数世咨询:《2023年数字安全大事记》发布(上)
如果从1994年发布的《中国计算机信息系统安全保护条例》开始算起,中国的数字安全产业已走过三十年。从以杀毒软件为主的数亿元市场,渐渐发展到以信息保密和IT安全并举的百亿市场。紧接着,在“没有网络安全就没有国家安全”的指导理念下,安全产业的发展进入快车道。随着网络安全法、密码法、等保、关保、个保、数保等对产业发展影响重大的法规政策连续出台,产业规模以年均20%的速度迅猛增长,并在2020年达到29.9%的年度增长记录,直逼千亿规模。
形势一片大好之际,却在国际政治、全球经济等大背景以及内部多重因素和长期积累的影响下,开始出现增长疲软的态势,安全产业进入发展缓滞期……
为了记述数字安全领域发生的大事件以反映产业现状与趋势,基于长期的调查和研究工作,数世咨询每年都从当年国内外上千条事件中进行精选和提炼,并撰写和发布历年《数字安全大事记》。
《2023年数字安全大事记》于2024年1月5日发布。因报告篇幅较长,文内使用简易信息图例举,未尽一一详列。文末附有《大事记》原文PDF电子版下载信息。
一、年度十大事件
1、Okta客户数据被盗
国际知名身份安全公司Okta在遭黑客攻击后,其客户支持系统的全部用户数据被盗。Okta约有1.5万家企业客户。其CEO曾在2019年表示,已拥有超过1亿注册用户和500万付费日活用户。攻击事件发生到现在,Okta市值已暴跌3倍,300亿美元的市值蒸发。近年来,在我国的大型攻防演练活动中,也不断的发生安全设备被破解绕过的类似事件。安全公司不安全?实际上,网络攻防能力的逻辑在于资源对抗,没有投入就没有安全,安全公司当然也不例外。
2、国内安全大模型爆发
ChatGPT的火爆引发大语言模型的应用普及,国内先后出现了十几家安全企业发布大模型驱动的安全运营相关产品。根据数世咨询的初步调研,大语言模型或生成式AI支撑的安全产品,目前尚未形成真正的商业收入,尚处于数世咨询定义的市场成熟度中的概念阶段。(注:数据咨询将市场成熟度定义为四个阶段,概念市场、新兴市场、发展市场和成熟市场)
3、数字安全产业步履维艰
自2020年增长率创历史新高(29.9%)之后,数字安全产业开始出现增长疲软的态势。2021年、2022年连续两年增长率下降11个百分点,而2023年,大概率会出现三十年来的首次无增长。大多数安全企业,旨在锐意进取的降本增效却变成无可奈何地减员降薪。数世咨询在2023年6月向业界呼吁“生存是民营企业的第一要务”,这一观点已经得到了事实的充分验证。
4、全球资本市场进入寒冬期
2023年数字安全资本市场的股权融资再创新低,国内数字安全企业股权融资仅70余笔,与2022年相比下降26%。股权融资总额约39亿元,与2022年相比下降45%。与此同时,海外数字安全的股权融资也呈大幅度下降态势。股权融资148笔,与2022年相比下降32%。股权融资总额约为50.45亿美元,与2022年相比下降55%。
5、史上最大安全收购:思科收购Splunk
9月,思科宣布以280亿美元的天价收购Splunk,此次收购完成后将为安全行业最大一笔收购事件。之前的两笔超过百亿美元的收购发生在2021年,一个是由多家资本组成的投资集团以140亿美元收购了McAfee,另一起是私募资本Thoma Bravo以123亿美元的价格收购Proofpoint。
6、Meta再遭巨额罚款
5月,Meta因将欧洲地区用户的个人数据传输到美国而被欧盟数据保护委员会处以13亿美元的罚款,并被勒令在六个月内删除非法存储和处理的数据。之前在2022年,Meta就因被指控旗下的社交网络Facebook允许包括剑桥分析在内的第三方访问用户私人数据,而支付了7.25亿美元的和解费用。
7、美国长期对中国实施网络攻击
9月,中国国家安全部在官方微信公众号发文指出,美国情报部门凭借其强大的网络攻击武器库,对包括中国在内的全球多国实施监控、窃密和网络攻击,如特定入侵行动办公室早在十几年前就开始入侵华为的服务器并持续开展监控;长期持续地对包括西北工业大学在内的国内网络目标实施了上万次恶意网络攻击,窃取大量高价值数据。另据国家网络安全机构对武汉市应急管理局地震监测中心网络被植木马的调研结果,攻击手段符合美国情报机构特征,目标是窃取地震监测相关数据,带有具有明显的军事侦察目的。
8、《商用密码管理条例》修订施行
4月,国务院总理李强签发中华人民共和国国务院令第760号,《商用密码管理条例》经2023年4月14日国务院第4次常务会议修订通过并公布,自2023年7月1日起施行。《条例》包括六大重要内容:一是完善商用密码管理体制。二是促进商用密码科技创新与标准化建设。三是健全商用密码检测认证体系。四是加强电子认证服务使用密码和电子政务电子认证服务活动管理。五是规范商用密码进出口管理。六是促进商用密码应用。
9、《计算机信息系统安全专用产品销售许可证》停止颁发
4月,网信办、工信部、公安部、国家认监委、财政部联合发布公告。自2023年7月1日起,列入《网络关键设备和网络安全专用产品目录》的产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。同时,停止颁发《计算机信息系统安全专用产品销售许可证》,产品生产者无需申领。此次调整公告,是落实《网络安全法》关于推动安全认证和安全检测结果互认规定的重要举措,对统一网络安全产品安全要求、提升产品整体安全防护能力,减轻网络安全企业负担、营造良好产业发展环境,发展强大网络安全产业、增强国家网络安全能力具有重要意义。
10、“2522”:筑牢可信可控的数字安全屏障
2月,中共中央、国务院印发的《数字中国建设整体布局规划》明确,数字中国建设按照“2522”的整体框架进行布局,即夯实数字基础设施和数据资源体系“两大基础”,推进数字技术与经济、政治、文化、社会、生态文明建设“五位一体”深度融合,强化数字技术创新体系和数字安全屏障“两大能力”,优化数字化发展国内国际“两个环境”。规划指出,“筑牢可信可控的数字安全屏障。切实维护网络安全,完善网络安全法律法规和政策体系。增强数据安全保障能力,建立数据分类分级保护基础制度,健全网络数据监测预警和应急处置工作体系。”
二、数据泄露与网络攻击篇
1、重要结论
● 与前几年相比,超大规模数据泄漏事件的数量在下降,但中等规模的数据泄露事件数以万计。根据暗网监测公司零零信安的数据,2023年大于10亿条数据量的售卖信息多达数百起,全年交易记录11万起。
● 数据泄露的三大主因,数据库配置错误、勒索软件和针对性的网络攻击。其中,由数据库配置错误可能造成的大规模数据泄露事件,连续两年呈下降态势。而勒索软件,已经发展形成了从破坏数据到窃取数据,再到售卖数据和泄露数据的多种勒索获利方式。
● 安全公司需要提升安全文化。身份安全公司Okta遭黑客攻击,全部客户数据失窃,堪称安全业界的年度大事件。近年来,在我国的大型攻防演练活动中,也不断的发生安全设备被破解绕过的类似事件。实际上,网络攻防能力的逻辑在于资源对抗,没有投入就没有安全,安全公司当然也不例外。
● 2023年的加密货币遭攻击带来的损失明显下降,与2022年43亿美元的损失相比,至少下降了50%。这可能与全球各国政府加强监管和控制力度,从而导致加密货币行业的热度下降有关。
● 据区块链数据分析公司Chainalysis发布的《2023加密资产犯罪》报告,有着国家支持背景的朝鲜黑客组织,在过去六年中,利用网络攻击窃取了价值30亿美元的加密资产,将其用于资助国家研究项目。这种利用网络攻击来获取经济利益为主要目的国家行为实属罕见。(2021年朝鲜的GDP为167.5亿美元)
2、2023年度十大数据泄漏事件
1月,口令管理软件供应商 LastPass因泄露2500万客户数据,被100多名客户提起集体诉讼。
1月,美国电信运营商T-Mobile US 3700万客户的个人信息遭泄露,包括姓名、账单地址、电子邮件地址、电话号码、出生日期、T-Mobile账户号码等信息。实际上,T-Mobile US 自2018年以来已经发生了7次较大规模的数据泄露事件。
3月,地下市场 BidenCash 免费发布了超过200万张有效信用卡的数据,作为其促销活动的推广策略。泄露的信息包括持卡人的全名、卡号、银行详细信息、到期日期、CVV号、家庭住址和电子邮件地址。
3月,印度最大私营银行 HDFC Bank 7200万条客户数据在地下论坛Breached forum 泄露。泄露的数据包括姓名、出生日期、电话号码和电子邮件地址,就业信息、贷款详细信息、交易方式、手续费、银行名称和分行、信用评分,以及交易商姓名、交易日志、保证金日志、一般资产日志、会员卡号、员工代码等。
3月,某地下论坛出售印度警方业务的数据。出信者声称该份数据“超过9亿份(600GB)印度法律文件记录/文档、被捕/被控人以及警方/法庭报告……经OCR处理转为JSON格式,随附有原始PDF文件链接。”
7月,研究人员发现负责孟加拉公民出生和死亡登记的官网,其数据可被公开访问。这些数据包括姓名、电话号码、电子邮件地址和国民身份证号码,涉及大部分孟加拉公民,孟加拉的人口数量约为1.7亿。
10月,日本卡西欧官方披露,其业务服务器遭攻击,包括用户姓名、电子邮件地址、居住国家、服务使用详细信息以及支付方式、许可证代码和订单详情等信息被盗。被盗数据涉及到全球149 个国家及地区的用户。
10月,某地下论坛以8万美元的价格出售包含超过8.15亿印度公民的生物识别数据和护照的数据库,包括姓名和地址详细信息、电话号码,护照详细信息等。
12月,某地下论坛出售4亿推特用户数据,出售者声称这些数据利用了推特的API设计缺陷,得以进行大规模的收集获取。
12月,国际知名身份安全公司Okta承认,遭黑客攻击后被窃取全部客户数据,信息包括:创建日期、上次登录、全名、用户名、电子邮件、公司名称、用户类型、地址、上次更改或重置密码的日期、角色(名称)、角色(描述)、电话、手机、时区、联系信息、用户名、角色描述和 SAML 联合 ID。
3、2023年度十大网络攻击事件
2月,加密货币平台Wormhole遭黑客入侵,攻击者利用智能合约中的漏洞窃取了价值3.2亿美元的封装以太币(WETH)。
2月,云服务商Cloudflare成功防御并缓解了创纪录的分布式拒绝服务(DDoS)攻击,该攻击的峰值为每秒7100万个请求(RPS)。去年的DDoS创记录攻击发生在谷歌云,每秒4600万个请求。
2月,爱尔兰联合党领导人Peadar在评估去年勒索软件Conti对爱尔兰医疗保健系统的网络攻击时表示,至少造成超过1亿美元的损失。爱尔兰国务部长表示,这“可能是对爱尔兰国家最严重的网络犯罪攻击”。
4月,稳定币平台Beanstalk被攻击者利用DeFi协议中的漏洞,实施闪电贷攻击,导致Beanstalk损失了约 1.82 亿美元的加密资产。
6月,区块链风投公司Harmony遭黑客攻击,85,867个ETH代币失窃,价值可能超过1亿美元。
8月,消费产品生产和经销商高乐氏遭网络攻击导致IT系统停摆,其之后的季度净销售额同比下降20%,高达3.56亿美元。
9月,加密货币交易平台Mixin Network承认,其云服务提供商的数据库遭黑客入侵,约2亿美元的资产失窃。
10月,印度支付网关公司Safexpay遭网络入侵,至少有260个银行账户被用于进行金融欺诈,从这260个账户的银行对账单推断,约有1618亿卢比(约合人民币141.84亿元)被挪用,其中一部分已转移到外国账户。
10月,米高梅度假村(MGM Resorts)首席财务官表示,公司在9月份遭受的网络攻击导致运营损失至少1亿美元。
11月,澳大利亚政府服务部长比尔﹒肖顿表示,针对数字政府MyGov的钓鱼网站,成功实施了4500起骗局,已带来31亿澳元的损失。
三、漏洞篇
1、漏洞情况综述
截止到目前(12月31日)为止,CNVD(国家信息安全漏洞共享平台)今年漏洞总数为19526个,比去年23927个减少约18.39%。CNNVD(国家信息安全漏洞库),2023年总漏洞数为28663个,同比去年25718个增长了约11.45%。截止12月31日,NVD共发布漏洞数量23808个,较去年24461个同期减少约2.67%。
2023年CNVD的漏洞分布显示排名第一的漏洞类型为“设计错误”,占比67.2%,其次为“输入验证错误”,占比28.9%。
2023年VULHUB开源网站威胁库收录的总漏洞数为30073个,同比去年增长了约7%。其中严重漏洞4390个,高危漏洞10325个,中危漏洞13442个,低危漏洞1916个。
VULHUB采用CWE作为漏洞分类标准,其中排名前10的漏洞类型分别为:在Web页面生成时对输入的转义处理不恰当(跨站脚本)(CWE-79),内存缓冲区边界内操作的限制不恰当(CWE-119),输入验证不恰当(CWE-20),SQL命令中使用的特殊元素转义处理不恰当(CWE-89),越界写入(CWE-787),信息暴露(CWE-200),权限、特权与访问控制(CWE-264),对路径名的限制不恰当(CWE-22),越界读取(CWE-125),跨站请求伪造(CWE-352)。(注:漏洞内容由丈八网安提供)
截止2023年,据VULHUB统计累计漏洞发现最多的厂商如下:
微软(漏洞13122个)
甲骨文(漏洞9279个)
苹果(漏洞8301个)
IBM(漏洞6159个)
思科(漏洞5405个)
红帽(漏洞5096个)
Mozilla(漏洞2876个)
惠普(漏洞2120个)
阿帕奇(漏洞2153个)
谷歌(漏洞828个)
2023年,据VULHUB统计累计漏洞发现最多的厂商如下:
苹果(漏洞479个)
甲骨文(漏洞308个)
红帽(漏洞269个)
阿帕奇(漏洞229个)
谷歌(漏洞222个)
IBM(漏洞219个)
思科(漏洞170个)
Mozilla(漏洞153个)
微软(漏洞75个)
惠普(漏洞55个)
2023年,VULHUB统计漏洞最多的产品如下:
Android(漏洞707个)
Chrome(漏洞246个)
Gitlab(漏洞165个)
Firefox (漏洞136个)
Office(漏洞44个)
MinlO(漏洞55个)
Zabbix(漏洞28个)
截止2024年1月2日,VULHUB通过对近期漏洞风险状况进行综合评估计算得出当前的漏洞风险指数为“高”。
参考:https://www.vulhub.org.cn/index
2、年度十大漏洞
(1)Cisco IOS XE系统Web UI未授权命令执行漏洞(CVE-2023-36844)
(2)Juniper Networks Junos OS远程代码执行漏洞(CVE-2023-36844)
(3)Apache Active MQ远程代码执行漏洞(CVE-2023-46604)
(4)F5BIG-IP远程代码执行漏洞(CVE-2023-46747)
(5)GitLab任意文件读取漏洞(CVE-2023-2825)
(6)Google Chrome WebP堆缓冲区溢出漏洞(CVE-2023-4863)
(7)WinRAR代码执行漏洞(CVE-2023-38831)
(8)“三角测量行动”(Operation Triangulation)中涉及的4个漏洞(CVE-2023-32434、CVE-2023-32435、CVE-2023-38606、CVE-2023-41990)
(9)Atlassian Confluence身份认证绕过漏洞(CVE-2023-22518)
(10)Microsoft Office安全功能绕过漏洞(CVE-2023-36413)
(注:漏洞排名依照Vulhub CVSS分值排序,数据由蛇矛实验室提供)
四、事件处罚篇
1、重要结论
● 2023年度的十大违规处罚事件全部为数据安全或个人隐私相关,被处罚方绝大多数为拥有海量用户数据的互联网平台。
● 与2022年高达80亿美元的罚金相比,2023年的处罚金额断崖式下降为20亿美元左右。原因可能在于,各大互联网机构纷纷加强了对数据安全和个人隐私的重视。
2、2023年度十大违规处罚事件
1月,社交巨头Meta爱尔兰运营分支因违反欧盟的《通用数据保护条例》,被爱尔兰数据保护委员会处以总计3.9亿欧元(4.14亿美元)的罚款,并勒令其“在3个月内使其数据处理业务合规”。
4月,TikTok因违反英国《通用数据保护条例》的规定而被罚款近1600万美元。该条例要求,13岁以下的儿童在平台进行个人信息注册时,需要父母或监护人的许可。此前1月份,TikTok还因违反cookie同意规则而被法国数据保护监管机构罚款500万欧元。
5月,Meta因将欧洲地区用户的个人数据传输到美国而被欧盟数据保护委员会处以13亿美元的罚款,并被勒令在六个月内删除非法存储和处理的数据。
5月,谷歌最终支付了两笔总计3990万美元的和解费用,以解决印第安纳州和华盛顿特区就其“欺骗性”位置跟踪行为提起的两起诉讼。
6月,电子商务巨头亚马逊同意支付总计3080万美元的和解费用,以解决 有关其Alexa助手和Ring门铃单元的隐私指控。
6月,微软因其XBOX平台在注册时违反“儿童在线隐私保护法”,被美国联邦贸易委员会罚款2000万美元,联邦贸易委员会认为,XBOX平台非法收集儿童个人信息并在未经父母同意的情况下保留这些信息。
9月,谷歌同意支付9300万美元,以解决美国加利福尼亚州提起的诉讼,该诉讼指控该公司的位置隐私做法误导了消费者并违反了消费者保护法。
10月,英国金融行为监管局宣布,已就2017年大规模数据泄露事件对信用上报公司Equifax的英国分支机构处以1100万英镑(约合1350万美元)的罚款。
11月,国际金融公司摩根士丹利同意就不安全地处理包含未加密个人信息的硬件,分别支付给包括佛罗里达、康涅狄格等6个州政府,总计650万美元的和解费用。
12月,英国国防部因“2021年9月20日,国防部使用'收件人'字段向有资格撤离的阿富汗公民的名单发送了一封电子邮件,其中与245人的个人信息被无意中泄露”一事,英国信息专员办公室向英国国防部处以350,000英镑(约合666,400美元)的罚款。
本帖下半部分:https://www.dwcon.cn/post/3327
作者
统计分析师:牛爱民
媒体分析师:闫志坤
技术分析师:陈发明
战略分析师:靳慧超
综合分析师:刘宸宇
首席分析师:李少鹏
分 析 团 队:数世智库 数字安全能力研究院
机构简介
北京数字世界咨询有限公司,中国数字安全领域独立的第三方调研机构,以数字时代为背景,提供数字安全领域的调查、研究与咨询服务。
《2023年数字安全大事记》电子版,点击下方链接获取:
— 【 THE END 】—