2015年的網絡安全隱患層出不窮,網絡犯罪波及范圍、嚴重程度呈擴大趨勢,黑客組織規模及技術手段日益精進。各國隨之也加大了網絡安全建設力度,政府、企業“抱團取暖”共享技術信息,政府通過出臺法規、加強監管、投入教育和人才培養,將網絡安全上升到國家安全高度,和網絡犯罪分子展開一場場激烈的、高科技“貓鼠游戲”。同時值得注意的是,2015年的網絡犯罪變得更加專業化、規模化、組織化,以ISIS為代表的恐怖組織也加入了網絡攻防戰,同時也促成了網絡安全相關產業的蓬勃發展。
損失慘重,多數企業缺乏抵御能力
——政府企業損失慘痛創下多個“歷史最嚴重”
IBM發布的《2015年英國數據泄漏損失調查報告》顯示,2015年英國平均每家公司因黑客攻擊造成損失已達237萬英鎊。信息安全機構Ponemon發布的《2015年網絡犯罪損失報告》稱,2015年美國平均每家企業因網絡犯罪損失已達到1540萬美元,較2010年的650萬美元已成倍上漲。2月,美國大型醫保企業Anthem稱,約8000萬客戶信息遭泄露;6月~7月,美國人事管理局宣布遭到黑客大范圍攻擊,共造成2210萬人的數據遭到泄露,包括社保賬號、住址信息、薪資狀況、背景調查信息等。10月,英國寬帶服務提供商TalkTalk表示,該公司受到了嚴重的網絡襲擊,導致400萬用戶個人信息泄露,這是英國史上規模最大的數據泄露事件之一。
國內影響最大的一起安全事故則是XGhost事件。2015年9月17日,網上消息曝光非官方下載的蘋果開發環境Xcode中包含惡意代碼,會自動向編譯的App應用注入信息竊取和遠程控制功能。經確認,包括微信、網易云音樂、高德地圖、滴滴出行、鐵路12306,甚至一些銀行的手機應用均受影響,App Store 上超過3000個應用被感染。值得注意的是,與2014年相比,國內信息泄露事件的曝光度有上升的趨勢。
——仍有大量企業缺少必要的抵御網絡風險手段
美國證券存托與清算公司發布2015年報告顯示,多數金融機構將網絡威脅視為最重要的風險之一。受訪公司認為金融市場和其他重要行業受到網絡攻擊的次數會不斷增加,攻擊手段也會越來越復雜。
美國SANS研究所發布報告稱,通過調查770家企業后得出結論,約三分之一的企業無抵御網絡威脅的手段,主要原因是因為缺乏培訓、預算不足以及稱職員工缺失。
惠普發布《2015年網絡安全運營狀況報告》顯示,全球企業在防御網絡攻擊(甚至是最簡單的網絡攻擊)方面的準備工作嚴重不足。報告稱,當前,隨著網絡攻擊規模和影響力的不斷擴大,企業高管必須對此予以重視,并制定出相應的方案。
政府牽頭,網絡安全建設大步向前
——成立網絡安全組織,出臺相關法令
3月5日,英國國防科學與技術實驗室宣布建立新的實驗室計劃,專注于發現針對英國的網絡威脅。該實驗室將致力于在英國關鍵技術設施中找到漏洞,并對這些漏洞進行評估,以完善應對網絡攻擊的軍事能力和恢復力。4月,法國政府通過法令,該法令適用于包括銀行、電信運營商及連鎖零售企業在內的對國家安全具有戰略意義的218家企業,這些企業需要向法國國家信息系統安全局報告所遭遇的入侵事件,據法國IT安全協會委員會成員透露,大企業每年要為這些舉措花費數十萬歐元。12月7日,歐盟通過《網絡信息安全指令》,要求谷歌和亞馬遜等互聯網企業上報嚴重入侵事件,否則將面臨制裁,該指令將提高能源、交通、金融等關鍵基礎設施行業供應商的安全標準。
——未雨綢繆,制定未來網絡安全發展計劃
4月28日,歐盟委員會推出2015~2020年安全計劃,在未來5年里的安全行動目標主要是針對歐盟當前面臨的恐怖襲擊、有組織犯罪和網絡犯罪三大主要威脅,其主要任務和手段是阻止極端主義、制定打擊恐怖活動的法律框架、阻斷犯罪分子的資金來源、加強與情報部門的對話和國家間的情報交流、打擊武器非法走私、強化網絡犯罪監控以及提高歐洲刑警組織的行動能力等。
5月25日,日本政府舉行會議制定新的《網絡安全戰略》,提出“主動遏制惡意行為的自律性”、“政府和民間加強合作”等舉措,并在物聯網、能源、機械等領域重點采取網絡安全措施。
——加強人才招募和培養,擴充網絡部隊規模
5月12日,英國政府通信總部發布首次招聘計劃,招募計算機網絡人才,用以偵測和預防針對國家關鍵基礎設施和政務系統的重大網絡攻擊,打擊網絡犯罪。
美國國土安全部出臺計劃,將在2016年6月底前招募1000名網絡安全專家,美國聯邦人事管理局已經批準了該項招聘權威專家的計劃。
7月,英國政府通信總部又認證了6個網絡安全碩士學位,使英國可以設置相關碩士學位的大學達到12所。這是GCHQ支持英國發展網絡安全教育的一部分。
——政府借助企業力量,通過執法機構和業界合作以保護關鍵數據
2月,歐洲網絡犯罪中心宣布與安全公司AnubisNetworks達成諒解備忘錄,將就專業技術、統計資料及其他戰略信息展開交流,共同對抗網絡犯罪所帶來的全球威脅。
同月,歐洲網絡犯罪中心開展與微軟、賽門鐵克等企業的合作,聯手關閉了Ramnit的僵尸病毒服務器,該病毒感染了歐洲成千上萬臺計算機。此次打擊行動是政府組織和私營企業之間進行國際合作、對抗網絡犯罪的成功典范。
——積極推進國際間交流以建立良好合作關系
8月11日,美印網絡對話在美國國務院舉行,兩國確定了合作方向,欲加強在網絡安全能力建設、網絡安全技術研發、打擊網絡犯罪、國際網絡安全及互聯網治理等方面的合作。
11月30日,英國國家打擊犯罪局舉辦了為期一周的網絡安全演習,匯集了來自美國聯邦調查局、歐洲刑警組織的網絡專家以及包括美國、格魯吉亞、烏克蘭在內的8個國家的特工人員。演習的目的是幫助建立起協同合作的團隊關系。
12月16日,英國工程與物理科學研究委員會和新加坡國家研究基金會宣布未來三年共同出資展開合作研究,開發增強系統網絡安全建設。
并購潮起,安全產業價值不斷攀高
市場研究機構ABI Research報告稱,截至2015年年底全球管理安全服務市場總值將達154億美元。不斷增多的網絡威脅、政府法規以及企業內部相關資源的缺乏使得企業逐漸轉向管理安全服務提供商尋求專業幫助。
由美國元鼎科技公司、雷神公司等16家企業共同參與編撰的《2015~2025全球網絡安全市場報告》指出,網絡安全市場有望在2015年達到114億美元規模,在預測期內年復合增長率達4.23%。
2015年安全行業掀起投資并購大潮,上億美元的融資并購至少有近20起,其中最大的三起分別是Bain Capita24億美元收購Blue Coat、思科6.35億美元收購OpenDNS和新加坡電信Singtel以7.7億美元完成對管理安全服務提供商Trustwave的收購。國內影響較大的如騰訊再度以6億人民幣投資知道創宇,百度全資收購安全寶等。
細思恐極,網絡恐怖主義不容忽視
2015年1月,IS支持者入侵了美國中央司令部的YouTube和推特賬戶,竊取了大量內部文件并泄露到了網上。IS控制美國中央司令部推特賬戶長達1個小時,并把美國中央司令部的logo換成了“I love you ISIS”。4月,法國電視臺5臺遭到來自IS擁護者、黑客組織Cyber Caliphate的大規模網絡攻擊。攻擊者因不滿法國總統奧朗德參加國際反恐行動,入侵了電視臺的廣播傳輸渠道。
隨著恐怖分子對網絡技術的運用,網絡反恐提上議程。2015年2月,英國軍方決定建立關于社交媒體的特殊作戰部隊又稱“77旅”,以應對日益猖獗的IS網絡恐怖主義。法國議會也在2015年通過了反恐新法,包括對網絡平臺進行更加嚴格的監控,對涉嫌恐怖主義信息宣傳予以懲罰。
IS等極端組織策劃的一系列襲擊事件也刺激了民間黑客的反恐行動,尤其是巴黎恐襲事件發生后,多個民間黑客組織宣布與IS開戰。11月16日,全球最大民間黑客組織“匿名者”通過推特宣布對IS宣戰,發誓將把IS從互聯網上清理掉。“匿名者”加入網絡反恐戰斗,得到了大量網民甚至是官方網絡反恐專家的歡迎。
法國巴黎遭遇大規模恐怖襲擊后,社交媒體臉書和推特等科技公司都推出了相關功能與服務來應對恐怖襲擊。臉書于巴黎恐怖襲擊發生當晚激活了“安全確認”功能,讓位于恐襲地區的用戶能夠在其個人頁面貼上標記,告知親友其安全狀態。谷歌在地圖上標注了發生爆炸和槍擊案的地點。推特則推出新聞篩選標簽“Moments”利用數據抓取來收集新聞機構和目擊者提供的推文、圖片和視頻,方便及時匯總信息。
鏈 接
2015年影響較大的信息泄露事件
互聯網資訊網站Dev Store整理了2015年國內外影響比較大的信息泄露事件:
2014年年底~2015年年初,鐵道部官方網站13萬用戶信息泄露,包括身份證、登錄口令等,據調查分析應是撞庫所致。
2015年1月,俄羅斯約會網站Topface,2000萬用戶名和電子郵件地址被盜。
2月,優步披露,5萬名優步司機的個人信息被不知名的第三方人士獲取,包括社保碼、司機相片、車輛登記號等信息。
3月,醫保提供商Premera藍十字披露,1100萬客戶的醫療和財務數據泄露。
3月,牙齒醫療機構 Advantage Dental 約15萬病人信息泄露,包括姓名、住址、出生日期、電話和社保碼。
4月,360補天平臺披露,遍布19個省份的社保系統相關信息泄露達5279.4萬條,其中包括個人身份證、社保參保信息、財務、薪酬、房屋等敏感信息。
4月,美國Metropolitan State大學16萬學生個人信息泄露,包括出生日期、家庭住址、電話、個人成績。
5月,全球知名成人約會網站 Adult FriendFinder 390萬用戶信息泄露,包括電子郵件、IP甚至包括性偏好信息。
5月,手機監聽軟件制造商mSpy約40萬用戶信息泄露,包括電子郵件、短信、照片、付款記錄和跟蹤數據。
5月,美國國稅局超過10萬名納稅人的財務信息泄露。
7月,內衣制造商Hanesbrands客戶訂單數據庫被黑,約90萬網絡和電話用戶信息泄露,包括地址、電話和信用卡后四位數字。
7月,FireKeepers Casino 酒店披露8.5萬信息卡和借記卡信息在2014年泄露,包括銀行卡號、姓名、驗證碼和卡終止日期等信息。
8月,在線票務銷售平臺大麥網600余萬用戶賬戶密碼泄露并在黑產論壇公開售賣。
8月,英國電信運營商Carphone Warehouse約240萬在線用戶個人信息泄露,其中包括姓名、地址、出生日期和加密的信用卡數據。
10月,音樂眾籌網站Patreon超過16GB的文檔資料泄露,包括230萬個用戶的電子郵件地址。
10月,為美國移動電話服務公司T-Mobile提供數據服務的Experian遭到黑客入侵,導致T-Mobile的1500萬用戶個人信息泄露,包括用戶姓名、出生日期、地址、社會安全號、ID號碼等。
10月,美股券商Scottrade460萬客戶的姓名及地址信息泄露。
10月,英國電信運營商Talktalk120萬用戶信息泄露,包括電子郵件、姓名和電話號碼,以及數萬銀行賬戶信息。
10月,美國網絡券商史考特超過460萬客戶的聯系人信息被攻擊者獲取,泄露的信息為客戶姓名與地址。
10月,烏云平臺曝光網易用戶數據庫“疑似泄露”,數量近5億條。雖然至今沒有證據證明這個數字,但許多普通網民紛紛表示自己的郵箱被登錄篡改,甚至由于用網易郵箱注冊蘋果賬戶,而導致手機被網絡犯罪分子鎖住,也是一個不爭的事實。
11月,喜達屋集團旗下54家酒店發現竊取信用卡信息的惡意軟件,包括客戶名稱、信用卡號碼、信用卡安全碼和到期日期等信息泄露,泄露數量尚未公布。
11月,香港早教電子設備公司偉易達500萬用戶和600萬兒童的個人信息泄露,包括登錄密碼、IP地址、照片、聊天記錄姓名、性別等。
12月,英國快餐連鎖店waterspoons 65萬顧客信息泄露,包括姓名、出生日期、電子郵件和電話號碼。
2015年各國政府的主要安全政策
互聯網資訊網站“Dev Store”整理了2015年國內外影響面較大的與安全政策相關的事件:
從國內來看,6月,《中國互聯網協會漏洞信息披露和處置自律公約》在北京簽署,公約提出漏洞信息披露的“客觀、適時、適度”三原則。
6月,國務院辦公廳發布《關于運用大數據加強對市場主體服務和監管的若干意見》。加大網絡和信息安全技術研發和資金投入,建立健全信息安全保障體系。采取必要的管理和技術手段,切實保護國家信息安全以及公民、法人和其他組織信息安全。
7月,我國新的國家安全法實施。新法要求建設網絡與信息安全保障體系,提升網絡與信息安全保護能力,實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控。
8月,全國人大常委會正式通過中華人民共和國刑法修正案(九)。明確了網絡服務提供者履行信息網絡安全管理的義務,加大了對信息網絡犯罪的刑罰力度,進一步加強了對公民個人信息的保護,對編造和傳播虛假信息犯罪設立了明確條文。
9月,國務院印發《促進大數據發展行動綱要》,在網絡和大數據安全方面要求,在涉及國家安全穩定的領域采用安全可靠的產品和服務,到2020年,實現關鍵部門的關鍵設備安全可靠。
11月,工商總局印發《關于加強網絡市場監管的意見》,全面加強網絡市場監管。推進“依法管網”、“以網管網”、“信用管網”和“協同管網”。
國際上,5月,美國商務部工業與安全局公布《瓦森納協定》的修改草案,新規則規定美國企業或個人向境外廠商報告漏洞情況是一種出口行為,需預先申請政府許可,否則將被視為非法。
6月,美國國會通過《美國自由法案》,11月國家安全局正式停止對公眾的大規模監聽電話數據的行動。
10月,歐盟法院宣布與“美國-歐盟安全港協議”有關的“2000/520號歐盟決定”無效。歐盟成員國數據監管機構可以依此禁止美國公司收集、存儲其國民的個人數據。
10月,美國國會參議院通過《網絡安全信息共享法案》,允許公司和政府分享黑客攻擊信息,之前眾議院也通過了這個法案,最終等到美國總統奧巴馬簽署后,將成為正式法律。
11月,英國政府公布新版《調查權法草案》,要求互聯網公司和手機制造商能永久地攔截和收集通過其網絡傳播的個人數據,并賦予其協助安全機構和警察調查國家安全相關事項的權利。
京公網安備 11010502049343號