重要手段,尤其是勒索软件,已被美国国家安全局定义为“国家安全问题”。

• 美国持续加强网络安全相关的禁令和制裁,从经济、政治和司法等层面打压和指控俄罗斯、朝鲜、伊朗、中国等国家。


2、法规政策


国内法规政策


1月,工信部印发《工业互联网创新发展行动计划(2021-2023年)》,提出5项发展目标,明确11项重点工作任务,这也是工业互联网的第二个三年行动计划。

1月,《中国银保监会监管数据安全管理办法(试行)》发布

1月,最高检印发《人民检察院办理网络犯罪案件规定》

2月,国家市场监督管理总局(国家标准化管理委员会)发布强制性国标GB40050-2021《网络关键设备安全通用要求》

3月,“十四五”规划与2035年目标发布,“发展”和“安全”作为两个最重要关键词,对网络安全作出重要部署

4月,《中华人民共和国数据安全法(草案)》全文发布

4月,国家安全部公布2021年第1号令《反间谍安全防范工作规定》

4月,《数据安全法(草案)》(二次审议稿)全文发布

4月,《关键信息基础设施安全保护条例》于国务院第133次常务会议通过

6月,《中华人民共和国数据安全法》于(2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议通过,并于9月1日起施行

7月,中办、国办:加强跨境监管,压实境外上市公司信息安全主体责任

7月,工信部、网信办、公安部三部门联合印发关于网络产品安全漏洞管理规定的通知

8月,中央解密《党委(党组)网络安全工作责任制实施办法》

8月,网信办、发改委、工信部、公安部、交通部五部门联合发布《汽车数据安全管理若干规定(试行)》

8月,国务院公布《关键信息基础设施安全保护条例》,2021年9月1日起施行

8月,人大常委会会议通过并公布《中华人民共和国个人信息保护法》,2021年11月1日起施行

9月,工信布发布《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》公开征求意见

10月,国家互联网信息办发布《数据出境安全评估办法(征求意见稿)》 

11月,国家互联网信息办发布《网络数据安全管理条例(征求意见稿)》

12月,湖南省第十三届人民代表大会常务委员会第二十七次会议通过《湖南省网络安全和信息化条例》,2022年1月1日起施行


重要结论


• 数据安全、个人信息保护、关键信息基础设施保护是今年网络安全政策中的重中之重。


国外法规政策


1月,美国发布海事部门网络安全计划,旨在为包括数十万条主要水道、造船厂、港口和桥梁提供安全保护。

1月,美国国家安全局发布企业采用加密域名系统协议的指南。

2月,新加坡通过法案,用以管理警察使用密切接触者追踪数据。

2月,美国弗吉尼亚州立法者推进消费者数据保护法案。

2月,澳大利亚为成年人制定的网络滥用移除计划法案进入议会。

2月,欧洲网络与信息安全局发布医疗保健服务云安全指南

2月,斐济颁布《2021年网络犯罪法》

2月,美国国会提交网络外交法案,旨在提升美国的全球网络安全地位

3月,美国国家安全局发布零信任安全指南

3月,新加坡发布远程办公安全风险管理指南

3月,美国弗吉尼亚州数据保护法案签署通过成为法律

3月,美国国家安全局和国土安全部发布PDNS 联合指南

3月,美国白宫发布《国家安全战略临时纲要》 

3月,澳大利亚政府建议通过净化网络环境以对抗勒索软件

3月,美国众议院拟公国法案允许美国人起诉外国网络安全从业者

3月,英国计划出台新法律,以应对警察利用手机短信进行执法

3月,澳众议院通过《在线安全法》,而参议院正以反对意见影响特别委员会

4月,美国白宫启动防护计划,保护美国关键基础设施免受网络攻击

4月,美国网络安全和基础设施安全局发布防御软件供应链攻击指南

4月,保护英国免受有害外国投资的法案签署通过成为法律

5月,美国国家安全局发布 IT-OT 连接保护指南

5月,拜登政府发布雄心勃勃的网络安全行政命令,旨在制定“改善国家网络安全和保护联邦政府网络的新途径”

5月,欧盟扩大网络攻击制裁框架

5月,美国网络安全和基础设施安全局发布针对威胁情报分析MITRE ATT&CK 指南

6月,美国国家安全局发布企业通信系统保护指南

6月,美众议院通过新法案旨在提高美国人的安全意识

7月,美国科罗拉多州成为最新一个通过数据隐私法的州

7月,美国针对Colonial勒索软件攻击,美国土安全部发布新的管道强制性网络安全规定

7月,出于对中国的担忧,美国土安全部发布针对管道运营商的第二道指令

7月,美众议院通过多项网络安全法案,重点关注关键基础设施和工业控制系统网络安全

7月,美国发布“关键软件”安全指南

7月,美国国会18项新网络安全法案出台

7月,拜登政府指定网络安全和基础设施安全局和美国国家标准技术研究所为关键基础设施制定网络安全性能目标

7月,美国网络安全和基础设施安全局推出新的漏洞披露政策平台

8月,美国国家安全局和网络安全和基础设施安全局发布Kubernetes安全指南

8月,美国基础设施法案规定网络安全拨款20亿美元

8月,美国网络安全和基础设施安全局发布勒索软件防御和响应指南

8月,澳大利亚议院作出60项修正案后,澳大利亚的“黑客”法案在参议院获得通过

9月,美国国家安全局和网络安全与基础设施安全局发布关于VPN的选择和保护指南

10月,美国运输安全管理局发布针对火车和飞机的新网络安全规定

10月,欧盟欧洲议会通过非约束性决议禁止面部识别

10月,美国政府宣布一项新倡议,要求承包商对网络安全负责

10月,新加坡调整网络安全战略,新战略以OT为重点

10月,拜登签署《K-12学校网络安全法案》

10月,30国承诺在美国主导的全球会议上打击勒索软件攻击

10月,美国推出新规对网络攻防工具出口进行管控

10月,美国国家安全局、网络安全和基础设施安全局发布5G云安全指南

11月,美国网络安全和基础设施安全局新指令以修补已知的被利用的漏洞

11月,美国美国会通过《基础设施投资和就业法案》

11月,美国五角大楼宣布其备受争议的CMMC计划2.0版

11月,澳大利亚内政部发布关键技术供应链安全新规

11月,英国政府发布技术收购安全规则指南

11月,美国网络安全和基础设施安全局发布事件和漏洞响应手册

11月,英国政府发布物联网与智能手机安全法草案供议会审查

11月,美国网络安全和基础设施安全局发布企业移动设备保护指南

12月,美国土安全部:网络安全协调员与漏洞脆弱性评估成为铁路公司强制要求

12月,美国运输安全管理局发布新的指令和建议,要求铁路和机场加强网络安全

12月,澳大利亚内政部发布第二项关键基础设施法案,包含了《2021年安全立法修正案(关键基础设施)法案》中排除的义务

12月,美国和澳大利亚就跨境获取电子证据达成 “云法案”协议(澄清合法境外使用数据法案 Clarifying Lawful Overseas Use of Data Act - CLOUD Act)

12月,美国参议院通过7680亿美元国防法案,其中包含网络安全条款


重要结论


• 美国网络安全监管机构联合研究部门加强网络安全的商业、技术、行业的管理,并有逐渐细化的趋势。


结语


在网络安全三十年的发展历程中,从概念变迁的角度来看,网络安全分别经历了计算机安全时代,信息安全时代和网络空间安全时代,市场规模也从不到数亿元发展到近千亿元的市场规模。过去这三十年来,我们一直谈论的是计算机世界、网络世界,而现在,我们已经站在数字世界时代的门口。


数字世界与网络世界最大的区别在于两点,一是万物互联,二是数据驱动。网络世界的连接是为了提升人与工具以及人与人的交互,在这个基础上,数字世界的连接是要创造一个数字孪生空间,而创造这个空间最重要的目的之一,就是要最大限度的挖掘数据的价值。简而言之,网络世界以信息交互为主,数据是交互产生的重要资产。而数字世界以万物互联为基础,数据上升为生产要素。网络连接与数据分析的结合就成为数字世界,网络安全与数据安全的结合就是数字安全。


今天是2022年第一天,网络安全行业也已迈入到一个新的时代,数字安全时代。让我们开启征程,共同迎接新的挑战与机遇!


作者

数据统计分析师:牛爱民

产业市场分析师:左晶

技术应用分析师:潘颉阳

综合调研分析师:刘宸宇


机构简介

北京数字世界咨询有限公司,中国数字安全领域中立的第三方调研机构,以数字时代为背景,提供数字安全行业的调查、研究与咨询服务。

联系邮箱:dw@dwcon.cn



参考阅读

2020年网络安全大事记

数世咨询:2019年网络安全大事记

2021年度中国数字安全能力图谱(完全版)

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存