重要事件回顧，智覽網(wǎng)安行業(yè)發(fā)展。近日國內(nèi)外網(wǎng)安行業(yè)發(fā)生了哪些重要事件，呈現(xiàn)出了怎樣的發(fā)展態(tài)勢呢？雜志社聯(lián)合中國網(wǎng)安科技情報研究團(tuán)隊將從行業(yè)大角度出發(fā)，帶領(lǐng)大家回顧近日國內(nèi)外行業(yè)的重要事件，探究其中的發(fā)展態(tài)勢。

　　事件概覽：

　　1、移動互聯(lián)網(wǎng)應(yīng)用程序（APP）個人信息保護(hù)治理白皮書發(fā)布

　　2、 IDC發(fā)布《中國政府行業(yè)IT安全軟件市場份額報告》

　　3、騰訊迎來最嚴(yán)APP監(jiān)管！

　　4、英國戰(zhàn)略司令部發(fā)布《戰(zhàn)略司令部戰(zhàn)略》文件

　　5、CISA發(fā)布聯(lián)邦政府網(wǎng)絡(luò)安全事件和漏洞應(yīng)對行動手冊

　　6、美NSA和CISA聯(lián)合發(fā)布《5G網(wǎng)絡(luò)云基礎(chǔ)設(shè)施安全指南》第I部分

　　7、歐盟加入《網(wǎng)絡(luò)空間信任與安全巴黎倡議》

　　8、澳大利亞投資人工智能技術(shù)研發(fā)以建設(shè)國防軍事能力

　　9、美國國會研究服務(wù)局向美國會提交《國防入門：美國關(guān)于致命性自主武器系統(tǒng)的政策》報告

　　10、美國司法部通過“民事網(wǎng)絡(luò)欺詐專項”強(qiáng)化針對美國聯(lián)邦政府承包商及資助接受方的網(wǎng)絡(luò)安全執(zhí)法力度

　　11、美英等國發(fā)出嚴(yán)重警告，微軟、Fortinet的漏洞正在被“濫用”

　　12、美國國會研究處發(fā)布《網(wǎng)絡(luò)安全：2012年至2021年網(wǎng)絡(luò)攻擊》的報告

　　13、Gartner發(fā)布當(dāng)前需關(guān)注的八大安全和風(fēng)險趨勢

　　國內(nèi)

　　01

　　移動互聯(lián)網(wǎng)應(yīng)用程序（APP）個人信息保護(hù)治理白皮書發(fā)布

　　11月22日，在工業(yè)和信息化部指導(dǎo)下，中國信息通信研究院組織編寫了《移動互聯(lián)網(wǎng)應(yīng)用程序（APP）個人信息保護(hù)治理白皮書》（以下簡稱“白皮書”）。

　　白皮書中內(nèi)容指出，從2012年開始到2021年，國家陸續(xù)推出并施行了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》，意味著當(dāng)前國家關(guān)于個人信息保護(hù)法律制度的頂層設(shè)計基本形成，而在針對行業(yè)領(lǐng)域個人信息保護(hù)方面，相關(guān)管理規(guī)定也在積極的推進(jìn)過程之中。

　　白皮書顯示，在過去一段時間中依靠專項整治的方式，用戶權(quán)益保護(hù)明顯改善，截至目前已開展的21批次專項抽查中，累計通知了5406款應(yīng)用進(jìn)行整改，公開通報2049款整改不到位，有540款應(yīng)用被下架處置。

　　關(guān)于未來繼續(xù)縱深推進(jìn)APP個人信息保護(hù)治理工作方面，白皮書給出了一些建議。

　?。?）修訂完善部門規(guī)章和管理規(guī)定，如將《個人信息保護(hù)法》的制度要求轉(zhuǎn)化為各行業(yè)各領(lǐng)域的具體規(guī)則，同時加快出臺APP個人信息保護(hù)專門規(guī)則，推動相關(guān)標(biāo)準(zhǔn)體系的持續(xù)完善，從而實(shí)現(xiàn)補(bǔ)齊短板，持續(xù)完善監(jiān)管制度依據(jù)的目的。

　　（2）需要加強(qiáng)協(xié)同，建立健全聯(lián)動治理機(jī)制，包括各主管部門之間的協(xié)調(diào)治理機(jī)制、中央和地方建立部省聯(lián)動治理機(jī)制以及專項治理與長效治理結(jié)合治理機(jī)制，從而實(shí)現(xiàn)“全流程、全鏈條、全主體”監(jiān)管，有效提升行業(yè)領(lǐng)域個人信息保護(hù)監(jiān)管水平。

　?。?）要通過落實(shí)技術(shù)創(chuàng)新主體責(zé)任、優(yōu)化技術(shù)檢測平臺系統(tǒng)建設(shè)以及規(guī)范技術(shù)檢測工作流程的方式，充分發(fā)揮優(yōu)勢，提升技術(shù)手段治理的效能。

　?。?）要形成政府、企業(yè)、相關(guān)社會組織、公眾共同參與個人信息保護(hù)的良好環(huán)境，形成多元共治的局面，推動行業(yè)發(fā)展行穩(wěn)致遠(yuǎn)。

　　02

　　IDC發(fā)布《中國政府行業(yè)IT安全軟件市場份額報告》

　　北京，2021年11月25日—— 2020 年新冠疫情爆發(fā)，全球各國都在努力控制疫情的同時，經(jīng)濟(jì)活動有所放緩。同時，勒索軟件相關(guān)攻擊正在增加，攻擊者不但勒索贖金，并威脅公開竊取的數(shù)據(jù)。國家加快了安全相關(guān)法律法規(guī)的制定，驅(qū)動和規(guī)范了政府企業(yè)安全相關(guān)的組織、人員、系統(tǒng)的建設(shè)。2020年IT安全的整體增長率較2019年有所放緩，傳統(tǒng)網(wǎng)絡(luò)安全軟件如終端反病毒軟件、本地化身份認(rèn)證等產(chǎn)品在2020年的發(fā)展遭遇較大阻力。但在云市場的強(qiáng)力帶動下，政府采用云上的安全軟件產(chǎn)品，如軟件安全網(wǎng)關(guān)（UTM、WAF等）、身份認(rèn)證和管理、主機(jī)安全等保持了高速發(fā)展態(tài)勢。

　　IDC認(rèn)為，在中國政府行業(yè)IT安全軟件市場主動防御成為新重點(diǎn)。在傳統(tǒng)信息安全防御體系中，無論是信息安全硬件還是軟件，防御技術(shù)都已經(jīng)無法滿足各類新興網(wǎng)絡(luò)安全防護(hù)需求。面向信息系統(tǒng)應(yīng)用層的滲透攻擊，傳統(tǒng)防火墻束手無策；面向內(nèi)網(wǎng)的零日攻擊，殺毒軟件和數(shù)據(jù)防泄漏（DLP） 軟件無法識別；面向新型的大數(shù)據(jù)、云安全，傳統(tǒng)信息安全防御體系更是束手無策。傳統(tǒng)的被動防御難以應(yīng)對全球數(shù)字化轉(zhuǎn)型趨勢下的網(wǎng)絡(luò)安全保障需求，各廠商積極構(gòu)建主動安全防御體系，服務(wù)于各政府部門。

　　03

　　騰訊迎來最嚴(yán)APP監(jiān)管！

　　11月24日，一張顯示“騰訊主體下所有APP將暫停更新”的圖片在網(wǎng)絡(luò)上流傳。安全內(nèi)參關(guān)注到最新消息，工信部正在對騰訊采取過渡性的行政指導(dǎo)措施，要求其旗下所有APP需檢測合規(guī)后才可更新。

　　據(jù)中央廣播電視總臺央視記者從工信部了解到，今年以來，在工信部開展的App侵害用戶權(quán)益專項整治中，騰訊公司旗下9款產(chǎn)品存在違規(guī)行為，共計4批次被公開通報，違反了2021年信息通信業(yè)行風(fēng)糾風(fēng)相關(guān)要求。按照有關(guān)部署，工信部對騰訊公司采取過渡性的行政指導(dǎo)措施，要求對于即將發(fā)布的App新產(chǎn)品，以及既有App產(chǎn)品的更新版本，上架前需經(jīng)工信部組織技術(shù)檢測，檢測合格后正常上架。

　　國外

　　01

　　英國戰(zhàn)略司令部發(fā)布《戰(zhàn)略司令部戰(zhàn)略》文件

　　11月22日，英國戰(zhàn)略司令部發(fā)布《戰(zhàn)略司令部戰(zhàn)略》文件，闡述了戰(zhàn)略司令部將采用綜合技術(shù)和以數(shù)據(jù)為核心的方法，整合作戰(zhàn)人員、裝備和相關(guān)信息，建立一支行動敏捷和精確的綜合部隊，以應(yīng)對多變復(fù)雜的未知環(huán)境。到2030年，基本形成應(yīng)對威脅變化所需的泛在敏捷防御能力，為國家戰(zhàn)略優(yōu)勢做出重大貢獻(xiàn)。通過持續(xù)的前沿部署、改進(jìn)網(wǎng)絡(luò)和先進(jìn)情報、監(jiān)視和偵察（ISR）能力實(shí)現(xiàn)實(shí)時態(tài)勢感知；利用改進(jìn)空間和網(wǎng)絡(luò)能力，通過可靠安全戰(zhàn)略通信進(jìn)行未來戰(zhàn)場協(xié)調(diào)、溝通和指揮。

　　02

　　CISA發(fā)布聯(lián)邦政府網(wǎng)絡(luò)安全事件和漏洞應(yīng)對行動手冊

　　CisaGov網(wǎng)站11月16日消息，網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）發(fā)布了聯(lián)邦政府網(wǎng)絡(luò)安全事件和漏洞應(yīng)對行動手冊。該手冊為聯(lián)邦民事機(jī)構(gòu)提供了一套標(biāo)準(zhǔn)程序，以應(yīng)對影響聯(lián)邦民事行政部門網(wǎng)絡(luò)的漏洞和事件。事件響應(yīng)手冊適用于已確認(rèn)的惡意網(wǎng)絡(luò)活動的事件，以及已經(jīng)宣布或尚未合理排除的重大事件。漏洞應(yīng)對手冊適用于任何被觀察到的、被對手用來未經(jīng)授權(quán)進(jìn)入計算資源的漏洞。？該手冊建立在CISA的約束性操作指令22-01的基礎(chǔ)上，并規(guī)范了應(yīng)對這些對聯(lián)邦政府、私營和公共部門構(gòu)成重大風(fēng)險的漏洞時應(yīng)遵循的高級流程。CISA打算不僅為聯(lián)邦政府，而且為公共和私營部門的實(shí)體加強(qiáng)網(wǎng)絡(luò)安全響應(yīng)實(shí)踐和操作程序。？這兩本手冊包含了事件響應(yīng)、事件響應(yīng)準(zhǔn)備和漏洞響應(yīng)的核對表，可適用于任何組織，以跟蹤必要的活動完成情況。

　　03

　　美NSA和CISA聯(lián)合發(fā)布《5G網(wǎng)絡(luò)云基礎(chǔ)設(shè)施安全指南》第I部分

　　近日，美國國家安全局（NSA）和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）近期發(fā)布了《5G網(wǎng)絡(luò)云基礎(chǔ)設(shè)施安全指南第I部分：防止和檢測橫向移動》（以下簡稱“指南”）。

　　該指南圍繞零信任理念展開，主要面向參與構(gòu)建和配置5G云基礎(chǔ)設(shè)施的服務(wù)提供商和系統(tǒng)集成商，關(guān)注安全隔離網(wǎng)絡(luò)資源、數(shù)據(jù)保護(hù)以及確保云基礎(chǔ)架構(gòu)的完整性等重點(diǎn)問題，涉及包括云環(huán)境下的邊界加固防護(hù)、內(nèi)生安全、軟件安全、API安全等在內(nèi)的六大重點(diǎn)內(nèi)容：

　?。?）身份認(rèn)證和訪問管理

　　企業(yè)組織無論部署任何種類的訪問控制模型，虛擬機(jī)（VM）、容器或其他產(chǎn)品，其目的都是為了能夠充分緩解5G云環(huán)境中的漏洞和橫向移動的威脅。從IAM的角度來看，統(tǒng)一身份認(rèn)證、最小訪問控制權(quán)限、多因素身份驗(yàn)證等基本的安全控制和實(shí)踐可以大有作為。企業(yè)組織可使用證書來實(shí)現(xiàn)傳輸層安全（mTLS）和證書鎖定，以驗(yàn)證證書持有者的身份。除此之外，借助日志記錄快速識別異常行為，并及時實(shí)施自動修復(fù)功能也很重要。

　?。?）及時更新軟件

　　云環(huán)境復(fù)雜性強(qiáng)的原因之一是大量的軟件源，其中包括為5G云消費(fèi)者提供服務(wù)的開源和專有軟件。因此，5G云供應(yīng)商實(shí)施穩(wěn)健安全的軟件開發(fā)流程至關(guān)重要，例如建立NIST的安全軟件開發(fā)框架（SSDF）以及成熟的漏洞管理程序和操作流程。該漏洞管理程序應(yīng)包含所有公開已知的漏洞（無論是否有補(bǔ)丁）、零日漏洞，程序還應(yīng)具備補(bǔ)丁管理功能。

　?。?）安全的5G網(wǎng)絡(luò)配置

　　企業(yè)組織的云安全部署可能各不相同，并且有很多層，例如虛擬私有云（VPC）、主機(jī)、容器和Pod。因此建議企業(yè)組織根據(jù)資源敏感性的區(qū)別對資源進(jìn)行分組，并通過微分段限制爆炸半徑。

　　網(wǎng)絡(luò)配置和通信隔離是5G網(wǎng)絡(luò)環(huán)境下云安全防護(hù)的關(guān)鍵所在。由于云的多租戶性質(zhì)和軟件定義網(wǎng)絡(luò) （SDN） 的引入，需要一種新型的、可實(shí)現(xiàn)的、穩(wěn)定的安全防護(hù)方法。指南建議使用云原生功能（例如網(wǎng)絡(luò)訪問控制列表和防火墻規(guī)則）來正確限制網(wǎng)絡(luò)路徑，這對防止攻擊者在云環(huán)境中橫向移動具有關(guān)鍵意義，因?yàn)?，如果攻擊者破壞了單個VPC或子網(wǎng)，這可以避免它成為攻擊者在云環(huán)境中繼續(xù)攻擊其他VPC和子網(wǎng)的樞紐點(diǎn)。

　　指南的其他建議還包括，通過防火墻的的默認(rèn)拒絕條款和出入站流量的訪問控制列表，以及通過使用服務(wù)網(wǎng)格來控制東西向流量。

　　（4）鎖定隔離網(wǎng)絡(luò)功能之間的通信

　　雖然5G云環(huán)境的網(wǎng)絡(luò)實(shí)施和架構(gòu)非常復(fù)雜，但還應(yīng)確保所有通信會話都經(jīng)過適當(dāng)授權(quán)和加密。如開篇所述，企業(yè)組織應(yīng)積極使用微分段，以最小化環(huán)境中任何特定網(wǎng)絡(luò)分段危害的“爆炸半徑”。

　?。?）監(jiān)測橫向移動威脅

　　5G網(wǎng)絡(luò)環(huán)境下的云安全離不開適當(dāng)?shù)谋O(jiān)控、檢測、警報和補(bǔ)救措施，涉及監(jiān)控用戶行為異常和可疑網(wǎng)絡(luò)流量行為等活動，例如與已知錯誤的外部地址通信。

　?。?）引入AI等新型技術(shù)

　　復(fù)雜且動態(tài)的5G云環(huán)境需要使用增強(qiáng)的技術(shù)和功能來進(jìn)行安全防護(hù)，以適應(yīng)5G活動和遙測的規(guī)模，例如AI技術(shù)等。在許多復(fù)雜的云原生環(huán)境中，安全團(tuán)隊根本無法跟上活動的范圍或規(guī)模。通過使用CSP和第三方功能，安全團(tuán)隊可憑借自動化技術(shù)來速識別和限制惡意活動。自動化是實(shí)施零信任架構(gòu)的關(guān)鍵支柱，5G云安全也是如此。

　　04

　　歐盟加入《網(wǎng)絡(luò)空間信任與安全巴黎倡議》

　　11月11日，歐盟委員會主席馮德萊恩在巴黎和平論壇上發(fā)表講話，宣布?xì)W盟與其27個成員國一起加入《網(wǎng)絡(luò)空間信任與安全巴黎倡議》。在網(wǎng)絡(luò)安全方面，歐盟委員會已經(jīng)提議修訂歐洲網(wǎng)絡(luò)安全法，以加強(qiáng)對關(guān)鍵部門的網(wǎng)絡(luò)安全要求，并宣布了歐洲網(wǎng)絡(luò)彈性法案。在人工智能方面，歐盟的《人工智能法案》將專注于醫(yī)療、執(zhí)法或就業(yè)等高風(fēng)險領(lǐng)域，并為歐盟市場上的產(chǎn)品設(shè)定標(biāo)準(zhǔn)。馮德萊恩主席在講話結(jié)束時呼吁對數(shù)字平臺負(fù)責(zé)，以及歐盟在這方面正在采取的步驟。她強(qiáng)調(diào)如果大型平臺的算法傳播仇恨言論、非法內(nèi)容或虛假信息，那么這些算法必須做出改變。歐盟委員會已經(jīng)提出了《數(shù)字服務(wù)法案》，為歐盟成員國提供了監(jiān)管這一領(lǐng)域的工具。

　　05

　　澳大利亞投資人工智能技術(shù)研發(fā)以建設(shè)國防軍事能力

　　英國陸軍技術(shù)網(wǎng)站2021年11月18日報道，澳大利亞政府宣布，澳大利亞國防創(chuàng)新中心將撥款727萬美元用于支持新的人工智能技術(shù)研發(fā)。這項投資將擴(kuò)大澳國防軍的軍事能力，并支持新的“關(guān)鍵技術(shù)藍(lán)圖和行動計劃” （11月17日由澳總理公布），旨在增加關(guān)鍵技術(shù)帶來的經(jīng)濟(jì)機(jī)會并應(yīng)對國家安全風(fēng)險。人工智能已被澳大利亞政府列為關(guān)涉國家利益的九項關(guān)鍵技術(shù)之一，根據(jù)澳政府的關(guān)鍵技術(shù)計劃，澳國防工業(yè)部長梅麗莎·普萊斯宣布了十項新的國防創(chuàng)新中心合同，這些合同將有助于開發(fā)新的人工智能技術(shù)。新的人工智能技術(shù)將通過使用澳國防部的情報任務(wù)數(shù)據(jù)來提高態(tài)勢感知能力，并通過智能化的虛擬現(xiàn)實(shí)來增強(qiáng)作戰(zhàn)人員的模擬、建模和培訓(xùn)來實(shí)現(xiàn)，將改善澳軍的訓(xùn)練和作戰(zhàn)方式。吸引人工智能行業(yè)的企業(yè)與國防部門合作是實(shí)現(xiàn)這一目標(biāo)的重要舉措，本次授出的合同也將促進(jìn)澳大利亞企業(yè)的發(fā)展，幫助澳大利亞建立并強(qiáng)化技術(shù)主權(quán)，使其能夠開發(fā)并將領(lǐng)先的人工智能技術(shù)整合到澳大利亞國防力量中。

　　06

　　美國國會研究服務(wù)局向美國會提交《國防入門：美國關(guān)于致命性自主武器系統(tǒng)的政策》報告

　　美國國會研究服務(wù)局2021年11月17日向國會提交《國防入門：美國關(guān)于致命自主武器系統(tǒng)政策》報告。報告認(rèn)為，致命自主武器系統(tǒng) （LAWS）是一類特殊的武器系統(tǒng)，其使用傳感器套件和計算機(jī)算法來獨(dú)立識別目標(biāo)，并使用機(jī)載武器系統(tǒng)來攻擊和摧毀目標(biāo)，而無需人工控制系統(tǒng)。雖然致命自主武器系統(tǒng)還沒有得到廣泛的發(fā)展，但它們將能在傳統(tǒng)系統(tǒng)無法運(yùn)行的通信惡劣或被拒止的環(huán)境中進(jìn)行軍事行動。

　　致命自主武器系統(tǒng)（致命自主武器系統(tǒng)）是一類特殊的武器系統(tǒng)，它使用傳感器套件和計算機(jī)算法自主識別目標(biāo)，并使用機(jī)載武器系統(tǒng)攻擊和摧毀目標(biāo)，無需人工控制系統(tǒng)。致命自主武器系統(tǒng)尚未得到廣泛開發(fā)，但它們將能在傳統(tǒng)系統(tǒng)無法運(yùn)行的通信降級或被拒止的環(huán)境中進(jìn)行軍事行動。

　　與許多新聞報道相反，美國的政策并未禁止開發(fā)或使用致命自主武器系統(tǒng)。美國目前的武器清單中尚無致命自主武器系統(tǒng)，但一些高級軍事和國防領(lǐng)導(dǎo)人表示，如果美國的競爭對手選擇開發(fā)或使用致命自主武器系統(tǒng)，美國未來將被迫開發(fā)致命自主武器系統(tǒng)。與此同時，越來越多的國家和非政府組織出于道德考慮，呼吁國際社會管制或禁止致命自主武器系統(tǒng)。自主武器技術(shù)的發(fā)展和國際法律討論可能對國會監(jiān)督、國防投資、軍事作戰(zhàn)概念、條約制定和戰(zhàn)爭未來產(chǎn)生影響。

　　07

　　美國司法部通過“民事網(wǎng)絡(luò)欺詐專項”強(qiáng)化針對美國聯(lián)邦政府承包商及資助接受方的網(wǎng)絡(luò)安全執(zhí)法力度

　　近日，美國司法部目前正在強(qiáng)化其針對美國聯(lián)邦政府承包商及資助接受方的網(wǎng)絡(luò)安全執(zhí)法力度——若這兩個從美國聯(lián)邦政府獲得資助的群體無法滿足美國政府網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的要求，那么將面臨來自美國司法部依照美國《虛假陳述法案》所施加的嚴(yán)厲懲罰。這個專項行動將由美國司法部民事部門商業(yè)訴訟分部（Commercial Litigation Branch）牽頭開展。

　　美國司法部副部長麗莎。莫納克（Lisa Monaco）上月在一份聲明中指出，“虛假陳述法案”將是美國聯(lián)邦政府用于懲處涉及美國政府項目及運(yùn)作相關(guān)聯(lián)邦基金或財產(chǎn)之虛假陳述行為的主要法律工具，而“民事網(wǎng)絡(luò)欺詐專項”將讓那些“讓美國政府系統(tǒng)或信息陷于危險境地”的實(shí)體或個人付出代價；美國司法部目前已在“民事網(wǎng)絡(luò)欺詐專項”框架內(nèi)組織其網(wǎng)絡(luò)欺詐執(zhí)法、政府采購及網(wǎng)絡(luò)安全三大領(lǐng)域的專業(yè)力量，以打擊試圖損害美國政府關(guān)鍵系統(tǒng)和敏感信息的“新型網(wǎng)絡(luò)威脅”；美國司法部將與美國聯(lián)邦政府其他機(jī)構(gòu)、領(lǐng)域?qū)＜壹皥?zhí)法機(jī)構(gòu)密切配合，加強(qiáng)網(wǎng)絡(luò)安全執(zhí)法力度。

　　雖然美國司法部不會披露其當(dāng)前在“民事網(wǎng)絡(luò)欺詐專項”框架內(nèi)開展調(diào)查的案子數(shù)量，但行業(yè)人士認(rèn)為，美國司法部可能將著重調(diào)查以下三類網(wǎng)絡(luò)安全問題：

　　①故意提供存在缺陷的網(wǎng)絡(luò)安全產(chǎn)品或服務(wù)；

　?、谘谏w其實(shí)施網(wǎng)絡(luò)安全建設(shè)的真實(shí)情況；

　?、鄄m報網(wǎng)絡(luò)攻擊及入侵事件。

　　美國司法部啟動“民事網(wǎng)絡(luò)欺詐專項”將迫使美國聯(lián)邦政府承包商及資助接受方加強(qiáng)網(wǎng)絡(luò)安全方面的合規(guī)建設(shè)，雖然早在1863年就獲得通過的《虛假陳述法案》并不是一個新的合規(guī)要求；而這個專項與美國國防部現(xiàn)行之復(fù)雜網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系的疊加，也可能讓美國防務(wù)行業(yè)無所適從。

　　08

　　美英等國發(fā)出嚴(yán)重警告，微軟、Fortinet的漏洞正在被“濫用”

　　近日，美國、英國和澳大利亞等國的網(wǎng)絡(luò)安全機(jī)構(gòu)發(fā)布聯(lián)合聲明，稱疑似受伊朗政府資助的攻擊者，正在積極利用Fortinet和Microsoft Exchange ProxyShell的漏洞。攻擊者利用漏洞獲得受害者系統(tǒng)初始訪問權(quán)限后，開始竊取數(shù)據(jù)和部署勒索軟件。

　　據(jù)美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）、聯(lián)邦調(diào)查局（FBI）、澳大利亞網(wǎng)絡(luò)安全中心（ACSC）和英國國家網(wǎng)絡(luò)安全中心（NCSC）對受害網(wǎng)絡(luò)系統(tǒng)分析后稱，攻擊者利用的Fortinet FortiOS漏洞和影響微軟Exchange服務(wù)器的遠(yuǎn)程代碼執(zhí)行漏洞，可追溯到2021年3月。根據(jù)The Hacker News等媒體披露，遭受網(wǎng)絡(luò)攻擊的受害者眾多，其中受損嚴(yán)重的有澳大利亞的多家組織和美國多個關(guān)鍵基礎(chǔ)設(shè)施部門。

　　CISA和FBI等部門的網(wǎng)絡(luò)安全專家通過分析攻擊者近期活動，發(fā)現(xiàn)該組織異?；钴S，不僅利用FortiOS 漏洞“訪問”易受攻擊的澳大利亞部分企業(yè)網(wǎng)絡(luò)，早在2021年5月就已經(jīng)利用 Fortigate 設(shè)備漏洞，對美國市政府托管的網(wǎng)絡(luò)服務(wù)器展開了網(wǎng)絡(luò)攻擊。

　　為應(yīng)對攻擊者的持續(xù)性威脅，美國政府不得不第二次發(fā)布警告，提醒高級持續(xù)性威脅集團(tuán)正在利用CVE-2018-13379、CVE-2020-12812和CVE-2019-5591等漏洞破壞屬于政府和企業(yè)等實(shí)體的網(wǎng)絡(luò)系統(tǒng)。

　　09

　　美國國會研究處發(fā)布《網(wǎng)絡(luò)安全：2012年至2021年網(wǎng)絡(luò)攻擊》的報告

　　美國國會研究處（CRS）于2021年11月22日發(fā)布了題為《網(wǎng)絡(luò)安全：2012年至2021年網(wǎng)絡(luò)攻擊》的報告。該報告匯總了過去10年內(nèi)針對美國實(shí)體的重大網(wǎng)絡(luò)攻擊，并介紹了網(wǎng)絡(luò)攻擊的溯源信息和常見類型。該報告將美國遭受的網(wǎng)絡(luò)攻擊分為兩大類，其中包括23起出于國家利益而發(fā)起的網(wǎng)絡(luò)攻擊，以及30起出于個人利益而發(fā)起的網(wǎng)絡(luò)攻擊。

　　10

　　Gartner發(fā)布當(dāng)前需關(guān)注的八大安全和風(fēng)險趨勢

　　隨著網(wǎng)絡(luò)安全和監(jiān)管合規(guī)成為企業(yè)董事會最關(guān)注的兩件事情，一些企業(yè)正在增加網(wǎng)絡(luò)安全專家來專門審核安全和風(fēng)險問題。這只是我們的八大安全和風(fēng)險趨勢之一，其中許多趨勢被最近的事件所推動，例如安全漏洞和持續(xù)的新冠疫情等。

　　今年的安全和風(fēng)險趨勢突出了安全生態(tài)系統(tǒng)中正在進(jìn)行但尚未被廣泛認(rèn)可的戰(zhàn)略轉(zhuǎn)變。每一個趨勢都有望產(chǎn)生廣泛的行業(yè)影響和巨大的變革潛力。

　　趨勢一：網(wǎng)絡(luò)安全網(wǎng)格

　　網(wǎng)絡(luò)安全網(wǎng)格是一種使分布式企業(yè)能夠在最需要的地方部署和擴(kuò)展安全的現(xiàn)代化安全架構(gòu)概念方法。

　　新冠疫情在加速數(shù)字化業(yè)務(wù)的同時，也加速了另一個趨勢：許多數(shù)字資產(chǎn)和個人越來越多地位于傳統(tǒng)企業(yè)基礎(chǔ)設(shè)施之外。此外，網(wǎng)絡(luò)安全團(tuán)隊正在被要求保護(hù)無數(shù)種形式的數(shù)字化轉(zhuǎn)型和其他新技術(shù)。這就需要具有靈活性、敏捷性、可擴(kuò)展性和可組合性的安全選項，這些安全選項將使企業(yè)能夠以安全的方式邁向未來。

　　趨勢二：精通網(wǎng)絡(luò)的董事會

　　隨著公共安全漏洞的增加和勒索軟件造成的業(yè)務(wù)中斷日益普遍，各企業(yè)機(jī)構(gòu)的董事會正愈加關(guān)注網(wǎng)絡(luò)安全問題。他們認(rèn)識到這已成為企業(yè)的一個巨大風(fēng)險并正在組建專門專注于網(wǎng)絡(luò)安全事務(wù)的委員會。委員會通常由具有安全經(jīng)驗(yàn)的董事會成員（如前首席信息安全官[CISO]）或第三方顧問領(lǐng)導(dǎo)。

　　這意味著首席信息安全官將受到更多的監(jiān)督和期望，同時獲得更多的支持和資源。應(yīng)做好改善溝通的準(zhǔn)備并預(yù)測到董事會因此提出更苛刻的問題。

　　趨勢三：廠商整合

　　當(dāng)今的安全現(xiàn)狀是安全領(lǐng)導(dǎo)人所擁有的工具過多。Gartner在2020年首席信息安全官效能調(diào)查中發(fā)現(xiàn)，78%的首席信息安全官在他們的網(wǎng)絡(luò)安全廠商組合中擁有16個以上的工具；12%的首席信息安全官擁有46個以上的工具。安全廠商過多會導(dǎo)致安全運(yùn)行變得復(fù)雜并且安全人員人數(shù)增加。

　　大多數(shù)企業(yè)機(jī)構(gòu)認(rèn)識到，廠商整合是提高安全效率的途徑之一，80%的企業(yè)機(jī)構(gòu)正在執(zhí)行或?qū)@一戰(zhàn)略感興趣。大型安全廠商正通過整合得到更好的產(chǎn)品來應(yīng)對。但整合具有一定的難度，往往需要幾年時間才能推出。雖然一般情況下推動這一趨勢的驅(qū)動力是更低的成本，但所產(chǎn)生的結(jié)果往往是更加精簡的運(yùn)行和更低的風(fēng)險。

　　趨勢四：身份優(yōu)先安全

　　混合工作模式的日益盛行以及向云應(yīng)用的遷移鞏固了身份作為外圍的趨勢。身份優(yōu)先安全并不是一個新的概念，但隨著攻擊者開始以身份和訪問管理功能為目標(biāo)來獲得“沉默的持久性”，身份優(yōu)先安全又呈現(xiàn)出新的緊迫性。

　　濫用憑證現(xiàn)在已成為最常用的入侵技術(shù)。國家級攻擊者正在以動態(tài)目錄和身份基礎(chǔ)設(shè)施為目標(biāo)并取得了驚人的成功。身份識別是在氣隙網(wǎng)絡(luò)之間實(shí)現(xiàn)橫向移動的關(guān)鍵技術(shù)。多重認(rèn)證的使用正在增長，但它不是萬能的。必須正確配置、維護(hù)和監(jiān)控身份基礎(chǔ)設(shè)施并給予高度重視。

　　趨勢五：管理機(jī)器身份已成為一項關(guān)鍵的安全功能

　　隨著數(shù)字化轉(zhuǎn)型的發(fā)展，構(gòu)成現(xiàn)代應(yīng)用的非人類實(shí)體數(shù)量出現(xiàn)了爆炸性增長。因此，機(jī)器身份的管理已經(jīng)成為安全運(yùn)行的一個重要部分。

　　所有現(xiàn)代化應(yīng)用都是由通過API連接的服務(wù)所組成的。由于攻擊者可以利用供應(yīng)商API訪問關(guān)鍵數(shù)據(jù)來達(dá)到自己的目的，因此這些服務(wù)中的每一項都需要被認(rèn)證和監(jiān)控。全企業(yè)機(jī)器身份管理工具和技術(shù)仍在不斷涌現(xiàn)。一項能夠管理機(jī)器身份、證書和秘密的全企業(yè)戰(zhàn)略使您的企業(yè)機(jī)構(gòu)能夠更好地保護(hù)數(shù)字化轉(zhuǎn)型。

　　趨勢六：“遠(yuǎn)程辦公”成為工作常態(tài)

　　根據(jù)2021年Gartner首席信息官調(diào)查，64%的員工現(xiàn)在可以在家辦公，五分之二的員工實(shí)際上正在家中辦公。曾經(jīng)只有高管、高級職員和銷售才可以使用的工具現(xiàn)在已經(jīng)成為主流。向混合工作模式（或遠(yuǎn)程辦公模式）轉(zhuǎn)變是一個持久的趨勢，超過75%的知識工作者期待未來在混合工作環(huán)境中工作。

　　從安全角度看，為了更好地減輕風(fēng)險，企業(yè)機(jī)構(gòu)需要完全重新定義政策和工具。

　　趨勢七：入侵和攻擊模擬

　　一個幫助企業(yè)機(jī)構(gòu)驗(yàn)證安全態(tài)勢的新市場正在出現(xiàn)。入侵和攻擊模擬（BAS）可以對安全控制進(jìn)行持續(xù)的測試和驗(yàn)證，并且能夠測試企業(yè)機(jī)構(gòu)應(yīng)對外部威脅的態(tài)勢。該工具還能進(jìn)行專項評估并突出顯示保密數(shù)據(jù)等高價值資產(chǎn)的風(fēng)險。此外，BAS還提供使安全組織邁向成熟的培訓(xùn)。

　　趨勢八：增強(qiáng)隱私的計算技術(shù)

　　增強(qiáng)隱私的計算技術(shù)能夠在數(shù)據(jù)被使用時，而不是在數(shù)據(jù)靜止或移動時提供數(shù)據(jù)保護(hù)，從而實(shí)現(xiàn)安全的數(shù)據(jù)處理、共享、跨境傳輸和分析，包括在不可信的環(huán)境中。

　　這項技術(shù)正在迅速從學(xué)術(shù)研究轉(zhuǎn)變?yōu)樘峁┱嬲齼r值的實(shí)際項目，不但實(shí)現(xiàn)了新形式的計算和共享，還減少了數(shù)據(jù)泄露風(fēng)險。