2015年全球網(wǎng)絡(luò)安全行業(yè)面面觀
劉暢
2015年的網(wǎng)絡(luò)安全隱患層出不窮,網(wǎng)絡(luò)犯罪波及范圍、嚴(yán)重程度呈擴(kuò)大趨勢,黑客組織規(guī)模及技術(shù)手段日益精進(jìn)。各國隨之也加大了網(wǎng)絡(luò)安全建設(shè)力度,政府、企業(yè)“抱團(tuán)取暖”共享技術(shù)信息,政府通過出臺法規(guī)、加強(qiáng)監(jiān)管、投入教育和人才培養(yǎng),將網(wǎng)絡(luò)安全上升到國家安全高度,和網(wǎng)絡(luò)犯罪分子展開一場場激烈的、高科技“貓鼠游戲”。同時(shí)值得注意的是,2015年的網(wǎng)絡(luò)犯罪變得更加專業(yè)化、規(guī)模化、組織化,以ISIS為代表的恐怖組織也加入了網(wǎng)絡(luò)攻防戰(zhàn),同時(shí)也促成了網(wǎng)絡(luò)安全相關(guān)產(chǎn)業(yè)的蓬勃發(fā)展。
損失慘重,多數(shù)企業(yè)缺乏抵御能力
——政府企業(yè)損失慘痛創(chuàng)下多個(gè)“歷史最嚴(yán)重”
IBM發(fā)布的《2015年英國數(shù)據(jù)泄漏損失調(diào)查報(bào)告》顯示,2015年英國平均每家公司因黑客攻擊造成損失已達(dá)237萬英鎊。信息安全機(jī)構(gòu)Ponemon發(fā)布的《2015年網(wǎng)絡(luò)犯罪損失報(bào)告》稱,2015年美國平均每家企業(yè)因網(wǎng)絡(luò)犯罪損失已達(dá)到1540萬美元,較2010年的650萬美元已成倍上漲。2月,美國大型醫(yī)保企業(yè)Anthem稱,約8000萬客戶信息遭泄露;6月~7月,美國人事管理局宣布遭到黑客大范圍攻擊,共造成2210萬人的數(shù)據(jù)遭到泄露,包括社保賬號、住址信息、薪資狀況、背景調(diào)查信息等。10月,英國寬帶服務(wù)提供商TalkTalk表示,該公司受到了嚴(yán)重的網(wǎng)絡(luò)襲擊,導(dǎo)致400萬用戶個(gè)人信息泄露,這是英國史上規(guī)模最大的數(shù)據(jù)泄露事件之一。
國內(nèi)影響最大的一起安全事故則是XGhost事件。2015年9月17日,網(wǎng)上消息曝光非官方下載的蘋果開發(fā)環(huán)境Xcode中包含惡意代碼,會自動(dòng)向編譯的App應(yīng)用注入信息竊取和遠(yuǎn)程控制功能。經(jīng)確認(rèn),包括微信、網(wǎng)易云音樂、高德地圖、滴滴出行、鐵路12306,甚至一些銀行的手機(jī)應(yīng)用均受影響,App Store 上超過3000個(gè)應(yīng)用被感染。值得注意的是,與2014年相比,國內(nèi)信息泄露事件的曝光度有上升的趨勢。
——仍有大量企業(yè)缺少必要的抵御網(wǎng)絡(luò)風(fēng)險(xiǎn)手段
美國證券存托與清算公司發(fā)布2015年報(bào)告顯示,多數(shù)金融機(jī)構(gòu)將網(wǎng)絡(luò)威脅視為最重要的風(fēng)險(xiǎn)之一。受訪公司認(rèn)為金融市場和其他重要行業(yè)受到網(wǎng)絡(luò)攻擊的次數(shù)會不斷增加,攻擊手段也會越來越復(fù)雜。
美國SANS研究所發(fā)布報(bào)告稱,通過調(diào)查770家企業(yè)后得出結(jié)論,約三分之一的企業(yè)無抵御網(wǎng)絡(luò)威脅的手段,主要原因是因?yàn)槿狈ε嘤?xùn)、預(yù)算不足以及稱職員工缺失。
惠普發(fā)布《2015年網(wǎng)絡(luò)安全運(yùn)營狀況報(bào)告》顯示,全球企業(yè)在防御網(wǎng)絡(luò)攻擊(甚至是最簡單的網(wǎng)絡(luò)攻擊)方面的準(zhǔn)備工作嚴(yán)重不足。報(bào)告稱,當(dāng)前,隨著網(wǎng)絡(luò)攻擊規(guī)模和影響力的不斷擴(kuò)大,企業(yè)高管必須對此予以重視,并制定出相應(yīng)的方案。
政府牽頭,網(wǎng)絡(luò)安全建設(shè)大步向前
——成立網(wǎng)絡(luò)安全組織,出臺相關(guān)法令
3月5日,英國國防科學(xué)與技術(shù)實(shí)驗(yàn)室宣布建立新的實(shí)驗(yàn)室計(jì)劃,專注于發(fā)現(xiàn)針對英國的網(wǎng)絡(luò)威脅。該實(shí)驗(yàn)室將致力于在英國關(guān)鍵技術(shù)設(shè)施中找到漏洞,并對這些漏洞進(jìn)行評估,以完善應(yīng)對網(wǎng)絡(luò)攻擊的軍事能力和恢復(fù)力。4月,法國政府通過法令,該法令適用于包括銀行、電信運(yùn)營商及連鎖零售企業(yè)在內(nèi)的對國家安全具有戰(zhàn)略意義的218家企業(yè),這些企業(yè)需要向法國國家信息系統(tǒng)安全局報(bào)告所遭遇的入侵事件,據(jù)法國IT安全協(xié)會委員會成員透露,大企業(yè)每年要為這些舉措花費(fèi)數(shù)十萬歐元。12月7日,歐盟通過《網(wǎng)絡(luò)信息安全指令》,要求谷歌和亞馬遜等互聯(lián)網(wǎng)企業(yè)上報(bào)嚴(yán)重入侵事件,否則將面臨制裁,該指令將提高能源、交通、金融等關(guān)鍵基礎(chǔ)設(shè)施行業(yè)供應(yīng)商的安全標(biāo)準(zhǔn)。
——未雨綢繆,制定未來網(wǎng)絡(luò)安全發(fā)展計(jì)劃
4月28日,歐盟委員會推出2015~2020年安全計(jì)劃,在未來5年里的安全行動(dòng)目標(biāo)主要是針對歐盟當(dāng)前面臨的恐怖襲擊、有組織犯罪和網(wǎng)絡(luò)犯罪三大主要威脅,其主要任務(wù)和手段是阻止極端主義、制定打擊恐怖活動(dòng)的法律框架、阻斷犯罪分子的資金來源、加強(qiáng)與情報(bào)部門的對話和國家間的情報(bào)交流、打擊武器非法走私、強(qiáng)化網(wǎng)絡(luò)犯罪監(jiān)控以及提高歐洲刑警組織的行動(dòng)能力等。
5月25日,日本政府舉行會議制定新的《網(wǎng)絡(luò)安全戰(zhàn)略》,提出“主動(dòng)遏制惡意行為的自律性”、“政府和民間加強(qiáng)合作”等舉措,并在物聯(lián)網(wǎng)、能源、機(jī)械等領(lǐng)域重點(diǎn)采取網(wǎng)絡(luò)安全措施。
——加強(qiáng)人才招募和培養(yǎng),擴(kuò)充網(wǎng)絡(luò)部隊(duì)規(guī)模
5月12日,英國政府通信總部發(fā)布首次招聘計(jì)劃,招募計(jì)算機(jī)網(wǎng)絡(luò)人才,用以偵測和預(yù)防針對國家關(guān)鍵基礎(chǔ)設(shè)施和政務(wù)系統(tǒng)的重大網(wǎng)絡(luò)攻擊,打擊網(wǎng)絡(luò)犯罪。
美國國土安全部出臺計(jì)劃,將在2016年6月底前招募1000名網(wǎng)絡(luò)安全專家,美國聯(lián)邦人事管理局已經(jīng)批準(zhǔn)了該項(xiàng)招聘權(quán)威專家的計(jì)劃。
7月,英國政府通信總部又認(rèn)證了6個(gè)網(wǎng)絡(luò)安全碩士學(xué)位,使英國可以設(shè)置相關(guān)碩士學(xué)位的大學(xué)達(dá)到12所。這是GCHQ支持英國發(fā)展網(wǎng)絡(luò)安全教育的一部分。
——政府借助企業(yè)力量,通過執(zhí)法機(jī)構(gòu)和業(yè)界合作以保護(hù)關(guān)鍵數(shù)據(jù)
2月,歐洲網(wǎng)絡(luò)犯罪中心宣布與安全公司AnubisNetworks達(dá)成諒解備忘錄,將就專業(yè)技術(shù)、統(tǒng)計(jì)資料及其他戰(zhàn)略信息展開交流,共同對抗網(wǎng)絡(luò)犯罪所帶來的全球威脅。
同月,歐洲網(wǎng)絡(luò)犯罪中心開展與微軟、賽門鐵克等企業(yè)的合作,聯(lián)手關(guān)閉了Ramnit的僵尸病毒服務(wù)器,該病毒感染了歐洲成千上萬臺計(jì)算機(jī)。此次打擊行動(dòng)是政府組織和私營企業(yè)之間進(jìn)行國際合作、對抗網(wǎng)絡(luò)犯罪的成功典范。
——積極推進(jìn)國際間交流以建立良好合作關(guān)系
8月11日,美印網(wǎng)絡(luò)對話在美國國務(wù)院舉行,兩國確定了合作方向,欲加強(qiáng)在網(wǎng)絡(luò)安全能力建設(shè)、網(wǎng)絡(luò)安全技術(shù)研發(fā)、打擊網(wǎng)絡(luò)犯罪、國際網(wǎng)絡(luò)安全及互聯(lián)網(wǎng)治理等方面的合作。
11月30日,英國國家打擊犯罪局舉辦了為期一周的網(wǎng)絡(luò)安全演習(xí),匯集了來自美國聯(lián)邦調(diào)查局、歐洲刑警組織的網(wǎng)絡(luò)專家以及包括美國、格魯吉亞、烏克蘭在內(nèi)的8個(gè)國家的特工人員。演習(xí)的目的是幫助建立起協(xié)同合作的團(tuán)隊(duì)關(guān)系。
12月16日,英國工程與物理科學(xué)研究委員會和新加坡國家研究基金會宣布未來三年共同出資展開合作研究,開發(fā)增強(qiáng)系統(tǒng)網(wǎng)絡(luò)安全建設(shè)。
并購潮起,安全產(chǎn)業(yè)價(jià)值不斷攀高
市場研究機(jī)構(gòu)ABI Research報(bào)告稱,截至2015年年底全球管理安全服務(wù)市場總值將達(dá)154億美元。不斷增多的網(wǎng)絡(luò)威脅、政府法規(guī)以及企業(yè)內(nèi)部相關(guān)資源的缺乏使得企業(yè)逐漸轉(zhuǎn)向管理安全服務(wù)提供商尋求專業(yè)幫助。
由美國元鼎科技公司、雷神公司等16家企業(yè)共同參與編撰的《2015~2025全球網(wǎng)絡(luò)安全市場報(bào)告》指出,網(wǎng)絡(luò)安全市場有望在2015年達(dá)到114億美元規(guī)模,在預(yù)測期內(nèi)年復(fù)合增長率達(dá)4.23%。
2015年安全行業(yè)掀起投資并購大潮,上億美元的融資并購至少有近20起,其中最大的三起分別是Bain Capita24億美元收購Blue Coat、思科6.35億美元收購OpenDNS和新加坡電信Singtel以7.7億美元完成對管理安全服務(wù)提供商Trustwave的收購。國內(nèi)影響較大的如騰訊再度以6億人民幣投資知道創(chuàng)宇,百度全資收購安全寶等。
細(xì)思恐極,網(wǎng)絡(luò)恐怖主義不容忽視
2015年1月,IS支持者入侵了美國中央司令部的YouTube和推特賬戶,竊取了大量內(nèi)部文件并泄露到了網(wǎng)上。IS控制美國中央司令部推特賬戶長達(dá)1個(gè)小時(shí),并把美國中央司令部的logo換成了“I love you ISIS”。4月,法國電視臺5臺遭到來自IS擁護(hù)者、黑客組織Cyber Caliphate的大規(guī)模網(wǎng)絡(luò)攻擊。攻擊者因不滿法國總統(tǒng)奧朗德參加國際反恐行動(dòng),入侵了電視臺的廣播傳輸渠道。
隨著恐怖分子對網(wǎng)絡(luò)技術(shù)的運(yùn)用,網(wǎng)絡(luò)反恐提上議程。2015年2月,英國軍方?jīng)Q定建立關(guān)于社交媒體的特殊作戰(zhàn)部隊(duì)又稱“77旅”,以應(yīng)對日益猖獗的IS網(wǎng)絡(luò)恐怖主義。法國議會也在2015年通過了反恐新法,包括對網(wǎng)絡(luò)平臺進(jìn)行更加嚴(yán)格的監(jiān)控,對涉嫌恐怖主義信息宣傳予以懲罰。
IS等極端組織策劃的一系列襲擊事件也刺激了民間黑客的反恐行動(dòng),尤其是巴黎恐襲事件發(fā)生后,多個(gè)民間黑客組織宣布與IS開戰(zhàn)。11月16日,全球最大民間黑客組織“匿名者”通過推特宣布對IS宣戰(zhàn),發(fā)誓將把IS從互聯(lián)網(wǎng)上清理掉。“匿名者”加入網(wǎng)絡(luò)反恐戰(zhàn)斗,得到了大量網(wǎng)民甚至是官方網(wǎng)絡(luò)反恐專家的歡迎。
法國巴黎遭遇大規(guī)模恐怖襲擊后,社交媒體臉書和推特等科技公司都推出了相關(guān)功能與服務(wù)來應(yīng)對恐怖襲擊。臉書于巴黎恐怖襲擊發(fā)生當(dāng)晚激活了“安全確認(rèn)”功能,讓位于恐襲地區(qū)的用戶能夠在其個(gè)人頁面貼上標(biāo)記,告知親友其安全狀態(tài)。谷歌在地圖上標(biāo)注了發(fā)生爆炸和槍擊案的地點(diǎn)。推特則推出新聞篩選標(biāo)簽“Moments”利用數(shù)據(jù)抓取來收集新聞機(jī)構(gòu)和目擊者提供的推文、圖片和視頻,方便及時(shí)匯總信息。
鏈 接
2015年影響較大的信息泄露事件
互聯(lián)網(wǎng)資訊網(wǎng)站Dev Store整理了2015年國內(nèi)外影響比較大的信息泄露事件:
2014年年底~2015年年初,鐵道部官方網(wǎng)站13萬用戶信息泄露,包括身份證、登錄口令等,據(jù)調(diào)查分析應(yīng)是撞庫所致。
2015年1月,俄羅斯約會網(wǎng)站Topface,2000萬用戶名和電子郵件地址被盜。
2月,優(yōu)步披露,5萬名優(yōu)步司機(jī)的個(gè)人信息被不知名的第三方人士獲取,包括社保碼、司機(jī)相片、車輛登記號等信息。
3月,醫(yī)保提供商Premera藍(lán)十字披露,1100萬客戶的醫(yī)療和財(cái)務(wù)數(shù)據(jù)泄露。
3月,牙齒醫(yī)療機(jī)構(gòu) Advantage Dental 約15萬病人信息泄露,包括姓名、住址、出生日期、電話和社保碼。
4月,360補(bǔ)天平臺披露,遍布19個(gè)省份的社保系統(tǒng)相關(guān)信息泄露達(dá)5279.4萬條,其中包括個(gè)人身份證、社保參保信息、財(cái)務(wù)、薪酬、房屋等敏感信息。
4月,美國Metropolitan State大學(xué)16萬學(xué)生個(gè)人信息泄露,包括出生日期、家庭住址、電話、個(gè)人成績。
5月,全球知名成人約會網(wǎng)站 Adult FriendFinder 390萬用戶信息泄露,包括電子郵件、IP甚至包括性偏好信息。
5月,手機(jī)監(jiān)聽軟件制造商mSpy約40萬用戶信息泄露,包括電子郵件、短信、照片、付款記錄和跟蹤數(shù)據(jù)。
5月,美國國稅局超過10萬名納稅人的財(cái)務(wù)信息泄露。
7月,內(nèi)衣制造商Hanesbrands客戶訂單數(shù)據(jù)庫被黑,約90萬網(wǎng)絡(luò)和電話用戶信息泄露,包括地址、電話和信用卡后四位數(shù)字。
7月,F(xiàn)ireKeepers Casino 酒店披露8.5萬信息卡和借記卡信息在2014年泄露,包括銀行卡號、姓名、驗(yàn)證碼和卡終止日期等信息。
8月,在線票務(wù)銷售平臺大麥網(wǎng)600余萬用戶賬戶密碼泄露并在黑產(chǎn)論壇公開售賣。
8月,英國電信運(yùn)營商Carphone Warehouse約240萬在線用戶個(gè)人信息泄露,其中包括姓名、地址、出生日期和加密的信用卡數(shù)據(jù)。
10月,音樂眾籌網(wǎng)站Patreon超過16GB的文檔資料泄露,包括230萬個(gè)用戶的電子郵件地址。
10月,為美國移動(dòng)電話服務(wù)公司T-Mobile提供數(shù)據(jù)服務(wù)的Experian遭到黑客入侵,導(dǎo)致T-Mobile的1500萬用戶個(gè)人信息泄露,包括用戶姓名、出生日期、地址、社會安全號、ID號碼等。
10月,美股券商Scottrade460萬客戶的姓名及地址信息泄露。
10月,英國電信運(yùn)營商Talktalk120萬用戶信息泄露,包括電子郵件、姓名和電話號碼,以及數(shù)萬銀行賬戶信息。
10月,美國網(wǎng)絡(luò)券商史考特超過460萬客戶的聯(lián)系人信息被攻擊者獲取,泄露的信息為客戶姓名與地址。
10月,烏云平臺曝光網(wǎng)易用戶數(shù)據(jù)庫“疑似泄露”,數(shù)量近5億條。雖然至今沒有證據(jù)證明這個(gè)數(shù)字,但許多普通網(wǎng)民紛紛表示自己的郵箱被登錄篡改,甚至由于用網(wǎng)易郵箱注冊蘋果賬戶,而導(dǎo)致手機(jī)被網(wǎng)絡(luò)犯罪分子鎖住,也是一個(gè)不爭的事實(shí)。
11月,喜達(dá)屋集團(tuán)旗下54家酒店發(fā)現(xiàn)竊取信用卡信息的惡意軟件,包括客戶名稱、信用卡號碼、信用卡安全碼和到期日期等信息泄露,泄露數(shù)量尚未公布。
11月,香港早教電子設(shè)備公司偉易達(dá)500萬用戶和600萬兒童的個(gè)人信息泄露,包括登錄密碼、IP地址、照片、聊天記錄姓名、性別等。
12月,英國快餐連鎖店waterspoons 65萬顧客信息泄露,包括姓名、出生日期、電子郵件和電話號碼。
2015年各國政府的主要安全政策
互聯(lián)網(wǎng)資訊網(wǎng)站“Dev Store”整理了2015年國內(nèi)外影響面較大的與安全政策相關(guān)的事件:
從國內(nèi)來看,6月,《中國互聯(lián)網(wǎng)協(xié)會漏洞信息披露和處置自律公約》在北京簽署,公約提出漏洞信息披露的“客觀、適時(shí)、適度”三原則。
6月,國務(wù)院辦公廳發(fā)布《關(guān)于運(yùn)用大數(shù)據(jù)加強(qiáng)對市場主體服務(wù)和監(jiān)管的若干意見》。加大網(wǎng)絡(luò)和信息安全技術(shù)研發(fā)和資金投入,建立健全信息安全保障體系。采取必要的管理和技術(shù)手段,切實(shí)保護(hù)國家信息安全以及公民、法人和其他組織信息安全。
7月,我國新的國家安全法實(shí)施。新法要求建設(shè)網(wǎng)絡(luò)與信息安全保障體系,提升網(wǎng)絡(luò)與信息安全保護(hù)能力,實(shí)現(xiàn)網(wǎng)絡(luò)和信息核心技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控。
8月,全國人大常委會正式通過中華人民共和國刑法修正案(九)。明確了網(wǎng)絡(luò)服務(wù)提供者履行信息網(wǎng)絡(luò)安全管理的義務(wù),加大了對信息網(wǎng)絡(luò)犯罪的刑罰力度,進(jìn)一步加強(qiáng)了對公民個(gè)人信息的保護(hù),對編造和傳播虛假信息犯罪設(shè)立了明確條文。
9月,國務(wù)院印發(fā)《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》,在網(wǎng)絡(luò)和大數(shù)據(jù)安全方面要求,在涉及國家安全穩(wěn)定的領(lǐng)域采用安全可靠的產(chǎn)品和服務(wù),到2020年,實(shí)現(xiàn)關(guān)鍵部門的關(guān)鍵設(shè)備安全可靠。
11月,工商總局印發(fā)《關(guān)于加強(qiáng)網(wǎng)絡(luò)市場監(jiān)管的意見》,全面加強(qiáng)網(wǎng)絡(luò)市場監(jiān)管。推進(jìn)“依法管網(wǎng)”、“以網(wǎng)管網(wǎng)”、“信用管網(wǎng)”和“協(xié)同管網(wǎng)”。
國際上,5月,美國商務(wù)部工業(yè)與安全局公布《瓦森納協(xié)定》的修改草案,新規(guī)則規(guī)定美國企業(yè)或個(gè)人向境外廠商報(bào)告漏洞情況是一種出口行為,需預(yù)先申請政府許可,否則將被視為非法。
6月,美國國會通過《美國自由法案》,11月國家安全局正式停止對公眾的大規(guī)模監(jiān)聽電話數(shù)據(jù)的行動(dòng)。
10月,歐盟法院宣布與“美國-歐盟安全港協(xié)議”有關(guān)的“2000/520號歐盟決定”無效。歐盟成員國數(shù)據(jù)監(jiān)管機(jī)構(gòu)可以依此禁止美國公司收集、存儲其國民的個(gè)人數(shù)據(jù)。
10月,美國國會參議院通過《網(wǎng)絡(luò)安全信息共享法案》,允許公司和政府分享黑客攻擊信息,之前眾議院也通過了這個(gè)法案,最終等到美國總統(tǒng)奧巴馬簽署后,將成為正式法律。
11月,英國政府公布新版《調(diào)查權(quán)法草案》,要求互聯(lián)網(wǎng)公司和手機(jī)制造商能永久地?cái)r截和收集通過其網(wǎng)絡(luò)傳播的個(gè)人數(shù)據(jù),并賦予其協(xié)助安全機(jī)構(gòu)和警察調(diào)查國家安全相關(guān)事項(xiàng)的權(quán)利。
