数世咨询:2019年网络安全大事记
自2014年笔者首次撰写《网络安全大事记》以来,今年的大事记已经是第6篇了。在这五年半的时间里,中国的网络安全行业发生了巨大的变化,从200亿元的市场规模快速增长到600亿元左右,并从合规驱动向需求驱动转变。国家安全矗立在最高点,云安全成为互联网经济运转的基石,关键信息基础设施安全则成为社会生活稳定的有力保障。网络安全的重要性已经毋庸置疑,而未来万物互联的数字化世界,数字化的安全将会成为刚需。在2020年即将到来之际,怀着对网络安全行业未来的美好期望,与业内同仁共同回顾《2019年网络安全大事记》。
一、2019年十大网络安全态势:
1、数据时代与数字世界的来临,信息数据已从资产保护对象成为重要的经济生产工具。数据安全面临的威胁前所未有,数据安全与身份安全保护的难度也将面临巨大挑战。这也是态势感知、零信任等整体性安全架构成为业界重点关注的核心原因所在。
2、勒索软件攻击持续泛滥,但多集中在地方政府、医疗、制造业等网络安全水平较低的行业。为了索取更大的经济利益,勒索软件会根据目标定制针对性的勒索软件。从另一个角度看,也会意味着系统与数据备份恢复市场的上升。
3、电子邮件欺诈(BEC)再次创记录的达到260亿美元,这种基于社会工程学的攻击已经超出传统网络安全技术攻防的范畴,再借助于AI伪造技术,预计未来电信欺诈、邮件欺诈、网络欺诈等基于社会工程学的犯罪还将持续带来更大的危害。
4、CPU/GPU/内存及BMC固件等硬件底层漏洞问题已经突显,这种级别的漏洞隐蔽性高、危害性大、涉及面广,而且难以快速修复,很有可能成为“杀手级”的网络攻击武器。
5、资本寒冬对安全行业并不适用,2019年国内投融资总额已超百亿元。此外,对于安全创业公司来说,收购的趋势已经十分明显。尤其是国内的初创公司,目前为止没有一家明显具备IPO的迹象,至少在现阶段,收购成为投资方退出与创业者成功的最佳实践。
6、国有资本纷纷进入网络安全市场,是一个明显的战略布局信号,也在某种程度上体现出国企民营的混改趋势。同时,国内整体安全市场规模亟需扩大,否则专注细分领域的初创企业极易遭遇发展瓶颈而停滞增长。
7、2019年堪称“网络安全罚款元年“。仅Facebook、Equifax、英国航空和万豪国际四家企业,因个人隐私与信息泄露的罚款金额就接近90亿美元,超过国内整个网络安全产业的市场规模(据数世咨询初步统计,2019年国内网络安全市场规模约为600亿元左右)。
8、委内瑞拉的大停电事件,伊朗导弹发射控制系统遭攻击瘫痪。国家支持的黑客行动从冷战时期进入小规模冲突时期,大规模冲突也在若隐若现。数亿美元的美国大选网络安全预算,以及俄罗斯的断网演习,意味着超级大国对全面网络战的警惕和备战态度。
9、网络安全竞赛与演练活动极大的提升了企业对自身防护水平的真实认知,帮助了一批具备优秀安全能力的企业与创新技术的脱颖而出,为网络安全行业的整体发展带来了强劲推动力。
10、等保2.0相关国家标准的发布与实施,是继网络安全法实施以来,又一件具有里程碑意义的大事。对保障和促进国家信息化发展,提升国家网络安全保护能力,具有重要的意义。同时,还将大力拉动整个网络安全市场的需求。
二、信息泄露与网络攻击篇
01 近几年来,信息泄露连年加剧。据风险数据公司RBS统计,仅在2019年前9个月的时间里,公开泄露事件已发生5183起(较去年同期增长33.3%),数据泄露条数达79亿(较去年同期增长112%)。原因非常简单,世界正在走向大数据、云和万物互联的数字化时代,而数字化的信息泄露程度加剧是常态。毫无疑问,2019年再次成为大规模信息泄露的又一年。
2019年典型性信息泄露事件一览表
关键发现:
✓信息泄露事件自2013年开始已经连续6年突破历史记录,根本原因在于全社会对网络安全的认知和保护能力均落后于网络与信息技术应用的爆发式增长,两者之间出现极大裂痕。
✓信息泄露事件不断攀升,随着万物互联的数字世界的来临,人们对数字技术的严重依赖,这一趋势会将更加严重。
✓信息泄露的途径主要分为内部人员或第三方合作伙伴泄露,信息系统无法杜绝漏洞,机构本身的防护机制不健全,对数据的重要程度不敏感,以及对安全配置的疏忽大意等问题。尤其是2019年,因ES数据库配置错误而造成的泄露事件明显增多。原因也非常简单,ES应用的普及。
✓信息泄露规模增长迅速,数世咨询统计了近50起关注度较高的数据泄露事件,其中信息泄露超过百万级(包含千万级和亿级)占统计数量的76%。
(注:详细信息请关注“数世咨询”,回复“2019信息泄露”下载文档)
02 网络攻击上天入地无处不在
网络空间概念的核心在于网络连接一切,即把所有电子设备通过有线或无线网络连接在一起,以达到通信与控制的目的,从而形成贯穿陆、海、空、天四大空间的第五空间。由于网络空间的无处不在,网络攻击也无处不在。
2019年网络攻击事件一览表
关键发现:
✓针对加密货币的攻击明显下降,主要是由于加密货币热潮在全球的降温导致。勒索软件继续泛滥,网络安全防护水平较低的医疗行业、制造业、政府成重灾区。
✓商业电子邮件欺诈(BEC)连年加剧。据FBI统计,2013至2016年5月,商业欺诈邮件造成53亿美元的损失,2018年5月上升到了120亿美元。而2019年,这一数字达到了260 亿美元。
✓利用Deepfake之类的音视频AI软件,伪造身份并进行诈骗或传播虚假新闻的现象值得警惕。因为难以检测和证伪,这种AI工具越来越多地用于网络钓鱼攻击、BEC 攻击、声誉攻击和公众舆论攻击(如干预选举)中。
✓由于遭遇网络攻击的不可避免性,网络安全保险业务开始明显提升。据Mordor Intelligence统计,2018年网络安全保险市场规模达到54.8亿美元,并在5年内保持24.3%的复合增长率,于2024年达到207.2亿美元的市场规模。
(注:详细信息请关注”数世咨询“,回复”2019年网络攻击“下载文档)
三、漏洞事件篇
# 国家信息安全漏洞库(CNNVD):
CNNVD目前为止公布的漏洞数量为17,524,2018年全年的漏洞总数为24,160个。
# 美国国家漏洞库(NVD):
NVD公布的漏洞数量为18,511个,2018年全年的漏洞总数为18,162个。
# 公共漏洞披露平台(CVE):
CVEdetails公布的漏洞数量为12,174个,2018年全年的漏洞总数为16,556个。
(注:以上2019年的漏洞数量均为截止到12月28日的统计数字)
2019年漏洞事件一览表
关键发现:
✓通用型漏洞方面,底层硬/固件漏洞继续频发,协议漏洞、元老级漏洞、第三方代码共享漏洞依然是重大隐患。事件型漏洞方面,随着云的普及和智能设备的激增,亦呈爆发趋势。行业方面,随着工业互联网的日益发展,工业控制设备漏洞事件明显增多。
✓谷歌、苹果、Facebook等科技巨头纷纷建立漏洞奖励机制,Hackerone、Burcrowd等众测平台发放的奖金也在不断攀升。
✓漏洞在安全攻防中的关键性作用,已经被军情界、互联网界所认识,但传统商业组织,如关键信息基础设施保护方,认识还不足。
✓与2018年相比,中美三大漏洞库公布的漏洞数量不升反降。其主要原因在于漏洞已经成为商业价值极高的网络资源,甚至是网络武器。各国政府、漏洞平台无论是在漏洞披露还是共享方面,均有所谨慎和保留,监管也更加严格。
(注:详细信息请关注”数世咨询“,回复”2019漏洞事件“下载文档)
四、行业活动与融资并购篇
继2014年以来,国内网络安全相关会议活动持续呈激增态势,2019年更是成为最为活跃的一年。监管机构、各部委、各地政府、各重点行业、各研究机构、各大网络安全企业,纷纷以宣贯、讨论、展览、竞赛、演练等各种形式举办活动。
十大安全活动
关键发现:
✓国家监管机构及各部委均在加强对网络安全产业的指导和投入,越来越多的地方政府与大型城市举办网络安全活动,以宣贯网安政策、招商引资、提振地方经济。
✓以竞技为主的网络安全大赛,开始转向注重实战演练的方向,尤其是监管部门主导的重大活动,切实有效的、极大的推动了整个网络安全产业的发展。
✓数量繁多的会议活动虽然可以提升网络安全对社会的影响力、加强全社会的关注与重视,但高昂成本的投入,也成为网络安全企业较大的负担,期待今后出现更多真正给企业和社会带来更多价值的活动。
投融资领域普遍认为的资本寒冬,在网络安全行业并不适用。融资融连续四年攀升,除了网络安全产业本身被业界看好之外,另一个关键原因是科创板的推出,极大提升了网络安全企业和资本方的信心。
2019年国外亿级美元的融资并购
2019年国内安全公司融资并购一览
关键发现:
✓2019年的海外融资并购总金额为287.94亿美元。其中,收并购事件50起 ,23家收购总金额为241.69亿美元,27家未公布收购金额。4家公司IPO总金额为9.99亿美元,88起融资事件,融资额为36.26亿美元。
✓2019年国内融资并购总金额达108.3亿人民币,创历史之最。其中,4家企业IPO(安恒信息、山石网科、安博通、迪普科技)30.15亿元。收并购金额23.60亿元,投融资金额54.55亿元。
✓从海外初创公司的融资方向来看,已经覆盖了从合规到新兴技术,再到灾备和网络安全保险等几乎所有网络安全的细分领域,标志着网络安全产业在发达国家的成熟。
✓国内初创企业的融资方向,主要集中在新兴与热门技术领域,如工控安全、仿真模拟、自动化攻防、身份管理、数据安全等。
五、政策法规篇
漏洞披露、个人隐私、数据安全、关键基础设施保护、经济博弈、网络犯罪、国家安全,是2019年政策法规的关键词。网络安全已经得到全球各国政府的实际重视,并成为支撑自身发展,与他国进行政治、军事、经济博弈的关键因素之一。
01 国际政策法规动向
02 国内重大政策法规
✓个人隐私、贸易保护、数据安全与国家安全为2019年全球各国家网络安全相关政策法规的关注重点。网络安全已经深入到个人、企业、社会、政府等各个层面。
✓自2018年5月25日GDPR生效以来至2019年5月,欧洲经济区各国家监管机构共上报了206,326例案件,其中64,684件涉及数据泄露通知,共判处了约5600万欧元的行政罚款。但这些罚款,对于年收入动辄上亿美元的科技公司来说,尚不足以引起足够的重视。如何确定数据的权属,如何合理的跨境流动,又如何在保护个人隐私的前提下,充分发挥数据的价值,仍将是摆在全球各国家、各政府与各企业面前的难题。
✓不管是安全可控还是安全可靠,其本质上都反映着“没有网络安全就没有国家安全”这一安全最高理念。而国家安全是有国界的,是有主权的。因此,网络的界限与主权必定是一个绕不开的话题,俄罗斯的《主权互联网法》就为典型例证。
(注:详细信息请关注“数世咨询”,回复“2019法规”下载文档)
2019年,“爆发“是个关键词。信息泄露、网络攻击,会议竞赛活动,融资并购事件,网络安全处罚以及政策法规的发布等,无论是在数量上还是在影响范围上,均达到以往前所未有的程度。
纵观我国网络安全行业的发展历程,1994年《计算机信息系统安全保护条例》开启了计算机安全时代,2003年《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文)意味着信息安全时代的到来,2014年中央网络安全和信息化领导小组的成立,宣告了网络空间安全时代的来临。2017年《中华人民共和国网络安全法》的实施,极大的推动了相关配套法规的起草与发布。从检查评估到产业促进,从刑法修订到行业监管,从个人隐私到数据保护,从网络安全等级保护到关键信息基础设施保护,各项法规纷纷起草、制定、出台发布。伴随着这些重磅法规的发布和数字经济的大潮,我国网络安全产业进入快速发展期。
网络安全产业是一个纷繁复杂、不断需要深耕的领域,不仅需要强大的国家队、资深的专家队,还需要各细分专业领域的优秀能力提供者,中立的第三方调研咨询机构,以及各行业、各领域的联合助力,才能聚合成良好的生态,才能发挥更大的力量,才能更加健康的发展。
随着5G、人工智能技术和万物互联、数字世界的临近,网络空间安全时代也将迈向数字安全时代。这是一个充满挑战与机遇的时代,网络安全将成为一切数字化企业得以良性发展的必要条件,并将成为数字经济、数字社会、数字世界的基本保障!
(文章来源于数世咨询,作者李少鹏,数世咨询创始人,原安全牛主编。网络安全知识与理念的普及者,《财经界》杂志长期撰稿人,社会工程学名著《欺骗的艺术》首译者,九年《中国信息安全年鉴》编纂经验,十六年信息安全从业经验。中国网络安全企业50强/百强、全景图、矩阵图等品牌的创立者。)