回顾 I 2021年度网络安全热词

回顾 I 2021年度网络安全热词

时间:2021-12-31 作者:安帝科技


回望2021,网络安全事件频发,带来的后果触目惊心,影响深刻,无一不挑动着人们的神经,为安全行业从业者敲响了警钟,同时也需要意识到安全行业正在面临严峻的考验。
随着针对关键基础设施行业的网络攻击急剧增加,工业漏洞的披露正在显著加速,工业网络安全成为一个主流问题。勒索软件攻击以及供应链攻击在今年可谓风头正盛,大有愈演愈烈之势,文件机密、数据泄露是它们的“拿手好戏”,众多组织深受其害。今年的加密货币完美诠释了什么叫“跌宕起伏”,在其火出天际的同时,攻击者也将目光聚焦了过去。而在年底,安全行业的爆炸新闻绝对非Log4j漏洞莫属,开源软件的安全问题值得深思。虽然网络威胁一直虎视眈眈,但安全行业从未停下前进的脚步。我国提出了网络安全产业高质量发展计划,出台并颁布了一系列政策和法规,为安全行业提供了发展的蓝图以及坚实的基础。
下面简要回顾2021网络安全八大热词,希望能引发行业的思考,面对不断加剧的攻击,日益复杂的环境,如何才能更好地保障网络安全。

高质量发展
工信部7月印发《网络安全产业高质量发展三年行动计划(2021-2023年)》,将培养一批面向车联网、工业互联网等新赛道的“专精特新”中小企业。《计划》要求,到2023年,我国网络安全产业规模超过2500亿元,电信等重点行业网络安全投入占信息化投入比例不低于10%。专家预测,在国家政策推动与支持下,未来10年网络安全行业将保持25%以上的增速,10年后我国网络安全市场规模将超过1.4万亿元。此次《计划》是继等保2.0之后又一网络安全领域国家顶层规划政策,网络安全的国家战略地位进一步得到肯定,网络安全产业整体受益,行业有望进入高速增长期。

法律法规
6月10日,《数据安全法》通过,这是我国关于数据安全的首部法律,于2021年9月1日正式施行,标志着我国在数据安全领域有法可依,可为各行业数据安全提供监管依据。7月10日,《网络安全审查办法(修订草案征求意见稿)》公开征求意见,此次《征求意见稿》相比之前的《网络安全审查办法》,其核心修订,也是最为重要的内容变化是加强了对数据安全的关注和规范。7月12日,《网络产品安全漏洞管理规定》发布,规定自2021年9月1日起施行,将推动网络产品安全漏洞管理工作的制度化、规范化、法治化。阿里云在发现Log4j2组件严重漏洞隐患后,因未及时向电信主管部门报告而被处罚,这是国家电信主管部门首次就漏洞披露不合规开出的罚单,是安全法规体系建设迈出的重要一步。8月17日,《关键信息基础设施安全保护条例》公布,自2021年9月1日起施行,对总体目标、关键信息基础设施的认定、运营者责任义务、保障和促进、法律责任等方面给出了明确的指导和要求,关键信息基础设施得到了最坚硬的“保护铠甲”。8月20日,《中华人民共和国个人信息保护法》正式通过,于2021年11日1日正式施行。对我国公民的个人信息权益保护以及各组织的数据隐私合规都将产生直接和深远的影响。

工业漏洞
随着工业化与信息化的融合发展,工业漏洞的数量在持续增加,针对工业网络以及关键基础设施的攻击也有增无减,保护工业网络安全已迫在眉睫。根据Claroty 8月发布的报告,2021年上半年披露了637个ICS漏洞,比2020年下半年披露的449个漏洞增加了41%,70.93%的漏洞被归类为高危或严重。企业设备安全公司Forescout一项名为Project Memoria的项目,针对15个TCP/IP堆栈(CycloneTCP、FNET、FreeBSD、IPnet、lwIP、MPLAB Net、NetX、NicheStack、NDKTCPIP、Nucleus NET、Nut/Net、picoTCP、Treck、uC/TCP-IP和uIP)进行了18个月的研究,研究人员仅在lwIP中没有发现任何漏洞,在其余14个TCP/IP堆栈中发现了被追踪为Ripple20、AMNESIA:33、NUMBER:JACK、NAME:WRECK、INFRA:HALT和NUCLEUS:13的漏洞,共计97个,其中包括可用于远程代码执行、DoS攻击或获取敏感信息的漏洞。TCP/IP堆栈被广泛应用于各种设备,包括医疗产品、工业控制系统(ICS)、打印机和交换机。这些漏洞影响的产品数量高达数百种,研究人员估计大约有30亿设备容易受到攻击,如果这些漏洞被完美利用,造成的后果不堪设想,工业网络安全面临的风险由此可见一斑。

开源软件
开源改变了软件的交付模式,开源软件的采用率也在大大提高。但是开源软件带来的风险也在增加,不容忽视。12月10日公开的Apache Log4j日志记录框架中的一个严重的远程代码执行漏洞席卷了整个行业。Log4j是一个开源Java日志库,被广泛应用于企业、运营技术(OT)、软件即服务(SaaS)和云服务提供商(CSP)环境中,谷歌开源团队扫描了Maven中央Java包存储库,发现超过35,000个Java包受Log4j漏洞影响。尽管最近都在急于修复Log4j,但整个过程可能需要数年时间。该漏洞危害之严重,影响之深远,将其称之为“核弹级漏洞”也毫不为过。像log4j这样现代软件基石的开源软件还有很多,比如openssl。一旦这些基石发生安全漏洞,就会造成很大的影响。因此,软件安全应该上升到软件供应链安全这个层次,也就意味着需要软件研发、分发、流通的各个环节都能够保持足够的透明。

勒索软件
勒索软件对关键基础设施、基本服务、公共安全、消费者保护、隐私以及经济构成重大风险,勒索软件攻击带来的后果正在持续恶化。5月,美国最大的天然气和柴油运输管道公司Colonial因遭受勒索软件攻击而暂时停止运营,造成东南部油价小幅波动,美国国内舆论哗然,十几个州宣布进入紧急状态。此次攻击的影响将勒索软件提升为国家安全级别的担忧,并引发了白宫的关注。不久之后,REvil攻击了世界肉类加工巨头JBS在美国的公司,成功索取1,100万美元赎金,并在7月4日攻击了远程管理软件公司Kaseya,索要7,000万美元赎金。SonicWall的一份报告指出,勒索软件攻击在2021年上半年猛增,该公司发现了3.047亿次未遂的攻击,已超过2020年全年的3.046亿次,攻击量同比增长了151%。随着勒索软件即服务(RaaS)商业模式的兴起,勒索软件攻击的规模逐渐扩大,难度却被无限降低,任何“脚本小子”都可以毫不费力地发起一次攻击。欧盟网络安全局(ENISA)表示,我们正在经历“勒索软件的黄金时代”。

软件供应链攻击
近年来,针对关键基础设施和基础供应链的攻击变得越来越频繁,供应链攻击正成为危害最大的网络威胁之一。2020年12月,黑客通过植入木马的SolarWinds软件造成多个美国联邦政府机构的网络遭入侵。截止2020年12月16日,已确认受害的重要机构至少200家,波及北美、欧洲等全球重要科技发达地区的敏感机构,包括美国国务院、国防部、财政部、国土安全部等。SolarWinds事件大大突破了当今美国顶级安全公司及政府机构所具有的防御能力,2021年5 月,美国总统拜登签署《关于加强国家网络安全的行政命令》,旨在提升美国政府软件供应链安全、事件检测和响应以及对威胁的整体抵御能力。7月,美国IT管理软件制造商Kaseya遭到供应链攻击,REvil团伙利用其远程监控和管理产品VSA的零日漏洞向终端使用者发送勒索软件。此次攻击至少影响了1500多家企业,其数据均已被加密。REvil要求支付价值7000万美元的比特币,以提供解密工具来恢复所有企业文件,这是迄今为止最高的赎金要求。这些重大事件揭开了软件供应链存在的问题及隐患,折射出软件供应链攻击具有威胁对象多、极端隐蔽、检测难度大、涉及维度广等特点。作为软件的开发者,在做好开源软件漏洞的管理之外,还要提高自身的风险管理能力,能够识别开发过程中恶意的变动,并触发追查和防范措施。

数据泄露
在这互联网时代,无论是个人信息、企业机密还是政务要闻,数据的价值越来越高,受利益驱使,数据泄露事件已经变得稀松平常。4月,Facebook超5亿用户的个人数据遭到泄露,包括电话号码、电子邮件等信息。俄媒称,脸书创始人扎克伯格的电话号码也遭泄露。6月,网络安全公司Cognyte泄漏了50亿条数据,网络安全公司遭网络攻击已不稀奇,但颇具讽刺意味的是,Cognyte所泄漏的数据恰恰是用来提醒客户注意第三方数据泄漏的,而且数据规模惊人。7月,IBM Security 发布了一项年度全球研究结果。该研究发现,每单个数据泄露事件令受访公司所承担的平均成本高达 424 万美元,创该报告发布17 年以来的最高纪录。数据泄露事件愈发频繁,过去,影响几百万人的数据泄露事件就能成为新闻头条,而如今,影响数亿甚至数十亿的事件却比比皆是。由此看来,我国出台的《数据安全法》具有极为重要的意义。

加密货币
加密货币已成为许多威胁行为者通过网络攻击获利的首选手段,包括勒索软件在内的网络犯罪频率均与加密货币价格存在高度相关性。8月,专攻跨链技术的Poly Network宣布其主网被黑客攻击,其用户在BSC、以太坊、Polygon三条区块链上的资产总计被转移6.1亿美金,全球加密货币社区被一则消息震动。该金额超越此前DeFi的安全事故,成为迄今金额最大的DeFi安全事件。连圈内知名的DeFi参与者,F2pool创始人毛世行事后都确认个人资金参与其中。根据区块链分析公司Chainalysis的数据,2021年,加密货币诈骗者和网络罪犯从受害者兜里盗走了价值77亿美元的加密货币,与2020年相比,受害者的损失增加了81%。然而,考虑到世界各地对加密货币开采和交易的打击,如果加密劫持环境变得更加困难或利润减少,攻击者完全有可能将注意力转移到其他网络犯罪上去。

小结
没有绝对的安全,这是一个我们不愿面对却又不得不接受的事实。但是只要能让安全走在威胁前面,就有希望将受到攻击后的影响降到最低。简单来说,维护网络安全需要做到预防、抵御、响应以及恢复。进行资产盘点,及时修复漏洞,做好预防工作,能够大幅降低工业网络受到的风险;在遭到勒索软件或者供应链攻击时,采取主动防御,启动应急响应,快速完成恢复,可以减少损失,防止数据泄露,财产丢失。加强网络安全核心技术联合攻关,开展高级威胁防护、态势感知、监测预警等关键技术研究,建立安全可控的网络安全软硬件防护体系。完善网络安全监测、通报预警、应急响应与处置机制,提升网络安全态势感知、事件分析以及快速恢复能力。

各项法律法规的出台,是安全行业坚实的后盾,是清朗环境的重要保障。《“十四五”国家信息化规划》强调了以网络安全自主防御能力为主的网络安全保障体系和能力建设。明确了关键信息基础设施安全、网络安全和数据安全的重点工程和重大任务。确立了网络安全作为新兴数字产业的战略定位。强化了对数据安全保障能力建设的要求。突显了中央和各级网络安全和信息化委员会对网络安全工作的统筹协调和整体推动作用。这也预示着网络安全行业必将蓬勃发展。