去年底,安全牛首次发布年度安全大事盘点文章——《2014年网络安全大事记》。文章盘点了一年来安全行业发生的具有重要影响力的大事件,并对未来的趋势做出了简要判断。大事记发出后,得到众多业内人士甚至是管理部门的关注,因此,安全牛决定把这种回顾年度网络安全大事的形式一直持续下去。如今,又是一年即将过去,我们来看看《2015年网络安全大事记》。
一、安全活动如火如荼
2015年可以称之为国内安全活动的爆发年,相关人员和企业不仅积极参加国外颇具影响力的安全大会,国内的会议、沙龙、论坛、发布会、展览、竞赛等各种活动也是举办最为集中的一年。
其中,破解、攻防之类的竞赛尤为火爆。破解竞赛主要为国际上的Pwn2Own,国内的GeekPwn和HackPwn。不管是最安全的操作系统、浏览器,还是最流行的软件应用程序,或是汽车、无人机、电烤箱、POS机、手机等智能设备,在破解高手面前均无法全身而退。国内攻防之类的竞赛,也在爆发。如北京429首都网络安全日上的180人的比赛,武汉2015中国网络安全对抗大赛,以及年度性质的网络安全大赛(XDCTF)在全国各地纷纷举行。
2015年安全行业重要活动一览表
安全活动的火爆一方面反应出安全大潮在全社会的兴起,另一方面也透露出某种程度的浮躁。安全不只是漏洞和破解,不只是黑客大牛和攻防高手,更重要的是从事安全工作的防护者和建设者,了解企业运转及其业务的安全从业者,他们才是整个安全行业的基石。
二、融资并购一如继往
国际
2015年安全行业掀起投资并购大潮,仅上亿美元的融资并购至少就有近20起。其中最大的三起分别为 Bain Capita 24亿美元收购 Blue Coat 、思科6.35亿美元收购 OpenDNS 和新加坡电信 Singtel 以7.7亿美元完成对管理安全服务提供商Trustwave的收购。
注:本表只收录了亿级美元的融资
通过以上资料可以看出,云安全和安全服务是融资和并购的一大趋势,另外可以看出以色列初创公司在安全行业的崛起。
国内
百度、腾讯、阿里和360今年均在投资并购方面频频有所动作,影响比较大的且已经公开的有:腾讯二度投资知道创宇,投资额约为6亿人民币;百度全资收购安全宝,具体金额不详但至少在亿元级;阿里收购翰海源,据传收购金额2亿元左右;360今年5月正式宣布成立360企业安全集团,同时在行业内投资布局了多家安全企业,如天空卫士、威努特等,三年来总投资额超过30亿元。
除了互联网巨头的布局,一些安全新兴和初创企业,如明朝万达、安全狗、乌云、威客安全、漏洞盒子、微步在线、天空卫士、四叶草等也均有千万(元)级融资。
战略合作方面,腾讯和启明星辰、阿里云与安恒、普华永道与谷安天下,分别在终端安全服务、云安全和安全咨询服务方面达成战略合作。华胜天成在与IBM达成中间件技术合作之后又推出基于IBM POWER技术的国产服务器。
上市方面,天融信及上讯信息均在“新三板”挂牌,上海格尔、吉大正元、山石网科等传统安全企业也正在积极筹划上市中。
国内今年还有三次大型合资并购事件,即思科与浪潮联合投资1亿美元成立合资企业,亚信科技收购趋势科技全部中国业务,成立独立安全公司亚信安全,紫光30亿美元收购华三51%股份。此外,奇虎360将以总价90亿美元完成私有化,并计划在国内上市。这几起事件表明了国产化政策对企业带来的影响,外企想以合资或并购等形式保留住在中国市场的份额,国内安全企业则认为无法在国外市场得到应有的价值体现。预计明年,国外相关企业融入国内市场的形式会更多,步子会更大。
三、漏洞影响转入地下
在去年底安全牛发布的另一篇文章《2015年网络安全七大趋势》中,对2015年的漏洞进行了预测:“那些建立在通信协议和传统操作系统之上的,成熟期较早并在目前得到广泛应用的软件和系统可能性较大,比如Java、安卓。至于智能家居或可穿戴设备,虽然生产商缺乏安全考虑,但由于未得到大规模应用,尽管可以预见很多漏洞的发现,但巨大影响力的漏洞无法形成。”
现在我们来看看今年有哪些重大漏洞,这里的漏洞不包括尚未大范围曝光和尚未产生实际重大影响的漏洞。
Stagefright/java反序列化/Wormhole(虫洞)/Redis未授权访问/SS7/Ping Socket use-after-free/DexClassLoader(寄生兽)/VENOM/SMB重定向/FREAK(疯怪)/Ghost
在这一连串的漏洞中,有系统级的如Stagefright,也有协议级的,如FREAK和SS7。有应用性质的如Wormhole,还有“长老级”的漏洞,如SMB重定向。但无论哪种,均未造成如去年心脏出血漏洞那种级别的影响或损失。原因不外乎,整个业内在各个环节对安全工作的加强,以及应急能力的提升和漏洞提交机制的完善。但不可忽视的是,地下黑市对流行软件漏洞和零日漏洞的交易极大的危害着全球上网人的利益,甚至是国家和社会安全。
四、信息泄露汹涌依旧
2015年数量最大的四起信息泄露事件分别为,美国人事管理局(OPM)2700万政府雇员及申请人信息泄露;美国第二大医疗保险公司Anthem 8000万客户及员工信息泄露;面向全球的婚外恋网站 Ashley Madison 3700万用户信息泄露;意大利间谍软件公司 Hacking Team 被黑,包含多个零日漏洞、入侵工具和大量工作邮件及客户名单的400G数据被传到网上任意下载。
这四起信息泄露事件的影响面各有不同,OPM上升到国与国之间网络战争的政治影响,Anthem主要事关客户个人保险号和病历,Ashley Madison 则主要为隐私和道德问题,已有两人因此事而自杀。Hacking Team 的影响主要在于工程化的漏洞和后门代码公开,等于把网络武器交到不法人员的手中,轻易地提高了整个地下黑产的平均技术水平。
下面是2015年全球影响比较大的信息泄露事件,时间为事件披露的月份,非事件发生时间:
2014年年底,铁道部官方网站(12306.cn)13万用户信息泄露,包括身份证、登录口令等,据调查分析应是撞库所至;
2015年1月,俄罗斯约会网站Topface,2000万用户名和电子邮件地址被盗;
2月,优步(Uber)披露,5万名优步司机的个人信息被不知名的第三方人士获取,包括社保码、司机相片、车辆登记号等信息;
3月,医保提供商Premera蓝十字披露,1100万客户的医疗和财务数据泄露;
3月,牙齿医疗机构 Advantage Dental 约15万病人信息泄露,包括姓名、住址、出生日期、电话和社保码;
4月,360补天平台披露,遍布19个省份的社保系统相关信息泄露达5279.4万条,其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息;
4月,美国Metropolitan State大学16万学生个人信息泄露,包括出生日期、家庭住址、电话、个人成绩;
5月,全球知名成人约会网站 Adult FriendFinder 390万用户信息泄露,包括电子邮件、IP、甚至是性偏好信息;
5月,手机监听软件制造商mSpy约40万用户信息泄露,包括电子邮件、短信、照片、付款记录和跟踪数据;
5月,美国国税局超过10万名纳税人的财务信息泄露;
7月,内衣制造商Hanesbrands客户订单数据库被黑,约90万网络和电话用户信息泄露,包括地址、电话和信用卡后四位数字;
7月,FireKeepers Casino 酒店披露8.5万信息卡和借记卡信息在2014年泄露,包括银行卡号、姓名、验证码和卡终止日期等信息。;
8月,在线票务销售平台大麦网600余万用户账户密码泄露并在黑产论坛公开售卖;
8月,英国电信运营商Carphone Warehouse约240万在线用户个人信息泄露,其中包括姓名、地址、出生日期和加密的信用卡数据;
10月,音乐众筹网站Patreon超过16GB的文档资料泄露,包括230万个用户的电子邮件地址;
10月,为美国移动电话服务公司T-Mobile提供数据服务的Experian遭到黑客入侵,导致T-Mobile的1500万用户个人信息泄露,包括用户姓名、出生日期、地址、社会安全号、ID号码等;
10月,美股券商Scottrade,460万客户的姓名及地址信息泄露;
10月,英国电信运营商Talktalk120万用户信息泄露,包括电子邮件、名字和电话号码,以及数万银行账户信息;
10月,美国网络券商史考特超过460万客户的联系人信息被攻击者获取,泄露的信息为客户姓名与地址;
10月,乌云平台曝光网易用户数据库“疑似泄露”,数量近5亿条。虽然至今没有证据证明这个数字,但许多普通网民纷纷表示自己的邮箱被登录篡改,甚至由于用网易邮箱注册苹果账户,而导致手机网络犯罪分子锁住,也是一个不争的事实;
11月,喜达屋集团旗下54家酒店发现窃取信用卡信息的恶意软件,包括客户名称、信用卡号码、信用卡安全码和到期日期等信息泄露,泄露数量尚未公布;
11月,香港早教电子设备公司伟易达(VTech)500万用户和600万儿童的个人信息泄露,包括登录密码、IP地址、照片、聊天记录姓名、性别等;
12月,英国快餐连锁店waterspoons 65万顾客信息泄露,包括姓名、出生日期、电子邮件和电话号码。
值得注意的是,与2014年相比,国内信息泄露事件的曝光度有上升的趋势。
五、APT攻击层出不穷
APT28
自2007年就开始活动的APT28黑客组织,不断利用零日漏洞攻击北约和美国国防机构,这是一个技术高超的以收集国防和地理政治情报的网络间谍活动小组,技术人员分析该小组由俄罗斯政府支持。
APT17
APT17攻击过美国国防承包商、法律事务所、政府机构,以及科技公司和矿产企业。这个黑客小组主要通过鱼叉式钓鱼的手段实施初始攻击,并通过微软产品的技术文档网站TechNet作为攻击平台。
Duqu
反病毒厂商卡巴斯基今年也遭遇APT攻击,其使用的攻击程序被称为Duqu 2.0,它利用了三个微软的零日漏洞,Duqu是继震网蠕虫后最受关注的恶意程序之一,大多数Duqu出现在工控系统中。
Naikon
Naikon黑客活动组织在过去五年内大量地、高调地进行地缘政治活动。他们在多个国家部署了高级的数据挖掘工具和监视工具,主要目标是菲律宾、马来西亚、柬埔寨、印度尼西亚、越难、新加坡、缅甸、尼泊尔等国的政府高层机构、民间和军事组织。
沙虫
一个名为沙虫小队的黑客组织利用Windows操作系统中的零日漏洞“沙虫”,制作PPT文件实施攻击。沙虫实施攻击的目标主要有五大类:政府、学院、北约、能源机构和电信运营商,受攻击对象遍及欧洲甚至还有美国。
图拉
图拉是一个高度复杂的网络间谍组织,有可能背后为俄罗斯政府支持。十几年来,进行着目标为政府机构、大使馆和军队的网络间谍活动。全世界四十多个国家,都是其活动目标,包括哈萨克斯坦、中国、越南和美国,尤其是东、中欧国家。极为高端的是,图拉劫持合法用户的通信卫星IP地址,然后用来盗取数据,以隐藏他们的命令控制服务器。
方程小组
卡巴斯基实验室公布的研究报告称,希捷、东芝、西部数据等知名硬盘厂商制造的十几个品牌的硬盘的固件中都被一个名为“方程小组”的黑客组织(疑为美国国家安全局支持)植入了间谍软件。该小组的活动可追溯到2001年,甚至可能始于1996年,它用多种间谍软件感染了30多个国家和地区成千上万的电脑系统。主要目标国包括伊朗、俄罗斯、阿富汗、中国等,涉及政府、军事、金融、能源、媒体等机构。
海莲花
360“天眼实验室”发布的报告,首次披露一起针对中国的国家级黑客攻击细节。该境外黑客组织被命名为“海莲花(OceanLotus)”,自2012年4月起,“海莲花”针对中国的海事机构、海域建设部门、科研院所和航运企业,使用木马病毒攻陷和控制政府人员、外包商、行业专家等目标人群的电脑,甚至操纵电脑自动发送相关情报,很明显是一个有国外政府支持的APT行动。
APT攻击趋势近年来愈演愈烈,反映出国家之间在网络空间层面上的搏弈。
六、安全事故引发重视
国内影响最大的一起安全事故则是XGhost事件。
今年9月17日,网上消息曝光非官方下载的苹果开发环境Xcode中包含恶意代码,会自动向编译的APP应用注入信息窃取和远程控制功能。经确认,包括微信、网易云音乐、高德地图、滴滴出行、铁路12306,甚至一些银行的手机应用均受影响。App Store 上超过3000个应用被感染。
国内另外两起影响较大的安全事故,一是今年5月的携程网由于员工错误操作导致长达十几个小时的宕机,大量用户无法访问网站,直接损失达数千万元。二为9月1日阿里云服务器预装的安全产品云盾“安骑士”升级触发bug,将所有新启动的可执行文件都当成了恶意文件进行隔离,部分用户的线上服务受到严重影响,并无法进行运维工作。
安全事故往往是由于安全管理的松懈疏忽或流程问题而导致的,随着互联网的普及和深入,庞大系统的稳定运行变得越来越重要,运维工作也是整个安全保障工作中重要的组成部分。
七、政策法规蓄势待发
国内
《2015年网络安全七大趋势》一文中曾“大胆预见,2015年有可能看到立法草案的出台”。2015年6月底,十二届全国人大常委会第十五次会议24日审议了《网络安全法(草案)》,并于7月初向社会公开征求意见。《草案》的重要内容主要包括,确定了网络安全工作基本原则、将个人信息保护纳入正轨和网络产品和服务的安全保障,还规定了重大突发事件时政府可采取临时措施限制网络。可以预计,当《草案》成为正式法规发布后,其他相关的安全规定、条例也会相继出台。
其他一些影响面较大的与安全政策相关的事件:
6月,《中国互联网协会漏洞信息披露和处置自律公约》在京签署,公约提出漏洞信息披露的“客观、适时、适度”三原则;
6月,国务院办公厅发布《关于运用大数据加强对市场主体服务和监管的若干意见》。加大网络和信息安全技术研发和资金投入,建立健全信息安全保障体系,采取必要的管理和技术手段,切实保护国信息安全以及公民、法人和其他组织信息安全;
7月,新的国家安全法实施。新法要求建设网络与信息安全保障体系,提升网络与信息安全保护能力,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;
8月,人大正式通过中华人民共和国刑法修正案(九)。明确了网络服务提供者履行信息网络安全管理的义务,加大了对信息网络犯罪的刑罚力度,进一步加强了对公民个人信息的保护,对增加编造和传播虚假信息犯罪设立了明确条文;
9月,国务院印发《促进大数据发展行动纲要》,在网络和大数据安全方面要求,在涉及国家安全稳定的领域采用安全可靠的产品和服务,到2020年,实现关键部门的关键设备安全可靠;
11月,工商总局印发《关于加强网络市场监管的意见》,全面加强网络市场监管。推进“依法管网”、“以网管网”、“信用管网”和“协同管网”。
国际
5月,美国商务部工业与安全局公布《瓦森纳协定》的修改草案,新规则规定美国企业或个人向境外厂商报告漏洞情况是一种出口行为,需预先申请政府许可,否则将被视为非法;
6月,美国国会今年6月通过《美国自由法案》,11月国家安全局正式停止对公众的大规模监听公众电话数据的行动;
10月,欧盟法院宣布与“美国-欧盟安全港协议”有关的“2000/520号欧盟决定”无效。欧盟成员国数据监管机构可以依此禁止美国公司收集、存储其国民的个人数据;
10月,美国国会参议院通过《网络安全信息共享法案》,允许公司和政府分享黑客攻击信息,之前众议院也通过了这个法案,最终等到美国总统奥巴马签署后,将成为正式法律;
11月,英国政府公布新版《调查权法草案》,要求互联网公司和手机制造商能永久地拦截和收集通过其网络传播的个人数据,并赋予其协助安全机构和警察调查国家安全相关事项的权利。
八、国家网络空间安全体系建设迫在眉睫
今年6月,美国人事管理办公室被黑客渗透,2700万人信息泄露,美国国家情报总监克拉珀竟然公开表示,将中国确定为入侵事件的首要嫌疑对象。美媒甚至报道,奥巴马政府正在研究一系列针对中国的“前所未有的”经济制裁,制裁对象主要为“通过网络盗窃美国贸易机密信息中获益的中国企业和个人”。但最终在12月中国两国的首次网络安全对话上,双方确认将OPM事件定义为非国家支持的攻击。
今年9月,习近平主席访美,与网络议题相关的领域达成六点共识。包括网络安全审查、商业领域加强信息通讯技术网络安全的一般措施、恶意网络活动提供信息及协助、反对网络窃取知识产权、制定和推动国际社会网络空间国家行为准则,以及建立两国打击网络犯罪及相关事项高级别联合对话机制。
就在当月,美国网络司令部的两份合同及订单草案显示,美国网络司令部将把4.6亿美元的扩展网络攻击能力职责外包给国防承包商。美国一直视我国为其网络安全最大的对手,其国防部在7月份针对国外发起的网络攻击发布了一个新型战略,中国是其战略目标之一。美国现在已经组建了数万人的网军,研发了上千种网络战武器。整个网络的作战体系已经完成,随时可发动网络战争。
而目前,我国的网络安全问题依旧突出。如安全意识的缺乏,网络对抗能力较弱,包括法律、经费和人才等网络安全方面的基础不牢,关键信息基础设施安全防护能力较差等。虽然与美国达成了一定程度上的共识,但背后的网络安全能力较量仍然继续,并且形势非常严峻,构建“打防管控”一体化的网络安全综合防控体系迫在眉睫!
通览全篇“2015年网络安全大事记”,可以用四句话来概括:
巨头布局企业安全,新兴初创跃跃欲试。
漏洞黑市激流暗涌,大潮来临国家驱动。
2015年度大事就记录到这里,明年见!