前言

　　剛剛過去的2020年是艱難的一年，也是魔幻的一年。對網絡安全行業來說，既有挑戰，也有機遇。國家間的網絡對抗愈演愈烈、個人數據泄露事件層出不窮。由疫情催生的遠程辦公、遠程醫療等也為網絡安全建設提出更高要求，零信任、內生安全框架、云原生安全等新技術也加速發展。

　　2021年將會面臨更多不確定因素，國家間網絡對抗仍將繼續升溫，勒索攻擊依舊會是機構面臨的最大威脅，供應鏈攻擊也會繼續加劇。隨著各國隱私政策法規的出臺落地，企業合規將面臨更大壓力。

　　虎符智庫由此發布《2021安全前瞻報告》，旨在為政企機構和相關部門提供參考和預判。本報告總結2020年安全形勢與安全技術創新，對2021年網絡安全形勢做出預測，提出應對建議。

　　Part 1 - 2020安全形勢

　　疫情年份 網絡安全迎來大考

　　2020年新冠疫情肆虐，危及全球人類生命，但疫情并未使網絡攻擊組織停下腳步。疫情帶來的遠程辦公工作方式成為黑客攻擊的新目標，帶來前所未有的網絡安全風險，全球黑客迎來狂歡年。新冠疫情對各國醫療保障能力形成考驗，嚴峻的安全態勢則對網絡安全防護帶來年度“大考”。

　　我們從國際形勢、政府機構、關鍵設施、新技術應用、個人用戶和攻防博弈等七個角度，梳理出2020年的網絡安全態勢。

　　01  國際網絡對抗白熱化 網絡攻擊公開化

　　2020年國際沖突加劇，網絡攻擊和軍事沖突成為互補的工具，物理空間的攻擊往往引發網絡空間的報復，反之亦然。各國間的網絡攻擊行動日趨頻繁化和白熱化。

　　2020年3月的安理會，首次將網絡攻擊作為特別議題。針對網絡攻擊，各國強調以有力手段進行回應。2020年，美伊、以伊之間相互的網絡戰則從未真正停止，且日趨激烈。以色列網絡戰專家在5月甚至警告，對以色列基礎設施造成重大破壞的伊朗網絡戰襲擊將是發動“戰爭的理由”。英國則在2020年11月正式宣布成立國家網絡部隊（NCF），專注于反擊網絡攻擊活動。

　　2020年3月，美國網絡空間日光浴委員會預警稱，美國將面臨災難性的網絡攻擊風險。這一警告展示了國際網絡空間對抗日趨激烈的事實，但警告并未使美國避免導致多個重要軍政機構淪陷的年度最大APT攻擊事件。各國之間這種你來我往、看不到停止跡象的網絡攻擊，體現出國際網絡對抗的沒有規則、日趨白熱化的時代特點。在網絡攻擊缺乏規則的時代，網絡空間的脆弱平衡已經難以維持。

　　2020年1月，美國對圣城旅指揮官的“定點清除”，引發伊朗對美國的報復性網絡攻擊行動。

　　2020年4月，以色列的水和污水處理設施遭到多次網絡攻擊。

　　2020年5月，伊朗重要港口沙希德·拉賈伊遭遇以色列“高度精準”網絡攻擊，致使港口水路和道路出現嚴重混亂。

　　2020年7月，“網絡攻擊”嚴重破壞了伊朗最重要的核設施。

　　2020年9月，美國對伊朗黑客提起訴訟，宣布制裁伊朗APT39黑客組織。

　　2020年12月，包括以色列最大國防承包商在內的至少80家以色列公司受到伊朗黑客的攻擊，據稱對伊朗核物理學家遭暗殺的報復性行動。

　　02  網絡攻擊聚焦竊密 軍政機構面臨泄密風險

　　盡管有安全專家認為，對基礎設施的破壞性攻擊正取代間諜行動，但2020年間諜竊密依然是網絡攻擊行動的主要目的。年底曝光的供應鏈攻擊事件，導致美國國防部、國土安全部、國務院、能源部、商務部等眾多美國軍政機構被入侵，“可能是歷史上最重大的網絡間諜行動”。在新冠病毒肆虐全球的背景下，以竊取疫苗相關研究成果為目標的攻擊事件也大幅增加，包括中國醫療公司、輝瑞、日本疫苗實驗室等的疫苗研究機構遭受到網絡攻擊，導致新冠疫苗相關研究數據被竊取。其中，我國匯醫慧影公司的新冠病毒研究成果、技術源代碼也遭黑客竊取和出售。

　　奇安信威脅情報中心的統計顯示，2020年針對我國重點單位的APT攻擊頻率明顯上升。2020年全球的APT數量增幅為23%，針對我國的APT攻擊事件增幅則高達69%。其中，我國政府、醫療以及國防機構更是國外APT組織竊密攻擊的重要目標。在2020年的APT攻擊事件行業分布中，醫療機構占比24%，政府機構占比21%，教育機構占比12%，國防部門占比11%。

　　根據奇安信威脅情報中心安全專家的監測，2020年APT組織Dark Hotel頻繁對我國機構進行網絡攻擊，并利用瀏覽器和VPN 零日漏洞對我國政府機構進行滲透，以竊取機密信息。具有南亞背景的APT組織如蔓靈花、摩訶草、響尾蛇、魔羅桫，幾乎全年不間歇的對我國軍工、政府、高校進行竊密為目的的攻擊行動。華語APT組織毒云騰則對我國重點院校研究所、政府等單位進行針對性攻擊，竊取大量的軍工情報，對國家安全造成嚴重的危害。

　　03  關基破壞性攻擊激增 制造社會混亂成目標

　　對關鍵基礎設施等關系國計民生領域實施攻擊，意圖造成社會混亂和持久破壞的活動出現激增。這是傳統情報竊取之外，國家級黑客組織的重要目標。2020年世界經濟論壇的安全專家也認為，公用事業和關鍵基礎設施已經成為網絡攻擊的主要目標之一。針對烏克蘭電網的攻擊還只是少數現象級的攻擊事件，2020年此類針對關鍵基礎設施的攻擊已經成為普遍和頻繁的現象。隨著地緣政治緊張局勢的加劇，2020年破壞性網絡攻擊行動進一步加劇。黑客組織對電網、水利、關鍵制造和交通行業等關鍵基礎設施領域的攻擊數量顯著增長。國家黑客組織利用破壞性攻擊，可以在不付出較高代價的情況下，達到威脅國家經濟安全、國家公共衛生安全，以及破壞社會穩定的目標。

　　2020年2月，一家美國天然氣公司因勒索病毒攻擊而關閉了天然氣管道的運營。

　　2020年5月，委內瑞拉國家電網干線因遭遭到攻擊而發生全國大面積停電。

　　2020年5月，以色列多次挫敗對其供水系統的大規模網絡攻擊，其中一次攻擊險些釀成人道災難。

　　2020年5月，英國電網重要管理機構埃萊克森（Elexon）受到網絡攻擊，影響內部IT網絡和員工電腦，導致無法進行關鍵通信。

　　2020年5月，臺灣兩個最大的煉油廠CPC、FPCC相繼遭遇網絡攻擊，波及整個供應鏈。

　　2020年10月，印度孟買市遭遇前所未有的大范圍斷電，直接導致鐵路運營癱瘓，股票交易所、醫療設施以及其它關鍵基礎設施全面遭遇風險。有報道稱，停電很可能源自國家支持的黑客攻擊活動。

　　2020年我國國家電網公司收到的攻擊警報相對于2019年度有較大增長，電力領域關鍵信息基礎設施遭到攻擊的風險進一步增加。

　　04  新基建全面加速 安全體系缺失凸顯

　　疫情成為數字化變革的催化劑，給網絡安全帶來連鎖反應：數字化建設使網絡安全成為戰略重點，尤其是隨著我國新基建的全面加速，5G、工業互聯網等數字技術得到逐步部署，新一代信息技術在推動數字經濟發展、助力社會治理現代化、推進智慧社會發展的同時，增加了新的安全風險。

　　新基建帶來復雜的應用場景，對安全防護提出更高要求：過去零散、局部的建設模式，外掛和附加式的安全能力，根本無法有效應對層出不窮的安全漏洞、安全邊界模糊的網絡環境，以及攻擊者日益高級的攻擊方式。

　　在新基建推動的數字化轉型期，傳統網絡安全防護模式存在的安全體系化欠缺、能力碎片化嚴重、整體協同能力差、彈性恢復能力缺失等弊病被急劇放大。構建面向新基建的安全防護體系，亟需系統化的方法來為用戶構建無處不在，處處結合，實戰化運行的安全能力體系，在數字化環境內部建立無處不在的網絡安全“免疫力”，真正實現內生安全。

　　5G的普及推動物聯網設備呈現爆發性增長，但海量物聯網終端存在明顯的安全隱患，成為網絡攻擊的重要目標。根據奇安信星跡平臺（用于捕獲網絡攻擊的蜜罐系統）統計，目前平均每天收到PoC漏洞利用流量約300萬次，抽樣調查漏洞利用次數的前十名中，九個均為物聯網設備漏洞。

　　05  新冠疫情全球肆虐 黑客組織迎來狂歡年

　　受新冠疫情影響，全球遠程辦公需求激增，用戶和市場規模呈爆發式增長。其中，國內疫情高峰期間的遠程辦公需求環比上漲663%。IDC的調查顯示，2020年企業云端數據首次超過本地數據。很多互聯網企業的遠程辦公成為常態。遠程辦公突破了傳統網絡邊界，帶來巨大安全風險。

　　面對新的環境，2020年全球網絡攻擊激增，黑客組織迎來狂歡年。2020年上半年，網絡攻擊強度和嚴重程度均出現飆升。針對醫療和人道主義組織的攻擊尤其明顯，例如世界衛生組織報告稱，對其攻擊數量增加了 500% 。2020年上半年，全球分布式拒絕服務（DDoS）攻擊的數量增加了151%。安全公司CrowdStrike發現，2020年上半年的攻擊數量超過了2019年全年。奇安信威脅情報中心的數據顯示，2020年全球的APT數量增幅達23%，針對醫療行業攻擊的APT事件增幅則達117%。在疫情高峰期間，我國醫療機構遭遇大量攻擊；德國政府在2020年遭冠狀病毒主題釣魚攻擊損失數千萬歐元；美國2020年底引爆年度最嚴重APT事件，其攻擊活動也始自年初的疫情爆發。

　　新冠疫情導致遠程工作激增，攻擊者迅速適應“新常態”，暗網市場的網絡憑據交易成為熱潮。網絡安全公司Positive Technologies的調查發現，企業網絡憑據相關信息的交易蓬勃發展。2020年第一季度，暗網銷售企業網絡登錄憑證的帖子數量比上一季度猛增了69%。

　　06  個人數據泄露激增 侵犯隱私亂象整治加碼

　　2020年抗擊疫情需要導致個人信息被頻繁收集，盡管主管部門強調落實疫情防控期間的個人信息和隱私保護，通知落實“脫敏處理”和“防疫需要”的要求，疫情期間的個人信息泄露事件依然頻發。除疫情期間的個人信息泄露，APP侵犯個人隱私問題依然是2020年社會熱點。我國監管部門對APP 超范圍收集用戶個人信息等行為持續進行治理。中央網信辦、工信部、公安部、國家市場監管總局四部門聯合開展App違法違規收集使用個人信息治理工作。侵害用戶權益和個人信息收集存在問題的APP遭通報、被下線。APP用戶權益保護測評規范系列標準、APP收集使用個人信息最小必要評估規范系列標準等18項團體標準的制定，規范了國內APP的用戶信息收集，減少侵害用戶權益的行為。國際上，蘋果公司宣布從2021年年初開始，將會把未經允許對用戶數據進行追蹤的應用移出應用商店。國內也出現了多起個人信息泄露事件，例如2020年12月，成都某女孩活動軌跡等個人隱私，全都被公布在網上，引發輿論對疫情下個人隱私保護問題的關注；同年11月，富陽法院“人臉識別第一案”的訴訟和宣判提升了整個社會對個人生物信息保護問題的憂慮。實行人臉識別的必要性以及信息采集后的安全性成為社會關注的焦點。

　　07  攻防博弈失衡加劇 信息系統“千瘡百孔”

　　2020年攻防博弈呈現出加劇失衡的狀態。

　　攻擊組織具備更加良好的攻擊能力，能在較短時間內實現漏洞利用。盡管使用公開較久的漏洞組合的攻擊仍為主流，在面對高價值目標時攻擊者會更傾向于使用零日漏洞。攻擊者還借助自動化技術改變攻擊形態，快速制造出已知威脅的變種，令安全設備無法識別。暗網市場出售的零日漏洞、身份憑據和網絡武器，則使攻擊組織有能力攻擊高價值的目標。

　　脆弱的供應鏈成為攻擊組織的重要突破口，是需要關注的最薄弱環節。2020年底曝光、波及200余家重要美國政企的供應鏈攻擊事件，凸顯出供應鏈攻擊手段的復雜性。在政企機構報告的直接攻擊減少的同時，通過供應鏈發起的“間接攻擊”呈上升趨勢。知名智庫“大西洋理事會”的報告稱，2010-2020年的公開報道中，具有較高影響力的軟件供應鏈攻擊和泄露事件呈現逐年遞增趨勢。

　　與攻擊者不斷演進的手段形成對照，核心應用、網絡設備和新技術的漏洞頻發。近兩年漏洞數量不斷突破新的記錄。攻擊組織日益高超的手段，以及日趨專業化的分工協作，與信息系統本身的“千瘡百孔”透露出攻防博弈嚴重失衡的現狀，以及巨大的潛在安全風險。

　　2019年業界提交CVND漏洞信息16208條，2020年度提交CNVD漏洞信息高達20136條。奇安信CERT監測到2020年較2019年新增3381條漏洞信息，其中較嚴重的影響或攻擊成本較低的高危漏洞約占46%。

　　根據奇安信CERT監測，對于新爆發的漏洞，能在漏洞爆發0-7天就能發起的攻擊者約占總比例0.23%。

　　流行視頻會議軟件Zoom的重要零日漏洞就曾被以50萬美元價格出售。

　　甲骨文公司2020年發布了1576個漏洞，其中包括大量CVSS評分達10分、9.8分的高危漏洞，可以令攻擊者獲得大量特權。

　　2020年研究人員發現，防御網絡攻擊的多個主流安全廠商的產品本身存在易遭利用的漏洞，構成嚴重的安全風險。疫情爆發以來，利用VPN漏洞入侵各國政府機構，成為黑客組織的流行攻擊手段。

　　Part 2 - 2020年安全創新

　　數字化加速安全實戰化創新

　　“道高一尺，魔高一丈”，數字世界的攻擊與防御，時刻都在上演。2020年嚴峻的網絡安全風險，加速了安全技術產品的研發創新和實踐落地，從遠程辦公催生的“零信任”熱，到個人信息保護帶來的隱私保護技術，再到新基建浪潮驅動的新一代防御體系——“內生安全框架”，2020年是技術創新加速向實踐轉化的一年。近年來Gartner機構、RSA大會提出的技術概念，在這一年紛紛開始落地。它們從國家、社會、經濟和個人等層面，全方位守護數字時代的網絡安全。

　　01  疫情之下遠程訪問需求激增，零信任加速標準化

　　疫情為遠程辦公按下了加速鍵，有觀點認為，遠程辦公普及進度至少提前了三到五年。不過需要看到，疫情只是遠程辦公加速的催化劑，遠程辦公的原始驅動力是企業的數字化轉型。

　　為了解決遠程訪問中的業務暴露面收縮、權限管控、身份識別等諸多安全問題，零信任網絡訪問被認為是解決之道，被Gartner等咨詢機構十分看好。各大廠商也紛紛推出了針對遠程訪問場景下的零信任身份安全解決方案。不過就目前而言，零信任的發展仍然處在一個早期階段。

　　2020年零信任標準化工作正加速推進。2020年8月12日，美國國家標準與技術研究院（簡稱NIST）發布《零信任架構》正式版，對零信任安全原則、架構模型、應用場景做了詳細的描述。在國內，由奇安信牽頭發起的首個國家標準《信息安全技術 零信任參考體系架構》編制工作也正式啟動，對零信任架構的標準化、落地化將會起到巨大的推動作用。

　　為了解決更加細粒度的權限控制問題，奇安信零信任身份安全解決方案，創新地將人工智能思維應用于零信任實施架構，能夠自適應適配用戶、設備和應用資源，實現細粒度動態訪問控制，有效地降低外部安全風險和內部安全威脅。其智能身份治理平臺、智能評估引擎和可信訪問控制引擎等關鍵產品組件，通過建設智能化的資源保護平臺實現規模化產業化推廣，支持零信任在遠程辦公、云計算、大數據中心、物聯網、車聯網、智慧城市等多種應用場景的落地，保護核心資產，支撐關鍵服務應用高效安全運行。

　　02  內生安全框架從頂層視角構建動態綜合防御體系

　　新基建帶來復雜的應用場景，對安全防護提出更高要求：過去零散、局部的建設模式，外掛和附加式的安全能力，根本無法有效應對層出不窮的安全漏洞、安全邊界模糊的網絡環境，以及組織化、體系化、精準化的網絡攻擊。

　　數字化時代的到來，徹底打破了網絡世界和物理世界的邊界，帶來了新的安全風險。以前的靜態邊界防護思路，不再適應新時代的需求，數字化時代的保障需要動態綜合的網絡安全防御體系。為此，內生安全框架應運而生。

　　內生安全框架從“甲方視角、信息化視角、網絡安全頂層視角”出發，構建了適應不同業務場景網絡安全整體防御能力分析模型，設計了復雜異構環境下網絡安全協同聯動機制，形成了全生命周期網絡安全部署體系，將安全能力統一規劃、分步實施，逐步建成面向數字化時代的一體化安全體系。

　　該框架解構出了“十大工程、五大任務”的落地手冊，對每一個工程和任務都給出了具體的部署步驟和標準，政企機構可以結合自身信息化的特點，定義自己的關鍵工程和任務。以某個新基建工程為例，依據“十工五任”手冊，奇安信針對136個信息化組件，總結出了29個安全區域場景，部署了79類安全組件。它適用于幾乎所有應用場景，能指導不同行業輸出符合其特點的網絡安全架構，構建動態綜合的網絡安全防御體系，全方位滿足數字化時代的安全保障需求。

　　11月23日，內生安全框架在世界互聯網大會上，獲得了“世界互聯網領先科技成果”。

　　03  自動化技術推動隱私保護合規化

　　自歐盟《通用數據保護條例》（GDPR）的面世起，數據安全和個人隱私保護的合規性，迅速成為了安全圈最熱門的話題之一。隨著數據總量和流動性的大幅度增加，消費者隱私保護的難度也水漲船高，如何在海量數據中發現消費者的敏感數據，成為非常大的難題。

　　2020年，隱私保護初創公司Security.AI獲得RSAC創新沙盒比賽的冠軍。公司強調利用AI技術和People Data Graph實現對數據的自動化識別，并且構建面向人的知識圖譜，為后續的分析提供模型支撐。

　　為解決傳統隱私保護方案效率低下的問題，Security.AI構建了實現消費者數據權利請求-響應的流程自動化處理，能幫助客戶快速滿足GDPR和CCPA等法規的要求。

　　在國內，數據的非法采集與泄露事件同樣是令人頭疼的問題。新冠肺炎患者、無癥狀感染者隱私信息泄露事件屢見不鮮，因非法采集消費者個人隱私數據而先后被下架的App已達數百款之多。

　　奇安信數據安全子公司云安寶基于方濱興院士提出的“數據不動程序動，數據可用不可見”的技術理念，在國內率先推出更為實戰落地的防水堡。

　　防水堡在數據安全和隱私保護方面采用了創新性的數據沙箱和安全分離學習技術，可存儲各個數據源全量數據，并且在數據需求方部署隱私保護的前提下，對多個數據源的全量數據進行充分的分析和挖掘，數據分析師只能帶走不含敏感數據的分析模型文件和分析結果。

　　針對App隱私合規亂象，奇安信、梆梆安全、愛加密紛紛推出了涵蓋APP隱私合規檢測、APP隱私保護評估服務、APP安全測試、APP整改指導的完整APP隱私保護解決方案，通過對Android/iOS應用行為進行自動化/半自動化深度檢測，可幫助用戶快速滿足《APP違法違規收集使用個人信息認定辦法》，避免過度采集消費者個人數據。

　　能夠預見的是，隨著將來國內《數據安全法》與《個人信息保護法》等法規的出臺，隱私保護領域的創新熱度還會不斷提升，AI技術將在其中起到更大的作用。

　　04  攻防博弈進化，第三代安全引擎破解0day漏洞難題

　　安全攻擊防不勝防，0Day漏洞屢被曝出，一切不安全事件都發生在“安全防護”之下，現有安全體系亟需革新。2020年1月17日，第三代安全引擎“天狗”橫空出世，它顛覆了查漏洞打補丁的傳統安全防護思路，即使不打補丁，也能有效抵御攻擊。

　　“天狗”引擎在四個方面實現了突破性創新。首先是從大粒度到細粒度。天狗從大粒度、高層次的“文件可信度”檢測，進入到細粒度、低層次的“內存指令可信度”檢測，有效解決了“可信程序”存在漏洞被惡意利用，而導致的防護缺陷。

　　其次是防御0Day漏洞。它利用已知系統與程序的可信指令采集與授權，來防御可能存在的未知漏洞的攻擊，有效解決了“0Day漏洞無法防御”的行業難題。

　　第三是斷網也能防攻擊。天狗不依賴惡意文件特征、不依賴特定漏洞特征、不依賴特定行為特征、不依賴特定的攻擊特征的技術獨特性，使得天狗引擎不再依賴聯網查詢，即使隔離網絡甚至無網絡的環境下，亦不影響防護效果。

　　最后是有效抵御后門問題。通過指令調用檢測，天狗可以發現隱藏在系統及應用中的后門指令，彌補行業內后門檢測的技術空白。

　　第三代安全引擎“天狗”發布后很快在大型央企、商業企業客戶場景得到安裝部署，整體裝機量快速突破100萬臺。

　　05  實戰攻防演習推動產品技術創新大量涌現

　　近些年來，為了提升國家及相關重點單位的網絡安全防護水平，常態化的實戰攻防演習成為了一種重要手段。實戰攻防演習通常以實際運行的信息系統作為演習目標，通過有監督的攻防對抗，最大限度地模擬真實的網絡攻擊，以檢驗信息系統的安全性和運行保障的有效性。

　　在此過程中，推動大量網絡安全產品技術的創新與落地實踐，如漏洞管理、欺騙檢測、安全編排自動化與響應（SOAR）、擴展檢測與響應（XDR）等。

　　針對漏洞管理，目前奇安信CERT今年推出的NOX-安全監測平臺覆蓋能力較為完整。該平臺整合了完整的漏洞情報信息，幫助客戶及時發現具有威脅的漏洞，并提供完整的解決方案。同時，奇安信CERT會推動奇安信旗下相關產品快速升級，針對漏洞攻擊部署相應的檢測規則。

　　國外初創企業Vulcan Cyber推出的SaaS平臺，能夠自動化整合所有公開的漏洞信息，并且展示漏洞管理全生命周期的各種狀態，輸出漏洞分析報告，從而大幅度縮減了安全運營人員的漏洞維護工作。

　　欺騙檢測技術（蜜罐）也頗受防守方的歡迎。通過模擬真實場景，欺騙檢測技術可以欺騙攻擊者的入侵行為，從而達到威脅誘捕、隱藏真實業務的目的。2020年，知道創宇、默安科技、長亭科技、奇安信等一大批安全廠商都發布了新版欺騙檢測產品，通過極強的仿真能力和欺騙性，可將“仿真誘餌”快速下發的網絡的各個區域，全面覆蓋攻擊鏈的每個環節，可對攻擊行為進行無死角誘捕。

　　在響應環節，SOAR能夠將安全運營相關的團隊、工具和流程通過編排和自動化技術進行整合，有序處理多源數據，持續進行安全告警分診與調查、威脅獵捕、案件處置、事件響應。盛華安推出了獨立的SOAR3.0產品，與SOC/SIEM平臺解耦，能夠與自有和第三方SOC平臺、高級威脅檢測產品集成聯動。作為國內首家采用了符合BPMN2.0規范的工作流引擎驅動的安全編排器，盛華安SOAR具有很強的開放性、可擴展性和可伸縮性。

　　為了進一步提升檢測與響應能力，擴展檢測和響應（XDR）技術正在受到更多人的關注。目前國際上較為流行的做法是，將XDR與安全服務深度整合。例如Respond Software所打造的Respond Analyst作為XDR引擎，可針對安全數據、日志展開自動化的分析與檢測，能夠大幅度提升該工作的效率。FireEye把Respond Analyst集成到旗下的SaaS平臺Mandiant Advantage（MDR平臺），并利用Mandiant的漏洞情報與前沿技術來改善其安全服務水平。

　　06  實戰化成為SOC/SIEM建設的重點

　　近年來重大網絡安全事件頻發，如永恒之藍、Struts2、WebLogic遠程代碼執行漏洞等，強如FireEye也難逃黑客的“魔掌”，這讓安全人員越來越難以過著“刀槍入庫，馬放南山”的生活，平時和戰時已經相互交叉、密不可分。

　　實戰化能力建設成為安全運營平臺SOC/SIEM設備重點發展方向。奇安信發布了新版態勢感知與安全運營平臺NGSOC、啟明星辰推出泰合智能運營系統TSOC皆屬此類。

　　綜合2020年安全廠商產品動態來看，實戰化主要體現在三個方面。

　　其一是常態化實網攻防演練的支持，以攻促防。奇安信NGSOC提供演練態勢大屏，來展示攻防演練中防守方管理信息、系統建設、威脅運營等信息的總體狀況，為事后的查漏補缺提供決策支持。

　　其二是立體化威脅預警能力。作為政企機構內部威脅檢測和安全運營的中樞，僅僅依賴日志關聯分析的傳統SIEM/SOC設備，無法掌握入侵事件的全貌。因此，SOC平臺應該能夠發布內部及外部的早期預警信息，并與網絡中的IP資產進行關聯，分析出可能受影響的資產，提前讓了解業務系統可能遭受的攻擊和潛在的安全隱患。啟明星辰推出的安全管理平臺能夠及時發布內部及外部的早期預警信息，并與網絡中的IP資產進行關聯，分析出可能受影響的資產，提前讓用戶了解業務系統可能遭受的攻擊和潛在的安全隱患。

　　其三是遠程運營服務。除了駐場安全運營外，SOC平臺與遠程運營服務的整合，是今年各大安全廠商的重點。作為解決平臺使用方人才短缺的重要手段，奇安信能夠基于NGSOC平臺輸出威脅分析情況、安全數據分析的報告、溯源分析、事件協同處置的通報等，保障平時和戰時的安全運營。

　　07  政企機構加速上云，云原生安全重構云上安全防護體系

　　疫情爆發以來，云計算作為數字化建設的重要組成部分，則依靠自身強大的云算力及龐大的云資源，為疫情恢復工作提供穩定高效的支持，同時也進一步加速了云經濟整體的發展。

　　可以預見的是，“新基建”、數字化建設的不斷發展、國家政策的推動下，在互聯網、交通、物流、金融、政務、教育等不同行業，政企機構上云的步伐將會提速。

　　為了確保云上的安全防護，云原生安全作為一種新興的安全理念在2020年成為熱點。無縫銜接的云原生安全，不僅解決云計算普及帶來的安全問題，更強調以原生的思維構建云上安全建設、部署與應用，推動安全與云計算深度融合，以更高安全等級和更低使用成本，支持彈性、動態、復雜的行業場景。

　　云原生安全平臺能夠通過統一平臺應對各種安全挑戰，幫助企業檢測云資源的威脅、保持合規性、保護云原生應用、保護云網絡和應用通信，并在工作負載之間執行權限和安全身份驗證。

　　在國內，騰訊安全在2020年推出了較為完整的云原生安全解決方案，圍繞安全治理、數據安全、應用安全、計算安全和網絡安全等層面，搭建完整的云上安全防護架構。在安全治理方面，構建從風險識別、風險監測防護到響應、恢復以及持續運營一系列的治理體系。通過數據安全中臺，將企業數據安全相關基礎設施、技術與產品全部納入到云本身，提供數據的發現、治理、加密、保護全流程安全服務。在應用層，將DevSecOps理念貫穿到開發周期中，對容器進行更好安全管理。在網絡層，提供SaaS化云網絡安全產品，并通過云網絡邊界治理，保障平臺與租戶的整體安全。

　　國外，頭部網絡安全企業派拓網絡（Palo Alto Networks）推出了其云原生安全平臺Prisma Cloud 2.0，包括數據安全模塊，提供數據防泄露（DLP）功能；Web應用與API安全模塊，保護Web應用，并能夠與CWPP的統一代理框架集成；基于身份的微隔離模塊集成了網絡可視化功能，以提供網絡通信的端到端可視性；身份和訪問管理安全模塊為客戶提供云基礎設施授權管理（CIEM）功能。

　　Part 3 - 2021安全預測

　　不確定的未來，安全威脅是最確定的風險

　　2021年新冠疫情的影響仍將持續，我們將面對更加不確定的未來，但卻面臨著確定的安全威脅。數字化的推進導致網絡威脅和漏洞的增加，攻擊者持續、頻繁開展新型網絡攻擊。監管法律環境日趨完善，政企機構面對著確定的合規壓力。

　　01  國家間網絡對抗升溫，重大安全事件可能再現

　　2020年底的年度最嚴重APT事件令全球陷入至暗時刻。安全行業年底的艱難時刻，預示著2021年將迎來更加充滿挑戰的一年。即將上臺的拜登政府宣稱，將實施足夠強硬的反擊舉措，包括新的金融制裁和對俄羅斯基礎設施發動報復性的網絡攻擊。拜登在聲明中稱，“將把網絡安全列為各級政府機構的頭等大事，并擴大對目前基礎設施和人員的投入”。美國政府降低了對他國關鍵信息基礎設施攻擊的授權門檻，不排除未來可能以對他國關鍵信息基礎設施的攻擊，作為其宣稱的網絡攻擊報復行動。這無疑奠定了2021年乃至未來更久的時間，國際網絡空間的持續動蕩局面。

　　在充滿變局和不確定的2021年，國家網絡攻擊組織無疑將繼續開展攻擊活動，達到泄露數據，竊取機密，操縱信息，乃至破壞基礎設施的目的。國家背景攻擊組織通常裝備精良、資源豐富，可獲得暗網高級攻擊工具，多數政企機構缺乏足夠安全能力應對此類攻擊，因此即便是間接攻擊的后果依然非常嚴重。根據中國國家互聯網應急中心發布的中國互聯網網絡安全監測數據分析報告，2020年上半年中國遭受來自境外的網絡攻擊持續增加。可以預見，在2021年國家網絡攻擊組織將更具攻擊性，影響和風險越來越大，不排除可能出現導致基礎設施癱瘓和重大泄密事件的網絡安全事件，任何放松警惕的行為將會帶來不可承受的風險和責任。

　　02  政策利好與嚴峻形勢疊加，網絡安全支出有望大幅增長

　　2021年疫情影響延續，全球經濟承壓，但網絡安全的支出卻可能不降反增。國內“十四五”的政策利好，以及網絡攻擊事件頻發的壓力，有望推動2021年的網絡安全支出大幅增加。

　　2021年是“十四五”開局之年，新發展格局下擴內需成關鍵。12月召開的中央經濟工作會議，明確了“強化國家戰略科技力量、增強產業鏈供應鏈自主可控能力、堅持擴大內需戰略基點”等2021年的八項重點任務。這意味著，2021年為推動戰略科技創新，確保產業鏈供應鏈安全，國家將會在包括網絡安全在內的科技領域繼續加大投入。以擴大內需為目的的新型基礎設施建設，也將促進對網絡安全建設的巨大需求。

　　信創產業作為“新基建”的重要內容，未來三到五年，將迎來黃金發展期。國產基礎軟硬件從“不可用”發展為“可用”，并正在向“好用”演變。信創體系相關的安全防護成為業界焦點，將為網絡安全企業帶來巨大市場空間。

　　疫情期間頻發的黑客入侵令CIO面臨較大壓力：4/10的被調查機構在疫情期間曾經歷網絡攻擊。經濟下滑和增長放緩將會迫使黑客組織更青睞通過網絡攻擊獲取利益。行業分析人士認為，從網絡安全威脅的角度來看，2021年政企機構需要為日益頻繁和復雜的攻擊做好準備。根據普華永道的全球調查顯示，56％的受訪者計劃在2021年增加網絡安全預算。畢馬威的全球CIO調查則顯示，安全與隱私成為2021年最大的IT支出（47%）。

　　2020年12月引爆的年度最嚴重APT事件令整個行業獲得提振。知名投資機構韋德布什證券公司（Wedbush Securities）預測，2021年全球網絡安全支出將增長20%。火眼、派拓網絡（PANW）、奇安信在內的全球主流網安企業的股價在事件曝光后出現大幅上漲。

　　03  安全黑天鵝事件難以避免，實現網絡彈性成政企重要目標

　　在日趨激烈和復雜的攻擊面前，沒有多少機構可以避免黑客入侵，實現絕對的安全。2020年底眾多美國軍政機構、基礎設施、頂級安全企業的集體淪陷，再次證明任何機構都無法獨善其身。

　　網絡安全的黑天鵝事件隨時可能降臨，被黑客組織入侵無法避免。在疫情影響依然延續的2021年，政企機構必將告別追求“完全安全”的思維，從攻擊預防轉為加強網絡彈性，保證業務延續性，為任何可能的攻擊后果做好準備。

　　網絡彈性的目的是使系統具有預防、抵御網絡攻擊的能力，以及在遭受網絡攻擊后能夠快速響應和恢復的能力。網絡彈性融合了網絡安全、風險管理和業務持續性的最佳實踐，推動機構制定適應數字化業務目標與需求的戰略。

　　全球知名RSAC峰會將2021年的會議主題確定為“彈性”，適應新現實和探尋新方案。美國陸軍也在加強網絡彈性研究，確保在網絡系統被入侵或遭受攻擊時能夠繼續執行任務。

　　為實現彈性網絡，基于安全內生理念的新一代網絡安全框架，將會成為2021年網絡安全建設的重點之一。內生安全框架推動網絡安全能力組件與信息化的體系化地聚合，構筑動態防御、主動防御、縱深防御、精準防護、整體防護、聯防聯控的能力，從而實現應對攻擊的網絡彈性。

　　網絡安全沒有靈丹妙藥。現在能做的最好準備就是實現網絡彈性，幫助政企機構度過肆虐的疫情和日趨嚴峻網絡攻擊，更從容地面對未來的威脅。

　　04  個人隱私法規將繼續加強，企業面臨更高的隱私保護壓力。

　　個人隱私和信息泄露事件頻發，推動各國通過立法加強個人信息保護工作。預計，2021年將會有更多的國家加強隱私保護立法和監管行動，增加對消費者的保護和提升企業的責任。企業機構需要努力適應新的、更為嚴苛的數據隱私法規。信息安全負責人面臨前所未有的隱私和違規風險。此外，越來越多企業會將隱私保護視作客戶體驗的重要組成部分，從而使隱私保護負責人員獲得更多支持。

　　2021年1月1日，我國《民法典》正式實施，個人信息保護范圍擴大。根據全國人大立法工作安排，2021年將會繼續審議《數據安全法》、《個人信息保護法》等法律，有望在2021年出臺，為個人信息保護方面形成更加完備的制度、提供更加有力的法律保障。

　　2021年美國加州有望通過《加州隱私權法案（CPRA）》，作為當前《加利福尼亞州消費者隱私法案（CCPA）》的演進版本，將會增加政府對用戶隱私的保護力度。此外有分析認為，2021年美國有望推動全國范圍的隱私保護法律，以便全國機構遵循同一個標準。

　　2021年企業面臨的隱私保護合規壓力不斷增加，處理用戶個人數據時，企業需要采取“在設計層面納入隱私考量”的新方法，在軟件設計之初就規劃和考慮隱私保護問題。

　　05  國際網絡對抗白熱化 網絡攻擊公開化

　　疫情流行導致遠程辦公盛行，使2020年成為勒索攻擊的繁榮之年。2021年經濟下滑將促使攻擊組織更青睞可以帶來豐厚利潤的攻擊方式，勒索軟件攻擊活動將會繼續盛行。

　　勒索攻擊的黑產模式將走向成熟，同時帶動勒索攻擊手段的進一步演化，構成所有機構最大的安全威脅。勒索犯罪組織的生態逐步細分，各細分領域攻擊者開始聯手獲取更大利益，包括惡意軟件制作者、分發者、漏洞利用工具包創建者、洗錢團伙以及其他類型的參與者。更令人擔憂的是一些大型勒索集團開始緊密聯系起來，由于其巨大的潛在利益回報，采取針對性勒索攻擊的團伙越來越多。

　　2020年德國杜塞爾多夫的醫院出現首起勒索攻擊致死事件，未來包括關鍵基礎設施在內的設備和傳感器會日益成為網絡罪犯的攻擊目標，人類生命將會面臨風險。

　　增加壓力迫使交付贖金，針對最脆弱的受害者進行攻擊，以及加密數據更難恢復，攻擊者的這些策略將使勒索攻擊成為2021年網絡犯罪人員最賺錢的“業務”，也是所有機構面臨的最大威脅。

　　06  黑客組織攻擊手段持續演進，供應鏈等攻擊方式將受重視

　　2020年的疫情沒有影響網絡攻擊組織的行動，2021年的攻擊組織，尤其是國家背景的APT組織，將會不斷演化其戰術、技術和流程（TTP），繼續加大旨在導致業務中斷、竊密和經濟損失的攻擊行動。火眼、卡巴斯基等知名安全公司都做出了2021年“APT組織數量將會繼續增長”，“某些攻擊組織將會在2021年致力于實施旨在制造破壞，類似于震網病毒、BlackEnergy （黑色能量）的攻擊活動”。APT攻擊工具和網絡武器市場為眾多后進入攻擊組織提供了有力的支持。

　　太陽風（SolarWinds）安全事件證實復雜的供應鏈已經是最薄弱的環節，攻擊的成功也必然吸引更多國家級黑客組織采取這種攻擊方式。其中，開源軟件作為滲透機構的簡便方式，構成嚴重的安全威脅。目前對開源軟件的依賴更加普遍。IDC調查顯示，2021年“大約25％～34％的新應用將由30％的開源軟件組成”。2021年，利用開源代碼實施攻擊的趨勢將加速增長，并向更重要的開源基礎設施項目嘗試滲透。

　　2021年疫情造成的影響還將持續。在遠程辦公環境，身份成為新的邊界，機構在身份和訪問管理（IAM）上弱點，帶來安全盲點和漏洞，將會成為多種網絡犯罪的根源。2020年暗網市場流行的網絡憑據，也將在2021年成為攻擊組織滲透和攻擊的有力工具。

　　正如在2019年沒有人想象得到疫情的發生，2021年的黑客組織也可能以我們難以想象的方式，實施影響深遠的攻擊活動。

　　07  實戰攻防演習效果明顯，推動政企實戰化安全能力建設

　　實戰攻防演習的效果顯現，尤其是未來針對關鍵基礎設施的實戰攻防演習，將會對政企機構帶來更大壓力，顯著推動網絡安全建設。

　　2020年以來，國家主管部門主導的國家級網絡安全實戰攻防演習中參與演習的行業更加廣泛，攻擊和防守雙方的對抗更是前所未有。除了傳統的web攻擊、0day、釣魚、物理滲透等攻擊手段，攻擊隊開始更多轉向精準攻擊和供應鏈攻擊。

　　隨著數字化轉型的深入開展，攻擊者的目標系統逐步轉向核心業務數據和承載核心數據的業務應用。攻擊者的角色也從普通的個人網絡犯罪，到有組織的攻擊甚至有境外背景的國家級對抗。攻擊工具的武器化、攻擊手段的戰術化，均對政企用戶的網絡安全防御提出了更高要求。

　　實戰攻防演習成為政企用戶網絡安全保護的常態化工作，也成為政企用戶檢驗網絡安全防御體系有效性、全面提升網絡安全綜合防護能力的重要手段。在實戰攻防演習的推動下，政企機構在加強IT資產管理和漏洞管理等，方向實戰化成為未來政企用戶網絡安全建設的重要能力，而實戰攻防演習則成為了政企用戶實戰化安全能力建設的重要手段。

　　Part 4 - 2021建議

　　安全快一步

　　規劃快一步  讓安全少走彎路

　　安全防護“左移”實現安全內生已成為業界的共識。傳統上那種先建設、后防護的附加和外掛安全能力模式，已被證實無法適應攻擊日益頻繁、手段日益高級的網絡安全形勢。建造大樓和制造汽車，首先考慮的是根基牢固和安全。在加快推進新型基礎設施建設的“十四五”期間，更應該將網絡安全明確為“新基建” 的最重要基石，實現“同步規劃、同步建設、同步運營”，才能為新基建打造牢固的安全底座。在信息系統和應用，以及新型基礎設施建設中，唯有做到“規劃快一步”，才能避免漏洞頻現的不合格工程，讓安全少走彎路。

　　發現快一步  守好安全第一線

　　2020年年底爆出的年度最嚴重的APT攻擊事件，波及美國重要政府部門和頂級安全公司，這再次說明：不存在絕對安全的系統。在強大網絡攻擊者面前，沒有哪個機構能夠幸免。更快、更早地發現網絡攻擊行為，及時地遏制攻擊和將損失降到最低，這是最現實的做法。借助態勢感知平臺、安全運營平臺（SOC）以及安全編排與響應自動化系統，實現對安全威脅的及時發現、響應和處置，是守好安全第一線的基礎。

　　攻防快一步  掌握安全主動權

　　在網絡安全防護中，通過“以攻促防”，可以檢驗信息系統的安全性和運維保障的有效性，提升網絡安全的整體防御水平。目前各行業舉辦的常態化實網攻防演練已成為發現系統漏洞、檢驗防護能力的重要方式。一場有效的實戰攻防演習檢驗的不是單純的業務系統是否安全，更重要的是以人為核心的安全意識和抗風險的能力。攻防快一步，掌握安全主動權，可以有效保障自身業務系統經受實戰化網絡攻擊的考驗。