_($0PXQFQ7Y(P~4838LJ_]L.png

管理培训搜索
18318889481 17875936848

管理
| 并购重组

破产重整 不良资产处置 并购分析 重大资产重组 破产管理人 并购重组 管理控制与企业合并 企业价值 技术投资与并购

| 转创国际企业研究所

中国企业国际化发展 董事之家 财务创新全球化研究 商务创新与全球化 教育系统 专精特新企业 企业内控与风险管理 集团管控 通商董事会馆 全球ESG政策法规 转创全球科创智库 CRS中心 雏鹰企业 高新技术企业 国际税务研究所 瞪羚企业 管理创新与全球化 企业治理

| 创新创业

电子商务师 知识产权发展 价值共创 企业科创管理 知识产权 高新技术企业认定 电子商务 全面质量管理 移动支付 私营经济 企业经营 商业模式创新 灯塔工厂 企业产品创新 客户与营销 专利 商标 著作权 商业规划 产品检测 金融科技 海关知识产权 企业创新绩效 地理标志保护 价值网络 企业创新管理 科技管理创新 集成电路布图设计 企业知识产权管理 发明专利 版权 精益创新

| 转型升级

十四五规划专题 碳达峰中和计划 科技创新 全过程工程 环保技术 数字化转型 碳排放管理 供给侧改革 转创国际技术转移 数控工厂 碳排放管理会计 全面绩效管理 应对气候变化 组织变革与管理转型 国有资产管理 进出口企业管理 盈利模式转型 绿色能源与碳核算 气候审计与鉴证 数字化监管

| 投融资与股权激励

广东股权交易中心 私募热点 私募投资 投融资简报 项目投资决策 案例研究 内保外贷 气候投融资 价值评估 企业价值评估 供应链金融 银行境外贷款 前海港企贷 投资系统 知识产权金融 股权投资 风险投资 股权质押 企业投资 股权激励

| ESG中心

ESG研究 绿色金融 ESG合规 信息披露 ESG咨询 公司治理 ESG评论 环境信息披露

| 管理咨询

工程造价 管理会计 企业内控管理 医院管理 物流与供应链 预算管理与会计 财务经理人 环境评价 家族企业管理 企业价值 精算科学 企业发展管理咨询 企业能源效率 管理培训 质量管理 流程管理 精益生产 商业策略 企业技术与绩效 中国卓越管理公司 数据分析 核心业务运营 投资管理 许可证 管理咨询 可行性研究 商业计划书 绩效评价 预算评审 绩效考核 企业运营 价值创造 商业模式评估 外贸管理

| 资产评估中心

资产评估研究 土地评估 知识产权评估 资产评估咨询 特许经营权评估 古建筑评估 价格鉴证 不良资产评估 无形资产评估 房地产估价

| 人力资源

人力资源会计 劳动关系协调 高层次人才 人才引进 薪酬管理 入户落户 培训与开发 人力资源 股权激励与绩效考核 薪酬激励 人社中心

| IPO咨询

招标投标 市场研究 项目管理 上市公司独立董事 IPO咨询 独立董事 关联交易管理 跨境资金集中运营 董事会治理 保险公司绩效评价 资产负债管理 企业管理与战略

| 2022年数字安全大事记当前您所在的位置:首页 > 管理 > 转创国际企业研究所 > 转创全球科创智库

20230104162246.png

一、2022年度数字安全十大态势

1、网络对抗开始全面泛化

  从俄乌战争进程来看,网络战作为现代战争中的一种新型攻击力量,开始走向前台。随着全球网络化、数字化的普及大潮,信息基础设施已经成为关键基础设施,因此在战争中一定是重点攻击对象。不仅如此,网络攻防技术还广泛用于窃取商业机密、切断生产供应的贸易战,用于操纵舆情民意、影响意识形态的文化战。数字安全已经成为国家安全有机且重要的组成部分。

2、数据安全的重要性突显

  自2021年《数据安全法》颁布以来,各行业监管机构随之也在出台本领域的数据安全条例、办法。关键基础设施部门和企业,或计划或已经设立数据安全部门或岗位。业界已经开始认识到,网络安全是数据安全的基础和重要手段,其最大价值与核心目的在于保障数据安全。

3、合规与创新的双轮驱动

  网络安全行业发展了三十年,从计算机安全等级保护,到信息安全等级保护,再到网络安全等级保护,充分体现出合规的第一驱动作用。但数字安全的复杂性和碎片性,只能依靠创新来引领和解决。数字安全行业的未来,一定是合规与创新双轮驱动。

4、一体化解决方案的涌现

  用户开始摆脱安全产品的“最佳选择”,转向产品和供应商整合,集成多种具备某种共性产品的安全平台,即基于平台的一体化解决方案。如云原生应用保护平台CNAPP、安全可见性/优先级和验证的SOPV、扩展检测和响应XDR、零信任访问架构ZTNA、安全访问服务边缘SASE,以及数世咨询提出的持续应用安全CAS、数据访问安全域DASS、一体化端点安全IES等。

5、安全运营成为业界共识

  安全的动态性、伴生性、系统性和服务性,要求必须引入运营的方法论。用户真正需要的是安全能力、安全效果的提升,而不是安全设备、软件等产品的堆砌。具备一定信息化水平并拥有独立安全团队的用户,已经开始落地安全运营。根据对甲乙双方实际情况的调研,数世咨询提出安全运营的五要素:工具、人、平台、流程和管理。

6、网络安全保险初现端倪

  随着工信部发布《关于促进网络安全保险规范健康发展的意见(征求意见稿)》,网络安全保险的概念在国内业已历经九个年头。各大保险公司已经开展相应试点业务,安全评估、安全服务+保险业务,以实现事前中后的网络保障并减少经济损失的模式,逐渐形成一条切实可行的道路。“有风险就会有保险,有网络风险就会有网络保险—数世咨询。”

7、基于风险的产品待观察

  对于许多用户来说,大多数漏洞都与自身没有关系,所有的数字资产暴露面也不一定都是攻击面,海量的警告等于没有警告,绝大多数的安全分析人员都在疲于奔命。这些实际情况,决定了基于风险角度来做安全的必要性。但目前,国内绝大多数安全厂商的产品并未达到这一要求,大多停留在理念的层面,实际应用效果有待观察。

8、数字安全能力呈阶梯状

  国内用户的数字安全能力呈阶梯状。既有丰足的安全预算投入、全套的安全工具和豪华安全团队的超大型企业,也有无预算、无工具、无人员的三无用户。究其原因,中国各地区的经济发展水平差异较大,信息化、数字化程度也参差不齐,数字安全的水平或能力自然也是高低不等。但这种阶梯状,意味着国内不仅有创新安全产品的发展空间,还会有对传统安全产品的大量需求。

9、警惕供需不匹配的可能

  2022年,整个安全行业的净利润继续下降,甚至有可能出现负利润。许多企业的研发投入、业务活动以及人员数量都在收缩。但明年政企的安全预算有明显增加的趋势,因此在技术、产品和服务的购买、部署、交付和维护方面,有可能出现供需能力不匹配的现象。

10、2022年突破千亿市场

  据数世咨询的年度统计,数字安全市场2020年达到历史增长记录29.9%,但在2021年增长率下降为18.6%。原因在于2021年政府的安全投入大幅度下降,而2022年不仅政府,央企的预算也在收缩。因此,2022年的增长率会进一步下降,预计约在11%左右。但即使以10%的增长率估计,2022年数字安全市场规模也将历史性的步入千亿市场。(详见:《中国数字安全产业统计与分析报告(2022)》

二、数据泄露与网络攻击篇

1、重要结论


  ● 2022年是数世咨询核心成员撰写大事记八年来,首次出现数据泄漏事件在统计数量、规模,以及影响程度上均有所下降的趋势。可能的原因有二,一是安全意识和防护措施普遍提高,不容易发生巨大规模的泄露事件。二是数据泄露已是常态,难以引起更多人的关注。
  ● 和往年类似,数据库的配置错误(无意)、勒索软件和针对性的网络攻击,仍是数据泄露的三大主要原因。但配置错误的事件数量有所下降,勒索软件由过去纯粹的加密勒索转变成盗窃数据,然后勒索赎金或暗网售卖的事件明显增多。
  ● 2022年,与国家政治相关的攻击活动激增,尤其是以俄乌战争、伊朗和以色列两国冲突相关的网络攻击为典型代表。
  ● 攻击造成的影响主要有两大类,一是造成生产制造业、医疗教育、政府事务类的业务中断。二是直接盗取数字资产。据网络安全公司的统计,2022年黑客攻击窃取的加密货币价值约43亿美元,比2021年同期增长37%。


2、2022年度十大数据泄漏事件

  1月,美国佛罗里达医院通知130万名患者发生数据泄露事件,泄露的信息包括姓名、地址、电话号码外、社会安全号码、银行账户信息和病历。

  1月,红十字国际委员会声称,其某托管服务器被入侵,该服务器存储着因冲突、移民和灾难而与家人失散的、失踪人员,及其家人和被拘留者信息,共51.5万人。

  3月,信用报告公司TransUnion的服务器遭入侵,涉及5400 万南非公民的信息,其中包括2400万南非人的信贷信用数据。黑客要求支付1500万美元的赎金。

  5月,一个包含 2100 万用户个人详细信息和登录凭据的数据库在Telegram群组中泄露。该数据库上一年曾在暗网上出售,但现在可以在Telegram上免费获得。

  6月30日,某地下论坛公开出售包含有十亿中国居民信息的数据库,包括姓名、地址、出生地、身份证、手机号及相关犯罪/案件记录。

  8月,某地下论坛以4000美元的价格出售包含4850万用户的随申码数据库,并公开了其中一些数据样本。包含用户姓名、手机号码、身份证号、随申码颜色、UUID等。

  8月,研究人员发现印度联邦警察的金融欺诈调查记录和其他敏感数据在云上暴露,包括姓名、余额、帐号、交易金额、目的地和印度中央情报局处理的案件等信息,共约3.35 亿条记录。

  9月,威胁情报公司SOCRadar通报微软,由于Azure中存储数据库的配置错误,导致数据泄露,涉及111个国家/地区约6.5万个实体,是近年来最大的B2B泄漏之一。

  11月,一个包含4.87亿WhatsApp用户手机号码的数据库在地下论坛出售,该数据集来自超过84个国家的WhatsApp用户的信息。

  12月,蔚来汽车发布公告称,黑客以信息泄露为名勒索225万美元价值等额的比特币。经初步调查,蔚来汽车2021年8月之前的百万条用户基本信息和车辆销售信息遭窃。

3、2022年度十大网络攻击事件

  1月,一个名为“网络游击队”的黑客组织用勒索软件加密了白俄罗斯铁路网络的“一些服务器、数据库和工作站”,但并未主动破坏“自动化和安全系统”的运行以避免紧急情况。黑客要求“释放需要医疗援助的50名政治犯”。

  2月,由于一个智能合约漏洞,加密货币平台Wormhole被攻击者窃取了价值3.2亿美元的以太币。事后,Wormhole发布通告,希望能用1000万美元的漏洞赏金换取被盗的以太币。

  2月,乌克兰军方和金融机构被DDoS攻击,国防部和一些军事基地的网站,以及两家最大的银行网站宕机。

  2月,爱尔兰卫生服务首席信息官在一封信中表示,2021年勒索软件Conti导致该国医疗系统中断数周,新冠疫苗门户网站被关闭,数十项门诊服务被取消,预计恢复系统的最终成本将超过1亿美元。

  3月,日本汽车巨头丰田表示,由于受到“某种网络攻击”,导致供应商系统故障及生产控制系统出现问题,决定暂停其在日本14家工厂的所有28条生产线的生产。

  3月,区块链平台Ronin遭网络入侵,攻击者从其平台上提走总价值约6.15亿美元的以太币和稳定币,堪称有史以来加密货币最大的网络攻击事件。

  6月,在圣彼得堡举行的俄罗斯经济论坛上,由于其在线直播系统遭受DDoS攻击,导致总统普京的讲话被推迟了约100分钟。

  6月,中国西北工业大学发布声明遭网络入侵,经国家计算机病毒应急处理中心和360的调查分析发现,美国国家安全局“特定入侵行动办公室”,在数年的时间里针对西北工业大学发动了上千次网络攻击,长期窃密并将信息打包加密后回传至美国国家安全局总部。

  8月,谷歌声称阻止了有史以来最大的基于HTTPS的DDoS攻击,该攻击的峰值达到每秒4600万个请求(RPS)。在两个月前Cloudflare披露了一次史上规模最大的DDoS攻击,攻击流量来自全球132个国家的5256个源IP。

  10月,近日,黑客利用跨链桥的合约漏洞入侵了加密交易所币安旗下的BNB Chain,通过增发BNB(币安币)的方式分两次共获取200万枚BNB,共计价值约5.66亿美元。

大事记01.png

大事记02.png

三、漏洞篇

1、重要结论


  ● 漏洞数量持续上升,并在可预期的未来看不到减缓的趋势。本质原因在于,数字化系统(如硬件、设备、软件、应用、数据等)的规模和复杂程度激增,而数字安全意识、技术、产品、服务滞后于数字化的发展。
  ● 某厂商或某产品的漏洞数量,主要取决于应用规模,即漏洞数量与应用规模呈正比。其原因在于,漏洞数量的多少在于有多少人去“挖掘”(发现)漏洞。“理论上,漏洞永远存在。甚至可以说,功能即漏洞——数世咨询”。


2、漏洞情况综述

  截止到目前(12月29日)为止,CNNVD(国家信息安全漏洞库),2022年总漏洞数为24644个,同比去年增长了约17.42%。截止12月26日,NVD共发布漏洞数量24731个,较去年同期增长18.49%。

  2022年CNVD的漏洞分布显示排名第一的漏洞类型为“设计错误”,占比68.0%,再次为“输入验证错误”,占比27.5%。 

大事记03.png

大事记04.png

  2022年VULHUB开源网站威胁库收录的总漏洞数为27193,同比去年增长了约16.69%。其中严重漏洞3389个,高危漏洞7754个,中危漏洞7735个,低危漏洞403个。

大事记05.png

   VULHUB采用CWE作为漏洞分类标准,其中排名前10的漏洞类型分别为:在Web页面生成时对输入的转义处理不恰当(CWE-79),内存缓冲区边界内操作的限制不恰当(CWE-119),输入验证不恰当(CWE-20),信息暴露(CWE-200),SQL命令中使用的特殊元素转义处理不恰当(CWE-89),权限、特权与访问控制(CWE-264),跨界内存写(CWE-787),对路径名的限制不恰当(CWE-22),跨界内存读(CWE-125),跨站请求伪造(CWE-352)。(注:漏洞分析数据由丈八网安提供)

大事记06.png

  截止2022年,据VULHUB统计,历史累计漏洞最多的厂商如下:


  微软(9286)
  甲骨文(8738)
  谷歌(8233)
  惠普(6399)
  苹果(5836)
  IBM(5820)
  思科(4492)
  红帽(4282)
  Fedora Project(4018)
  Mozilla(2351)
  阿帕奇(1881)
  Joomla(820)


大事记07.png

  2022年度漏洞最多的厂商如下:


  谷歌(1190)
  微软(943)
  甲骨文(471)
  苹果(448)
  思科(222)
  阿帕奇(172)
  IBM(162)
  红帽(148)
  惠普(123)
  Adobe(79)


大事记08.png

  截止2022年,历史累计漏洞最多的操作系统及浏览器如下:


  Android(7134)
  Debian(6824)
  macOS(5112)
  Windows XP(3754)
  Ubuntu(3352)
  Windows10(3021)
  Windows Server 2008(2794)
  Chrome(2653)
  Windows7(2298)
  Windows8.1(2214)
  Firefox(2043)


大事记09.png

2022年度漏洞最多的操作系统及浏览器如下


  Android(807)
  Windows10 (525)
  Debian (520)
  macOS (442)
  Windows7 (315)
  Chrome (288)
  Linux Kernel(246)
  iOS (146)
  Ubuntu (9个)
大事记10.png


  由于2022年12月重大漏洞频发,截止2022年12月26日,VULHUB通过对近期漏洞风险状况进行综合评估计算得出当前的漏洞风险指数为“危急”。 

大事记11.png

  参考:http://vulhub.org.cn/index

3、2022年度十大利用率最高漏洞


  1、Log4shell(CVE-2021-44228)[CVSS V3:10.0]
  2、Spring4Shell(CVE-2022-22965)[CVSS V3:9.8]
  3、F5 BIG-IP(CVE-2022-1388)[CVSS V3:9.8]
  4、Atlassian Confluence RCE漏洞(CVE-2022-26134)[CVSS V3:9.8]
  5、Zyxel RCE漏洞(CVE-2022-30525)[CVSS V3:9.8]
  6、Zimbra协作套件漏洞(CVE-2022-27925、CVE-2022-41352)[CVSS V3:分别为7.2和9.8]
  7、ProxyNotShell(CVE-2022-41082、CVE-2022-41040)[CVSS V3:均为8.8]
  8、谷歌Chrome零日漏洞(CVE-2022-0609)[CVSS V3:8.8]
  9、Follina(CVE-2022-30190)[CVSS V3:7.8]
  10、微软Office漏洞(CVE-2017-11882)[CVSS V3:7.8]

  (注:漏洞排名依照Vulhub CVSS分值排序,数据由蛇矛实验室提供)


四、事件处罚篇

1、重要结论


  ● 2022年数字安全处罚的大事件,几乎全部为数据安全相关。或因数据泄露,或因个人隐私。“网络安全只是手段,数据安全才是目的--数世咨询”。
  ● 据数世咨询依据公开的处罚事件统计,2022年的处罚金额高达80亿美元,约560亿元人民币。被处罚方绝大多数为互联网巨头,即拥有大数据并因此而成长为超大规模的企业。


2、2022年度数字安全十大处罚事件

  1月,法国数据保护监管机构国家信息与自由委员会对Facebook和谷歌分别处以1.5亿欧元和6000万欧元的罚款,因为两家互联网巨头违反了欧盟的隐私规定,未能为用户提供拒绝cookie跟踪的简单选项。

  5月,美国弗吉尼亚州费尔法克斯法院判决云服务商Pegasystems支持23亿美元的赔偿金,因其在八年内使用包括各种手段窃取竞争对手Appian的商业数据。Pegasystems表示将对裁决提出上诉。

  5月,哥伦比亚特区总检察长起诉Meta首席执行官马克•扎克伯格,对“剑桥分析”事件承担个人责任。该起事件侵犯了8700万Facebook用户的个人隐私,用于影响2016年的总统大选。2020年,Facebook与美国联邦贸易委员会就此事达成50亿美元的和解协议。

  5月,社交平台Twitter同意向美国联邦贸易委员会支付1.5亿美元的罚金,因其未经同意利用平台采集的用户数据投放广告。

  7月,美国电信运营商T-Mobile US因网络犯罪分子盗窃其7700万的客户数据并在地下论坛上出售一事,同意支付约4亿美元的法律费用及集体诉讼赔偿,外加1.5亿美元的增量支出,投入到数据安全相关技术。

  7月21日,国家互联网信息办公室依据《网络安全法》、《数据安全法》、《个人信息保护法》、《行政处罚法》等法律法规,对网约车平台滴滴处以80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处100万元罚款。

  9月,美国证券交易委员会华尔街16家银行和券商处以18亿美元的罚款,因其员工使用即时通讯工具作为未经授权的通信渠道讨论工作,而且并未留存这些信息。

  11月,谷歌同意与美国40个州达成3.915亿美元的和解协议,以解决对该公司跟踪用户位置的法律调查。

  12月,美国联邦贸易委员会宣布向Fortnite游戏开发商Epic Games收取5.2亿美元的和解费用,因其涉嫌违反《儿童在线隐私保护法》。

  12月,Meta同意支付7.25亿美元来解决一项长期诉讼,该诉讼指控社交网络Facebook允许包括剑桥分析在内的第三方,访问用户私人数据。

转创君
企业概况
联系我们
专家顾问
企业文化
党风建设
核心团队
资质荣誉
领导资源
专家库
公司公告
资源与智库
战略合作伙伴
质量保证
咨询流程
联系我们
咨询
IPO咨询
中国企业国际化发展战略
投融资规划
企业管理咨询
人力资源管理
风险管理
竞争战略
集团管控
并购重组
家族办公室
资产管理
股权设计
企业管治与内部审计
企业估值
价值办公室
内控咨询
投资银行
管治、内控及合规服务
法律咨询
服务
管理咨询服务
投融资规划
人力资源
资产评估服务
会计服务
科技服务
资质认证
ESG服务
商务咨询
内部控制服务
转创投服
金融服务咨询
企业服务
财会服务
翻译服务
财审
金融会计专题
财税中心
国际财务管理
税务师事务所
财税法律服务
会计中心
财务咨询
内部审计专题
审计创新与全球化
代理记账中心
会计师事务所
行业动态
审计中心
审计及鉴证
专项审计
审计工厂
审计咨询服务
金融
纳斯达克
并购交易服务
北交所
IPO咨询
深交所
上交所
直通新三板
董秘工作平台
独立董事事务
SPAC
资本市场服务中心
澳洲上市
加拿大上市
估值分析事务
香港联交所
新交所
金融分析师事务所
合规
合规与政府管制
企业合规
网络安全与隐私保护
法证会计与反舞弊
反洗钱与制裁合规
反垄断中心
企业合规管理咨询
合规中心
转创全球企业合规
合规律师事务所
金融安全与合规
海关及全球贸易合规
ESG合规
反欺诈中心
合规中心(产业)
知识产权合规专题
私募股权基金合规
法信
征信管理
信用管理
法信中心
信用评级
价值办公室
信托中心
制度智库
安企中心
私募股权
转创法信
诚信管理
产服
产业中心
企业与产业管理
行业中心
转创产研
城市中国
转创科研
全球城市
乡村振兴战略
创新创业中心
转型升级中心
数据经济与网安
绿创中心
双碳与可持续发展
管理
并购重组
转创国际企业研究所
创新创业
转型升级
投融资与股权激励
ESG中心
管理咨询
资产评估中心
人力资源
IPO咨询
法律
刑事法律服务
资本市场法律服务
财税金融法律事务
转创国际合规律师
民商事法律服务
公司法律服务
公共法律服务中心
转创国际法律事务所
内控
危机管理
金融风险专题
风险管理中心
网络安全与隐私保护
企业风险管理
公司治理
风险控制师事务所
国际风险研究
风险管理咨询
监督中心
管制中心
风控中心
内部控制中心
经济安全与企业内控
监管中心
转创
转创深圳(深莞)
转创广佛
转创国际福建
转创梅州
客汕经济
转创珠三角
转创潮州
转创网校
转创国际汕头
转创揭阳
18318889481 17875936848
在线QQ
在线留言
返回首页
返回顶部
留言板
发送