前言

本文是知名网络安全媒体 Dark Reading 在庆祝其成立 20 周年（2006–2026）之际推出的特别深度专题报道。这篇文章通过回顾过去 20 年里网络安全领域最重大的失误、系统性崩溃、企业决策败笔以及令人尴尬的行业瞬间（如米高梅和凯撒娱乐遭遇的黑客勒索、MOVEit 补丁噩梦、CrowdStrike 引起的全球蓝屏等风波），传达了一个残酷的现实：网络安全在过去的二十年里，经历了理想与现实的巨大撕裂。

“美梦”的破灭： 20 年前，人们对技术抱有美好愿景——SIEM（安全信息和事件管理）本应被更完美的方案取代、物联网（IoT）本应让生活更便利而不是成为潜伏的威胁、执法部门对网络犯罪的打击本应是一劳永逸的、大众的隐私本应得到妥善保护。

残酷的现实： 现实是，自 2006 年以来的网络世界变得更加黑暗。行业里充斥着操作失误、系统性萎靡，以及大量“由于简单攻击引发复杂灾难”的悲剧。

数据泄露的常态化与麻木： 如今任何一个拥有信用记录、银行账户或医疗保险的成年人，其个人敏感信息基本上都已经被黑客窃取过多次（例如 2015 年 Anthem 和 2017 年 Equifax 的超级数据泄露案）。人们已经生活在一个“后泄露时代”（Post-breach world），公众甚至对安全失败产生了习以为常的“系统性麻木”。

本文的目的绝不仅仅是“翻旧账”或单纯的悲观吐槽，而是有着更深层次的行业警示目标：

• 总结历史教训，避免重蹈覆辙： 网络安全行业往往习惯于“向前看”（关注最新的 AI 威胁、最新的零日漏洞），但往往忽视了许多当下的灾难其实是过去错误策略的重演。通过细数 20 年的失败，文章旨在提醒安全专家和企业管理者：许多灾难是完全可以预防的，不要总在同一个地方跌倒。

• 打破行业虚荣，正视系统性漏洞： 行业内总是在包装各种技术神话，而这篇文章撕开了这些外衣。它提醒从业者，无论是 Symantec 曾经对证书颁发机构的宏大愿景，还是 Mt. Gox 曾作为前沿技术的代表，最终都因管理或安全疏忽而倒下。正视失败，才能明白安全防御的脆弱性。

• 推动网络安全思维的范式转变： 文章的潜在目标是促使行业思考——既然二十年来“筑墙”式的防御不断失败，企业和组织必须接受“必然会被攻破”的现实，将重心更多地转移到网络韧性（Resilience）、快速响应、供应链安全以及最基础的安全习惯（Cyber Hygiene）上，而不是一味迷信最新的技术概念。

总结来说： 这篇文章是一面照进网络安全二十年发展史的“苦涩明镜”。它传达了“行业在技术进步的同时，基础防御依然屡屡溃败”的现实，目标是借 20 周年之际，警醒整个行业告别不切实际的幻想，从过去的失败中汲取教训，以更务实、更具韧性的态度面对未来的安全挑战。

▍以下正文内容基于英文原文编译，可能存在语义偏差，请以原文为准。

一切的开始曾是如此光明：我们本该拥有美好的事物。安全信息和事件管理（SIEM）本该被更完美的方案取代；互联的物联网（IoT）设备本该充满乐趣和实用性，而不是潜伏在数百万家庭中的威胁；执法部门对网络犯罪的打击本该一劳永逸；而人们的隐私，本该保持私密，结果等来了人人都被脱裤、彻底麻木的大梦初醒。

具体到企业，各家也都有过宏大的梦想：赛门铁克（Symantec）曾对其证书颁发机构寄予厚望；Mt. Gox 曾是前沿技术创新的闪亮典范；而 CrowdStrike 曾经也不是那个被视为全球业务运营生死攸关的致命单点故障。

然而，大失所望，那些大部分时间里事情都能顺畅运转的美好网络世界，最终并未成为现实。2006年以来的道路要暗淡得多，一路上充斥着操作失误、系统性萎靡，以及大量“由于简单攻击引发复杂灾难”的悲剧。

作为我们 20 周年特别报道的一部分，我们正在对这段时期的重大网络安全失败进行盘点。我们预料到这会引发争论，因此，当您浏览完这条低谷之路后，欢迎留言评论，聊聊您最难忘的网络恐怖故事，或者一同追忆我们在此列出的那些事件。

又是新的一天，又是新的数据泄露头条。事到如今，真的还有人在乎吗？

我们已经达到了对数据泄露的“终极麻木”状态。每当有又一起庞大的个人敏感信息泄露公告发出时，公众的反应不过是集体耸耸肩，或许顺便敷衍地改个密码。

残酷的现实是：如今任何一个拥有信用记录、银行账户或医疗保险的成年人，其个人信息基本上都已经被盗过多次了。2017年的 Equifax 泄露案波及了 1.43 亿人；2015年的 Anthem 泄露案波及了近 8000 万人。2011年的 Tricare 和 2014年的 Community Health Systems 虽然规模较小（各约 500 万人），但影响同样深远。Experian 多年来更是多次遭遇泄露（甚至发生过旗下机构将数据卖给身份盗窃团伙的丑闻）。最近，Change Healthcare 遭遇的勒索软件攻击更是泄露了1 亿人的数据。

随着教育机构和医疗设施的数据不断失窃，孩子们也无法幸免。

现在的关键不再是数据“是否”会被盗，更现实的问题是：目前到底有多少个犯罪分子的数据库里躺着你的个人数据？

根据美国身份盗窃资源中心（ITRC，负责追踪美国公开报道的数据泄露事件）的数据，其在 2025 年共记录了 3322 起安全事件，发出了近 2.79 亿份受害者通知。而在 2006 年，ITRC 仅追踪到了 321 起事件。这二十年间，人们收到了数不清的“免费信用监控服务”补偿。

这种麻木带来了实际的改变：Varonis 去年的一项调查发现，64% 的受访美国成年人在听说数据泄露时，甚至从来不会去检查自己是否受到影响。此外，丢失数据控制权的企业似乎并不会受到长期的实质性惩罚——股票价格通常只是短暂下跌，随后便会反弹。

这已经超越了所谓的“泄露疲劳”（Breach Fatigue），它已经演变成了“全盘麻木”（Apathy）。

我们进入了“后数据泄露时代”——在这里，每个人的信息都已经被偷过了，而我们大家都已经学会了带着这个现实继续生活。

过去五年中影响最深远的安全事件之一，是针对 CVE-2023-34362 漏洞的疯狂利用。这是 Progress Software 旗下 MOVEit Transfer 管理型文件传输（MFT）软件中的一个 SQL 注入漏洞，该软件当时被成千上万家企业使用。这场灾难导致医疗、金融、政府等领域的第三方系统遭受大范围数据泄露，波及近 1 亿人。

Progress Software 于 2023 年 5 月 31 日披露了这个零日漏洞。虽然当时无法立即提供补丁，但该公司提供了缓解指南，并在当天晚些时候发布了补丁。然而，威胁行为者——尤其是 Cl0p 勒索软件团伙——在一系列极低门槛的数据窃取勒索攻击中，攻破了海量的组织（包括大量的下游供应链）。这场攻击对 Cl0p 而言堪称一场暴利狂欢，为其带来了至少 7500 万美元的赃款。

Huntress 高级首席安全研究员 John Hammond 表示，CVE-2023-34362 引发的后续攻击，演变成了一场历史性破坏规模的供应链攻击。

“在 2023 年，MOVEit Transfer 软件遭利用是当时一种新兴趋势的大规模体现：黑客开始集中攻击管理型文件传输（MFT）解决方案，”他说，“攻击本身是‘即瞄即射’的——黑客除了 IP 地址或主机名之外，不需要任何复杂的技术就能完全控制一个受漏洞影响的系统。 CL0p 勒索软件团伙充分利用了这一点。”

这里的失败是双重的：

1. 尽管零日漏洞无法完全避免，供应商也应当获得一定的宽容，但 CVE-2023-34362 是一个 SQL 注入漏洞——这是网络安全史上最古老、最基础的漏洞类型之一，也是内部代码扫描最容易捕获的漏洞之一。

2. 尽管许多防御者和组织在事发后迅速采取行动修复并广而告之，但同样有大量的组织未能做到。在最初发现该漏洞后的几个月里，企业被攻破和数据泄露的披露仍在持续，直到攻击发生数月后，这场灾难给各组织带来的巨大代价才彻底暴露。

安全业界希望能从这些失败中吸取教训——从而在潜在的庞大供应链威胁面前抢占先机——但 MOVEit Transfer 攻击因其留下的毁灭性痕迹，已经永远载入了网络安全的史册。

尽管总有人预言它即将走向灭亡，但无处不在的安全信息和事件管理（SIEM）平台就是不愿交出权柄。

在安全运营中心（SOC）里，那些号称要取代 SIEM 的新兴技术没有一个真正成功：最初是安全管排、自动化与响应（SOAR）；接着是扩展检测和响应（XDR）；然后是行为分析、大数据；现在，当然轮到了智能体 AI（Agentic AI）。但这些工具不仅没有取代 SIEM，反而大多被融合或集成到了 SIEM 之中。

“SIEM 之所以没死，是因为合规性不允许它死，”Digital Cyber Forge 咨询公司总裁兼 CISO/CTO Jesse Whaley 表示，“FedRAMP、CMMC（网络安全成熟度模型认证）、PCI DSS 以及 SOC 毫无例外地将日志聚合和关联视为一项控制性硬性要求，而不是可选项。你无法杀死审计员强制要求的底层架构，这是没人挑明的行业大实话。”

然而，拥有成本的不断高企，再加上全新 AI 功能的涌现，最终可能会杀死这个顽固存在的平台——至少会杀死我们今天所熟知的这种形态。长期以来，SIEM 的核心超级能力一直是安全数据和日志的收集与存储，但这已成为安全团队难以维持的昂贵投资。

“SIEM 进行数据关联的能力往好里说也是微弱的，它把创建规则的重担完全压在了分析师身上，对于缺乏经验的人来说这非常困难，”DeVry 大学 CISO Fred Kwong 指出，“而随着 AI 的出现，情况正在发生改变，AI 智能体现在能够直接接管 SIEM 中的数据并完成这些苦活累活。”

他表示，将工作负载转移给 AI 来处理是符合逻辑的。我们曾梦到 SIEM 能解决一切关联分析，结果等来了把它当成“昂贵数据库”的大梦初醒。他认为，未来更实用且成本更低的选择是采用数据湖（Data Lake），并在前端使用人工智能（AI）智能体和大语言模型（LLMs）进行交互。

与此同时，Whaley 也预测了类似的场景：在接下来的十年中，SIEM 将演变成“纯粹的底层架构，就像一个数据库”，而在其上层则是基于 AI 的工具，负责对 SIEM 传统上从各种安全工具和设备中筛选出的数据进行关联、编排和执行响应行动。

“SIEM 变成了数据基座；AI 成了推理引擎。而编排层则是它们之间的连接纽带，这也是目前还没有人能够完全打造出来的部分，”他补充道。他指出，当今的大多数 SIEM 主要将 AI 用于搜索日志，而不是在事件、设备和响应之间进行真正的全局编排。

Dark Reading 最近进行的一项在线调查显示了对 SIEM 未来的复杂看法：在 1400 多名受访者中，40% 的人认为它应该被合并到 XDR、EDR（终端检测与响应）或其他安全产品中；35% 的人认为 AI 和其他更新将使 SIEM 保持活力；而 15% 的人则认为 SIEM 终将消亡。

加密货币盗窃案绝非罕见，但作为一切事件的始作俑者、加密安全失败的“开山鼻祖”，当属 Mt. Gox。

这家总部位于东京的公司始建于 2006 年，最初是作为《魔法风云会》（Magic: The Gathering）游戏爱好者的在线聚集地（ Magic The Gathering Online eXchange）。当人们意识到加密货币可以让大批人暴富时，它迅速将业务拓展到了比特币交易领域。从纸面上看，它确实做到了：到 2013 年，Mt. Gox 已成为全球最大的比特币交易所，处理了全球绝大部分的比特币交易。

然而，内部情况似乎开始不对劲。投资者开始抱怨交易出现故障；Mt. Gox 自身在2011年报告了 2609 个比特币因黑客入侵被盗。到了 2013 年，执法部门以“违反监管规定”为由，充公了 Mt. Gox 金库中的 500 万美元。

随后在 2014 年初，毫无预兆地，Mt. Gox 暂停了比特币的提现业务，瞬间引发了投资者的极度恐慌，单枪匹马导致比特币价值在极短时间内暴跌 36%。不久后，管理层被迫承认他们遭遇了一场史诗级的盗窃：850,000 个比特币（当时价值约 4.5 亿美元）彻底人间蒸发。不到一个月后，该公司宣告破产，投资者血本无归。

在随后的破产调查和技术复盘中，残酷的真相浮出水面：这场入侵并不是一次性的大规模洗劫。恰恰相反，黑客自 2011 年以来一直在像“蚂蚁搬家”一样缓慢地抽走资金，而公司对此竟然毫无察觉。事实上，Mt. Gox 早已资不抵债多年，一直在用根本不存在的虚拟资金记账来欺骗投资者。该公司内部甚至没有审计日志、没有事件响应能力，更谈不上任何的公司治理与监管。甚至当时还有传言称，该公司首席执行官马克·卡佩勒斯（Mark Karpeles）挪用了他人的现金据为己有……

当身价数十亿美元的博彩帝国，被几个给客服打骚扰电话的年轻人彻底干废。

2023年9月，拉斯维加斯大道上演了网络安全史上最具戏剧性、也最令人尴尬的一幕。两大博彩与娱乐巨头——美高梅国际酒店集团（MGM Resorts）和凯撒娱乐（Caesars Entertainment）——在几周内相继遭到同一个黑客组织（Scattered Spider，据信是 Alphv/BlackCat 勒索软件团伙的分支）的血洗。

这场灾难的讽刺之处在于，黑客没有使用任何价值百万美元的零日漏洞，他们仅仅使用了最古老、最基础的技术：社会工程学（Social Engineering）。

黑客在领英（LinkedIn）上锁定了美高梅的一名员工，获取了其个人信息，然后直接拨打了美高梅的 IT 帮助台（Helpdesk）客服电话。黑客假冒该员工，声称自己丢失了手机和凭证，成功骗过了客服人员，让客服重置了多因素身份验证（MFA）。

进入内部网络后，黑客的破坏力是毁灭性的。美高梅拒绝支付赎金，结果导致：

• 全球数万间酒店客房的电子房卡全部失效，大批旅客深夜被锁在门外。

• 赌场内成千上万台老虎机、数币机彻底死机，屏幕一片漆黑。

• 官方网站、预订系统、甚至连住客结账的信用卡刷卡机都瘫痪了数日。

据美高梅随后的财报透露，这场由一个客服电话引发的灾难，直接导致该公司损失了至少 1亿美元 的利润，并额外支付了不到 1000 万美元的清理和技术恢复费用。

相比之下，邻近的凯撒娱乐在遭遇类似的社工攻击后，选择屈服并迅速支付了约 1500万美元 的赎金，从而避免了像美高梅那样全线瘫痪的公开难堪。

这里的失败在于： 整个安全行业高谈阔论了二十年的“零信任（Zero Trust）”和“下一代端点防御”，但在面对一个经过精心伪装的电话欺骗时，数十亿美元打造的防御纵深瞬间土崩瓦解。它狠狠地扇了整个行业一个耳光：人，依然是网络安全链条中最脆弱、也最容易被利用的环节。

虽然这件事发生在不久前（2024年7月），但它已经无悬念地预留了网络安全史上“最惨烈自我防御事故”的王座。

当时，全球顶级网络安全公司 CrowdStrike 向其 Falcon 传感器软件推送了一个极其微小的日常配置更新（Channel File 291）。然而，由于代码缺乏最基础的验证筛选，这个更新存在致命缺陷。

结果，全球超过 850万台 Windows 服务器和电脑 在重启时瞬间触发了死机蓝屏（BSOD），陷入无限重启循环。

• 这一事件导致全球航空交通瘫痪，数万架次航班取消，机场一片混乱。

• 英国等多个国家的医疗挂号系统停摆，医生无法查看病历。

• 银行ATM机、超市收银台、电视台直播系统瞬间瘫痪。

最具有讽刺意味的是：这不是一次黑客攻击。 没有任何一个特定背景的黑客组织参与其中。这是安全行业最大的讽刺——企业为了防止被黑客攻击而安装了最先进的安全软件，而正是这个安全软件自己，发动了人类历史上破坏力最广的一次“拒绝服务攻击”。

这场灾难迫使整个 IT 行业重新审视供应链集中化风险。当全球所有的鸡蛋都放进一个所谓的“安全篮子”里时，这个篮子一旦翻倒，就是全球经济的碎梦时刻。

在 2000 年代中期，赛门铁克是网络安全界无可争议的超级巨无霸。无论是企业级的全套防护，还是普通消费者电脑的“诺顿（Norton）”杀毒，赛门铁克就是安全代名词。

2010年，赛门铁克斥资 12.8 亿美元收购了威瑞信（VeriSign）的认证业务，一举成为全球最大的数字证书颁发机构（CA），掌控着全球互联网很大一部分加密通信的信任根基。

然而，傲慢引发了毁灭。从2015年开始，谷歌和火狐的研究人员发现，赛门铁克在没有进行适当验证的情况下，错误地签发了数万个不合规的 SSL 证书，其中包括针对谷歌域名的伪造证书。这意味着攻击者可以利用这些证书发动极其隐蔽的中间人攻击。

在多次警告无效、赛门铁克管理层消极应对后，谷歌做出了震惊科技界的决定：在 Chrome 浏览器中彻底取消对赛门铁克所有证书的信任。

这一决定直接判了赛门铁克证书业务的死刑。由于失去了各大浏览器的信任，赛门铁克不得不将整个证书业务以极低的价格贱卖给 DigiCert。

随后，赛门铁克兵败如山倒，由于产品线臃肿、缺乏创新，其企业安全业务在 2019 年被博通（Broadcom）收购，剩下的消费者业务改名为 Gen Digital。曾经的网络安全帝国，就此在内耗和低级失误中分崩离析。

二十年前，科技公司向我们描绘了一幅美好的“万物互联”美梦蓝图：智能摄像头、智能冰箱、智能婴儿监视器。

然而，2016年 Mirai 僵尸网络的爆发，把这个美梦彻底砸得粉碎。Mirai 的原理简单到令人发指：它只是在互联网上盲目扫描那些暴露了 Telnet 端口、且依旧使用厂家出厂默认密码（如 admin/admin，123456）的摄像头和路由器。

就是这样一个毫无技术含量可言的恶意软件，在极短时间内控制了全球数百万台物联网设备。随后，它对全球互联网域名解析服务商 Dyn 发动了史诗级的分布式拒绝服务（DDoS）攻击。导致半个美国的互联网瘫痪，Twitter、Netflix、Reddit、纽约时报等顶级网站断网数小时。

Mirai 证明了：硬件厂商为了追求出货速度和微薄利润，完全抛弃了最基本的数据安全。直到十年后的今天，我们依然在为那些无法更新补丁、密码无法修改的“僵尸”物联网设备买单。

结论：在碎梦中醒来

回顾这二十年，我们看到的不是黑客的技术有多么不可战胜，而是防守方的阵脚大乱和屡屡犯错。

我们遭遇了数据的全面泄露（我们麻木了）；我们遭遇了供应链的全面失守（MOVEit）；我们甚至遭遇了安全软件自身的背刺（CrowdStrike）。

网络安全的下一个二十年已经开启。这篇文章的终极目的，是希望行业能从这些碎梦中真正清醒过来：抛弃对“绝对安全”的虚幻迷信，承认漏洞与失败的必然性。唯有将重心转向基础的安全习惯、严格的流程审计、以及被攻击后迅速站起来的“网络韧性（Resilience）”，我们才能避免在下一个二十年里，写出一部同样荒唐的失败史。