剛剛過去的2020年是艱難的一年，也是魔幻的一年。對網(wǎng)絡(luò)安全行業(yè)來說，既有挑戰(zhàn)，也有機(jī)遇。國家間的網(wǎng)絡(luò)對抗愈演愈烈、個人數(shù)據(jù)泄露事件層出不窮。由疫情催生的遠(yuǎn)程辦公、遠(yuǎn)程醫(yī)療等也為網(wǎng)絡(luò)安全建設(shè)提出更高要求，零信任、內(nèi)生安全框架、云原生安全等新技術(shù)也加速發(fā)展。

　　2021年將會面臨更多不確定因素，國家間網(wǎng)絡(luò)對抗仍將繼續(xù)升溫，勒索攻擊依舊會是機(jī)構(gòu)面臨的最大威脅，供應(yīng)鏈攻擊也會繼續(xù)加劇。隨著各國隱私政策法規(guī)的出臺落地，企業(yè)合規(guī)將面臨更大壓力。

　　虎符智庫由此發(fā)布《2021安全前瞻報告》，旨在為政企機(jī)構(gòu)和相關(guān)部門提供參考和預(yù)判。本報告總結(jié)2020年安全形勢與安全技術(shù)創(chuàng)新，對2021年網(wǎng)絡(luò)安全形勢做出預(yù)測，提出應(yīng)對建議。鑒于篇幅限制，分為上下兩篇，本文為報告上篇：回顧2020。

　　Part 1 - 2020安全形勢

　　疫情年份 網(wǎng)絡(luò)安全迎來大考

　　2020年新冠疫情肆虐，危及全球人類生命，但疫情并未使網(wǎng)絡(luò)攻擊組織停下腳步。疫情帶來的遠(yuǎn)程辦公工作方式成為黑客攻擊的新目標(biāo)，帶來前所未有的網(wǎng)絡(luò)安全風(fēng)險，全球黑客迎來狂歡年。新冠疫情對各國醫(yī)療保障能力形成考驗(yàn)，嚴(yán)峻的安全態(tài)勢則對網(wǎng)絡(luò)安全防護(hù)帶來年度“大考”。

　　我們從國際形勢、政府機(jī)構(gòu)、關(guān)鍵設(shè)施、新技術(shù)應(yīng)用、個人用戶和攻防博弈等七個角度，梳理出2020年的網(wǎng)絡(luò)安全態(tài)勢。

　　01  國際網(wǎng)絡(luò)對抗白熱化 網(wǎng)絡(luò)攻擊公開化

　　2020年國際沖突加劇，網(wǎng)絡(luò)攻擊和軍事沖突成為互補(bǔ)的工具，物理空間的攻擊往往引發(fā)網(wǎng)絡(luò)空間的報復(fù)，反之亦然。各國間的網(wǎng)絡(luò)攻擊行動日趨頻繁化和白熱化。

　　2020年3月的安理會，首次將網(wǎng)絡(luò)攻擊作為特別議題。針對網(wǎng)絡(luò)攻擊，各國強(qiáng)調(diào)以有力手段進(jìn)行回應(yīng)。2020年，美伊、以伊之間相互的網(wǎng)絡(luò)戰(zhàn)則從未真正停止，且日趨激烈。以色列網(wǎng)絡(luò)戰(zhàn)專家在5月甚至警告，對以色列基礎(chǔ)設(shè)施造成重大破壞的伊朗網(wǎng)絡(luò)戰(zhàn)襲擊將是發(fā)動“戰(zhàn)爭的理由”。英國則在2020年11月正式宣布成立國家網(wǎng)絡(luò)部隊(duì)（NCF），專注于反擊網(wǎng)絡(luò)攻擊活動。

　　2020年3月，美國網(wǎng)絡(luò)空間日光浴委員會預(yù)警稱，美國將面臨災(zāi)難性的網(wǎng)絡(luò)攻擊風(fēng)險。這一警告展示了國際網(wǎng)絡(luò)空間對抗日趨激烈的事實(shí)，但警告并未使美國避免導(dǎo)致多個重要軍政機(jī)構(gòu)淪陷的年度最大APT攻擊事件。各國之間這種你來我往、看不到停止跡象的網(wǎng)絡(luò)攻擊，體現(xiàn)出國際網(wǎng)絡(luò)對抗的沒有規(guī)則、日趨白熱化的時代特點(diǎn)。在網(wǎng)絡(luò)攻擊缺乏規(guī)則的時代，網(wǎng)絡(luò)空間的脆弱平衡已經(jīng)難以維持。

　　2020年1月，美國對圣城旅指揮官的“定點(diǎn)清除”，引發(fā)伊朗對美國的報復(fù)性網(wǎng)絡(luò)攻擊行動。

　　2020年4月，以色列的水和污水處理設(shè)施遭到多次網(wǎng)絡(luò)攻擊。

　　2020年5月，伊朗重要港口沙希德·拉賈伊遭遇以色列“高度精準(zhǔn)”網(wǎng)絡(luò)攻擊，致使港口水路和道路出現(xiàn)嚴(yán)重混亂。

　　2020年7月，“網(wǎng)絡(luò)攻擊”嚴(yán)重破壞了伊朗最重要的核設(shè)施。

　　2020年9月，美國對伊朗黑客提起訴訟，宣布制裁伊朗APT39黑客組織。

　　2020年12月，包括以色列最大國防承包商在內(nèi)的至少80家以色列公司受到伊朗黑客的攻擊，據(jù)稱對伊朗核物理學(xué)家遭暗殺的報復(fù)性行動。

　　02  網(wǎng)絡(luò)攻擊聚焦竊密 軍政機(jī)構(gòu)面臨泄密風(fēng)險

　　盡管有安全專家認(rèn)為，對基礎(chǔ)設(shè)施的破壞性攻擊正取代間諜行動，但2020年間諜竊密依然是網(wǎng)絡(luò)攻擊行動的主要目的。年底曝光的供應(yīng)鏈攻擊事件，導(dǎo)致美國國防部、國土安全部、國務(wù)院、能源部、商務(wù)部等眾多美國軍政機(jī)構(gòu)被入侵，“可能是歷史上最重大的網(wǎng)絡(luò)間諜行動”。在新冠病毒肆虐全球的背景下，以竊取疫苗相關(guān)研究成果為目標(biāo)的攻擊事件也大幅增加，包括中國醫(yī)療公司、輝瑞、日本疫苗實(shí)驗(yàn)室等的疫苗研究機(jī)構(gòu)遭受到網(wǎng)絡(luò)攻擊，導(dǎo)致新冠疫苗相關(guān)研究數(shù)據(jù)被竊取。其中，我國匯醫(yī)慧影公司的新冠病毒研究成果、技術(shù)源代碼也遭黑客竊取和出售。

　　奇安信威脅情報中心的統(tǒng)計顯示，2020年針對我國重點(diǎn)單位的APT攻擊頻率明顯上升。2020年全球的APT數(shù)量增幅為23%，針對我國的APT攻擊事件增幅則高達(dá)69%。其中，我國政府、醫(yī)療以及國防機(jī)構(gòu)更是國外APT組織竊密攻擊的重要目標(biāo)。在2020年的APT攻擊事件行業(yè)分布中，醫(yī)療機(jī)構(gòu)占比24%，政府機(jī)構(gòu)占比21%，教育機(jī)構(gòu)占比12%，國防部門占比11%。

　　根據(jù)奇安信威脅情報中心安全專家的監(jiān)測，2020年APT組織Dark Hotel頻繁對我國機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)攻擊，并利用瀏覽器和VPN 零日漏洞對我國政府機(jī)構(gòu)進(jìn)行滲透，以竊取機(jī)密信息。具有南亞背景的APT組織如蔓靈花、摩訶草、響尾蛇、魔羅桫，幾乎全年不間歇的對我國軍工、政府、高校進(jìn)行竊密為目的的攻擊行動。華語APT組織毒云騰則對我國重點(diǎn)院校研究所、政府等單位進(jìn)行針對性攻擊，竊取大量的軍工情報，對國家安全造成嚴(yán)重的危害。

　　03  關(guān)基破壞性攻擊激增 制造社會混亂成目標(biāo)

　　對關(guān)鍵基礎(chǔ)設(shè)施等關(guān)系國計民生領(lǐng)域?qū)嵤┕?，意圖造成社會混亂和持久破壞的活動出現(xiàn)激增。這是傳統(tǒng)情報竊取之外，國家級黑客組織的重要目標(biāo)。2020年世界經(jīng)濟(jì)論壇的安全專家也認(rèn)為，公用事業(yè)和關(guān)鍵基礎(chǔ)設(shè)施已經(jīng)成為網(wǎng)絡(luò)攻擊的主要目標(biāo)之一。針對烏克蘭電網(wǎng)的攻擊還只是少數(shù)現(xiàn)象級的攻擊事件，2020年此類針對關(guān)鍵基礎(chǔ)設(shè)施的攻擊已經(jīng)成為普遍和頻繁的現(xiàn)象。隨著地緣政治緊張局勢的加劇，2020年破壞性網(wǎng)絡(luò)攻擊行動進(jìn)一步加劇。黑客組織對電網(wǎng)、水利、關(guān)鍵制造和交通行業(yè)等關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的攻擊數(shù)量顯著增長。國家黑客組織利用破壞性攻擊，可以在不付出較高代價的情況下，達(dá)到威脅國家經(jīng)濟(jì)安全、國家公共衛(wèi)生安全，以及破壞社會穩(wěn)定的目標(biāo)。

　　2020年2月，一家美國天然氣公司因勒索病毒攻擊而關(guān)閉了天然氣管道的運(yùn)營。

　　2020年5月，委內(nèi)瑞拉國家電網(wǎng)干線因遭遭到攻擊而發(fā)生全國大面積停電。

　　2020年5月，以色列多次挫敗對其供水系統(tǒng)的大規(guī)模網(wǎng)絡(luò)攻擊，其中一次攻擊險些釀成人道災(zāi)難。

　　2020年5月，英國電網(wǎng)重要管理機(jī)構(gòu)埃萊克森（Elexon）受到網(wǎng)絡(luò)攻擊，影響內(nèi)部IT網(wǎng)絡(luò)和員工電腦，導(dǎo)致無法進(jìn)行關(guān)鍵通信。

　　2020年5月，臺灣兩個最大的煉油廠CPC、FPCC相繼遭遇網(wǎng)絡(luò)攻擊，波及整個供應(yīng)鏈。

　　2020年10月，印度孟買市遭遇前所未有的大范圍斷電，直接導(dǎo)致鐵路運(yùn)營癱瘓，股票交易所、醫(yī)療設(shè)施以及其它關(guān)鍵基礎(chǔ)設(shè)施全面遭遇風(fēng)險。有報道稱，停電很可能源自國家支持的黑客攻擊活動。

　　2020年我國國家電網(wǎng)公司收到的攻擊警報相對于2019年度有較大增長，電力領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施遭到攻擊的風(fēng)險進(jìn)一步增加。

　　04  新基建全面加速 安全體系缺失凸顯

　　疫情成為數(shù)字化變革的催化劑，給網(wǎng)絡(luò)安全帶來連鎖反應(yīng)：數(shù)字化建設(shè)使網(wǎng)絡(luò)安全成為戰(zhàn)略重點(diǎn)，尤其是隨著我國新基建的全面加速，5G、工業(yè)互聯(lián)網(wǎng)等數(shù)字技術(shù)得到逐步部署，新一代信息技術(shù)在推動數(shù)字經(jīng)濟(jì)發(fā)展、助力社會治理現(xiàn)代化、推進(jìn)智慧社會發(fā)展的同時，增加了新的安全風(fēng)險。

　　新基建帶來復(fù)雜的應(yīng)用場景，對安全防護(hù)提出更高要求：過去零散、局部的建設(shè)模式，外掛和附加式的安全能力，根本無法有效應(yīng)對層出不窮的安全漏洞、安全邊界模糊的網(wǎng)絡(luò)環(huán)境，以及攻擊者日益高級的攻擊方式。

　　在新基建推動的數(shù)字化轉(zhuǎn)型期，傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)模式存在的安全體系化欠缺、能力碎片化嚴(yán)重、整體協(xié)同能力差、彈性恢復(fù)能力缺失等弊病被急劇放大。構(gòu)建面向新基建的安全防護(hù)體系，亟需系統(tǒng)化的方法來為用戶構(gòu)建無處不在，處處結(jié)合，實(shí)戰(zhàn)化運(yùn)行的安全能力體系，在數(shù)字化環(huán)境內(nèi)部建立無處不在的網(wǎng)絡(luò)安全“免疫力”，真正實(shí)現(xiàn)內(nèi)生安全。

　　5G的普及推動物聯(lián)網(wǎng)設(shè)備呈現(xiàn)爆發(fā)性增長，但海量物聯(lián)網(wǎng)終端存在明顯的安全隱患，成為網(wǎng)絡(luò)攻擊的重要目標(biāo)。根據(jù)奇安信星跡平臺（用于捕獲網(wǎng)絡(luò)攻擊的蜜罐系統(tǒng)）統(tǒng)計，目前平均每天收到PoC漏洞利用流量約300萬次，抽樣調(diào)查漏洞利用次數(shù)的前十名中，九個均為物聯(lián)網(wǎng)設(shè)備漏洞。

　　05  新冠疫情全球肆虐 黑客組織迎來狂歡年

　　受新冠疫情影響，全球遠(yuǎn)程辦公需求激增，用戶和市場規(guī)模呈爆發(fā)式增長。其中，國內(nèi)疫情高峰期間的遠(yuǎn)程辦公需求環(huán)比上漲663%。IDC的調(diào)查顯示，2020年企業(yè)云端數(shù)據(jù)首次超過本地數(shù)據(jù)。很多互聯(lián)網(wǎng)企業(yè)的遠(yuǎn)程辦公成為常態(tài)。遠(yuǎn)程辦公突破了傳統(tǒng)網(wǎng)絡(luò)邊界，帶來巨大安全風(fēng)險。

　　面對新的環(huán)境，2020年全球網(wǎng)絡(luò)攻擊激增，黑客組織迎來狂歡年。2020年上半年，網(wǎng)絡(luò)攻擊強(qiáng)度和嚴(yán)重程度均出現(xiàn)飆升。針對醫(yī)療和人道主義組織的攻擊尤其明顯，例如世界衛(wèi)生組織報告稱，對其攻擊數(shù)量增加了 500% 。2020年上半年，全球分布式拒絕服務(wù)（DDoS）攻擊的數(shù)量增加了151%。安全公司CrowdStrike發(fā)現(xiàn)，2020年上半年的攻擊數(shù)量超過了2019年全年。奇安信威脅情報中心的數(shù)據(jù)顯示，2020年全球的APT數(shù)量增幅達(dá)23%，針對醫(yī)療行業(yè)攻擊的APT事件增幅則達(dá)117%。在疫情高峰期間，我國醫(yī)療機(jī)構(gòu)遭遇大量攻擊；德國政府在2020年遭冠狀病毒主題釣魚攻擊損失數(shù)千萬歐元；美國2020年底引爆年度最嚴(yán)重APT事件，其攻擊活動也始自年初的疫情爆發(fā)。

　　新冠疫情導(dǎo)致遠(yuǎn)程工作激增，攻擊者迅速適應(yīng)“新常態(tài)”，暗網(wǎng)市場的網(wǎng)絡(luò)憑據(jù)交易成為熱潮。網(wǎng)絡(luò)安全公司Positive Technologies的調(diào)查發(fā)現(xiàn)，企業(yè)網(wǎng)絡(luò)憑據(jù)相關(guān)信息的交易蓬勃發(fā)展。2020年第一季度，暗網(wǎng)銷售企業(yè)網(wǎng)絡(luò)登錄憑證的帖子數(shù)量比上一季度猛增了69%。

　　06  個人數(shù)據(jù)泄露激增 侵犯隱私亂象整治加碼

　　2020年抗擊疫情需要導(dǎo)致個人信息被頻繁收集，盡管主管部門強(qiáng)調(diào)落實(shí)疫情防控期間的個人信息和隱私保護(hù)，通知落實(shí)“脫敏處理”和“防疫需要”的要求，疫情期間的個人信息泄露事件依然頻發(fā)。除疫情期間的個人信息泄露，APP侵犯個人隱私問題依然是2020年社會熱點(diǎn)。我國監(jiān)管部門對APP 超范圍收集用戶個人信息等行為持續(xù)進(jìn)行治理。中央網(wǎng)信辦、工信部、公安部、國家市場監(jiān)管總局四部門聯(lián)合開展App違法違規(guī)收集使用個人信息治理工作。侵害用戶權(quán)益和個人信息收集存在問題的APP遭通報、被下線。APP用戶權(quán)益保護(hù)測評規(guī)范系列標(biāo)準(zhǔn)、APP收集使用個人信息最小必要評估規(guī)范系列標(biāo)準(zhǔn)等18項(xiàng)團(tuán)體標(biāo)準(zhǔn)的制定，規(guī)范了國內(nèi)APP的用戶信息收集，減少侵害用戶權(quán)益的行為。國際上，蘋果公司宣布從2021年年初開始，將會把未經(jīng)允許對用戶數(shù)據(jù)進(jìn)行追蹤的應(yīng)用移出應(yīng)用商店。國內(nèi)也出現(xiàn)了多起個人信息泄露事件，例如2020年12月，成都某女孩活動軌跡等個人隱私，全都被公布在網(wǎng)上，引發(fā)輿論對疫情下個人隱私保護(hù)問題的關(guān)注；同年11月，富陽法院“人臉識別第一案”的訴訟和宣判提升了整個社會對個人生物信息保護(hù)問題的憂慮。實(shí)行人臉識別的必要性以及信息采集后的安全性成為社會關(guān)注的焦點(diǎn)。

　　07  攻防博弈失衡加劇 信息系統(tǒng)“千瘡百孔”

　　2020年攻防博弈呈現(xiàn)出加劇失衡的狀態(tài)。

　　攻擊組織具備更加良好的攻擊能力，能在較短時間內(nèi)實(shí)現(xiàn)漏洞利用。盡管使用公開較久的漏洞組合的攻擊仍為主流，在面對高價值目標(biāo)時攻擊者會更傾向于使用零日漏洞。攻擊者還借助自動化技術(shù)改變攻擊形態(tài)，快速制造出已知威脅的變種，令安全設(shè)備無法識別。暗網(wǎng)市場出售的零日漏洞、身份憑據(jù)和網(wǎng)絡(luò)武器，則使攻擊組織有能力攻擊高價值的目標(biāo)。

　　脆弱的供應(yīng)鏈成為攻擊組織的重要突破口，是需要關(guān)注的最薄弱環(huán)節(jié)。2020年底曝光、波及200余家重要美國政企的供應(yīng)鏈攻擊事件，凸顯出供應(yīng)鏈攻擊手段的復(fù)雜性。在政企機(jī)構(gòu)報告的直接攻擊減少的同時，通過供應(yīng)鏈發(fā)起的“間接攻擊”呈上升趨勢。知名智庫“大西洋理事會”的報告稱，2010-2020年的公開報道中，具有較高影響力的軟件供應(yīng)鏈攻擊和泄露事件呈現(xiàn)逐年遞增趨勢。

　　與攻擊者不斷演進(jìn)的手段形成對照，核心應(yīng)用、網(wǎng)絡(luò)設(shè)備和新技術(shù)的漏洞頻發(fā)。近兩年漏洞數(shù)量不斷突破新的記錄。攻擊組織日益高超的手段，以及日趨專業(yè)化的分工協(xié)作，與信息系統(tǒng)本身的“千瘡百孔”透露出攻防博弈嚴(yán)重失衡的現(xiàn)狀，以及巨大的潛在安全風(fēng)險。

　　2019年業(yè)界提交CVND漏洞信息16208條，2020年度提交CNVD漏洞信息高達(dá)20136條。奇安信CERT監(jiān)測到2020年較2019年新增3381條漏洞信息，其中較嚴(yán)重的影響或攻擊成本較低的高危漏洞約占46%。

　　根據(jù)奇安信CERT監(jiān)測，對于新爆發(fā)的漏洞，能在漏洞爆發(fā)0-7天就能發(fā)起的攻擊者約占總比例0.23%。

　　流行視頻會議軟件Zoom的重要零日漏洞就曾被以50萬美元價格出售。

　　甲骨文公司2020年發(fā)布了1576個漏洞，其中包括大量CVSS評分達(dá)10分、9.8分的高危漏洞，可以令攻擊者獲得大量特權(quán)。

　　2020年研究人員發(fā)現(xiàn)，防御網(wǎng)絡(luò)攻擊的多個主流安全廠商的產(chǎn)品本身存在易遭利用的漏洞，構(gòu)成嚴(yán)重的安全風(fēng)險。疫情爆發(fā)以來，利用VPN漏洞入侵各國政府機(jī)構(gòu)，成為黑客組織的流行攻擊手段。

　　Part 2 - 2020年安全創(chuàng)新

　　數(shù)字化加速安全實(shí)戰(zhàn)化創(chuàng)新

　　“道高一尺，魔高一丈”，數(shù)字世界的攻擊與防御，時刻都在上演。2020年嚴(yán)峻的網(wǎng)絡(luò)安全風(fēng)險，加速了安全技術(shù)產(chǎn)品的研發(fā)創(chuàng)新和實(shí)踐落地，從遠(yuǎn)程辦公催生的“零信任”熱，到個人信息保護(hù)帶來的隱私保護(hù)技術(shù)，再到新基建浪潮驅(qū)動的新一代防御體系——“內(nèi)生安全框架”，2020年是技術(shù)創(chuàng)新加速向?qū)嵺`轉(zhuǎn)化的一年。近年來Gartner機(jī)構(gòu)、RSA大會提出的技術(shù)概念，在這一年紛紛開始落地。它們從國家、社會、經(jīng)濟(jì)和個人等層面，全方位守護(hù)數(shù)字時代的網(wǎng)絡(luò)安全。

　　01  疫情之下遠(yuǎn)程訪問需求激增，零信任加速標(biāo)準(zhǔn)化

　　疫情為遠(yuǎn)程辦公按下了加速鍵，有觀點(diǎn)認(rèn)為，遠(yuǎn)程辦公普及進(jìn)度至少提前了三到五年。不過需要看到，疫情只是遠(yuǎn)程辦公加速的催化劑，遠(yuǎn)程辦公的原始驅(qū)動力是企業(yè)的數(shù)字化轉(zhuǎn)型。

　　為了解決遠(yuǎn)程訪問中的業(yè)務(wù)暴露面收縮、權(quán)限管控、身份識別等諸多安全問題，零信任網(wǎng)絡(luò)訪問被認(rèn)為是解決之道，被Gartner等咨詢機(jī)構(gòu)十分看好。各大廠商也紛紛推出了針對遠(yuǎn)程訪問場景下的零信任身份安全解決方案。不過就目前而言，零信任的發(fā)展仍然處在一個早期階段。

　　2020年零信任標(biāo)準(zhǔn)化工作正加速推進(jìn)。2020年8月12日，美國國家標(biāo)準(zhǔn)與技術(shù)研究院（簡稱NIST）發(fā)布《零信任架構(gòu)》正式版，對零信任安全原則、架構(gòu)模型、應(yīng)用場景做了詳細(xì)的描述。在國內(nèi)，由奇安信牽頭發(fā)起的首個國家標(biāo)準(zhǔn)《信息安全技術(shù) 零信任參考體系架構(gòu)》編制工作也正式啟動，對零信任架構(gòu)的標(biāo)準(zhǔn)化、落地化將會起到巨大的推動作用。

　　為了解決更加細(xì)粒度的權(quán)限控制問題，奇安信零信任身份安全解決方案，創(chuàng)新地將人工智能思維應(yīng)用于零信任實(shí)施架構(gòu)，能夠自適應(yīng)適配用戶、設(shè)備和應(yīng)用資源，實(shí)現(xiàn)細(xì)粒度動態(tài)訪問控制，有效地降低外部安全風(fēng)險和內(nèi)部安全威脅。其智能身份治理平臺、智能評估引擎和可信訪問控制引擎等關(guān)鍵產(chǎn)品組件，通過建設(shè)智能化的資源保護(hù)平臺實(shí)現(xiàn)規(guī)?；a(chǎn)業(yè)化推廣，支持零信任在遠(yuǎn)程辦公、云計算、大數(shù)據(jù)中心、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、智慧城市等多種應(yīng)用場景的落地，保護(hù)核心資產(chǎn)，支撐關(guān)鍵服務(wù)應(yīng)用高效安全運(yùn)行。

　　02  內(nèi)生安全框架從頂層視角構(gòu)建動態(tài)綜合防御體系

　　新基建帶來復(fù)雜的應(yīng)用場景，對安全防護(hù)提出更高要求：過去零散、局部的建設(shè)模式，外掛和附加式的安全能力，根本無法有效應(yīng)對層出不窮的安全漏洞、安全邊界模糊的網(wǎng)絡(luò)環(huán)境，以及組織化、體系化、精準(zhǔn)化的網(wǎng)絡(luò)攻擊。

　　數(shù)字化時代的到來，徹底打破了網(wǎng)絡(luò)世界和物理世界的邊界，帶來了新的安全風(fēng)險。以前的靜態(tài)邊界防護(hù)思路，不再適應(yīng)新時代的需求，數(shù)字化時代的保障需要動態(tài)綜合的網(wǎng)絡(luò)安全防御體系。為此，內(nèi)生安全框架應(yīng)運(yùn)而生。

　　內(nèi)生安全框架從“甲方視角、信息化視角、網(wǎng)絡(luò)安全頂層視角”出發(fā)，構(gòu)建了適應(yīng)不同業(yè)務(wù)場景網(wǎng)絡(luò)安全整體防御能力分析模型，設(shè)計了復(fù)雜異構(gòu)環(huán)境下網(wǎng)絡(luò)安全協(xié)同聯(lián)動機(jī)制，形成了全生命周期網(wǎng)絡(luò)安全部署體系，將安全能力統(tǒng)一規(guī)劃、分步實(shí)施，逐步建成面向數(shù)字化時代的一體化安全體系。

　　該框架解構(gòu)出了“十大工程、五大任務(wù)”的落地手冊，對每一個工程和任務(wù)都給出了具體的部署步驟和標(biāo)準(zhǔn)，政企機(jī)構(gòu)可以結(jié)合自身信息化的特點(diǎn)，定義自己的關(guān)鍵工程和任務(wù)。以某個新基建工程為例，依據(jù)“十工五任”手冊，奇安信針對136個信息化組件，總結(jié)出了29個安全區(qū)域場景，部署了79類安全組件。它適用于幾乎所有應(yīng)用場景，能指導(dǎo)不同行業(yè)輸出符合其特點(diǎn)的網(wǎng)絡(luò)安全架構(gòu)，構(gòu)建動態(tài)綜合的網(wǎng)絡(luò)安全防御體系，全方位滿足數(shù)字化時代的安全保障需求。

　　11月23日，內(nèi)生安全框架在世界互聯(lián)網(wǎng)大會上，獲得了“世界互聯(lián)網(wǎng)領(lǐng)先科技成果”。

　　03  自動化技術(shù)推動隱私保護(hù)合規(guī)化

　　自歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）的面世起，數(shù)據(jù)安全和個人隱私保護(hù)的合規(guī)性，迅速成為了安全圈最熱門的話題之一。隨著數(shù)據(jù)總量和流動性的大幅度增加，消費(fèi)者隱私保護(hù)的難度也水漲船高，如何在海量數(shù)據(jù)中發(fā)現(xiàn)消費(fèi)者的敏感數(shù)據(jù)，成為非常大的難題。

　　2020年，隱私保護(hù)初創(chuàng)公司Security.AI獲得RSAC創(chuàng)新沙盒比賽的冠軍。公司強(qiáng)調(diào)利用AI技術(shù)和People Data Graph實(shí)現(xiàn)對數(shù)據(jù)的自動化識別，并且構(gòu)建面向人的知識圖譜，為后續(xù)的分析提供模型支撐。

　　為解決傳統(tǒng)隱私保護(hù)方案效率低下的問題，Security.AI構(gòu)建了實(shí)現(xiàn)消費(fèi)者數(shù)據(jù)權(quán)利請求-響應(yīng)的流程自動化處理，能幫助客戶快速滿足GDPR和CCPA等法規(guī)的要求。

　　在國內(nèi)，數(shù)據(jù)的非法采集與泄露事件同樣是令人頭疼的問題。新冠肺炎患者、無癥狀感染者隱私信息泄露事件屢見不鮮，因非法采集消費(fèi)者個人隱私數(shù)據(jù)而先后被下架的App已達(dá)數(shù)百款之多。

　　奇安信數(shù)據(jù)安全子公司云安寶基于方濱興院士提出的“數(shù)據(jù)不動程序動，數(shù)據(jù)可用不可見”的技術(shù)理念，在國內(nèi)率先推出更為實(shí)戰(zhàn)落地的防水堡。

　　防水堡在數(shù)據(jù)安全和隱私保護(hù)方面采用了創(chuàng)新性的數(shù)據(jù)沙箱和安全分離學(xué)習(xí)技術(shù)，可存儲各個數(shù)據(jù)源全量數(shù)據(jù)，并且在數(shù)據(jù)需求方部署隱私保護(hù)的前提下，對多個數(shù)據(jù)源的全量數(shù)據(jù)進(jìn)行充分的分析和挖掘，數(shù)據(jù)分析師只能帶走不含敏感數(shù)據(jù)的分析模型文件和分析結(jié)果。

　　針對App隱私合規(guī)亂象，奇安信、梆梆安全、愛加密紛紛推出了涵蓋APP隱私合規(guī)檢測、APP隱私保護(hù)評估服務(wù)、APP安全測試、APP整改指導(dǎo)的完整APP隱私保護(hù)解決方案，通過對Android/iOS應(yīng)用行為進(jìn)行自動化/半自動化深度檢測，可幫助用戶快速滿足《APP違法違規(guī)收集使用個人信息認(rèn)定辦法》，避免過度采集消費(fèi)者個人數(shù)據(jù)。

　　能夠預(yù)見的是，隨著將來國內(nèi)《數(shù)據(jù)安全法》與《個人信息保護(hù)法》等法規(guī)的出臺，隱私保護(hù)領(lǐng)域的創(chuàng)新熱度還會不斷提升，AI技術(shù)將在其中起到更大的作用。

　　04  攻防博弈進(jìn)化，第三代安全引擎破解0day漏洞難題

　　安全攻擊防不勝防，0Day漏洞屢被曝出，一切不安全事件都發(fā)生在“安全防護(hù)”之下，現(xiàn)有安全體系亟需革新。2020年1月17日，第三代安全引擎“天狗”橫空出世，它顛覆了查漏洞打補(bǔ)丁的傳統(tǒng)安全防護(hù)思路，即使不打補(bǔ)丁，也能有效抵御攻擊。

　　“天狗”引擎在四個方面實(shí)現(xiàn)了突破性創(chuàng)新。首先是從大粒度到細(xì)粒度。天狗從大粒度、高層次的“文件可信度”檢測，進(jìn)入到細(xì)粒度、低層次的“內(nèi)存指令可信度”檢測，有效解決了“可信程序”存在漏洞被惡意利用，而導(dǎo)致的防護(hù)缺陷。

　　其次是防御0Day漏洞。它利用已知系統(tǒng)與程序的可信指令采集與授權(quán)，來防御可能存在的未知漏洞的攻擊，有效解決了“0Day漏洞無法防御”的行業(yè)難題。

　　第三是斷網(wǎng)也能防攻擊。天狗不依賴惡意文件特征、不依賴特定漏洞特征、不依賴特定行為特征、不依賴特定的攻擊特征的技術(shù)獨(dú)特性，使得天狗引擎不再依賴聯(lián)網(wǎng)查詢，即使隔離網(wǎng)絡(luò)甚至無網(wǎng)絡(luò)的環(huán)境下，亦不影響防護(hù)效果。

　　最后是有效抵御后門問題。通過指令調(diào)用檢測，天狗可以發(fā)現(xiàn)隱藏在系統(tǒng)及應(yīng)用中的后門指令，彌補(bǔ)行業(yè)內(nèi)后門檢測的技術(shù)空白。

　　第三代安全引擎“天狗”發(fā)布后很快在大型央企、商業(yè)企業(yè)客戶場景得到安裝部署，整體裝機(jī)量快速突破100萬臺。

　　05  實(shí)戰(zhàn)攻防演習(xí)推動產(chǎn)品技術(shù)創(chuàng)新大量涌現(xiàn)

　　近些年來，為了提升國家及相關(guān)重點(diǎn)單位的網(wǎng)絡(luò)安全防護(hù)水平，常態(tài)化的實(shí)戰(zhàn)攻防演習(xí)成為了一種重要手段。實(shí)戰(zhàn)攻防演習(xí)通常以實(shí)際運(yùn)行的信息系統(tǒng)作為演習(xí)目標(biāo)，通過有監(jiān)督的攻防對抗，最大限度地模擬真實(shí)的網(wǎng)絡(luò)攻擊，以檢驗(yàn)信息系統(tǒng)的安全性和運(yùn)行保障的有效性。

　　在此過程中，推動大量網(wǎng)絡(luò)安全產(chǎn)品技術(shù)的創(chuàng)新與落地實(shí)踐，如漏洞管理、欺騙檢測、安全編排自動化與響應(yīng)（SOAR）、擴(kuò)展檢測與響應(yīng)（XDR）等。

　　針對漏洞管理，目前奇安信CERT今年推出的NOX-安全監(jiān)測平臺覆蓋能力較為完整。該平臺整合了完整的漏洞情報信息，幫助客戶及時發(fā)現(xiàn)具有威脅的漏洞，并提供完整的解決方案。同時，奇安信CERT會推動奇安信旗下相關(guān)產(chǎn)品快速升級，針對漏洞攻擊部署相應(yīng)的檢測規(guī)則。

　　國外初創(chuàng)企業(yè)Vulcan Cyber推出的SaaS平臺，能夠自動化整合所有公開的漏洞信息，并且展示漏洞管理全生命周期的各種狀態(tài)，輸出漏洞分析報告，從而大幅度縮減了安全運(yùn)營人員的漏洞維護(hù)工作。

　　欺騙檢測技術(shù)（蜜罐）也頗受防守方的歡迎。通過模擬真實(shí)場景，欺騙檢測技術(shù)可以欺騙攻擊者的入侵行為，從而達(dá)到威脅誘捕、隱藏真實(shí)業(yè)務(wù)的目的。2020年，知道創(chuàng)宇、默安科技、長亭科技、奇安信等一大批安全廠商都發(fā)布了新版欺騙檢測產(chǎn)品，通過極強(qiáng)的仿真能力和欺騙性，可將“仿真誘餌”快速下發(fā)的網(wǎng)絡(luò)的各個區(qū)域，全面覆蓋攻擊鏈的每個環(huán)節(jié)，可對攻擊行為進(jìn)行無死角誘捕。

　　在響應(yīng)環(huán)節(jié)，SOAR能夠?qū)踩\(yùn)營相關(guān)的團(tuán)隊(duì)、工具和流程通過編排和自動化技術(shù)進(jìn)行整合，有序處理多源數(shù)據(jù)，持續(xù)進(jìn)行安全告警分診與調(diào)查、威脅獵捕、案件處置、事件響應(yīng)。盛華安推出了獨(dú)立的SOAR3.0產(chǎn)品，與SOC/SIEM平臺解耦，能夠與自有和第三方SOC平臺、高級威脅檢測產(chǎn)品集成聯(lián)動。作為國內(nèi)首家采用了符合BPMN2.0規(guī)范的工作流引擎驅(qū)動的安全編排器，盛華安SOAR具有很強(qiáng)的開放性、可擴(kuò)展性和可伸縮性。

　　為了進(jìn)一步提升檢測與響應(yīng)能力，擴(kuò)展檢測和響應(yīng)（XDR）技術(shù)正在受到更多人的關(guān)注。目前國際上較為流行的做法是，將XDR與安全服務(wù)深度整合。例如Respond Software所打造的Respond Analyst作為XDR引擎，可針對安全數(shù)據(jù)、日志展開自動化的分析與檢測，能夠大幅度提升該工作的效率。FireEye把Respond Analyst集成到旗下的SaaS平臺Mandiant Advantage（MDR平臺），并利用Mandiant的漏洞情報與前沿技術(shù)來改善其安全服務(wù)水平。

　　06  實(shí)戰(zhàn)化成為SOC/SIEM建設(shè)的重點(diǎn)

　　近年來重大網(wǎng)絡(luò)安全事件頻發(fā)，如永恒之藍(lán)、Struts2、WebLogic遠(yuǎn)程代碼執(zhí)行漏洞等，強(qiáng)如FireEye也難逃黑客的“魔掌”，這讓安全人員越來越難以過著“刀槍入庫，馬放南山”的生活，平時和戰(zhàn)時已經(jīng)相互交叉、密不可分。

　　實(shí)戰(zhàn)化能力建設(shè)成為安全運(yùn)營平臺SOC/SIEM設(shè)備重點(diǎn)發(fā)展方向。奇安信發(fā)布了新版態(tài)勢感知與安全運(yùn)營平臺NGSOC、啟明星辰推出泰合智能運(yùn)營系統(tǒng)TSOC皆屬此類。

　　綜合2020年安全廠商產(chǎn)品動態(tài)來看，實(shí)戰(zhàn)化主要體現(xiàn)在三個方面。

　　其一是常態(tài)化實(shí)網(wǎng)攻防演練的支持，以攻促防。奇安信NGSOC提供演練態(tài)勢大屏，來展示攻防演練中防守方管理信息、系統(tǒng)建設(shè)、威脅運(yùn)營等信息的總體狀況，為事后的查漏補(bǔ)缺提供決策支持。

　　其二是立體化威脅預(yù)警能力。作為政企機(jī)構(gòu)內(nèi)部威脅檢測和安全運(yùn)營的中樞，僅僅依賴日志關(guān)聯(lián)分析的傳統(tǒng)SIEM/SOC設(shè)備，無法掌握入侵事件的全貌。因此，SOC平臺應(yīng)該能夠發(fā)布內(nèi)部及外部的早期預(yù)警信息，并與網(wǎng)絡(luò)中的IP資產(chǎn)進(jìn)行關(guān)聯(lián)，分析出可能受影響的資產(chǎn)，提前讓了解業(yè)務(wù)系統(tǒng)可能遭受的攻擊和潛在的安全隱患。啟明星辰推出的安全管理平臺能夠及時發(fā)布內(nèi)部及外部的早期預(yù)警信息，并與網(wǎng)絡(luò)中的IP資產(chǎn)進(jìn)行關(guān)聯(lián)，分析出可能受影響的資產(chǎn)，提前讓用戶了解業(yè)務(wù)系統(tǒng)可能遭受的攻擊和潛在的安全隱患。

　　其三是遠(yuǎn)程運(yùn)營服務(wù)。除了駐場安全運(yùn)營外，SOC平臺與遠(yuǎn)程運(yùn)營服務(wù)的整合，是今年各大安全廠商的重點(diǎn)。作為解決平臺使用方人才短缺的重要手段，奇安信能夠基于NGSOC平臺輸出威脅分析情況、安全數(shù)據(jù)分析的報告、溯源分析、事件協(xié)同處置的通報等，保障平時和戰(zhàn)時的安全運(yùn)營。

　　07  政企機(jī)構(gòu)加速上云，云原生安全重構(gòu)云上安全防護(hù)體系

　　疫情爆發(fā)以來，云計算作為數(shù)字化建設(shè)的重要組成部分，則依靠自身強(qiáng)大的云算力及龐大的云資源，為疫情恢復(fù)工作提供穩(wěn)定高效的支持，同時也進(jìn)一步加速了云經(jīng)濟(jì)整體的發(fā)展。

　　可以預(yù)見的是，“新基建”、數(shù)字化建設(shè)的不斷發(fā)展、國家政策的推動下，在互聯(lián)網(wǎng)、交通、物流、金融、政務(wù)、教育等不同行業(yè)，政企機(jī)構(gòu)上云的步伐將會提速。

　　為了確保云上的安全防護(hù)，云原生安全作為一種新興的安全理念在2020年成為熱點(diǎn)。無縫銜接的云原生安全，不僅解決云計算普及帶來的安全問題，更強(qiáng)調(diào)以原生的思維構(gòu)建云上安全建設(shè)、部署與應(yīng)用，推動安全與云計算深度融合，以更高安全等級和更低使用成本，支持彈性、動態(tài)、復(fù)雜的行業(yè)場景。

　　云原生安全平臺能夠通過統(tǒng)一平臺應(yīng)對各種安全挑戰(zhàn)，幫助企業(yè)檢測云資源的威脅、保持合規(guī)性、保護(hù)云原生應(yīng)用、保護(hù)云網(wǎng)絡(luò)和應(yīng)用通信，并在工作負(fù)載之間執(zhí)行權(quán)限和安全身份驗(yàn)證。

　　在國內(nèi)，騰訊安全在2020年推出了較為完整的云原生安全解決方案，圍繞安全治理、數(shù)據(jù)安全、應(yīng)用安全、計算安全和網(wǎng)絡(luò)安全等層面，搭建完整的云上安全防護(hù)架構(gòu)。在安全治理方面，構(gòu)建從風(fēng)險識別、風(fēng)險監(jiān)測防護(hù)到響應(yīng)、恢復(fù)以及持續(xù)運(yùn)營一系列的治理體系。通過數(shù)據(jù)安全中臺，將企業(yè)數(shù)據(jù)安全相關(guān)基礎(chǔ)設(shè)施、技術(shù)與產(chǎn)品全部納入到云本身，提供數(shù)據(jù)的發(fā)現(xiàn)、治理、加密、保護(hù)全流程安全服務(wù)。在應(yīng)用層，將DevSecOps理念貫穿到開發(fā)周期中，對容器進(jìn)行更好安全管理。在網(wǎng)絡(luò)層，提供SaaS化云網(wǎng)絡(luò)安全產(chǎn)品，并通過云網(wǎng)絡(luò)邊界治理，保障平臺與租戶的整體安全。

　　國外，頭部網(wǎng)絡(luò)安全企業(yè)派拓網(wǎng)絡(luò)（Palo Alto Networks）推出了其云原生安全平臺Prisma Cloud 2.0，包括數(shù)據(jù)安全模塊，提供數(shù)據(jù)防泄露（DLP）功能；Web應(yīng)用與API安全模塊，保護(hù)Web應(yīng)用，并能夠與CWPP的統(tǒng)一代理框架集成；基于身份的微隔離模塊集成了網(wǎng)絡(luò)可視化功能，以提供網(wǎng)絡(luò)通信的端到端可視性；身份和訪問管理安全模塊為客戶提供云基礎(chǔ)設(shè)施授權(quán)管理（CIEM）功能。