2022年数字安全大事记_北京转创国际管理咨询有限公司广东分公司

一、2022年度数字安全十大态势

1、网络对抗开始全面泛化

　　从俄乌战争进程来看，网络战作为现代战争中的一种新型攻击力量，开始走向前台。随着全球网络化、数字化的普及大潮，信息基础设施已经成为关键基础设施，因此在战争中一定是重点攻击对象。不仅如此，网络攻防技术还广泛用于窃取商业机密、切断生产供应的贸易战，用于操纵舆情民意、影响意识形态的文化战。数字安全已经成为国家安全有机且重要的组成部分。

2、数据安全的重要性突显

　　自2021年《数据安全法》颁布以来，各行业监管机构随之也在出台本领域的数据安全条例、办法。关键基础设施部门和企业，或计划或已经设立数据安全部门或岗位。业界已经开始认识到，网络安全是数据安全的基础和重要手段，其最大价值与核心目的在于保障数据安全。

3、合规与创新的双轮驱动

　　网络安全行业发展了三十年，从计算机安全等级保护，到信息安全等级保护，再到网络安全等级保护，充分体现出合规的第一驱动作用。但数字安全的复杂性和碎片性，只能依靠创新来引领和解决。数字安全行业的未来，一定是合规与创新双轮驱动。

4、一体化解决方案的涌现

　　用户开始摆脱安全产品的“最佳选择”，转向产品和供应商整合，集成多种具备某种共性产品的安全平台，即基于平台的一体化解决方案。如云原生应用保护平台CNAPP、安全可见性/优先级和验证的SOPV、扩展检测和响应XDR、零信任访问架构ZTNA、安全访问服务边缘SASE，以及数世咨询提出的持续应用安全CAS、数据访问安全域DASS、一体化端点安全IES等。

5、安全运营成为业界共识

　　安全的动态性、伴生性、系统性和服务性，要求必须引入运营的方法论。用户真正需要的是安全能力、安全效果的提升，而不是安全设备、软件等产品的堆砌。具备一定信息化水平并拥有独立安全团队的用户，已经开始落地安全运营。根据对甲乙双方实际情况的调研，数世咨询提出安全运营的五要素：工具、人、平台、流程和管理。

6、网络安全保险初现端倪

　　随着工信部发布《关于促进网络安全保险规范健康发展的意见（征求意见稿）》，网络安全保险的概念在国内业已历经九个年头。各大保险公司已经开展相应试点业务，安全评估、安全服务+保险业务，以实现事前中后的网络保障并减少经济损失的模式，逐渐形成一条切实可行的道路。“有风险就会有保险，有网络风险就会有网络保险—数世咨询。”

7、基于风险的产品待观察

　　对于许多用户来说，大多数漏洞都与自身没有关系，所有的数字资产暴露面也不一定都是攻击面，海量的警告等于没有警告，绝大多数的安全分析人员都在疲于奔命。这些实际情况，决定了基于风险角度来做安全的必要性。但目前，国内绝大多数安全厂商的产品并未达到这一要求，大多停留在理念的层面，实际应用效果有待观察。

8、数字安全能力呈阶梯状

　　国内用户的数字安全能力呈阶梯状。既有丰足的安全预算投入、全套的安全工具和豪华安全团队的超大型企业，也有无预算、无工具、无人员的三无用户。究其原因，中国各地区的经济发展水平差异较大，信息化、数字化程度也参差不齐，数字安全的水平或能力自然也是高低不等。但这种阶梯状，意味着国内不仅有创新安全产品的发展空间，还会有对传统安全产品的大量需求。

9、警惕供需不匹配的可能

　　2022年，整个安全行业的净利润继续下降，甚至有可能出现负利润。许多企业的研发投入、业务活动以及人员数量都在收缩。但明年政企的安全预算有明显增加的趋势，因此在技术、产品和服务的购买、部署、交付和维护方面，有可能出现供需能力不匹配的现象。

10、2022年突破千亿市场

　　据数世咨询的年度统计，数字安全市场2020年达到历史增长记录29.9%，但在2021年增长率下降为18.6%。原因在于2021年政府的安全投入大幅度下降，而2022年不仅政府，央企的预算也在收缩。因此，2022年的增长率会进一步下降，预计约在11%左右。但即使以10%的增长率估计，2022年数字安全市场规模也将历史性的步入千亿市场。（详见：《中国数字安全产业统计与分析报告(2022)》）

二、数据泄露与网络攻击篇

1、重要结论

　　● 2022年是数世咨询核心成员撰写大事记八年来，首次出现数据泄漏事件在统计数量、规模，以及影响程度上均有所下降的趋势。可能的原因有二，一是安全意识和防护措施普遍提高，不容易发生巨大规模的泄露事件。二是数据泄露已是常态，难以引起更多人的关注。

　　● 和往年类似，数据库的配置错误（无意）、勒索软件和针对性的网络攻击，仍是数据泄露的三大主要原因。但配置错误的事件数量有所下降，勒索软件由过去纯粹的加密勒索转变成盗窃数据，然后勒索赎金或暗网售卖的事件明显增多。

　　● 2022年，与国家政治相关的攻击活动激增，尤其是以俄乌战争、伊朗和以色列两国冲突相关的网络攻击为典型代表。

　　● 攻击造成的影响主要有两大类，一是造成生产制造业、医疗教育、政府事务类的业务中断。二是直接盗取数字资产。据网络安全公司的统计，2022年黑客攻击窃取的加密货币价值约43亿美元，比2021年同期增长37%。

2、2022年度十大数据泄漏事件

　　1月，美国佛罗里达医院通知130万名患者发生数据泄露事件，泄露的信息包括姓名、地址、电话号码外、社会安全号码、银行账户信息和病历。

　　1月，红十字国际委员会声称，其某托管服务器被入侵，该服务器存储着因冲突、移民和灾难而与家人失散的、失踪人员，及其家人和被拘留者信息，共51.5万人。

　　3月，信用报告公司TransUnion的服务器遭入侵，涉及5400 万南非公民的信息，其中包括2400万南非人的信贷信用数据。黑客要求支付1500万美元的赎金。

　　5月，一个包含 2100 万用户个人详细信息和登录凭据的数据库在Telegram群组中泄露。该数据库上一年曾在暗网上出售，但现在可以在Telegram上免费获得。

　　6月30日，某地下论坛公开出售包含有十亿中国居民信息的数据库，包括姓名、地址、出生地、身份证、手机号及相关犯罪/案件记录。

　　8月，某地下论坛以4000美元的价格出售包含4850万用户的随申码数据库，并公开了其中一些数据样本。包含用户姓名、手机号码、身份证号、随申码颜色、UUID等。

　　8月，研究人员发现印度联邦警察的金融欺诈调查记录和其他敏感数据在云上暴露，包括姓名、余额、帐号、交易金额、目的地和印度中央情报局处理的案件等信息，共约3.35 亿条记录。

　　9月，威胁情报公司SOCRadar通报微软，由于Azure中存储数据库的配置错误，导致数据泄露，涉及111个国家/地区约6.5万个实体，是近年来最大的B2B泄漏之一。

　　11月，一个包含4.87亿WhatsApp用户手机号码的数据库在地下论坛出售，该数据集来自超过84个国家的WhatsApp用户的信息。

　　12月，蔚来汽车发布公告称，黑客以信息泄露为名勒索225万美元价值等额的比特币。经初步调查，蔚来汽车2021年8月之前的百万条用户基本信息和车辆销售信息遭窃。

3、2022年度十大网络攻击事件

　　1月，一个名为“网络游击队”的黑客组织用勒索软件加密了白俄罗斯铁路网络的“一些服务器、数据库和工作站”，但并未主动破坏“自动化和安全系统”的运行以避免紧急情况。黑客要求“释放需要医疗援助的50名政治犯”。

　　2月，由于一个智能合约漏洞，加密货币平台Wormhole被攻击者窃取了价值3.2亿美元的以太币。事后，Wormhole发布通告，希望能用1000万美元的漏洞赏金换取被盗的以太币。

　　2月，乌克兰军方和金融机构被DDoS攻击，国防部和一些军事基地的网站，以及两家最大的银行网站宕机。

　　2月，爱尔兰卫生服务首席信息官在一封信中表示，2021年勒索软件Conti导致该国医疗系统中断数周，新冠疫苗门户网站被关闭，数十项门诊服务被取消，预计恢复系统的最终成本将超过1亿美元。

　　3月，日本汽车巨头丰田表示，由于受到“某种网络攻击”，导致供应商系统故障及生产控制系统出现问题，决定暂停其在日本14家工厂的所有28条生产线的生产。

　　3月，区块链平台Ronin遭网络入侵，攻击者从其平台上提走总价值约6.15亿美元的以太币和稳定币，堪称有史以来加密货币最大的网络攻击事件。

　　6月，在圣彼得堡举行的俄罗斯经济论坛上，由于其在线直播系统遭受DDoS攻击，导致总统普京的讲话被推迟了约100分钟。

　　6月，中国西北工业大学发布声明遭网络入侵，经国家计算机病毒应急处理中心和360的调查分析发现，美国国家安全局“特定入侵行动办公室”，在数年的时间里针对西北工业大学发动了上千次网络攻击，长期窃密并将信息打包加密后回传至美国国家安全局总部。

　　8月，谷歌声称阻止了有史以来最大的基于HTTPS的DDoS攻击，该攻击的峰值达到每秒4600万个请求(RPS)。在两个月前Cloudflare披露了一次史上规模最大的DDoS攻击，攻击流量来自全球132个国家的5256个源IP。

　　10月，近日，黑客利用跨链桥的合约漏洞入侵了加密交易所币安旗下的BNB Chain，通过增发BNB（币安币）的方式分两次共获取200万枚BNB，共计价值约5.66亿美元。

大事记01.png

大事记02.png

三、漏洞篇

1、重要结论

　　● 漏洞数量持续上升，并在可预期的未来看不到减缓的趋势。本质原因在于，数字化系统（如硬件、设备、软件、应用、数据等）的规模和复杂程度激增，而数字安全意识、技术、产品、服务滞后于数字化的发展。

　　● 某厂商或某产品的漏洞数量，主要取决于应用规模，即漏洞数量与应用规模呈正比。其原因在于，漏洞数量的多少在于有多少人去“挖掘”（发现）漏洞。“理论上，漏洞永远存在。甚至可以说，功能即漏洞——数世咨询”。

2、漏洞情况综述

　　截止到目前（12月29日）为止，CNNVD（国家信息安全漏洞库），2022年总漏洞数为24644个，同比去年增长了约17.42%。截止12月26日，NVD共发布漏洞数量24731个，较去年同期增长18.49%。

　　2022年CNVD的漏洞分布显示排名第一的漏洞类型为“设计错误”，占比68.0%，再次为“输入验证错误”，占比27.5%。

大事记03.png

大事记04.png

　　2022年VULHUB开源网站威胁库收录的总漏洞数为27193，同比去年增长了约16.69%。其中严重漏洞3389个，高危漏洞7754个，中危漏洞7735个，低危漏洞403个。

大事记05.png

　　 VULHUB采用CWE作为漏洞分类标准，其中排名前10的漏洞类型分别为：在Web页面生成时对输入的转义处理不恰当（CWE-79），内存缓冲区边界内操作的限制不恰当（CWE-119），输入验证不恰当（CWE-20），信息暴露（CWE-200），SQL命令中使用的特殊元素转义处理不恰当（CWE-89），权限、特权与访问控制（CWE-264），跨界内存写（CWE-787），对路径名的限制不恰当（CWE-22），跨界内存读（CWE-125），跨站请求伪造（CWE-352）。（注：漏洞分析数据由丈八网安提供）

大事记06.png

　　截止2022年，据VULHUB统计，历史累计漏洞最多的厂商如下：

　　微软（9286）
　　甲骨文（8738）
　　谷歌（8233）
　　惠普（6399）
　　苹果（5836）
　　IBM（5820）
　　思科（4492）
　　红帽（4282）
　　Fedora Project（4018）
　　Mozilla（2351）
　　阿帕奇（1881）
　　Joomla（820）

大事记07.png

　　2022年度漏洞最多的厂商如下：

　　谷歌（1190）
　　微软（943）
　　甲骨文（471）
　　苹果（448）
　　思科（222）
　　阿帕奇（172）
　　IBM（162）
　　红帽（148）
　　惠普（123）
　　Adobe（79）

大事记08.png

　　截止2022年，历史累计漏洞最多的操作系统及浏览器如下：

　　Android（7134）
　　Debian（6824）
　　macOS（5112）
　　Windows XP（3754）
　　Ubuntu（3352）
　　Windows10（3021）
　　Windows Server 2008（2794）
　　Chrome（2653）
　　Windows7（2298）
　　Windows8.1（2214）
　　Firefox（2043）

大事记09.png

2022年度漏洞最多的操作系统及浏览器如下

　　Android（807）
　　Windows10 （525）
　　Debian （520）
　　macOS （442）
　　Windows7 （315）
　　Chrome （288）
　　Linux Kernel（246）
　　iOS （146）
　　Ubuntu （9个）

　　由于2022年12月重大漏洞频发，截止2022年12月26日，VULHUB通过对近期漏洞风险状况进行综合评估计算得出当前的漏洞风险指数为“危急”。

大事记11.png

　　参考：http://vulhub.org.cn/index

3、2022年度十大利用率最高漏洞

　　1、Log4shell（CVE-2021-44228）[CVSS V3:10.0]
　　2、Spring4Shell（CVE-2022-22965）[CVSS V3:9.8]
　　3、F5 BIG-IP（CVE-2022-1388）[CVSS V3:9.8]
　　4、Atlassian Confluence RCE漏洞（CVE-2022-26134）[CVSS V3:9.8]
　　5、Zyxel RCE漏洞（CVE-2022-30525）[CVSS V3:9.8]
　　6、Zimbra协作套件漏洞（CVE-2022-27925、CVE-2022-41352）[CVSS V3:分别为7.2和9.8]
　　7、ProxyNotShell（CVE-2022-41082、CVE-2022-41040）[CVSS V3:均为8.8]
　　8、谷歌Chrome零日漏洞（CVE-2022-0609）[CVSS V3:8.8]
　　9、Follina（CVE-2022-30190）[CVSS V3:7.8]
　　10、微软Office漏洞（CVE-2017-11882）[CVSS V3:7.8]
　　（注：漏洞排名依照Vulhub CVSS分值排序，数据由蛇矛实验室提供）

四、事件处罚篇

1、重要结论

　　● 2022年数字安全处罚的大事件，几乎全部为数据安全相关。或因数据泄露，或因个人隐私。“网络安全只是手段，数据安全才是目的--数世咨询”。

　　● 据数世咨询依据公开的处罚事件统计，2022年的处罚金额高达80亿美元，约560亿元人民币。被处罚方绝大多数为互联网巨头，即拥有大数据并因此而成长为超大规模的企业。

2、2022年度数字安全十大处罚事件

　　1月，法国数据保护监管机构国家信息与自由委员会对Facebook和谷歌分别处以1.5亿欧元和6000万欧元的罚款，因为两家互联网巨头违反了欧盟的隐私规定，未能为用户提供拒绝cookie跟踪的简单选项。

　　5月，美国弗吉尼亚州费尔法克斯法院判决云服务商Pegasystems支持23亿美元的赔偿金，因其在八年内使用包括各种手段窃取竞争对手Appian的商业数据。Pegasystems表示将对裁决提出上诉。

　　5月，哥伦比亚特区总检察长起诉Meta首席执行官马克•扎克伯格，对“剑桥分析”事件承担个人责任。该起事件侵犯了8700万Facebook用户的个人隐私，用于影响2016年的总统大选。2020年，Facebook与美国联邦贸易委员会就此事达成50亿美元的和解协议。

　　5月，社交平台Twitter同意向美国联邦贸易委员会支付1.5亿美元的罚金，因其未经同意利用平台采集的用户数据投放广告。

　　7月，美国电信运营商T-Mobile US因网络犯罪分子盗窃其7700万的客户数据并在地下论坛上出售一事，同意支付约4亿美元的法律费用及集体诉讼赔偿，外加1.5亿美元的增量支出，投入到数据安全相关技术。

　　7月21日，国家互联网信息办公室依据《网络安全法》、《数据安全法》、《个人信息保护法》、《行政处罚法》等法律法规，对网约车平台滴滴处以80.26亿元罚款，对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处100万元罚款。

　　9月，美国证券交易委员会华尔街16家银行和券商处以18亿美元的罚款，因其员工使用即时通讯工具作为未经授权的通信渠道讨论工作，而且并未留存这些信息。

　　11月，谷歌同意与美国40个州达成3.915亿美元的和解协议，以解决对该公司跟踪用户位置的法律调查。

　　12月，美国联邦贸易委员会宣布向Fortnite游戏开发商Epic Games收取5.2亿美元的和解费用，因其涉嫌违反《儿童在线隐私保护法》。

　　12月，Meta同意支付7.25亿美元来解决一项长期诉讼，该诉讼指控社交网络Facebook允许包括剑桥分析在内的第三方，访问用户私人数据。