2015年的网络安全隐患层出不穷,网络犯罪波及范围、严重程度呈扩大趋势,黑客组织规模及技术手段日益精进。各国随之也加大了网络安全建设力度,政府、企业“抱团取暖”共享技术信息,政府通过出台法规、加强监管、投入教育和人才培养,将网络安全上升到国家安全高度,和网络犯罪分子展开一场场激烈的、高科技“猫鼠游戏”。同时值得注意的是,2015年的网络犯罪变得更加专业化、规模化、组织化,以ISIS为代表的恐怖组织也加入了网络攻防战,同时也促成了网络安全相关产业的蓬勃发展。
损失惨重,多数企业缺乏抵御能力
——政府企业损失惨痛创下多个“历史最严重”
IBM发布的《2015年英国数据泄漏损失调查报告》显示,2015年英国平均每家公司因黑客攻击造成损失已达237万英镑。信息安全机构Ponemon发布的《2015年网络犯罪损失报告》称,2015年美国平均每家企业因网络犯罪损失已达到1540万美元,较2010年的650万美元已成倍上涨。2月,美国大型医保企业Anthem称,约8000万客户信息遭泄露;6月~7月,美国人事管理局宣布遭到黑客大范围攻击,共造成2210万人的数据遭到泄露,包括社保账号、住址信息、薪资状况、背景调查信息等。10月,英国宽带服务提供商TalkTalk表示,该公司受到了严重的网络袭击,导致400万用户个人信息泄露,这是英国史上规模最大的数据泄露事件之一。
国内影响最大的一起安全事故则是XGhost事件。2015年9月17日,网上消息曝光非官方下载的苹果开发环境Xcode中包含恶意代码,会自动向编译的App应用注入信息窃取和远程控制功能。经确认,包括微信、网易云音乐、高德地图、滴滴出行、铁路12306,甚至一些银行的手机应用均受影响,App Store 上超过3000个应用被感染。值得注意的是,与2014年相比,国内信息泄露事件的曝光度有上升的趋势。
——仍有大量企业缺少必要的抵御网络风险手段
美国证券存托与清算公司发布2015年报告显示,多数金融机构将网络威胁视为最重要的风险之一。受访公司认为金融市场和其他重要行业受到网络攻击的次数会不断增加,攻击手段也会越来越复杂。
美国SANS研究所发布报告称,通过调查770家企业后得出结论,约三分之一的企业无抵御网络威胁的手段,主要原因是因为缺乏培训、预算不足以及称职员工缺失。
惠普发布《2015年网络安全运营状况报告》显示,全球企业在防御网络攻击(甚至是最简单的网络攻击)方面的准备工作严重不足。报告称,当前,随着网络攻击规模和影响力的不断扩大,企业高管必须对此予以重视,并制定出相应的方案。
政府牵头,网络安全建设大步向前
——成立网络安全组织,出台相关法令
3月5日,英国国防科学与技术实验室宣布建立新的实验室计划,专注于发现针对英国的网络威胁。该实验室将致力于在英国关键技术设施中找到漏洞,并对这些漏洞进行评估,以完善应对网络攻击的军事能力和恢复力。4月,法国政府通过法令,该法令适用于包括银行、电信运营商及连锁零售企业在内的对国家安全具有战略意义的218家企业,这些企业需要向法国国家信息系统安全局报告所遭遇的入侵事件,据法国IT安全协会委员会成员透露,大企业每年要为这些举措花费数十万欧元。12月7日,欧盟通过《网络信息安全指令》,要求谷歌和亚马逊等互联网企业上报严重入侵事件,否则将面临制裁,该指令将提高能源、交通、金融等关键基础设施行业供应商的安全标准。
——未雨绸缪,制定未来网络安全发展计划
4月28日,欧盟委员会推出2015~2020年安全计划,在未来5年里的安全行动目标主要是针对欧盟当前面临的恐怖袭击、有组织犯罪和网络犯罪三大主要威胁,其主要任务和手段是阻止极端主义、制定打击恐怖活动的法律框架、阻断犯罪分子的资金来源、加强与情报部门的对话和国家间的情报交流、打击武器非法走私、强化网络犯罪监控以及提高欧洲刑警组织的行动能力等。
5月25日,日本政府举行会议制定新的《网络安全战略》,提出“主动遏制恶意行为的自律性”、“政府和民间加强合作”等举措,并在物联网、能源、机械等领域重点采取网络安全措施。
——加强人才招募和培养,扩充网络部队规模
5月12日,英国政府通信总部发布首次招聘计划,招募计算机网络人才,用以侦测和预防针对国家关键基础设施和政务系统的重大网络攻击,打击网络犯罪。
美国国土安全部出台计划,将在2016年6月底前招募1000名网络安全专家,美国联邦人事管理局已经批准了该项招聘权威专家的计划。
7月,英国政府通信总部又认证了6个网络安全硕士学位,使英国可以设置相关硕士学位的大学达到12所。这是GCHQ支持英国发展网络安全教育的一部分。
——政府借助企业力量,通过执法机构和业界合作以保护关键数据
2月,欧洲网络犯罪中心宣布与安全公司AnubisNetworks达成谅解备忘录,将就专业技术、统计资料及其他战略信息展开交流,共同对抗网络犯罪所带来的全球威胁。
同月,欧洲网络犯罪中心开展与微软、赛门铁克等企业的合作,联手关闭了Ramnit的僵尸病毒服务器,该病毒感染了欧洲成千上万台计算机。此次打击行动是政府组织和私营企业之间进行国际合作、对抗网络犯罪的成功典范。
——积极推进国际间交流以建立良好合作关系
8月11日,美印网络对话在美国国务院举行,两国确定了合作方向,欲加强在网络安全能力建设、网络安全技术研发、打击网络犯罪、国际网络安全及互联网治理等方面的合作。
11月30日,英国国家打击犯罪局举办了为期一周的网络安全演习,汇集了来自美国联邦调查局、欧洲刑警组织的网络专家以及包括美国、格鲁吉亚、乌克兰在内的8个国家的特工人员。演习的目的是帮助建立起协同合作的团队关系。
12月16日,英国工程与物理科学研究委员会和新加坡国家研究基金会宣布未来三年共同出资展开合作研究,开发增强系统网络安全建设。
并购潮起,安全产业价值不断攀高
市场研究机构ABI Research报告称,截至2015年年底全球管理安全服务市场总值将达154亿美元。不断增多的网络威胁、政府法规以及企业内部相关资源的缺乏使得企业逐渐转向管理安全服务提供商寻求专业帮助。
由美国元鼎科技公司、雷神公司等16家企业共同参与编撰的《2015~2025全球网络安全市场报告》指出,网络安全市场有望在2015年达到114亿美元规模,在预测期内年复合增长率达4.23%。
2015年安全行业掀起投资并购大潮,上亿美元的融资并购至少有近20起,其中最大的三起分别是Bain Capita24亿美元收购Blue Coat、思科6.35亿美元收购OpenDNS和新加坡电信Singtel以7.7亿美元完成对管理安全服务提供商Trustwave的收购。国内影响较大的如腾讯再度以6亿人民币投资知道创宇,百度全资收购安全宝等。
细思恐极,网络恐怖主义不容忽视
2015年1月,IS支持者入侵了美国中央司令部的YouTube和推特账户,窃取了大量内部文件并泄露到了网上。IS控制美国中央司令部推特账户长达1个小时,并把美国中央司令部的logo换成了“I love you ISIS”。4月,法国电视台5台遭到来自IS拥护者、黑客组织Cyber Caliphate的大规模网络攻击。攻击者因不满法国总统奥朗德参加国际反恐行动,入侵了电视台的广播传输渠道。
随着恐怖分子对网络技术的运用,网络反恐提上议程。2015年2月,英国军方决定建立关于社交媒体的特殊作战部队又称“77旅”,以应对日益猖獗的IS网络恐怖主义。法国议会也在2015年通过了反恐新法,包括对网络平台进行更加严格的监控,对涉嫌恐怖主义信息宣传予以惩罚。
IS等极端组织策划的一系列袭击事件也刺激了民间黑客的反恐行动,尤其是巴黎恐袭事件发生后,多个民间黑客组织宣布与IS开战。11月16日,全球最大民间黑客组织“匿名者”通过推特宣布对IS宣战,发誓将把IS从互联网上清理掉。“匿名者”加入网络反恐战斗,得到了大量网民甚至是官方网络反恐专家的欢迎。
法国巴黎遭遇大规模恐怖袭击后,社交媒体脸书和推特等科技公司都推出了相关功能与服务来应对恐怖袭击。脸书于巴黎恐怖袭击发生当晚激活了“安全确认”功能,让位于恐袭地区的用户能够在其个人页面贴上标记,告知亲友其安全状态。谷歌在地图上标注了发生爆炸和枪击案的地点。推特则推出新闻筛选标签“Moments”利用数据抓取来收集新闻机构和目击者提供的推文、图片和视频,方便及时汇总信息。
链 接
2015年影响较大的信息泄露事件
互联网资讯网站Dev Store整理了2015年国内外影响比较大的信息泄露事件:
2014年年底~2015年年初,铁道部官方网站13万用户信息泄露,包括身份证、登录口令等,据调查分析应是撞库所致。
2015年1月,俄罗斯约会网站Topface,2000万用户名和电子邮件地址被盗。
2月,优步披露,5万名优步司机的个人信息被不知名的第三方人士获取,包括社保码、司机相片、车辆登记号等信息。
3月,医保提供商Premera蓝十字披露,1100万客户的医疗和财务数据泄露。
3月,牙齿医疗机构 Advantage Dental 约15万病人信息泄露,包括姓名、住址、出生日期、电话和社保码。
4月,360补天平台披露,遍布19个省份的社保系统相关信息泄露达5279.4万条,其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。
4月,美国Metropolitan State大学16万学生个人信息泄露,包括出生日期、家庭住址、电话、个人成绩。
5月,全球知名成人约会网站 Adult FriendFinder 390万用户信息泄露,包括电子邮件、IP甚至包括性偏好信息。
5月,手机监听软件制造商mSpy约40万用户信息泄露,包括电子邮件、短信、照片、付款记录和跟踪数据。
5月,美国国税局超过10万名纳税人的财务信息泄露。
7月,内衣制造商Hanesbrands客户订单数据库被黑,约90万网络和电话用户信息泄露,包括地址、电话和信用卡后四位数字。
7月,FireKeepers Casino 酒店披露8.5万信息卡和借记卡信息在2014年泄露,包括银行卡号、姓名、验证码和卡终止日期等信息。
8月,在线票务销售平台大麦网600余万用户账户密码泄露并在黑产论坛公开售卖。
8月,英国电信运营商Carphone Warehouse约240万在线用户个人信息泄露,其中包括姓名、地址、出生日期和加密的信用卡数据。
10月,音乐众筹网站Patreon超过16GB的文档资料泄露,包括230万个用户的电子邮件地址。
10月,为美国移动电话服务公司T-Mobile提供数据服务的Experian遭到黑客入侵,导致T-Mobile的1500万用户个人信息泄露,包括用户姓名、出生日期、地址、社会安全号、ID号码等。
10月,美股券商Scottrade460万客户的姓名及地址信息泄露。
10月,英国电信运营商Talktalk120万用户信息泄露,包括电子邮件、姓名和电话号码,以及数万银行账户信息。
10月,美国网络券商史考特超过460万客户的联系人信息被攻击者获取,泄露的信息为客户姓名与地址。
10月,乌云平台曝光网易用户数据库“疑似泄露”,数量近5亿条。虽然至今没有证据证明这个数字,但许多普通网民纷纷表示自己的邮箱被登录篡改,甚至由于用网易邮箱注册苹果账户,而导致手机被网络犯罪分子锁住,也是一个不争的事实。
11月,喜达屋集团旗下54家酒店发现窃取信用卡信息的恶意软件,包括客户名称、信用卡号码、信用卡安全码和到期日期等信息泄露,泄露数量尚未公布。
11月,香港早教电子设备公司伟易达500万用户和600万儿童的个人信息泄露,包括登录密码、IP地址、照片、聊天记录姓名、性别等。
12月,英国快餐连锁店waterspoons 65万顾客信息泄露,包括姓名、出生日期、电子邮件和电话号码。
2015年各国政府的主要安全政策
互联网资讯网站“Dev Store”整理了2015年国内外影响面较大的与安全政策相关的事件:
从国内来看,6月,《中国互联网协会漏洞信息披露和处置自律公约》在北京签署,公约提出漏洞信息披露的“客观、适时、适度”三原则。
6月,国务院办公厅发布《关于运用大数据加强对市场主体服务和监管的若干意见》。加大网络和信息安全技术研发和资金投入,建立健全信息安全保障体系。采取必要的管理和技术手段,切实保护国家信息安全以及公民、法人和其他组织信息安全。
7月,我国新的国家安全法实施。新法要求建设网络与信息安全保障体系,提升网络与信息安全保护能力,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。
8月,全国人大常委会正式通过中华人民共和国刑法修正案(九)。明确了网络服务提供者履行信息网络安全管理的义务,加大了对信息网络犯罪的刑罚力度,进一步加强了对公民个人信息的保护,对编造和传播虚假信息犯罪设立了明确条文。
9月,国务院印发《促进大数据发展行动纲要》,在网络和大数据安全方面要求,在涉及国家安全稳定的领域采用安全可靠的产品和服务,到2020年,实现关键部门的关键设备安全可靠。
11月,工商总局印发《关于加强网络市场监管的意见》,全面加强网络市场监管。推进“依法管网”、“以网管网”、“信用管网”和“协同管网”。
国际上,5月,美国商务部工业与安全局公布《瓦森纳协定》的修改草案,新规则规定美国企业或个人向境外厂商报告漏洞情况是一种出口行为,需预先申请政府许可,否则将被视为非法。
6月,美国国会通过《美国自由法案》,11月国家安全局正式停止对公众的大规模监听电话数据的行动。
10月,欧盟法院宣布与“美国-欧盟安全港协议”有关的“2000/520号欧盟决定”无效。欧盟成员国数据监管机构可以依此禁止美国公司收集、存储其国民的个人数据。
10月,美国国会参议院通过《网络安全信息共享法案》,允许公司和政府分享黑客攻击信息,之前众议院也通过了这个法案,最终等到美国总统奥巴马签署后,将成为正式法律。
11月,英国政府公布新版《调查权法草案》,要求互联网公司和手机制造商能永久地拦截和收集通过其网络传播的个人数据,并赋予其协助安全机构和警察调查国家安全相关事项的权利。
