在“安全邊界消失”、“人的因素”之后，網(wǎng)絡(luò)安全正在迎來一場(chǎng)“靈魂深處的變革”—自動(dòng)化、智能化的下一代安全運(yùn)營(yíng)(SOC)。威脅情報(bào)和AI是這場(chǎng)變革的兩大動(dòng)力，而安全行業(yè)的人員、技術(shù)和流程也將重新配置。
 

無論是遠(yuǎn)程辦公新常態(tài)下備受關(guān)注的端點(diǎn)安全、零信任、云安全，還是勒索軟件、網(wǎng)絡(luò)犯罪和APT攻擊頻繁敲打下的數(shù)據(jù)安全、SOC安全運(yùn)營(yíng)和工控網(wǎng)絡(luò)/基礎(chǔ)設(shè)施安全，全球網(wǎng)絡(luò)安全行業(yè)正面臨著斯諾登事件以來最大的不確定性/變革，而這個(gè)變革的導(dǎo)火索之一，正是2020年12月席卷美國(guó)政府機(jī)構(gòu)和全球重要組織的SolarWinds供應(yīng)鏈APT攻擊——過去十年最危險(xiǎn)的網(wǎng)絡(luò)攻擊。
 

以下，安全牛圍繞2020年網(wǎng)絡(luò)安全十大熱點(diǎn)，簡(jiǎn)要回顧和盤點(diǎn)2020年網(wǎng)絡(luò)安全重大事件和數(shù)據(jù)統(tǒng)計(jì)，并在文章末尾附上相關(guān)大事記列表(2019年1月開始，安全牛網(wǎng)絡(luò)安全大事記實(shí)現(xiàn)在線動(dòng)態(tài)更新，讀者可在安全牛網(wǎng)站上隨時(shí)查閱最新數(shù)據(jù))。

快速閱讀目錄：

• SolarWinds供應(yīng)鏈攻擊：過去十年最重大的網(wǎng)絡(luò)安全事件
• 勒索軟件“日屠一龍”，事件響應(yīng)面臨挑戰(zhàn)
• 安全漏洞再創(chuàng)新高，API與Android漏洞成倍增長(zhǎng)
• 網(wǎng)絡(luò)安全融資“量?jī)r(jià)齊升”，零信任大熱
• 公民隱私元年，安全監(jiān)管法規(guī)密集出臺(tái)
• 從BYOD到BYOIT，物聯(lián)網(wǎng)風(fēng)險(xiǎn)驟增
• 安全意識(shí)：遠(yuǎn)程辦公的“人肉防火墻”
• CISO最關(guān)注的五大熱點(diǎn)
• SOC重心轉(zhuǎn)向快速檢測(cè)與響應(yīng)，威脅情報(bào)與AI雙動(dòng)力
• 疫情成零信任加速器

SolarWinds供應(yīng)鏈攻擊：過去十年最重大的網(wǎng)絡(luò)安全事件

盤點(diǎn)2020年網(wǎng)絡(luò)安全事件，SolarWinds供應(yīng)鏈攻擊無論從規(guī)模、影響力和潛在威脅性來看，都堪稱過去十年最重大的網(wǎng)絡(luò)安全事件。

2020年12月發(fā)生的SolarWinds供應(yīng)鏈攻擊滲透了包括五角大樓、美國(guó)財(cái)政部、白宮、國(guó)家核安全局在內(nèi)的幾乎所有關(guān)鍵部門，包括電力、石油、制造業(yè)等十多個(gè)關(guān)鍵基礎(chǔ)設(shè)施中招，思科、微軟、英特爾、VMware、英偉達(dá)等科技巨頭以及超過9成的財(cái)富500強(qiáng)企業(yè)“躺槍”，被CISA定義為“美國(guó)關(guān)鍵基礎(chǔ)設(shè)施迄今面臨的最嚴(yán)峻的網(wǎng)絡(luò)安全危機(jī)”。

這次攻擊到底有多可怕，舉一個(gè)簡(jiǎn)單的例子，參與調(diào)查的一位網(wǎng)絡(luò)安全專家半開玩笑地說：“見證和經(jīng)歷了SolarWinds供應(yīng)鏈攻擊后，說實(shí)話，希拉里郵件門事件中，希拉里的選擇(使用私人郵件服務(wù)器而不是白宮的)有可能更加安全。”

從目前公開的部分調(diào)查結(jié)果來看，SolarWinds供應(yīng)鏈攻擊對(duì)全球各國(guó)關(guān)鍵基礎(chǔ)設(shè)施安全防御體系來說都是一個(gè)極富沖擊性的事件——大量傳統(tǒng)網(wǎng)絡(luò)安全工具、措施和策略失效，奧巴馬以來“重攻輕守，以攻代守“的美國(guó)國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略遭受嚴(yán)重打擊。而SolarWinds公司作為一家垂直領(lǐng)域的領(lǐng)導(dǎo)型科技企業(yè)，糟糕的網(wǎng)絡(luò)安全意識(shí)和實(shí)踐也在此次事件中被曝光，SolarWinds面臨的，也許不僅僅是股價(jià)暴跌。

勒索軟件“日屠一龍”，事件響應(yīng)面臨挑戰(zhàn)

從本田、佳明、佳能到富士康、研華......“日屠一龍”的勒索軟件無疑是2020年最危險(xiǎn)，也是最受關(guān)注的網(wǎng)絡(luò)犯罪活動(dòng)。2020年勒索軟件攻擊持續(xù)快速增長(zhǎng)，攻擊規(guī)模、贖金金額都屢次創(chuàng)下新高。根據(jù)SonicWall的最新報(bào)告，2020年前三季度全球勒索軟件攻擊同比激增40%(1.997億)。2020年前三季度，美國(guó)遭遇的勒索軟件攻擊達(dá)到了驚人的1.452億，同比增長(zhǎng)了139%。

值得注意的是，研究人員觀察到2020年Ryuk勒索軟件的檢測(cè)量顯著增加。2019年第三季度，僅檢測(cè)到5123次Ryuk攻擊。但到2020年第三季度，業(yè)界共檢測(cè)到6730萬Ryuk攻擊，占今年所有勒索軟件攻擊的33.7%。
 

根據(jù)Anchain.ai提供的數(shù)據(jù)(上圖)，2020年三大勒索軟件組織的贖金賬戶資金駐留時(shí)間縮短了十倍，這意味著企業(yè)事件響應(yīng)和溯源的時(shí)間窗口在大幅度收窄，加之勒索軟件攻擊技術(shù)和手段的不斷復(fù)雜化，對(duì)于大多數(shù)企業(yè)來說，勒索軟件事件響應(yīng)難度都在成指數(shù)級(jí)增加。

此外，隨著美國(guó)財(cái)政部外國(guó)資產(chǎn)控制辦公室(OFAC)在10月1日發(fā)布公告規(guī)定向OFAC認(rèn)定制裁范圍的SDN(特定個(gè)人)支付勒索軟件贖金將受到法律制裁，不但導(dǎo)致美國(guó)企業(yè)無法通過網(wǎng)絡(luò)保險(xiǎn)公司及其經(jīng)紀(jì)人支付贖金，而且對(duì)于美國(guó)乃至全球大型企業(yè)都構(gòu)成了新的違規(guī)風(fēng)險(xiǎn)。

更糟糕的是，2020年下半年勒索軟件的瘋狂攻勢(shì)只是序幕，根據(jù)Cybersecurity Ventures的預(yù)測(cè)，到2021年，全球勒索軟件破壞成本將達(dá)到200億美元，是2015年的57倍。

安全漏洞再創(chuàng)新高， API與Android漏洞翻倍增長(zhǎng)

2020年，除了一線醫(yī)護(hù)人員，網(wǎng)絡(luò)安全運(yùn)維人員是另一個(gè)工作壓力陡增的職業(yè)人群，這主要是因?yàn)榫W(wǎng)絡(luò)犯罪活動(dòng)飆升和網(wǎng)絡(luò)安全漏洞的快速增長(zhǎng)。

2020年NVD漏洞數(shù)據(jù)庫總計(jì)新增了19220個(gè)漏洞，這也是安全漏洞數(shù)量連續(xù)第四年創(chuàng)下新高。

Web應(yīng)用程序依然是漏洞的“主力軍”，但是來自Bugcrowd數(shù)據(jù)顯示，隨著黑客技能的多樣化，其他類別應(yīng)用的漏洞數(shù)量也在趕上。到2020年，所有類別的漏洞提交量都增加了。今年以來，API漏洞翻了一番，Android漏洞翻了三倍還多。

根據(jù)HackerOne 10月底發(fā)布的十大漏洞列表，跨站點(diǎn)腳本(XSS)仍然是影響力最大的漏洞，2020年為黑客贏得了420萬美元的漏洞賞金，比2019年增長(zhǎng)了26%。

2020年最具影響力和賞金最高的十大漏洞類型：

• XSS
• 不當(dāng)訪問控制
• 信息泄露
• 服務(wù)器端偽造請(qǐng)求(SSRF)
• 不安全的直接對(duì)象引用(IDOR)
• 權(quán)限提升
• SQL注入
• 錯(cuò)誤身份驗(yàn)證
• 代碼注入和跨站點(diǎn)請(qǐng)求偽造(CSRF)

值得注意的是，2020年隨著疫情大流行導(dǎo)致遠(yuǎn)程辦公潮，攻擊者的策略開始從針對(duì)應(yīng)用程序轉(zhuǎn)向針對(duì)協(xié)議漏洞，尤其是與遠(yuǎn)程辦公相關(guān)的RDP協(xié)議漏洞。根據(jù)卡巴斯基的統(tǒng)計(jì)針對(duì)RDP的暴力攻擊3月份開始激增，2020年前11個(gè)月總計(jì)達(dá)到33億次，是2019年同期的三倍。

網(wǎng)絡(luò)安全融資“量?jī)r(jià)齊漲”，零信任大熱

2020年下半年國(guó)內(nèi)網(wǎng)絡(luò)安全融資呈現(xiàn)“量?jī)r(jià)齊漲”，雖然千萬級(jí)以上規(guī)模融資次數(shù)與上半年基本持平，但融資規(guī)模大幅增長(zhǎng)，打破多項(xiàng)紀(jì)錄，其中最具標(biāo)志性的事件包括7月份奇安信登陸科創(chuàng)板，募資57.19億元?jiǎng)?chuàng)下安全類企業(yè)A股融資新高;以威脅檢測(cè)為核心技術(shù)的安天科技8月份融資6億元，12月底獲得中國(guó)國(guó)有企業(yè)結(jié)構(gòu)調(diào)整基金2億元投資，B輪融資總額8億元，創(chuàng)下中國(guó)網(wǎng)絡(luò)安全行業(yè)融資規(guī)模新紀(jì)錄。

除了安天科技，2020年下半年，微步、派拉軟件、竹云科技和博智安全都完成了3億+規(guī)模的融資，規(guī)模都超過了2020年上半年最大規(guī)模融資(愛數(shù)信息2.5億)。

零信任/身份認(rèn)證/訪問控制無疑是2020年下半年資本市場(chǎng)的最大熱點(diǎn)，而上半年的焦點(diǎn)工控安全、數(shù)據(jù)安全、威脅檢測(cè)、威脅情報(bào)等熱度依然不減。顯然，面對(duì)快速增長(zhǎng)的針對(duì)性攻擊威脅和趨勢(shì)，“深度防御、更快檢測(cè)”的重要性已經(jīng)得到了企業(yè)界和資本界的充分重視。

隱私元年，安全監(jiān)管法規(guī)密集出臺(tái)

2020年堪稱公民隱私年，全年發(fā)布的網(wǎng)絡(luò)安全監(jiān)管法規(guī)中，超過半數(shù)都與公民隱私有關(guān)，快速覆蓋數(shù)字社會(huì)隱私保護(hù)的盲區(qū)和死角，例如2月份中國(guó)人民銀行發(fā)布的《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》，10月份開始實(shí)施的《信息安全技術(shù) 個(gè)人信息安全規(guī)范》國(guó)家標(biāo)準(zhǔn)，7月份公布的《數(shù)據(jù)安全法》草案，10月份開始審議的《個(gè)人信息保護(hù)法(草案)》等等。其他與隱私相關(guān)法規(guī)規(guī)范還包括《個(gè)人信息安全影響評(píng)估指南》、《未成年保護(hù)法》(增設(shè)“網(wǎng)絡(luò)保護(hù)”條款)。

11月，工信部下架60款隱私違規(guī)APP，標(biāo)志著一場(chǎng)數(shù)字空間隱私保衛(wèi)戰(zhàn)正式拉開大幕。

從BYOD到BYOIT，物聯(lián)網(wǎng)風(fēng)險(xiǎn)驟增

在新冠疫情爆發(fā)之前，BYOD始終是困擾企業(yè)安全主管的影子IT問題，2020年上半年新冠疫情的爆發(fā)，導(dǎo)致企業(yè)遠(yuǎn)程辦公人數(shù)激增，BYOIT成了新的問題。所謂BYOIT就是員工使用家庭設(shè)備(不僅限于手機(jī)和PC)，還包括個(gè)人應(yīng)用，例如文件共享和視頻會(huì)議，以及個(gè)人網(wǎng)絡(luò)和存儲(chǔ)設(shè)備，例如家庭NAS和WiFi路由器，甚至智能家居設(shè)備，例如智能音箱和攝像頭。

BYOIT極大地增加了企業(yè)的攻擊面和資產(chǎn)暴露面，同時(shí)也成為網(wǎng)絡(luò)犯罪分子和黑客的熱門目標(biāo)。在11月舉行的東京Pwn20wn 2020黑客大會(huì)上，消費(fèi)級(jí)路由器和NAS成為參賽漏洞賞金獵人的主要收入來源，這也說明家庭WiFI路由器、NAS存儲(chǔ)設(shè)備和智能電視等智能家居相關(guān)設(shè)備存在大量漏洞并且容易得手。

雖然2020年下半年中國(guó)的疫情防控全球一枝獨(dú)秀，大多數(shù)企業(yè)已經(jīng)復(fù)產(chǎn)復(fù)工，但是隨著2020年末多地疫情的反彈，以及季節(jié)、病毒流行性的不確定性，企業(yè)安全主管需要盡快對(duì)BYOIT安全風(fēng)險(xiǎn)(例如網(wǎng)盤、私人郵箱、視頻會(huì)議APP等)進(jìn)行深入評(píng)估并制定相應(yīng)數(shù)據(jù)安全預(yù)案。與BYOD不同，BYOIT的控制重點(diǎn)是數(shù)據(jù)而不是應(yīng)用程序，如果硬件或者應(yīng)用已經(jīng)失控，企業(yè)需要對(duì)數(shù)據(jù)進(jìn)行全程管控。

安全意識(shí)：遠(yuǎn)程辦公的“人肉防火墻”

2020年3月份RSAC2020網(wǎng)絡(luò)安全大會(huì)使“人的因素”獲得前所未有的重視。根據(jù)GoSecurity10月份的調(diào)查，網(wǎng)絡(luò)安全意識(shí)培訓(xùn)已經(jīng)成為當(dāng)下企業(yè)安全管理者眼中最有效的安全服務(wù)，但在企業(yè)整體安全支出中的占比卻最低(不到10%)。

從年初的微盟到年中的思科，員工“刪庫跑路”等內(nèi)部威脅一直是企業(yè)管理者的心頭大患。華爾街日?qǐng)?bào)的調(diào)查顯示，70%的企業(yè)管理者擔(dān)心內(nèi)部人員威脅，但是一個(gè)鮮為人知的事實(shí)是，雖然內(nèi)部威脅的新聞熱點(diǎn)通常是“刪庫跑路”，但大多數(shù)內(nèi)部威脅并非是員工的惡意，而是疏忽或缺乏必要的安全意識(shí)。甚至今年最為嚴(yán)重的網(wǎng)絡(luò)安全事件——SolarWinds供應(yīng)鏈攻擊事件中，我們也能隨處看到觸目驚心的“意識(shí)漏洞”——SolarWinds的軟件更新服務(wù)器的登陸密碼居然是solarwinds123。

根據(jù)DTEX Systems的最新調(diào)查，雖然2020年全球疫情已經(jīng)持續(xù)近一年之久，但只有30%的受訪公司為安全的遠(yuǎn)程辦公做好了準(zhǔn)備。近75%的企業(yè)擔(dān)心在家工作的用戶給企業(yè)帶來安全風(fēng)險(xiǎn)。

新冠疫情中的遠(yuǎn)程辦公/BYOIT，極大增加了企業(yè)的攻擊面和資產(chǎn)暴露風(fēng)險(xiǎn)。好的網(wǎng)絡(luò)安全意識(shí)培訓(xùn)能把“人的漏洞”變成“人肉長(zhǎng)城”，把最弱的短板變成最堅(jiān)固的防線，在全球遠(yuǎn)程辦公的新常態(tài)下，是能快速提升企業(yè)網(wǎng)絡(luò)安全韌性的“剛需服務(wù)”。

正如DTEX總裁兼首席執(zhí)行官巴赫曼·馬博德(Bahman Mahbod)所言：“新年的一年即將到來，確保遠(yuǎn)程員工的安全是企業(yè)的當(dāng)務(wù)之急，員工在網(wǎng)絡(luò)安全防御中的角色更加重要，是企業(yè)的‘人肉防火墻’。”

CISO的五大關(guān)注熱點(diǎn)

根據(jù)安全牛今年11月發(fā)布的《中國(guó)網(wǎng)絡(luò)安全企業(yè)100強(qiáng)報(bào)告》參與調(diào)研的上百名CISO的細(xì)分領(lǐng)域關(guān)注熱點(diǎn)TOP20如下：

可以看出，2020年甲方需求熱點(diǎn)與安全市場(chǎng)熱點(diǎn)并不完全同步，數(shù)據(jù)安全、隱私增強(qiáng)、應(yīng)用安全、高級(jí)威脅防護(hù)和物聯(lián)網(wǎng)設(shè)備依然是甲方用戶最關(guān)心的TOP5安全細(xì)分領(lǐng)域。而根據(jù)Hitachi ID的CIO調(diào)查，2020年企業(yè)IT支出的最高優(yōu)先級(jí)是網(wǎng)絡(luò)安全，其中身份和訪問管理(IAM)、端點(diǎn)安全和安全意識(shí)培訓(xùn)是安全支出的三個(gè)重點(diǎn)。

2021年，隨著全球疫情的持續(xù)，遠(yuǎn)程辦公的常態(tài)化，身份與訪問控制、云原生安全服務(wù)、應(yīng)用監(jiān)控和云數(shù)據(jù)防護(hù)都是甲方安全預(yù)算增長(zhǎng)的熱門領(lǐng)域，根據(jù)IDG的預(yù)測(cè)報(bào)告，2021年企業(yè)網(wǎng)絡(luò)安全預(yù)算增長(zhǎng)最多的TOP5安全細(xì)分領(lǐng)域如下：

2021年企業(yè)將會(huì)積極測(cè)試、評(píng)估和實(shí)施以下六種熱門技術(shù)：

• 零信任(40%)
• 欺騙技術(shù)(32%)
• 身份驗(yàn)證解決方案(32%)
• 訪問控制(27%)
• 應(yīng)用程序監(jiān)視(25%)
• 基于云的安全服務(wù)(22%)

SOC重心轉(zhuǎn)向快速檢測(cè)與響應(yīng)，威脅情報(bào)與AI雙驅(qū)動(dòng)

如果說APT強(qiáng)拆了企業(yè)的安全邊界，那么新冠疫情就是企業(yè)安全運(yùn)營(yíng)變革的推手。2020年席卷全球的遠(yuǎn)程辦公浪潮，加速了“企業(yè)中心化安全模式”的消失，企業(yè)的網(wǎng)絡(luò)安全運(yùn)營(yíng)和SOC，正在從以日志為中心向以威脅檢測(cè)和響應(yīng)為中心轉(zhuǎn)變。而這次變革的焦點(diǎn)，則是“更快檢測(cè)和更快響應(yīng)”。于此同時(shí)，遠(yuǎn)程辦公和云應(yīng)用的普及，也正推動(dòng)SOC的“云化”，云混合SOC將成為很多企業(yè)的首選模式。

新冠疫情加速了業(yè)務(wù)上云，但這并不意味著安全上云，“靠山山倒”，越來越多的企業(yè)意識(shí)到，僅依靠或者信賴云服務(wù)商的默認(rèn)安全服務(wù)是遠(yuǎn)遠(yuǎn)不夠的，例如，客戶云配置錯(cuò)誤已經(jīng)成了云數(shù)據(jù)安全的頭號(hào)威脅。

因此，2020年，企業(yè)SOC的重要性不是降低了，而是增加了。同時(shí)業(yè)務(wù)上云也給企業(yè)SOC帶來了新的挑戰(zhàn)，正如前文所述，BYOIT和影子SaaS正在給企業(yè)的威脅檢測(cè)和響應(yīng)帶來很大的挑戰(zhàn)。

除了“云混合”，SOC的另一個(gè)趨勢(shì)是功能重心轉(zhuǎn)向快速檢測(cè)與響應(yīng)，2013年Gartner的尼爾·麥克唐納曾預(yù)測(cè)2020年將有60%的企業(yè)信息安全預(yù)算用于快速檢測(cè)和評(píng)估，但現(xiàn)實(shí)的發(fā)展速度超出了預(yù)期。

2020年，SOAR和XDR已經(jīng)成為企業(yè)SOC優(yōu)化的兩條主賽道，在很多地區(qū)預(yù)算占比已經(jīng)超過80%。在這場(chǎng)“下一代SOC”的角逐中，威脅情報(bào)和人工智能是業(yè)界公認(rèn)的兩個(gè)核心驅(qū)動(dòng)力。

疫情成零信任加速器

2020年的新冠疫情，極大的加速了零信任架構(gòu)(ZTNA)的部署，一方面遠(yuǎn)程辦公的激增導(dǎo)致傳統(tǒng)虛擬專用網(wǎng)暴露出擴(kuò)展和性能瓶頸，另一方面，國(guó)內(nèi)大型攻防演練暴露的虛擬專用網(wǎng)零日漏洞也促使大量企業(yè)考慮采用零信任架構(gòu)替代虛擬專用網(wǎng)。

根據(jù)企業(yè)管理協(xié)會(huì)(EMA)8月進(jìn)行的252位IT專業(yè)人員調(diào)查，有60%的企業(yè)表示他們的組織已經(jīng)加快了零信任策略部署。40%的受訪者認(rèn)為，提高運(yùn)營(yíng)敏捷性是零信任的主要好處，而35%的人指出，零信任改善了IT治理和風(fēng)險(xiǎn)合規(guī)性。

受訪者提到的其他一些零信任的優(yōu)點(diǎn)包括：防止入侵和遏制、減少攻擊面以及減少未經(jīng)授權(quán)的訪問，這也是后新冠時(shí)代的共性問題。EMA發(fā)現(xiàn)，采用正式零信任策略的公司比采用臨時(shí)方法的公司成功的可能性要大得多。具有諷刺意味的是，參與調(diào)查的公司規(guī)模越大，越有可能采用臨時(shí)方法。

以下是安全牛整理的《2020年網(wǎng)絡(luò)安全大事記》列表，期望能幫助廣大讀者快速回顧2020年的安全事件，標(biāo)記和復(fù)盤2020年網(wǎng)絡(luò)安全市場(chǎng)走勢(shì)：

2020年數(shù)據(jù)泄露事件

2020年網(wǎng)絡(luò)攻擊事件

2020年漏洞事件

2020年工控安全事件

2020年國(guó)內(nèi)安全企業(yè)融資

2020年國(guó)際安全企業(yè)融資

2020年國(guó)內(nèi)網(wǎng)絡(luò)安全政策法規(guī)

2020年國(guó)際網(wǎng)絡(luò)安全政策法規(guī)

2020年國(guó)內(nèi)網(wǎng)絡(luò)安全會(huì)議活動(dòng)

2020年國(guó)際網(wǎng)絡(luò)安全會(huì)議活動(dòng)