压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

一、信息泄露與網(wǎng)絡(luò)攻擊篇

1. 信息泄露連續(xù)五年創(chuàng)歷史記錄

自2013年斯諾登事件以來，全球信息泄露規(guī)模連年加劇。盡管目前還沒有信息泄露統(tǒng)計的確切數(shù)字，但2018年的數(shù)據(jù)泄露規(guī)模又將創(chuàng)下新的歷史記錄已是大概率事件。根據(jù)Gemalto發(fā)布的《數(shù)據(jù)泄露水平指數(shù)(Breach Level Index）》，僅2018年上半年，全球就發(fā)生了945起較大型的數(shù)據(jù)泄露事件，共計導(dǎo)致45億條數(shù)據(jù)泄露，與2017年相比數(shù)量增加了133％。

2018年規(guī)模或影響較大的信息泄露事件

1月

• 印度媒體 The Tribune 聲稱以500盧比（約6英鎊）的價格購買了對公民信息數(shù)據(jù)庫Aadhaar的訪問。該數(shù)據(jù)庫包含10億印度公民的個人信息。
• 美國國土安全部承認(rèn)，2.4萬名現(xiàn)任雇員和前任員工個人信息由于黑客攻擊而泄露。

2月

• 美國高端運(yùn)動品牌安德瑪?shù)慕】导帮嬍掣檻?yīng)用MyFitnessPal被黑客入侵，1.5億用戶賬戶信息泄露。

3月

• 安全研究人員披露，僅今年前3個月，就發(fā)現(xiàn)了超過15.5億份商業(yè)敏感文檔在網(wǎng)上泄露，數(shù)據(jù)量高達(dá)12PB，是巴拿馬文檔泄露事件的4000倍。
• 英國媒體披露Facebook超過5000萬名用戶資料遭“劍橋分析”公司非法用來發(fā)送政治廣告。

4月

• 加拿大零售集團(tuán)HBC承認(rèn)，其500萬客戶的信用卡和借記卡信息被黑客竊取，成為史上最大信用卡信息失竊案之一。
• Facebook承認(rèn)，“劍橋分析”事件影響8700萬用戶，同時有惡意行為人，用Facebook的反向搜索和恢復(fù)功能，很可能惡意爬取了20億用戶的賬戶基本信息。

5月

• 由于軟件缺陷導(dǎo)致明文暴露證書，推特敦促其所有3.3億用戶更改口令。

6月

• 基因檢測公司MyHeritage發(fā)布公告，稱超過9200萬個帳戶信息被竊取。公告稱，黑客入侵事件發(fā)生在2017年10月26日。
• 國內(nèi)安全專家發(fā)現(xiàn)一個被盜密碼查詢網(wǎng)站，包含14億的郵箱口令，而且查詢結(jié)果為明文。
• 研究人員發(fā)現(xiàn)數(shù)據(jù)統(tǒng)計公司Exactis包含3.4億個人記錄的數(shù)據(jù)庫，在網(wǎng)上可公開訪問。該2TB大的數(shù)據(jù)庫包含上億美國成年人的個人信息和數(shù)百萬公司信息。
• 谷歌Firebase平臺2,271個數(shù)據(jù)庫可公開訪問，這些數(shù)據(jù)庫中包括了1億多條敏感信息記錄，113GB的數(shù)據(jù)量。

7月

• 包括福特、通用、豐田、特斯拉等100多家公司的157GB含有高度敏感信息的商業(yè)和技術(shù)文檔數(shù)據(jù)可公開訪問。

8月

• 國內(nèi)一家新媒體營銷上市公司，非法劫持運(yùn)營商流量賺取商業(yè)利益的案件被警方破獲。百度、騰訊、阿里、今日頭條等全國96家互聯(lián)網(wǎng)公司用戶數(shù)據(jù)被竊取，數(shù)量高達(dá)30億條。
• 國內(nèi)某集團(tuán)多家酒店1.3億人身份信息、2.4億條開房記錄和1.23億條官網(wǎng)注冊資料在暗網(wǎng)兜售，盜取數(shù)據(jù)的黑客二十天后被警方抓獲。

9月

• 英國航空宣稱被黑客攻擊，38萬乘客的支付卡信息被盜。
• Facebook官方公開承認(rèn)，由于一個令牌訪問漏洞，黑客可接管5000萬用戶的賬戶，約9000萬用戶受到影響，包括扎克伯格本人的賬戶。

10月

• 在美國2018年中期選舉之前，研究人員發(fā)現(xiàn)暗網(wǎng)上出售20個州的選民數(shù)據(jù)，數(shù)量達(dá)到8000萬之多。
• 由于第三方供應(yīng)商遭到黑客攻擊，美國國防部至少3萬名服務(wù)人員或雇員的個人和支付卡信息遭到泄露。
• 香港國泰航空聲稱，包含有940萬乘客的姓名、生日、電話、地址、身份證及護(hù)照號等敏感信息外泄。

11月

• 萬豪國際集團(tuán)公布其酒店數(shù)據(jù)泄露事件，涉及約5億客人的個人信息和開房記錄。
• 安全人員發(fā)現(xiàn)開源搜索引擎Elasticsearch，至少有3個IP由于配置錯誤，可未授權(quán)訪問，約8200萬美國公民的個人信息被暴露。

12月

• 美國在線知識問答平臺Quora官方發(fā)布通知，發(fā)現(xiàn)惡意第三方未經(jīng)授權(quán)訪問，約1億用戶數(shù)據(jù)泄露。
• 谷歌承認(rèn)Google+出現(xiàn)API漏洞，在11月的6天時間里，5250萬用戶的姓名、電子郵箱、職業(yè)和年齡以及其他詳細(xì)信息被訪問。

（注：以上部分泄露事件由白帽匯安全研究院提供）

2018年的信息泄露事件呈現(xiàn)以下特點(diǎn)：

• 信息泄露事件自2013年開始已經(jīng)連續(xù)5年突破歷史記錄，根本原因在于網(wǎng)絡(luò)安全保障的意識、認(rèn)知和能力均落后于信息網(wǎng)絡(luò)技術(shù)及其應(yīng)用的爆發(fā)式增長，兩者之間出現(xiàn)極大裂痕。
• 信息泄露事件常態(tài)化，無分行業(yè)、領(lǐng)域、國家。隨著全球信息化程度的提高，全社會對網(wǎng)絡(luò)和數(shù)字化技術(shù)的依賴，這一情況很有可能還將加劇。
• 信息泄露給企業(yè)、個人帶來的損失越來越大，可大幅度降低企業(yè)估值，令企業(yè)面臨巨額賠償，威脅個人財產(chǎn)和生活穩(wěn)定等。
• 信息泄露的途徑主要分為內(nèi)部人員或第三方合作伙伴泄露，信息系統(tǒng)無法杜絕漏洞，機(jī)構(gòu)本身的防護(hù)機(jī)制不健全，對數(shù)據(jù)的重要程度不敏感，以及對安全配置的疏忽大意等問題。

相關(guān)參考

數(shù)據(jù)泄露到底會讓企業(yè)損失多少 5000萬條3.5億美元安全事件有多影響收購？萬豪集團(tuán)136億美元收購喜達(dá)屋雅虎數(shù)據(jù)泄露案最新進(jìn)展：5000萬美元賠償 2億人兩年免費(fèi)信用監(jiān)控服務(wù)

2. 網(wǎng)絡(luò)攻擊對現(xiàn)實世界產(chǎn)生重大影響

從數(shù)字貨幣到勒索軟件，從網(wǎng)絡(luò)欺詐到輿論控制，從商業(yè)競爭到國家安全，隨著數(shù)字化世界的到來，網(wǎng)絡(luò)攻擊對政治、經(jīng)濟(jì)、軍事、國家、社會安全，甚至是人身安全的影響越來越大。據(jù)網(wǎng)絡(luò)風(fēng)險公司RiskIQ的統(tǒng)計，2017年度全球網(wǎng)絡(luò)犯罪造成6000億美元的損失，意味著每一分鐘的損失約為114萬美元。

2018年影響較大的網(wǎng)絡(luò)攻擊事件

1月

• 東京交易所Coincheck價值5.3億美元的加密貨幣NEM被黑客竊取，并嘗試轉(zhuǎn)移到其它交易所。

2月

• 韓國平昌冬奧會開幕式期間，服務(wù)器遭到身份不明的黑客入侵，導(dǎo)致主媒體中心的IPTV（交互式網(wǎng)絡(luò)電視）發(fā)生故障。奧組委關(guān)閉了內(nèi)部網(wǎng)絡(luò)服務(wù)器，導(dǎo)致官網(wǎng)徹底關(guān)閉，無法打印開幕式門票。
• 英國斯旺西大學(xué)計算機(jī)教授聲稱，英國國家醫(yī)療服務(wù)系統(tǒng)(NHS)，每年因信息系統(tǒng)故障和漏洞導(dǎo)致的死亡事件，約在100到900例之間。
• 美國科羅拉多州交通部遭遇勒索軟件兩次攻擊，致使該機(jī)構(gòu)運(yùn)轉(zhuǎn)停滯數(shù)周，工資系統(tǒng)和供應(yīng)商合約也受到了攻擊的影響，員工被迫用紙筆處理事務(wù)。

3月

• 代碼共享平臺GitHub遭遇反射放大(Memcached)拒絕服務(wù)攻擊，峰值創(chuàng)記錄的達(dá)到1.35Tbps。之后不到一周，Arbor網(wǎng)絡(luò)又聲稱美國一家服務(wù)提供商遭到了峰值1.7Tbps的Memcached攻擊。
• 特朗普政府首次公開將NotPetya勒索軟件，以及對美國電力、核能、商業(yè)、航空、制造業(yè)等基礎(chǔ)設(shè)施的攻擊，歸咎于俄羅斯政府。
• 美國司法部起訴9名伊朗黑客，對22個國家的大學(xué)、私營公司和政府機(jī)構(gòu)進(jìn)行大規(guī)模網(wǎng)絡(luò)攻擊，竊取研究信息，其中被入侵的320所大學(xué)遭受了大約34億美元的損失。
• 美國亞特蘭大市政府受到勒索軟件攻擊，其所用424個軟件程序中的1/3以上停止了服務(wù)或部分功能被禁用，影響核心城市服務(wù)，包括警署和法庭。在一份官員提交的預(yù)算簡報中透露，該攻擊可能是美國城市遭受的最嚴(yán)重網(wǎng)絡(luò)攻擊，這份預(yù)算提案包含了950萬美元的服務(wù)恢復(fù)費(fèi)用支出。
• 美國巴爾的摩市遭遇勒索軟件攻擊，導(dǎo)致911緊急調(diào)度服務(wù)的計算機(jī)輔助調(diào)度(CAD)功能掉線。CAD系統(tǒng)是911派遣第一反應(yīng)人員的工具，如果沒有CAD系統(tǒng)，警察、消防員和救護(hù)車就不能第一時間派往事發(fā)地進(jìn)行救助。掉線期間911操作人員仍能手動調(diào)度響應(yīng)人員，效率大幅降低。
• 區(qū)塊鏈資產(chǎn)交易平臺幣安數(shù)十個用戶賬戶被黑客控制，并通過買入賣出操縱幣價，專業(yè)人士估計黑客可能從中獲利7億元。

5月

• 一款名為VPNFilter的惡意軟件感染了Linksys，MikroTik，Netgear和TP-Link等廠商的路由器，影響范圍覆蓋全球54個國家，超過50萬臺路由器和網(wǎng)絡(luò)設(shè)備。

6月

• 三一重工近泵車失蹤案宣判。犯罪分子通過源代碼找到遠(yuǎn)程監(jiān)控系統(tǒng)的漏洞，得以解鎖設(shè)備，間接造成企業(yè)約10億元的經(jīng)濟(jì)損失。
• 韓國最大虛擬貨幣交易平臺Bithumb遭黑客入侵，價值約350億韓元（3000萬美元）的數(shù)字貨幣被盜。

7月

• 美國參議員馬可·盧比奧宣稱，人工智能視頻處理工具“Deep Fakes”是對國家安全的威脅，并將其與導(dǎo)彈、核武器相比。
• 美國阿拉斯加Mat-Su自治市遭遇勒索病毒，致使該市的網(wǎng)絡(luò)電話和電子郵件全面癱瘓，工作人員只能使用原始的紙筆辦公。
• 美國司法部副部長宣布，以陰謀干涉2016年美國大選的罪名起訴12名俄羅斯軍官。
• 360披露從2011年開始持續(xù)至今，高級攻擊組織藍(lán)寶菇（APT-C-12）對我國政府、軍工、科研、金融等重點(diǎn)單位和部門進(jìn)行了持續(xù)的網(wǎng)絡(luò)間諜活動。該組織主要關(guān)注核工業(yè)和科研等相關(guān)信息，被攻擊目標(biāo)主要集中在中國大陸境內(nèi)。
• FBI公共服務(wù)通告部發(fā)布統(tǒng)計報告，從2013年10月至2018年5月，全球披露的郵件欺詐事件造成的損失已達(dá)120.5億美元。
• 一伙網(wǎng)絡(luò)犯罪通過劫持40名受害者的手機(jī)SIM卡，共竊取了總額超過500萬美元的加密貨幣。
• 幣圈傳出消息，區(qū)塊鏈資產(chǎn)交易平臺幣安再次遭遇用戶API被控，轉(zhuǎn)走7000多枚比特幣拉升小幣種再拋出，推論黑客可因此獲得8000萬元。

8月

• 臺灣積體電路制造三大廠區(qū)出現(xiàn)電腦大規(guī)模勒索病毒事件，約造成17.6 億元的營收損失，股票市值下跌78億。
• 安全公司Securonix披露，朝鮮黑客組織Lazarus通過侵入SWIFT/ATM系統(tǒng)，三天內(nèi)從印度最大的銀行Cosmos盜走9.4億盧比（約1.35億美元）。
• Email安全公司Valimail發(fā)布的報告顯示，全球虛假電子郵件的日發(fā)送量已高達(dá)64億封。
• 首次于2017年出現(xiàn)的Globelmposter勒索病毒在國內(nèi)再次爆發(fā)，包括多家企業(yè)、大學(xué)及政府機(jī)構(gòu)受害，山東10個市的不動產(chǎn)業(yè)務(wù)登記暫停受理。

9月

• 美國政府正式指控朝鮮政府，稱其是索尼影業(yè)黑客事件、WannaCry勒索軟件和孟加拉銀行等一系列網(wǎng)絡(luò)銀行劫案背后主使。
• 日本數(shù)字貨幣交易所Zaif發(fā)布聲明，被黑客盜走三種數(shù)字貨幣，分別為比特幣、比特幣現(xiàn)金和MonaCoin，總價值約合5967萬美元。

10月

• 網(wǎng)絡(luò)安全公司Group-IB的研究報告披露，朝鮮黑客組織Lazarus從2017年開始，已經(jīng)盜取了價值5.7億美元的加密貨幣。
• 彭博社報道稱，中國特工在亞馬遜、蘋果、美國政府和其他潛在目標(biāo)使用的超微(Super Micro)服務(wù)器中成功植入間諜芯片，令中國政府可窺探高度敏感數(shù)據(jù)。

11月

• 安全公司Cylance宣稱，國家支持的黑客組織“白色軍團(tuán)”對巴基斯坦軍隊網(wǎng)絡(luò)執(zhí)行了名為“Operation Shaheen”的長期針對性攻擊。

12月

• 歐洲國際刑警宣布，在3個月的聯(lián)合行動中，來自30個國家的執(zhí)法機(jī)構(gòu)共抓捕了168個“錢騾”。超過300家銀行、20個銀行協(xié)會、以及其他機(jī)構(gòu)總共報告了26,376起欺詐性錢騾交易，防止了4100萬美元的損失。
• 美國司法部指控兩名中國公民竊取全球12個國家數(shù)十家公司的商業(yè)機(jī)密和知識產(chǎn)權(quán)，攻擊目標(biāo)還包括美國海軍和國家航空航天局(NASA)在內(nèi)的多家美國政府機(jī)構(gòu)。
• 安全廠商 Upstream Security 發(fā)布的《全球汽車行業(yè)網(wǎng)絡(luò)安全報告》預(yù)計，到2023年由于網(wǎng)絡(luò)黑客攻擊可導(dǎo)致汽車制造商損失240億美元。

2018年的網(wǎng)絡(luò)攻擊呈現(xiàn)以下特點(diǎn)：

• 針對加密貨幣的黑客攻擊無論是攻擊數(shù)量還是在造成的損失上，均呈爆發(fā)態(tài)勢。依據(jù)有關(guān)統(tǒng)計，僅今年上半年，損失已超過17.3億美元。其主要原因為加密貨幣的火爆帶來的巨大商業(yè)利益。
• 勒索軟件持續(xù)產(chǎn)生嚴(yán)重危害，發(fā)生多起影響企業(yè)生產(chǎn)、政府辦公、城市運(yùn)轉(zhuǎn)的實際事故，反映出安全意識的普遍薄弱和基本防護(hù)手段的缺失，預(yù)示著網(wǎng)絡(luò)安全對現(xiàn)實生活帶來的重大隱患。
• 電子郵件欺詐帶來的損失史無前例。據(jù)FBI統(tǒng)計，2013至2016年5月，商業(yè)欺詐郵件造成53億美元的損失，但這一數(shù)字在2018年5月上升到了120億美元。
• 國家之間的網(wǎng)絡(luò)對抗呈明顯化趨勢。美國政府已實施嚴(yán)格的商業(yè)禁令，并公開指責(zé)、訴訟他國黑客的攻擊行為。如果說，前兩年國家支持的黑客行動還屬于冷戰(zhàn)時期，今年則進(jìn)入了小規(guī)模沖突時期，全面網(wǎng)絡(luò)戰(zhàn)的陰影迫近。

二、漏洞事件篇

# 國家信息安全漏洞庫(CNNVD)：

CNNVD公布的漏洞數(shù)量為14,866個，2017年全年的漏洞總數(shù)為12,433個，年增長率約為19.6%。

# 美國國家漏洞庫(NVD)：

NVD公布的漏洞數(shù)量為18,041個，2017年全年的漏洞總數(shù)為18,114個，年增長率約為0.4%。

# 公共漏洞披露平臺(CVE)：

CVEdetails公布的漏洞數(shù)量為16,492個，2017年全年的漏洞總數(shù)為14,714個，年增長率約為12.08%。

（注：以上2018年的漏洞數(shù)量均為截止到12月29日的統(tǒng)計數(shù)字）

2018影響較大和較為特殊的漏洞事件

1月

• 谷歌“Project Zero”團(tuán)隊和多國研究人員共同發(fā)布的漏洞披露報告稱，英特爾的x86 64位處理器有一個“根本性的設(shè)計缺陷”，設(shè)計瑕疵存在已久，近10年來搭載英特爾處理器的Windows、Mac 與Linux 電腦均可能受到影響。
• 西部數(shù)據(jù)旗下MyCloud系列網(wǎng)絡(luò)存儲設(shè)備多個漏洞細(xì)節(jié)被曝，包括固件中的管理員權(quán)限的后門賬號。研究人員早在2017年6月就將其發(fā)現(xiàn)提交給了西數(shù)公司，在一直沒有得到修復(fù)的情況下，公開漏洞細(xì)節(jié)。

3月

• 以色列硬件安全公司CTS Labs發(fā)布白皮書，指出AMD Zen CPU架構(gòu)存在四類多達(dá)12個以上的安全漏洞。這些漏洞有可能讓攻擊者繞過防止篡改計算機(jī)操作系統(tǒng)的安全防范措施，并且植入無法檢測或刪除的惡意軟件。值得注意的是，CTS Labs只給了AMD 24小時的時間，就公布了漏洞細(xì)節(jié)。

4月

• 美國食品與藥物管理局在全球范圍內(nèi)督促，使用了 Abbot Laboratories 心臟植入設(shè)備的患者，盡快前往附近的醫(yī)療中心進(jìn)行固件升級。一個固件漏洞允許攻擊者向患者的設(shè)備發(fā)送遠(yuǎn)程指令，造成潛在的電量加速流失隱患。
• 思科IOS/IOS XE 中的智能安裝客戶端（Smart Install Client）代碼中被發(fā)現(xiàn)堆棧緩沖區(qū)溢出漏洞（CVE-2018-0171），通過此漏洞無需身份驗證即可遠(yuǎn)程執(zhí)行任意代碼，實現(xiàn)對該設(shè)備的完全控制。

5月

• 阿姆斯特丹自由大學(xué)研究人員發(fā)現(xiàn)同時改變RAM內(nèi)存中的3個比特，就不會觸發(fā)阻止Rowhammer式攻擊的ECC校正機(jī)制。于是攻擊者可進(jìn)行篡改數(shù)據(jù)，注入惡意代碼和命令，更改訪問權(quán)限等操作，以竊取密碼、密鑰和其他秘密信息。
• 360通告，發(fā)現(xiàn)區(qū)塊鏈平臺EOS的一系列高危安全漏洞，可通過遠(yuǎn)程攻擊，直接控制和接管EOS上運(yùn)行的所有節(jié)點(diǎn)。

7月

• 加州大學(xué)研究人員發(fā)現(xiàn)，用前視紅外(FLIR)熱成像攝像頭掃描計算機(jī)鍵盤，在口令首字符被敲下的30秒之內(nèi)便可以恢復(fù)出用戶敲擊的口令。
• 來自以色列理工學(xué)院的研究人員發(fā)現(xiàn)一個高危藍(lán)牙漏洞（CVE-2018-5383），可進(jìn)行攔截、監(jiān)控或篡改設(shè)備的網(wǎng)絡(luò)數(shù)據(jù)。漏洞影響蘋果、博通、英特爾、高通等多家硬件供應(yīng)商的相關(guān)產(chǎn)品。
• 物聯(lián)網(wǎng)安全公司Armis發(fā)布的研究報告顯示，包括網(wǎng)絡(luò)電話、打印機(jī)、交換機(jī)、路由器等近5億臺企業(yè)設(shè)備，面臨DNS重綁定的攻擊風(fēng)險。

8月

• 安全研究人員發(fā)現(xiàn)了影響英特爾處理器的“Foreshadow”漏洞，攻擊者能夠繞過英特爾內(nèi)置的芯片安全特性，獲得存儲在“安全封鎖區(qū)域”的敏感數(shù)據(jù)。
• 研究人員發(fā)現(xiàn)某醫(yī)療科技公司的心臟起搏器與胰島素泵存在安全漏洞。利用漏洞可以控制發(fā)送到心臟的電脈沖，可能導(dǎo)致患者受傷甚至死亡。

9月

• 趨勢科技發(fā)布的調(diào)查報告顯示，數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）系統(tǒng)2018年上半年的漏洞幾近于2017年上半年的兩倍。

10月

• 安全研究機(jī)構(gòu)Ponemon發(fā)布的《2018年端點(diǎn)安全風(fēng)險狀態(tài)報告》顯示，針對端點(diǎn)的攻擊手段，無文件攻擊將占到35%，主要包括利用的宏、腳本引擎、內(nèi)存、命令執(zhí)行等系統(tǒng)內(nèi)置功能。
• 加州大學(xué)研究人員公布了3個邊信道漏洞利用，這些漏洞利用可從GPU抽取敏感數(shù)據(jù)，而且相比CPU邊信道攻擊，操作更為簡單。個人用戶和高性能計算系統(tǒng)均面臨潛在風(fēng)險。

11月

• 物聯(lián)網(wǎng)安全公司Armis發(fā)現(xiàn)德州儀器制造的低功耗藍(lán)牙(BLE)芯片存在漏洞，全球數(shù)百萬思科和惠普生產(chǎn)的聯(lián)網(wǎng)接入設(shè)備面臨遠(yuǎn)程攻擊風(fēng)險。
• 俄羅斯安全研究人員公開披露了Oracle虛擬機(jī)中的一個零日漏洞(VirtualBox E1000 Guest-to-Host Escape)。攻擊者可以利用該漏洞逃逸出客戶計算機(jī)虛擬環(huán)境。
• 芬蘭兩所大學(xué)的研究人員發(fā)現(xiàn)名為“PortSmash”(CVE-2018-5407)的漏洞。攻擊者可以從計算機(jī)的內(nèi)存或處理器中提取敏感數(shù)據(jù)，如加密密鑰。該漏洞影響所有依賴同步多線程(SMT)架構(gòu)的CPU，包括Intel的超線程(HT)架構(gòu)。
• 手機(jī)App安全公司Privacy4Cars披露了名為CarsBlues的汽車藍(lán)牙漏洞。黑客可通過藍(lán)牙獲得車主手機(jī)信息并進(jìn)入車載娛樂系統(tǒng)獲得權(quán)限，推測全球數(shù)千萬輛汽車可能受到影響。
• 荷蘭拉德堡德大學(xué)研究人員發(fā)現(xiàn)，固態(tài)硬盤流行加密軟件Bitlocker存在重大漏洞。通過調(diào)試端口對其重編程，就可以重設(shè)任意口令，解密數(shù)據(jù)。
• 國內(nèi)首個專注于重大漏洞的黑客破解比賽，“天府杯”PWN舉行。參賽選手成功利用30個漏洞，攻破了Microsoft Edge/Chrome/Safari/macOS/VMware/Oracle VB/Adobe Reader/Microsoft Office等主流操作系統(tǒng)、瀏覽器和應(yīng)用軟件，以及包括iPhone X和3款國內(nèi)流行智能手機(jī)，獎金總額達(dá)102.4萬美元。
• 軟件風(fēng)險評估與管理公司Checkmarx的研究人員發(fā)現(xiàn)，可通過手機(jī)應(yīng)用嗅探設(shè)備間通信，控制智能燈泡的燈光顏色來滲漏數(shù)據(jù)。

12月

• 安全公司 Check Point 使用流行的Windows模糊測試框架進(jìn)行漏洞測試，僅50天的時間里，就在 Adobe Reader 中找出53個CVE漏洞。
• 美國國防部監(jiān)察長報告稱，美國彈道導(dǎo)彈防御系統(tǒng)(BMDS)的網(wǎng)絡(luò)安全操作存在“系統(tǒng)性漏洞”，網(wǎng)絡(luò)安全操作存在嚴(yán)重缺陷。包括不鎖服務(wù)器機(jī)架、缺乏加密、沒有持續(xù)身份驗證、打補(bǔ)丁、數(shù)據(jù)監(jiān)控保護(hù)等……
• 2018年漏洞相關(guān)事件的特點(diǎn)：
• 與2017年的漏洞數(shù)量激升相比，2018年的漏洞通告數(shù)量增速放緩。這一現(xiàn)象的主要原因，可能在于漏洞報告較以往更為分散化，大量漏洞并未得到官方收錄。此外，還與各個國家對漏洞披露政策的保守化有關(guān)，漏洞已成為重要的競爭資源。
• 底層硬件漏洞、邊信道和無文件等攻擊手法越來越受到關(guān)注，針對芯片、內(nèi)存、硬盤、協(xié)議級別的攻擊方法相繼出現(xiàn)，同時，借用系統(tǒng)內(nèi)置功能的無文件攻擊開始普及。
• 攝像頭、路由器、汽車、音箱、無人機(jī)等智能聯(lián)網(wǎng)設(shè)備，以及工業(yè)聯(lián)網(wǎng)系統(tǒng)的漏洞明顯增多。主要原因在于智能設(shè)備的爆發(fā)和全球智能制造的浪潮，制造商普遍對安全的忽視，和嵌入式系統(tǒng)難以更新。
• 業(yè)界對漏洞的重視已成常態(tài)。從國家監(jiān)管到互聯(lián)網(wǎng)企業(yè)，再到軟件廠商、科技公司，均加強(qiáng)了對漏洞的監(jiān)管、發(fā)現(xiàn)、通告和修補(bǔ)。漏洞相關(guān)的政策、標(biāo)準(zhǔn)和技術(shù)，逐漸走向規(guī)范化，體系化。

相關(guān)參考

政府應(yīng)該不應(yīng)該囤積零日漏洞？

不管是CVE還是NVD 好多漏洞都被忽略

調(diào)查：新漏洞的出現(xiàn)速度比安全團(tuán)隊的修復(fù)速度更快

三、行業(yè)市場篇

1. 會議活動數(shù)量連續(xù)三年激增

2018年國內(nèi)網(wǎng)絡(luò)安全相關(guān)會議活動繼續(xù)呈爆發(fā)態(tài)勢，因篇幅原因無法全部列出，現(xiàn)將規(guī)模與影響力較大的活動分為十大安全會議、十大安全競賽，十大信息安全產(chǎn)業(yè)基地及產(chǎn)業(yè)園，以及安全領(lǐng)域較為活躍的十大城市和省份五類分別列出。

十大安全會議

十大安全競賽

十大信息安全產(chǎn)業(yè)基地及產(chǎn)業(yè)園

十大網(wǎng)絡(luò)安全城市

十大網(wǎng)絡(luò)安全省份

（注：城市與省份的比例來源于安全牛用戶關(guān)注數(shù)）

• 2018年會議活動數(shù)量和規(guī)模空間。國家與地方政府、事業(yè)單位、協(xié)會組織、國企民企、行業(yè)媒體，紛紛舉辦相關(guān)會議和活動。網(wǎng)絡(luò)安全受到了前所未有的關(guān)注。
• 網(wǎng)絡(luò)安全競賽的形式與數(shù)量不斷放大，網(wǎng)絡(luò)攻防開始從幕后走向前臺。賽制與賽題也越來越向?qū)崙?zhàn)演練和解決實際問題的方向靠攏，意味著從注重形式逐漸走向?qū)嶋H成效。
• 全國各省市加強(qiáng)對網(wǎng)絡(luò)安全工作的重視和投入，接近二十個省會與經(jīng)濟(jì)發(fā)達(dá)城市開始建立信息安全產(chǎn)業(yè)基地或產(chǎn)業(yè)園，至少五十余座城市舉辦網(wǎng)絡(luò)安全活動。
• 地方政府開始在整個網(wǎng)絡(luò)安全產(chǎn)業(yè)中扮演越來越重要的角色，結(jié)合中央各部委及監(jiān)管機(jī)構(gòu)，通過各種優(yōu)惠政策吸引網(wǎng)絡(luò)安全產(chǎn)業(yè)各個層面的機(jī)構(gòu)、企業(yè)和人才的匯集。

2. 國內(nèi)融資規(guī)模有望登頂

今年國外資本市場融資并購事件與去年基本持平，由于缺少幾十億乃至百億美元的大型收購事件，規(guī)模有所下降。國內(nèi)的融資規(guī)模則再次突破歷史記錄，且有大幅度增長。

2018年國外億級美元以上的融資并購

2018年國內(nèi)安全公司融資并購概況

• 2018年國際網(wǎng)絡(luò)安全資本市場與需求市場保持平穩(wěn)增長，融資并購規(guī)模約為150億美元，數(shù)據(jù)安全、端點(diǎn)安全、云安全、大數(shù)據(jù)安全分析、工控安全、物聯(lián)網(wǎng)安全繼續(xù)成為熱點(diǎn)。對于安全創(chuàng)業(yè)公司來說，并購是趨勢，上市是小眾。
• 2018年國內(nèi)融資額高達(dá)60億元人民幣，與去年相比增長率約為71%。考慮到下半年國內(nèi)外的政治與經(jīng)濟(jì)形勢，今年國內(nèi)一級市場的融資規(guī)模可能在未來幾年都將是一個高點(diǎn)。
• 國內(nèi)的安全細(xì)分領(lǐng)域開始多樣化，在線業(yè)務(wù)安全、云安全、數(shù)據(jù)庫安全、身份安全、移動安全、威脅情報、智能SOC、用戶行為分析等新興安全技術(shù)開始落地。但較為前沿的物聯(lián)網(wǎng)安全、車聯(lián)網(wǎng)安全、工業(yè)互聯(lián)網(wǎng)安全，以及SaaS模式的規(guī)模化土壤還有待形成。
• 新興安全概念在國內(nèi)的落地，往往需要整合進(jìn)傳統(tǒng)的安全解決方案，而不是單獨(dú)購買，這也是創(chuàng)新企業(yè)很容易遇到的業(yè)務(wù)成長瓶頸之一。對于資本方來說，普遍開始意識到安全領(lǐng)域投資是個長期過程，而技術(shù)復(fù)雜性是網(wǎng)絡(luò)投資的關(guān)鍵驅(qū)動力。

四、政策法規(guī)篇

漏洞披露、個人隱私、數(shù)據(jù)安全、關(guān)鍵基礎(chǔ)設(shè)施保護(hù)、經(jīng)濟(jì)博弈、網(wǎng)絡(luò)犯罪、國家安全，是制定政策法規(guī)的關(guān)鍵詞和重要背景。網(wǎng)絡(luò)安全已經(jīng)得到全球各國政府的實際重視，并成為支撐自身發(fā)展，與他國進(jìn)行政治、軍事、經(jīng)濟(jì)博弈的關(guān)鍵因素之一。

1. 國際政策法規(guī)動向

1月

• 美國眾議院通過《網(wǎng)絡(luò)漏洞公開報告法案》(H.R.3202)。法案要求國土安全局向國會提交關(guān)于政府如何處理公開漏洞的相關(guān)報告。報告內(nèi)容分為兩個部分：為協(xié)調(diào)網(wǎng)絡(luò)漏洞公開而制定的政策和程序描述；可能為機(jī)密屬性的“附件”，包括一些特定實例的描述。
• 美國參議院投票通過“外國情報監(jiān)控法修正案”，重新授權(quán)美國國家安全局根據(jù)《外國情報監(jiān)視法案》第702條對美國以外公民的通信進(jìn)行監(jiān)聽，并將該項授權(quán)延長六年。法案待美國總統(tǒng)特朗普簽署后，將正式成為法律。

2月

• 澳大利亞《數(shù)據(jù)泄露通報法案》正式實施。該法案是對澳大利亞隱私法案1988PartIIIC的修正案，建立強(qiáng)制性的數(shù)據(jù)泄露通報制度，并要求義務(wù)人向受數(shù)據(jù)泄漏影響的個人提供避免或減輕數(shù)據(jù)泄露造成的危害的建議。
• 新加坡國會通過《網(wǎng)絡(luò)安全法案》。這項法案旨在加強(qiáng)保護(hù)提供基本服務(wù)的計算機(jī)系統(tǒng)，防范網(wǎng)絡(luò)攻擊。該法案提出針對關(guān)鍵信息基礎(chǔ)設(shè)施（CII）的監(jiān)管框架，并明確了 CII 所有者確保網(wǎng)絡(luò)安全的職責(zé)。

3月

• 英國政府發(fā)布一項新的“網(wǎng)絡(luò)安全出口”戰(zhàn)略。這項新的戰(zhàn)略將幫助英國的網(wǎng)絡(luò)安全企業(yè)進(jìn)入國際新市場并持續(xù)發(fā)展。
• 美國網(wǎng)絡(luò)司令部公開其指揮戰(zhàn)略愿景文件《獲取并維持網(wǎng)絡(luò)空間優(yōu)勢》。該愿景是新形勢下網(wǎng)絡(luò)司令部的作戰(zhàn)宣言和行動指南，主要思想依舊延續(xù)該部門一貫做法，渲染網(wǎng)絡(luò)空間安全威脅，針對性提出網(wǎng)絡(luò)行動的目標(biāo)、原則、任務(wù)和方法等，為各軍種網(wǎng)絡(luò)戰(zhàn)部隊統(tǒng)一思想和統(tǒng)一行動奠定基礎(chǔ)。

4月

• 美國商務(wù)部宣布，禁止美國企業(yè)向中興通訊出售任何電子技術(shù)或通訊元件，這一禁令為期長達(dá)7年，直到2025年3月13日。
• 美國聯(lián)邦通訊委員會決議，禁止美國運(yùn)營商使用聯(lián)邦補(bǔ)貼購買可能威脅美國國家安全的設(shè)備廠商產(chǎn)品。其中，華為和中興均包括在內(nèi)。

5月

• 歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)生效，違反GDPR的組織將被處罰高達(dá)全球年營業(yè)額的4％或2000萬歐元，兩者以較高為準(zhǔn)。
• 美國國土安全部發(fā)布《網(wǎng)絡(luò)安全戰(zhàn)略》。遭受網(wǎng)絡(luò)攻擊。該戰(zhàn)略描繪了國土安全部未來五年在網(wǎng)絡(luò)空間的路線圖，指導(dǎo)該機(jī)構(gòu)未來五年履行網(wǎng)絡(luò)安全職責(zé)的方向。此外，還須推出一套正規(guī)方法以衡量及掌握機(jī)構(gòu)在信息安全政策、實踐和必要控制措施方面的采用情況。
• 美國能源部發(fā)布《能源行業(yè)網(wǎng)絡(luò)安全多年計劃》，確定了美國能源部未來五年力圖實現(xiàn)的目標(biāo)和計劃，以及實現(xiàn)這些目標(biāo)和計劃將采取的相應(yīng)舉措，以降低網(wǎng)絡(luò)事件給美國能源帶來的風(fēng)險。

6月

• 加拿大發(fā)布新版國家網(wǎng)絡(luò)安全戰(zhàn)略。該戰(zhàn)略作為加拿大在網(wǎng)絡(luò)安全方面的路線圖，旨在實現(xiàn)加拿大人的目標(biāo)和優(yōu)先事項。新版國家網(wǎng)絡(luò)安全戰(zhàn)略內(nèi)容有三項：建立加拿大網(wǎng)絡(luò)安全中心；設(shè)立國家網(wǎng)絡(luò)犯罪協(xié)調(diào)部門；開展自愿網(wǎng)絡(luò)認(rèn)證計劃。
• 英國政府與NCSC(國家網(wǎng)絡(luò)安全中心)合作，推出了一套新的安全標(biāo)準(zhǔn)，“最低安全標(biāo)準(zhǔn)”。要求所有政府部門，包括公司企業(yè)、政府機(jī)構(gòu)、非政府公共機(jī)構(gòu)和承包商，必須遵守。該標(biāo)準(zhǔn)細(xì)分為5個部分共10節(jié)：身份、保護(hù)、檢測、響應(yīng)和恢復(fù)。
• 美國眾議院外交事務(wù)委員會通過“2018網(wǎng)絡(luò)威懾與響應(yīng)法案”(H. R. 5576)，要求美國總統(tǒng)確認(rèn)高級持續(xù)威脅（APT）組織名單，并在《聯(lián)邦公報》中公布并定期更新。該法案還要求美國政府制裁對美國發(fā)動國家支持型網(wǎng)絡(luò)攻擊的參與者。
• 美國聯(lián)邦通信委員會廢除網(wǎng)絡(luò)中立性法規(guī)的決定開始實施。網(wǎng)絡(luò)中立性法規(guī)由奧巴馬政府于2015年制定，旨在保證全體網(wǎng)民擁有平等地訪問互聯(lián)網(wǎng)的權(quán)利。一旦網(wǎng)絡(luò)中立性法規(guī)被廢除，互聯(lián)網(wǎng)服務(wù)提供商們將開始捆綁銷售網(wǎng)絡(luò)服務(wù)。
• 立陶宛、克羅地亞、愛沙尼亞、荷蘭、羅馬尼亞、西班牙歐盟六國簽署《意向聲明》表示將按照“永久結(jié)構(gòu)化合作”防務(wù)機(jī)制成立“網(wǎng)絡(luò)快速響應(yīng)小組”，應(yīng)對網(wǎng)絡(luò)攻擊。

7月

• 美國國土安全部成立國家風(fēng)險管理中心，以促進(jìn)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)威脅的跨部門信息共享與協(xié)作響應(yīng)。該中心為美國政府主導(dǎo)的新型聯(lián)合防御戰(zhàn)略的基礎(chǔ)，旨在更有效地響應(yīng)美國利益在網(wǎng)絡(luò)空間遭遇到的威脅。

8月

• 美國總統(tǒng)特朗普簽署《NIST小企業(yè)網(wǎng)絡(luò)安全法》（S. 770）。該法案要求NIST簡明扼要地傳播網(wǎng)絡(luò)安全資源，幫助擔(dān)心其網(wǎng)絡(luò)安全風(fēng)險的小企業(yè)。該法案非強(qiáng)制性，小型企業(yè)可自愿采用這些資源。
• 美國國防部“Hack海軍陸戰(zhàn)隊”活動完成。至此，美國國防部已經(jīng)完成“Hack五角大樓”、“Hack陸軍”、“Hack空軍”和“Hack國防旅行系統(tǒng)”等漏洞獎勵項目。
• 美國聯(lián)邦貿(mào)易委員會和司法部，未來的機(jī)構(gòu)組織必須采用某種形式的漏洞披露計劃(VDP)，供善意的安全研究人員匯報安全漏洞情況。

9月

• 美國眾議院通過一項兩黨法案《2018網(wǎng)絡(luò)威懾與響應(yīng)法案》，旨在阻止和制裁未來國家支持的針對美國的網(wǎng)絡(luò)攻擊，以保護(hù)美國的政治、經(jīng)濟(jì)和關(guān)鍵基礎(chǔ)設(shè)施免受侵害。
• 美國國防部公布《2018國防部網(wǎng)絡(luò)戰(zhàn)略》，要求將網(wǎng)絡(luò)活動的重點(diǎn)放在應(yīng)對中國和俄羅斯強(qiáng)敵方面，運(yùn)用網(wǎng)絡(luò)能力，收集情報并為未來沖突做好準(zhǔn)備，并提出了解決網(wǎng)絡(luò)威脅，以及實施《國家安全戰(zhàn)略》和《國防戰(zhàn)略》所規(guī)定優(yōu)先事項的愿景。
• 國際電信聯(lián)盟發(fā)布“國家網(wǎng)絡(luò)安全戰(zhàn)略指南”。該指南旨在幫助政策制定者根據(jù)國家的情況、文化和社會價值制定網(wǎng)絡(luò)安全戰(zhàn)略，建立安全、有彈性、信息通信技術(shù)發(fā)達(dá)的互聯(lián)互通社會。
• 美國總統(tǒng)特朗普發(fā)布《國家網(wǎng)絡(luò)戰(zhàn)略》，這是其上任后的首份國家網(wǎng)絡(luò)戰(zhàn)略，概述了美國網(wǎng)絡(luò)安全的四項支柱，十項目標(biāo)與42項優(yōu)先行動。國家網(wǎng)絡(luò)戰(zhàn)略的四項指導(dǎo)支柱是：1.保護(hù)美國人民、國土及美國人的生活方式；2.促進(jìn)美國的繁榮，主要目標(biāo)是維護(hù)美國在科技生態(tài)系統(tǒng)和網(wǎng)絡(luò)空間發(fā)展中的影響力；3.以實力求和平，主要目標(biāo)是識別、反擊、破壞、降級和制止網(wǎng)絡(luò)空間中破壞穩(wěn)定和違背國家利益的行為，同時保持美國在網(wǎng)絡(luò)空間中的優(yōu)勢；4. 擴(kuò)大美國影響力，主要目標(biāo)是保持互聯(lián)網(wǎng)的長期開放性、互操作性、安全性和可靠性。

10月

• 由于看重與白帽子合作帶來的價值，美國國防部宣布擴(kuò)大其漏洞獎勵項目，將合約授予3家漏洞測試服務(wù)商：HackerOne、Synack和Bugcrowd。
• Facebook因“劍橋分析”造成的數(shù)據(jù)泄露事件被英國處以50萬英鎊的罰款。同時在澳大利亞遭到起訴，罰款預(yù)計在3億到30億澳元之間。
• 歐洲議會投票通過《非個人數(shù)據(jù)自由流動條例》。該條例將在今年年底生效，旨在歐洲單一市場之內(nèi)，消除非個人數(shù)據(jù)在儲存和處理方面的地域限制。新條例將取消歐盟境內(nèi)數(shù)據(jù)自由流動壁壘，推動歐洲經(jīng)濟(jì)增長，確保數(shù)據(jù)跨境自由流動；確保監(jiān)管控制的數(shù)據(jù)可用性；鼓勵制定云服務(wù)行為準(zhǔn)則。

11月

• 加拿大新的數(shù)據(jù)泄露法《個人信息保護(hù)和電子文件法》正式生效，其要求加拿大公司如發(fā)生信息泄露事件時必須盡快通知受影響用戶，否則將面臨處罰。每次違規(guī)的罰款數(shù)額最高可達(dá)10萬加元。
• 由英國政府通信總部國家網(wǎng)絡(luò)安全中心參與指導(dǎo)的，英國金融系統(tǒng)網(wǎng)絡(luò)攻擊演習(xí)舉行，以測試金融系統(tǒng)在攻擊面前的彈性。英國40家金融機(jī)構(gòu)，和英國財政部、英國金融市場行為監(jiān)管局參加演習(xí)。
• 英國間諜機(jī)構(gòu)政府通信總部(GCHQ)及其信息安全部門NCSC發(fā)布了安全漏洞披露策略。其“漏洞公平裁決過程”由三層決策系統(tǒng)組成，包括安全專家、情報機(jī)構(gòu)成員、政府機(jī)構(gòu)代表和由NCSC主導(dǎo)的公平監(jiān)管委員會。
• 美國司法部長和國家情報總監(jiān)聯(lián)合領(lǐng)導(dǎo)下的國家內(nèi)部威脅特別工作組(NITTF)，發(fā)布了一份新的《內(nèi)部人員威脅項目成熟度框架》。其目的是幫助行政部門及機(jī)構(gòu)ITP超越《最低標(biāo)準(zhǔn)》，變得更主動、更全面、更能威懾、檢測和緩解內(nèi)部人員威脅風(fēng)險。
• 美國國會一致通過之前參議院通過的《網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局法案》(H.R. 3359)，并將由總統(tǒng)簽署。該法案旨在保護(hù)聯(lián)邦網(wǎng)絡(luò)，保護(hù)關(guān)鍵基礎(chǔ)設(shè)施免受網(wǎng)絡(luò)和物理威脅。

12月

• 美國眾議院能源和商業(yè)委員會發(fā)布《網(wǎng)絡(luò)安全戰(zhàn)略報告》，提出6個應(yīng)對網(wǎng)絡(luò)安全事件的核心內(nèi)聯(lián)概念以及解決網(wǎng)絡(luò)安全問題的6個重點(diǎn)。
• GPDR今年正式實施。對安全行業(yè)而言，一方面，GDPR合規(guī)是企業(yè)數(shù)字化轉(zhuǎn)型的有效驅(qū)動力，給安全帶來了新的市場。另一方面，法規(guī)往往會“約束好人，放縱壞人”的現(xiàn)象不可忽視。GDPR對安全行業(yè)帶來的真正影響還有待觀察。
• 個人隱私與數(shù)據(jù)分析同樣是一把雙刃劍。數(shù)據(jù)時代，如何在保護(hù)個人隱私的條件下，利用數(shù)據(jù)的流動為全人類創(chuàng)造價值，可能是一個永遠(yuǎn)的話題。但保護(hù)自己數(shù)據(jù)，查看別人的數(shù)據(jù)，至少是現(xiàn)階段的一致做法。
• 漏洞眾測及漏洞資源受到美國政府的重視。美國國防部不斷加大眾測力度，并嘗試從立法上平衡社會商業(yè)利益與國家安全的關(guān)系。
• 網(wǎng)絡(luò)安全在國與國之間對政治和經(jīng)濟(jì)的影響已經(jīng)十分明顯，商業(yè)禁令、政治抨擊、輿論影響，無不以其為重要依據(jù)。對于先進(jìn)國家而言，保護(hù)只是基本，威懾與打擊已經(jīng)寫入國家戰(zhàn)略，軍事對抗更是暗流涌動。