2017年,數據泄露、網絡攻擊、漏洞發現、會議活動、投資并購等各個層面呈爆發態勢,無論在數量還是影響面上,均超過以往任何年度。
一、網絡安全事件篇
1. 信息泄露創歷史記錄
2017年僅上半年泄露或被盜的數據(19億條),就已經超過了2016年全年被盜數據總量,全年預計將超過50億條。其中,僅雅虎一家就達到了30億條。
2017年規模較大的信息泄露事件
1月:
暗網市場知名供應商雙旗(DoubleFlag)拋售多家中國互聯網巨頭數據,數據條數達到10億以上。
2月:
美國媒體報道,一名前美國國家安全局承包商雇員竊取了超過50TB的高度敏感數據。
4月:
國內某知名視頻網站1億賬戶信息在名為CosmicDark的網絡黑市出售。
5月:
印度互聯網與社會中心警告,有1.35億條Aadhaar號碼及1億條銀行帳戶號碼可能外泄。
6月:
美國共和黨承包商放在 AWS S3 云存儲的1TB數據(包含1.98億選民信息)被曝任何人均可訪問;
Shodan搜索引擎發現近4,500臺Hadoop分布式文件系統服務器,約5.12PB(5,120TB)數據暴露在公網。
8月:
全球知名有線電視公司HBO發生大規模數據泄露事件,至少1.5TB的數據被黑客掌握,包括未發行的劇集到財報等其他敏感文檔。
9月:
美國最大征信機構之一Equifax,聲明由于網站漏洞導致1.43億消費者信息泄露。
10月:
雅虎在提交給美國金融監管機構的文件中,承認30億賬戶全部泄露。
11月:
馬來西亞12家電信公司的4620萬手機賬戶信息在網上售賣,馬來西亞的人口數量為3120萬。
12月:
美國陸軍及NSA情報平臺約100G文件暴露在 AWS S3 存儲服務器上,包括高度敏感、機密性的國家安全數據;
安全研究人員發現一個包含1.23億戶美國家庭信息的大型數據庫暴露在 AWS S3 上,包括地址、電話、年齡、性別、財務等248個數據段。
2017年的信息泄露事件呈現以下特點:
√ 隨著云計算、大數據和物聯網的普及,信息泄露事件呈現高速增長趨勢。信息泄露涉及行業廣泛,但重點集中在互聯網、政府機構及金融行業。僅AWS一家云服務商,今年就爆發了數起較大規模的用戶數據泄露事件,而物聯網搜索引擎Shodan不斷公布的因運維配置不當導致的數據庫暴露問題近乎常態。
√ 數據泄露導致企業嚴重損失,高管擔責。今年瑞典的內政部長和基建部長,因數據泄露事件而引咎辭職。而Equifax數據泄露事件更是令CISO、CIO和CEO接連下臺,股價暴跌30%,一筆720萬美元的合約也被封停。我國的《網絡安全法》今年已經正式實施,確定了“防止網絡數據泄露或者被竊取、篡改”是網絡運營者的法定義務。
√ 內部威脅成信息泄露重要途徑。包括內部員工的惡意或無意泄露,以及第三方供應商帶來的風險。尤其是后者,近年來重大的信息泄露事件都與第三方供應商相關。如塔吉特的空調供應商,斯諾登是NSA承包商,今年導致瑞典兩位部長下臺的數據泄露事件也是因為承包商被入侵。在目前快速多變的商業環境中,動態供應鏈是必然趨勢,但每家供應商都潛在著擴大了機構或企業的網絡攻擊面。由供應商引起的第三方風險,已經成為當今網絡安全領域的一個普遍性問題。
2. 網絡攻擊無所不在
隨著物聯網設備的激增,網絡攻擊目標泛化,并成指數級增加。2017年初Fortinet的一份調查顯示,針對物聯網的攻擊達到250多億次。尤其是5月份爆發的WannaCry勒索軟件,成為近幾年來為數不多的全球性安全事件之一。
2017年較為特殊的網絡攻擊事件
5月:
全球爆發WannaCry勒索病毒攻擊,至少150個國家、30萬名用戶中招,造成數十億美元損失。
6月:
黑海約20艘輪船由于黑客攻擊,GPS服務掉線;
一名英國黑客在法庭承認,于2014年侵入美國軍事衛星通信系統,盜取800多名用戶信息以及約3萬個衛星電話號碼;
丹麥航運公司馬士基遭遇Petya勒索軟件,業務損失超過2億美元。
7月:
Darktrace發布一起黑客利用智能魚缸盜竊賭場數據的案例;
以太坊平臺Veritaseum被網絡罪犯盜走超過15萬枚以太幣,價值近2億元。
8月:
歐洲某石油化工廠的智能咖啡機被勒索軟件感染,并傳播到工廠內的可編程邏輯控制器(PLC)監視系統。
美國海軍公開宣稱,將把黑客攻擊視為美國約翰·S·麥凱恩號驅逐艦撞船事件可能原因之一。
9月:
賽門鐵克宣稱,一年來美國、土耳其和瑞士的數百電網遭到大規模攻擊,掌握電網登錄憑證的黑客有可能具備制造斷電事件的能力;
卡巴斯基發布報告稱超過165萬臺計算機感染了加密貨幣采礦惡意軟件,而IBM的報告顯示,針對企業網絡的加密貨幣惡意軟件工具總數在過去的8個月里增漲了6倍;
全球安全咨詢業務最大的公司德勤,由于其供應商搭建的網站存在未打補丁的Apache Struts漏洞被入侵。
10月:
瑞典交通署信息系統遭黑客攻擊,并導致列車延誤;
奧巴馬政府公開指責俄羅斯政府,稱其是今年總統競選一系列黑客事件的主使。
11月:
一名美國國土安全部官員透露,他的專家團隊一年前在大西洋城機場,遠程滲透進一架波音757的無線通訊系統。
12月:
比特幣挖礦平臺NiceHash超過4700枚比特幣被盜,損失可達4億元;
澳大利亞曝光一起黑客入侵珀斯國際機場計算機系統,盜取高度敏感數據的事件;
火眼披露一起能源工廠安全系統被入侵,造成工廠停止運行的事件,此事為首例公開的工控安全系統被黑事件;
美英政府公開指責朝鮮為WannaCry真兇,并表示要讓網絡空間的攻擊者付出代價。
2017年的網絡攻擊呈現以下特點:
√ 網絡攻擊載體和目標多樣化。海陸空交通系統,工業生產系統,以及各種物聯網設備和加密貨幣,均為網絡攻擊的載體和目標,甚至衛星通信、宇宙空間站資料,也難逃黑客所及。不管是出于政治原因還是經濟目的,未來越來越多的創造性手段將會被攻擊者采取和使用,而只要有網絡延伸到的地方,就可能成為被攻擊的目標。
√ “犯罪即服務”的商業模式是勒索軟件、惡意軟件傳播以及DDoS等大規模惡意行為泛濫的關鍵原因。“犯罪即服務”極大的降低了攻擊成本和攻擊難度,即使是初級罪犯也可隨時發動網絡攻擊,再借助“零日漏洞”,極易給全球互聯網帶來重大破壞。借助“永恒之藍”漏洞的WannaCry勒索軟件,其快速傳播并造成巨大損失,就是非常典型的例證。
√ 網絡武器已被全世界采用。網絡攻擊背后的國家力量日趨明顯,無論是對關鍵設施的長期滲透,各個國家競選系統的入侵,還是對社交輿論的風向控制,以及對“零日漏洞”的交易、利用,甚至是對加密貨幣的攫取,背后都閃現著國家支持的黑客的影子。網絡攻擊,已經橫跨政治、外交、商業、軍事、關鍵基礎設施和社交媒體等各個領域。網絡安全,可以在技術上打破或超越傳統資源與能力和規則限制,弱小的國家可以借此挑戰大國。數字化時代必定導致數字化國防,網絡成戰場,代碼即武器。
3. 郵件安全問題突出
電子郵件成網絡安全重災區,不管是魚叉式郵件還是商業欺詐,都有著驚人的破壞力。前者是發動APT攻擊和大范圍傳播惡意軟件的典型入口,后者據FBI的統計,2013至2016年商業欺詐郵件(BEC)已造成53億美元的損失。
2017年較大的電子郵件安全事件
1月:
由于葡萄牙“首席環球”公司的郵件服務器被拖庫,著名足球明星貝克漢姆過去幾年的郵件被下載并曝光。
2月:
360互聯網安全中心發布預警,與郵件安全相關的商業欺詐將給國內企業帶來50億元以上的經濟損失;
東歐網絡犯罪分子通過釣魚郵件入侵了全美快餐連鎖Chipotle的POS機系統,盜走數以百萬的消費者信用卡數據。
3月:
一名48歲的立陶宛人,被控通過釣鯨郵件騙取谷歌和FaceBook兩家公司各1億美元;
一種魚叉式釣魚郵件借美國稅季大肆傳播,100家機構中的12萬人中招。
5月:
WannaCry勒索病毒肆虐全球180個國家,雖然并未確認初始攻擊載體為釣魚郵件,但至少釣魚郵件是其重要的傳播手段之一。
6月:
美國南俄勒岡大學承認,今年4月受到郵件詐騙,把190萬美元轉到騙子的賬戶;
烏克蘭一家金融科技公司的系統被釣魚郵件入侵,通過微軟漏洞在全球傳播Petya,俄羅斯、歐洲、印度和美國數百家機構受到影響。
8月:
加拿大麥科文大學聲明,落入商業郵件欺詐圈套,匯出1140萬美元。
12月:
騰訊安全通報一起大范圍釣魚郵件攻擊事件,52個國家的網站被利用,近3萬家中國企業受影響。
郵件安全帶來的啟示:
√ 電子郵件內容事關重大。由于電子郵件辦公已經在各行各業充分普及,從個人敏感信息到重要商業機密,再到核心知識產權,電子郵件都是最為主要的傳輸通道,一旦泄露后患無窮。
√ 電子郵件的安全地位不容忽視。不管是大規模的惡意軟件傳播,還是針對性的APT攻擊,無論是廣撒網式的個人騙局,還是精心設計的商業欺詐,郵件都是第一入口和最大入口。
√ 警惕網絡釣魚和商業欺詐郵件的激增。據美國聯邦調查局今年5月的統計,BEC(有時也稱釣鯨郵件)在兩年時間里,達到了2370%的驚人增長率,而釣魚郵件的增長率已經超過了惡意軟件。雖然郵件安全網關和機器學習等技術手段可以在一定程度上進行防范,但建立起良好的網絡安全意識教育機制,才是應對社會工程手段攻擊最為有效的方法。
二、漏洞篇
1. 漏洞數量增長史無前例
2017年各大漏洞庫公布的漏洞數量較以往呈明顯激增態勢。
# 國家信息安全漏洞庫(CNNVD):
CNNVD公布的漏洞數量為14,748個,2016年全年的漏洞總數為8,753個,預期年增長率至少上升70%。而CNNVD自正式統計漏洞數量以來,從2010年至2016年,增長率最高才為20%。
# 美國國家漏洞庫(NVD):
NVD公布的漏洞數量為14,277個,2016年全年的漏洞總數為6,515個,預期年增長率至少上升170%。
# 公共漏洞披露平臺(CVE):
CVE公布的漏洞數量為17,760個,2016年全年的漏洞總數為10,703個,預期年增長率約為70%。
(注:以上2017年的漏洞數量均為截止到12月19日的統計數字)
漏洞激增的部分原因,是因為各大漏洞公告平臺在各自的數據庫中開始囊括更多的漏洞。另一個重要原因則是云計算、移動互聯網、物聯網設備的普及,各種網絡應用的爆發,以及更多的人員進入安全領域并開始關注漏洞。
此外值得注意的是,美國的國家漏洞數據庫(NVD),漏洞報告從提交到收錄進數據庫的平均時間是33天,而我國的國家漏洞數據庫(CNNVD)是13天。也就是說,在漏洞細節提交后,訂閱了NVD的用戶要平均等33天才能收到警告,而在中國訂閱了CNNVD的用戶,平均13天內即可收到警報,2倍于NVD的速度。
2. 漏洞可能出現在各個層面
從硬件到軟件,再到虛擬化、云計算,從疏忽大意形成漏洞,到主動防護反而被黑,從終極破解方法到原始遺留問題,漏洞可能在各個環節,因各種原因,以及各種面目出現。
2017年較為特殊的漏洞事件
1月:
卡巴斯基殺毒軟件證書密鑰出現漏洞,攻擊者可通過碰撞輕易偽造證書,實現中間人劫持。
2月:
“地址空間布局隨機化”(ASLR)技術被破解,包括英特爾、AMD、三星、Nvidia、微軟、蘋果、谷歌和Mozilla等芯片制造商和軟件公司均受影響。
3月:
Cisco IOS&IOS XE Software CMP 出現遠程代碼執行漏洞(CVE-2017-3881),允許未授權訪問,遠程攻擊者可以重啟設備、執行代碼,提升權限。
4月:
蘋果設備WiFi芯片出現任意代碼執行緩沖區溢出漏洞,該漏洞影響 iPhone 5 及以上版本,iPad 4代及更新機型,還有 iPod touch 6代及更新版本。
5月:
西班牙電信德國子公司證實,黑客利用SS7漏洞竊取驗證碼,然后將客戶賬戶上的資金洗劫一空。這是第一起SS7漏洞公開證實的攻擊;
英特爾AMT、ISM、SBT固件6到11.6版出現漏洞(CVE-2017-5689),攻擊者可獲得控制權限。
7月:
博通WiFi芯片固件出現“堆溢出”漏洞(Broadpwn),約10億臺蘋果和安卓受此影響。
8月:
車載信息控制單元中的英飛凌2G基帶芯片出現漏洞,福特、英菲尼迪、日產聆風、寶馬等車型均受影響;
英特爾CPU安全控制機制ME上運行的固件出現漏洞,可被利用成為后門。
9月:
藍牙通信協議出現8個漏洞(Blueborne),理論上可影響全球所有使用藍牙的設備。
10月:
奧地利、美國和澳大利亞三國研究人員研究出Rowhammer終極攻擊方法,可攻破目前所有可用防御措施,且可以遠程進行,包括云端主機;
無線安全協議WPA2出現漏洞KRACK(密鑰重裝攻擊),理論上可以對任何支持Wi-Fi的設備產生影響;
德國半導體制造商英飛凌的某些芯片,可信平臺模塊出現漏洞(CVE-2017-15361),該漏洞允許知曉RSA公鑰的攻擊者獲取私鑰;
國際海事衛星公司的 AmosConnect 8 網絡平臺被曝兩個漏洞,攻擊者可以獲得遠程訪問特權,接管整個平臺。該平臺用于監視輪船IT和導航系統,以及收發消息、郵件,瀏覽網頁等。
11月:
研究人員揭示微軟Office公式編輯器漏洞(CVE-2017-11882),攻擊者可完全控制系統,該漏洞已存在17年;
蘋果macOS 10.13出現高危漏洞,物理接觸設備無需口令便可獲取管理員權限(以root用戶登錄)。
12月:
包括匯豐銀行、英國西敏寺銀行、Co-op銀行、美國銀行等移動應用,出現由于“證書鎖定”安全機制帶來的嚴重缺陷,數百萬用戶面臨中間人攻擊的風險;
傳輸層安全協議(TLS)19年前的ROBOT漏洞再現,攻擊成功后,攻擊者可被動監視并記錄流量,發動中間人攻擊。
漏洞發現帶來的幾點啟示:
√ 安全產品不一定安全。無論是殺毒軟件還是防火墻,抑或是安全機制,用于安全防御的事物本身也能成為漏洞的藏身之處。
√ 底層漏洞防不勝防。芯片或固件一旦出現漏洞,卸載軟件、打補丁、重裝操作系統均無法徹底解決問題,而更新固件或是更換芯片意味著巨大的困難。
√ 通信協議或標準漏洞影響面巨大。動輒影響上億的設備,而協議的更新換代則需要度過漫長的時間周期。
√ 數字化應用的爆發帶來漏洞的爆發。無論是移動設備還是物聯網設備,無論是虛擬化還是云計算與開源社區,在今年都呈飛速上升與擴展的趨勢,因此漏洞的爆發應在意料之中。
√ 長老級漏洞與難打的補丁現象固疾難除。出于各種原因,許多補丁事隔很長時間才能得到修復,甚至是永遠不會修復。而只有修復之后,才談得上更新。最后,對老舊系統的更新可能才是真正的挑戰。
√ 零日漏洞與開源。不談國家強制力量,零日漏洞的一大根源是開源代碼的不斷擴散。每年1110億行代碼的擴張量,越來越多的開發者加入開源模塊、組件、庫的復用隊伍。開源安全責任重大,與社區中的每一個人都有關。
3. 漏洞披露問題的兩難
2017年,從發現Facebook任意圖片刪除漏洞拿到1萬美金,到美國國防部“入侵空軍”二期眾測項目發放的26萬美元,再到漏洞交易平臺Zerodium的50萬、100萬、150萬美元的漏洞征集獎金,一個問題浮出水面,漏洞到底值多少錢?
這個問題非常復雜,涉及到漏洞利用的時間周期、漏洞所在系統本身的價值、漏洞可能帶來的危害程度、影響范圍,漏洞防范的難易度等眾多因素。但無疑,漏洞信息的機密程度是漏洞價值的最關鍵因素。知道的人少(即零日漏洞或N日漏洞)就越值錢,知道的人越多就越低廉。因此,才會有完全披露和負責任披露兩種模式的出現。二者之間各有利有弊,是一個平衡取舍的問題。
11月15日,美國白宮發布《漏洞平衡政策》,十大部門形成審查委員會,根據漏洞的波及范圍、利用難度、可導致的破壞,以及漏洞修復難度等,衡量漏洞的威脅程度,結合政府如何利用漏洞,以及利用漏洞的事實被公開將面臨的政治風險,來審查漏洞,最終決定公開日期或保密。
漏洞審查委員會成員:
國防部(含NSA)
中央情報局
司法部(含FBI)
國務院國土安全部
國家情報總監辦公室
財務部
能源部
商務部
管理與預算辦公室
2017年的NVD漏洞總數約1.5萬個,按照CVSS V3 的評級方法,僅高危漏洞就3千多個。況且,超過四分之三的漏洞在NVD發布之前就已經在新聞站點、博客、社交媒體,以及常人無法觸及的暗網、犯罪論壇公布。因此該審查委員會,將特別針對零日漏洞做出披露決策。
三、行業市場篇
1. 會議活動空前熱烈
2016年網絡安全大事記曾寫道,“2016年是信息安全會議活動最為集中的一年”,但2017年明顯比去年更多,多到一一列出會占用太多的文章篇幅,因此今年的大事記只選出了非常重要或影響力較大的十個活動。
2017年十大頂級安全會議/活動:
√ RSA 2017 全球約有680余家機構參展,比去年約增長23%。以國別來看,參展機構數量中國排名第二(32家),較去年增長了82%。韓國增長速度最為迅猛,達到800%,部分體現出東亞地區在網絡安全方面的進步。
√ 2017年國內網絡安全相關會議活動總數預計超過300場。百人規模的活動超過100場,千人規模的活動也在10場以上。粗略估算會議成本約在1億至3億元左右。
√ 網絡攻防比賽亦呈爆發態勢。XCTF、WCTF、TCTF、X-NUCA、鐵人三項,以及各地省市政府、協會組織的網絡安全競賽紛紛而起。安全競賽的意義主要有二,一是增強網絡安全在整個社會的影響力,向全社會推廣網絡安全的知識;二是形成良好的安全氛圍,以及培養和發現優秀的安全人才。
√各種會議活動可大致分為國家與地方政府牽頭的會議、綜合性的產業會、展覽會、技術研討會、解決方案會、安全廠商渠道客戶會、新品發布會、戰略合作會、融資見面會等,再加上信息領域各大會議中的安全分論壇,大型互聯網公司的SRC會和各機構舉辦的破解攻防大賽等。
√ 對于安全廠商來說,建議選擇定位精準,性價比高,貼近行業,貼近用戶的會議參加。而對于主辦方來說,精選議題、演講人,盡量為聽眾帶來更有價值的內容,才是舉辦活動的根本意義。2017年用戶或渠道大會明顯增多,也從客觀上反映出用戶至上的辦會趨勢。
2. 融資規模前所未有
2017年,涉及到融資并購的安全企業,金額上億美元的國外有約20余起,國內今年也創記錄的有10余家創業公司的融資達億元級別,為網絡安全領域融資額最為爆發的一年。
2017年國外較大的融資并購事件
1月:
思科宣布將以37億美元收購專注于改善應用程序性能的初創公司AppDynamics。
2月:
英國老牌安全公司Sophos以1億美元外加首年達成業務目標的2000萬美元,買下終端檢測與響應公司Invincea;
Palo Alto Networks 宣布以1.05億美元的現金完成對入侵檢測公司LightCyber的收購。
3月:
CA Technologies 以6.14億美元收購了應用安全及滲透測試公司Veracode。
4月:
邁克菲正式脫離英特爾重回獨立公司身份。英特爾于2011年以77億美元的價格收購了邁克菲,之后于2016年以31億美元的價格出售了邁克菲51%的股份;
英特爾宣布,將以153億美元的價格收購以色列汽車安全公司Mobileye,再次創造安全行業收并購記錄。剛剛獨立運營的邁克菲稱這次收購為英特爾“前瞻性的安全戰略布局”。
5月:
軍事應用安全軟件公司Mocana融資1100萬美元,融資總額達到9360萬美元;
CrowdStrike宣布完成1億美元D輪融資,該公司總融資額已達2.56億美元。上一筆融資發生在2015年7月,同樣是1億美元;
終端安全廠商Tanium宣布新一輪1億美元融資,該公司融資額已升至4.07億美元。
6月:
微軟以1億美元買下以色列網絡安全公司Hexadite,該公司利用AI和機器學習輔助自動化事件響應;
自適應安全廠商Illumio宣布D輪融資1.25億美元,總融資額已達2.67億美元;
云安全代理廠商Netskope宣布新一輪1億美元融資,融資總額已達2.314億美元;
反勒索軟件公司Cybereason收獲軟銀注資1億美元,估值上升至8.5億美元。
8月:
賽門鐵克宣布,將其SSL/TLS證書業務以9.5億美元現金加30%DigiCert普通股的價格售出;
威脅情報與安全管理公司BlueteamGlobal宣布融資1.25億美元。
9月:
訪問控制公司SecureAuth宣布將以2.25億美元的價格并購漏洞、身份治理與威脅管理公司 Core Security。
10月:
物聯網安全公司ForeScout上市,首次公開募股1.16億美元;
安全分析公司Skybox宣布最新融資1.5億美元以加強其安全管理產品的研發和推廣。
11月:
網絡安全公司Proofpoint宣布同意以1.1億美元的價格,現金收購消息安全公司Cloudmark;
汽車嵌入式軟件解決方案提供商EB完成對汽車安全公司Argus的收購,業內估計收購金額約4.5億美元。
12月:
軟件整合廠商Synopsys宣布以5.47億美元的價格(已扣除黑鴨子軟件所持現金)完成對代碼安全公司黑鴨子軟件的收購;
法國最大的防務類機械電子科技公司泰雷茲集團宣布,將以48億歐元(約56億美元)的價格收購安全公司金雅拓。
2017年國內安全公司投融資情況
2月:
身份認證安全公司九州云騰Pre-A融資1000萬元,投資方為綠盟科技;
欺騙防御及云安全公司默安科技Pre-A融資3000萬元;
威脅追捕公司中睿天下Pre-A融資2000萬元。
3月:
大數據反欺詐公司數美科技A輪融資1000萬美元,投資方包括360和百度;
云安全公司上元信安A輪融資3000萬元,投資方為任子行。
4月:
高級網絡威脅(APT)公司東巽科技A輪融資4000萬元;
威脅情報+安全服務公司數字觀星天使輪融資1000萬元;
業務風控與反欺詐公司豈安科技A輪融資(千萬元級);
數字證書公司格爾軟件上交所上市,IPO募資總額2.76億元;
工控安全公司天地和興A輪融資(千萬元級)。
5月:
Hadoop安全公司觀數科技Pre-A融資1500萬元;
金融反欺詐公司邦盛科技B+輪融資1.6億元;
保密技術及產品廠商中孚信息深交所上市,IPO募資2.62億元;
大數據+數據安全公司志翔科技B輪融資(近億元)。
6月:
智能身份認證公司芯盾時代B輪融資近億元;
智能風控公司猛犸反欺詐(上海行邑)A+輪融資5000萬元;
業務風控公司頂象技術A輪融資(千萬元級);
下一代應用安全公司長亭科技A輪融資(千萬元級);
工控安全公司威努特C輪融資8000萬元;
新三板掛牌公司永信至誠發布定增方案,融資額約7500萬元;
云抗D公司青松智慧B輪融資(千萬元級)。
7月:
移動應用安全公司幾維安全(成都盈海益訊)Pre-A融資1千萬;
統一內容安全公司天空衛士完成A輪融資,總融資額達1.5億元,投資方包括360;
大數據安全公司瀚思安信B輪融資1億元;
可視化應用層安全公司安博通新三板股票發行募集資金7552萬元。
8月:
工控安全公司安點科技第二輪融資4500萬元;
大數據安全公司蘭云科技A輪融資5000萬元;
身份認證公司錦佰安Pre-A融資1500萬元;
終端安全公司杰思安全A輪融資3000萬元;
終端安全公司火絨安全Pre-A融資1500萬元,投資方為天融信。
9月:
威脅情報公司微步在線B輪融資1.2億元;
大數據安全公司上海觀安A+融資5400萬元;
基于CASB架構的ERP安全公司煉石網絡Pre-A融資3000萬元;
移動業務安全統一解決方案公司指掌易A+融資1.5億元。
10月:
移動應用安全公司愛加密(北京智游網安)D輪融資5億元;
風控反欺詐公司同盾科技C輪融資7280萬美元;
數據庫安全公司中安威士A+融資2000萬元。
11月:
數據安全公司全知科技完成天使輪融資(千萬元級)。
12月:
動態防御公司衛達安全Pre-A融資6000萬元;
終端安全公司網思科平第二輪融資3500萬元;
滲透測試公司四維創智完成天使輪融資(千萬元級);
云安全應用公司安百科技A輪融資6000萬元;
大數據與云安全公司安數云A輪融資2800萬元;
云主機安全公司椒圖科技A輪融資8000萬元,投資方為360;
自適應安全公司青騰云安全B輪融資近億元。
√ 2017年國外網絡安全融資并購事件頻發,涉及金額僅公開的數字已達300億美元。熱門領域包括汽車安全、應用安全、機器學習、威脅情報、安全分析等。
√ 2017年國內安全領域創業企業總融資額已達35億人民幣,數倍于往年。反欺詐、大數據、終端安全、云安全、移動安全、數據安全與身份認證均為投資熱門領域。
√ 由于國家政策和技術變革等因素,安全行業正處于風口,各地的安全產業園正剛開始建設,國家年底也出臺了相關政策引導社會資本的投入。因此目前來看,國內的安全行業至少能夠保持3年左右的快速增長。但35億人民幣的創業投融資額,相對于總量400億(安全牛初步統計2017年安全市場總額為400億元)左右的安全市場,占比已經非常之大,需要警惕泡沫的出現。
3. 安全行業正在變革
區別于前兩年的概念炒作階段,2017年的網絡安全市場,已經顯現出真正變革的態勢。云安全已經是所有主流安全廠商的業務發展重點,各種解決方案開始落地應用。移動安全實實在在的走進用戶,物聯網安全成為未來焦點,而身份認證是物聯網安全的入口和基礎設施。
√ 數據安全處于爆發前夜。數據不僅僅是資產,數據還是生產要素,而數據流動創造未來,此為數據時代的本質。因此,數據這個自始至終的安全核心保護對象,在數據時代必然迎來數據安全的爆發。
√ 網絡保險業務浮出水面。用戶對安全的本質需求是解決實際問題,而不是合規。因此,“沒有銀彈”的現實,令企業甚至是個人開始關注發生災難后的挽回措施。假以時日,網絡保險業務(個人認為,叫數字保險更合適)必將走上舞臺,成為商業保險的常態險種。國外保險集團的調查預計,2022年網絡保險業務全球市場將達140億美元。
√ 工控安全有所升溫。一直不慍不火的工控安全在政策大背景的推動下開始升溫,其中,全國范圍的工控安全大檢查是目前的主要驅動力。而工業互聯網、智慧城市、平安城市等從概念上給予工控安全更大的發展空間。
√ 人才短缺推動市場轉型,安全服務是方向。用戶對整體統一解決方案的需求,令大型網絡設備廠商在安全市場上的份額迅速上升,但硬件設備逐漸走向后臺的大趨勢不可避免,目前的狀況只是短期紅利,安全服務才是長期方向。安全人才短缺是這一趨勢的關鍵原因之一,并且在有限的時間內,尚看不到人才缺口得到較好彌補的可能。
√ 信息安全咨詢業務有著不錯的發展前景。無論在國內還是國際,網絡安全行業的碎片化特征十分明顯。主要是因為安全是行業化、場景化,甚至是業務化的,很難出現“包打天下”的標準產品。但隨著網絡威脅的來源和攻擊手段的復雜化,企業需要制定完善的安全管理策略,以構建全面的安全防護體系,同時降低安全管理復雜度和投入成本。因此,信息安全咨詢服務在未來有著更廣大的發展前景。安全牛統計的全球網絡安全年收入超10億美元(2016年)以上的15家公司中,有四家為咨詢公司,就是一個佐證。
√ 地方政府戰略布局,安全基地四面開花。安全產業基地、產業園、人才培養基地,紛紛在北京、武漢、成都、杭州、南京、合肥、福州、哈爾濱、西安等城市建立,體現出地方政府對網絡安全的重視,并將其放到城市經濟與科技發展的重要戰略地位。
四、政策法規篇
從歐盟的《通用數據保護條例》(GDPR)到美國的《國家網絡事件響應計劃》(NCIRP),再到俄羅斯的虛擬專用網(VPN)禁令和中國的《網絡安全法》,個人隱私保護與商業利益和國家安全交織,網絡空間安全成各國政府政治、經濟博弈關注重點。
國外重大網絡安全政策法規一覽
(2017年前后)
2016年12月28日,美國食品與藥物管理局公布了關于醫療設備制造商如何維護聯網設備安全的建議文件。文件建議聯合起來建立一個信息共享與分析組織以此來分享重要的安全威脅和應對措施。
12月29日,美國總統奧巴馬簽署了一項總統行政令,正式就俄羅斯的惡意網絡行為和干擾對其發起制裁。
2017年1月,美國國土安全部公布了《國家網絡事件響應計劃》(NCIRP),旨在描述政府處理公共或私營產業實體相關網絡事件的方法。
2月6日,美國眾議院投票通過《電子郵件隱私法》(Email Privacy Act),規定執法部門將需要得到法院頒發的搜查令后,才能獲準訪問儲存在第三方的時間超過6個月的電子郵件或者其他數據。
3月1日,美國眾議院科學、空間與技術委員會三通過了《網絡安全框架》法案。按照法案規定,美國國家標準與技術研究院(NIST)將向聯邦機構提供如何實施此《網絡安全框架》的指南。
3月,中興通訊同美國政府就伊朗交易與美政府達成的和解協議批準生效,中興同意支付共計約12億美元,作為非法將美國制造的高科技產品出口給伊朗的罰金。達成和解協議后,美國工業和安全局將建議把中興通訊從出口限制名單中移除。
6月29日,美國白宮國土安全顧問湯姆·博塞特表示,美國和以色列周一宣布,兩國將建立新的網絡安全合作關系,以阻止網絡對手,并確定讓惡意攻擊者承擔責任的方法。
7月,美國司法部(DOJ)犯罪科網絡安全部門發布《在線系統漏洞披露計劃框架》,以幫助組織機構制定正規的漏洞披露計劃。此框架并未規定漏洞披露計劃的形式或目標,而是側重描述授權發現與披露行為,以減少在民事或刑事上違反《計算機欺詐與濫用法》(CFAA)的可能性。
11月1日,俄羅斯總統普京簽署的虛擬專用網(VPN)禁令生效,從此在俄羅斯境內使用或提供VPN服務均屬違法。
11月,美國眾議院以356票贊成,70票反對的投票結果通過了2018財年的《國防授權法案》,在價值7000億美元的國防開支中將用6340億美元用于五角大樓的核心業務。今年的國防授權法案的重大改變在于:五角大樓將會進一步開放源代碼。
11月15日,美國白宮發布《漏洞平衡策略》,十大部門形成審查委員會,根據漏洞的波及范圍、利用難度、可導致的破壞,以及漏洞修復難度等,衡量漏洞的威脅程度,結合政府如何利用漏洞,以及利用漏洞的事實被公開將面臨的政治風險,來審查漏洞,最終決定公開日期或保密。
12月8日,特朗普政府公布國家安全戰略報告,強化美國競爭優勢,增強軍事、核力量、太空、網絡和情報等方面競爭力,以及提升美國的全球影響力。
12月12日,美國總統特朗普正式簽署了一項新的法令,政府部門永久開始禁用卡巴斯基殺毒軟件。該法案強化了特朗普政府于今年9月發布的一項強制行動指令,新的法案對民事和軍事網絡系統均適用。
12月14日,美國聯邦通訊委員會FCC發布《恢復互聯網自由》,以3-2的投票結果正式廢除了奧巴馬政府2015年通過的《開放互聯網法令》所確立的“網絡中立”規定,取消了對互聯網供應商封鎖網站的限制和對互聯網內容提供商收費的限制。
國內重大網絡安全政策法規一覽
(2017年前后)
2016年12月27日,國家互聯網信息辦公室首次發布《國家網絡空間安全戰略》。《戰略》要求,要以總體國家安全觀為指導,推進網絡空間和平、安全、開放、合作、有序,維護國家主權、安全、發展利益,實現建設網絡強國的戰略目標。
2017年3月1日,經中央網絡安全和信息化領導小組批準,外交部和國家互聯網信息辦公室共同發布《網絡空間國際合作戰略》。戰略提出,應在和平、主權、共治、普惠四項基本原則基礎上推動網絡空間國際合作,并強調中國在推動建設網絡強國戰略部署的同時,將秉持以合作共贏為核心的新型國際關系理念,與國際社會攜手共建安全、穩定、繁榮的網絡空間。
3月20日,最高人民法院審判委員會全體會議召開,審議并原則通過《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)。《解釋》(送審稿)共十條,主要規定了以下三方面的內容:(1)公民個人信息的范圍;(2)侵犯公民個人信息罪的定罪量刑標準;(3)侵犯公民個人信息犯罪所涉及的寬嚴相濟、犯罪競合、單位犯罪、數量計算等問題。
3月27日,重慶市政府發布了修訂后的《重慶市公安機關網絡監管行政處罰裁量基準》。對于接入國際網絡問題,即通常所說的“翻墻”,《裁量基準》規定,不以盈利為目的,初次實施上述違法行為,責令停止聯網,給予警告。以盈利為目的實施上述違法行為,責令停止聯網,給予警告,同時沒收違法所得,視情節輕重,處以5000元至15000元的罰款。
6月1日,《中華人民共和國網絡安全法》正式實施,網絡安全法最重要的意義在于把網絡安全工作以法律形式提高到了國家安全戰略的高度,并將信息安全等級保護制度上升為法律,成為維護國家網絡空間主權、安全和發展利益的重要舉措。
6月27日,國家網信辦發布了關于印發《國家網絡安全事件應急預案》的通知(中網辦發文〔2017〕4號)。預案將網絡安全事件分為四級:特別重大網絡安全事件、重大網絡安全事件、較大網絡安全事件、一般網絡安全事件。通知明確,網絡安全事件應急處置工作實行責任追究制。
7月,為保障關鍵信息基礎設施安全,根據《中華人民共和國網絡安全法》,國家互聯網信息辦公室會同相關部門起草了《關鍵信息基礎設施安全保護條例(征求意見稿)》。
7月27日,工信部發布《關于開展2017年電信和互聯網行業網絡安全試點示范工作的通知》。通知指出,2017年試點示范項目的申報主體為基礎電信企業集團公司或省級公司、互聯網域名注冊管理和服務機構、互聯網企業、網絡安全企業等。試點示范項目應為支撐自身網絡安全工作或為客戶提供安全服務的已建成并投入運行的網絡安全系統(平臺)。
9月,工信部印發《公共互聯網網絡安全威脅監測與處置辦法》(以下稱《辦法》)。《辦法》要求相關專業機構、基礎電信企業、網絡安全企業、互聯網企業、域名注冊管理和服務機構等應當加強網絡安全威脅監測與處置工作,明確責任部門、責任人和聯系人,加強相關技術手段建設,不斷提高網絡安全威脅監測與處置的及時性、準確性和有效性。
12月,中共中央政治局就實施國家大數據戰略進行第二次集體學習。中共中央總書記習近平在主持學習時指出,大數據是信息化發展的新階段,要推動大數據技術產業創新發展,要構建以數據為關鍵要素的數字經濟,要運用大數據提升國家治理現代化水平,要運用大數據促進保障和改善民生,要切實保障國家數據安全。
√歐盟的《通用數據保護條例》(GDPR)將于2018年5月25日正式實施,受到影響最大的是與歐洲有著密切商業往來的跨國公司。一是合規投入。根據普華永道的調查,大部分美國公司認為將花費100萬到1000萬美元的投入以滿足合規。二是罰金。違反GDPR規定的公司,可被罰款高達2000萬歐元或是公司全球年收入的4%處罰。有咨詢公司表示,在GDPR實施的頭一年中,有可能開出60億美元的罰金。
√ 《中華人民共和國網絡安全法》已于今年6月1日實施,網絡安全法最重要的意義在于,從法律層面上把我國網絡安全工作提高到了國家安全戰略的高度,強調對關鍵信息基礎設施及個人信息數據的保護,明確了國家、主管部門、網絡所有者、運營者及普通用戶各自的責任以及違規后的相關處罰。在合規應對實施環節,從網絡運營安全、網絡信息安全及關鍵信息基礎設施保護等三方面,就“相關責任方”、“管理措施”及“技術措施”等三個維度總結了具體實施要點。
2017年,主管部門及安全標準化機構發布了多個與《網絡安全法》實施相關的法規與標準,有的還處在征求意見當中。為方便各類機構在實施《網絡安全法》時加以參考,把最重要的相關法規與標準列表如下:
國內2017年前后發布的《網絡安全法》相關法規標準
√ 數字化進程擴大網絡安全產業,各國安全政策壓縮彼此市場空間。數字化進程不斷的促進網絡安全市場空間的擴張,努力向前發展的企業不可避免的傾向使用先進的技術。而網絡安全又是國家安全的重要組成部分,因此各國出臺相應保護自我的政策無可厚非。但更大的主題是人類的科技發展,各國之間是一個競爭與合作的“命運共同體”。自主可控與開放創新,封閉與開源,永遠都是在爭議中前行的話題。因此如何在符合對方國家大政策體系和規范的前提下,盡最大能力地將自身的技術和產品融合到當地的安全生態圈中,是跨國安全企業在未來幾年的重要挑戰。
五、年度大事總結
2017年最值得關注的七件網絡安全年度大事:
信息泄露創歷史記錄,包括雅虎30億賬戶泄露,Equifax 1.43億全球消費者信息泄露,AWS S3 1.23億戶美國家庭信息泄露;
WannaCry、Petya等勒索軟件爆發,涉及全球上百國家,造成數十億美元的損失;
加密貨幣成黑客攻擊目標,包括直接盜竊交易平臺,以及用惡意軟件感染用戶計算機大規模“挖礦”攫取經濟利益;
網絡攻擊上天入地,無所不在,橫跨人類社會各個領域,代碼武器化,黑客國家化態勢明顯;
漏洞增長史無前例,各大漏洞披露平臺均創歷史增長和絕對數量記錄;
網絡安全投融資規模前所未有,涉及金額國外的公開數字超過300億美元(含并購),而國內僅融資額就達到了30億人民幣之多;
中國《國家網絡空間安全戰略》、《網絡空間國際合作戰略》的發布和《網絡安全法》的正式實施,標志著我國網絡安全行業的發展進入健康向上的軌道。
結語
如果說斯諾登事件為國內網絡安全行業的破冰之年,《網絡安全法》的實施就是乘風破浪大踏步向前發展的一年。“沒有網絡安全就沒有國家安全”是我們的航標,云計算、大數據、物聯網等數字化進程的發展,則是推動網絡安全之舟快速前行的浪潮。但同時我們應該看到,國內信息技術的普及,人員綜合能力水平,網絡安全意識程度,與發達國家相比還存在著很大差距。而監管、行業與區域的劃分,令安全領域碎片化的現象在我國尤其嚴重。不管是合規驅動、事件驅動,還是需求驅動,如何繞過這些大海航行中的暗礁,克服重重困難永往直前,是我們必須思考的問題和面臨的挑戰。
2017年即將告別,2018年即將到來,區塊鏈、人工智能、量子計算、5G、虛擬現實等新興技術正在向我們招手。伴隨著攻與防的永無止境,一個新的科技時代就在人類眼前,“網絡安全和網絡發展相輔相成”,這是時代賦予每一位網絡安全從業人員的使命。
京公網安備 11010502049343號