信息來源：FreeBuf

2019年網絡安全形勢已然更加復雜，網絡攻擊手段更為多樣，數(shù)據(jù)泄露、勒索軟件、APT攻擊等安全事件頻發(fā)。此外，網絡安全市場也在急劇膨脹，快速發(fā)展，安全產品更新快，種類多，數(shù)量激增。在2020年，網絡威脅隨著云技術、大數(shù)據(jù)、物聯(lián)網、人工智能等技術的發(fā)展，也將進化，變得更加復雜、棘手、難以應對。網絡安全投入持續(xù)增加，市場規(guī)模將進一步擴大，發(fā)展?jié)摿σ矊⒗^續(xù)被激發(fā)出來。

在2020年，網絡威脅將仍然是安全行業(yè)發(fā)展的主要驅動力，而國家政策要求是安全市場增長的重要推動力。此外，技術變革將催生安全行業(yè)中新的應用場景與市場空間。在威脅、政策、技術的多重驅動下，信息網絡安全行業(yè)需求將更加旺盛，發(fā)展將更加成熟。

一、2019年網絡安全事件回顧

（一）俄羅斯50多家大型企業(yè)遭到未知攻擊者勒索

3月2日，Rostelecom-Solar的網絡安全專家記錄到針對俄羅斯企業(yè)的大規(guī)模網絡攻擊。攻擊使用物聯(lián)網設備，尤其是路由器，偽裝成歐尚、馬格尼特、斯拉夫尼奧夫等50多家知名公司發(fā)送釣魚電子郵件，對公司人員進行勒索攻擊。追蹤被黑的網絡設備要比服務器困難得多，且使用物聯(lián)網設備的攻擊更簡單，對入侵者來說更安全。

（二）英特爾CPU再現(xiàn)高危漏洞，得到官方證實可泄漏私密數(shù)據(jù)

3月，美國伍斯特理工學院研究人員在英特爾處理器中發(fā)現(xiàn)另外一個被稱作Spoiler的高危漏洞，與之前被發(fā)現(xiàn)的Spectre相似，Spoiler會泄露用戶的私密數(shù)據(jù)。雖然Spoiler也依賴于預測執(zhí)行技術，現(xiàn)有封殺Spectre漏洞的解決方案對它卻無能為力。無論是對英特爾還是其客戶來說，Spoiler的存在都不是個好消息。

（三）華碩軟件更新服務器遭黑客劫持 50 萬華碩用戶受影響

4月，安全研究人員表示，全球最大的計算機制造商之一華碩近50萬臺Windows計算機在去年遭到了入侵，攻擊者劫持了華碩的實時軟件更新服務器（Live Update），在無人知曉的情況下在客戶的電腦上安裝了惡意后門。這些惡意文件經過了華碩數(shù)字證書的合法簽名，所以看起來與該公司的軟件更新并沒有差別。

（四）網絡安全等級保護制度2.0系列標準正式發(fā)布

5月13日，《信息安全技術網絡安全等級保護基本要求》、《信息安全技術網絡安全等級保護測評要求》、《信息安全技術 網絡安全等級保護安全設計技術要求》三項國家標準正式發(fā)布，并于2019年12月1日正式實施。

（五）CapitalOne大規(guī)模數(shù)據(jù)泄露

7月，Capital One數(shù)據(jù)事件披露，事件影響超過1億的美國人和600萬的加拿大人。一項調查顯示，事件背后的黑客嫌疑人是一名前Amazon Web Services員工，被指控非法訪問Capital One的AWS服務器檢索數(shù)據(jù)以及其他30家公司的數(shù)據(jù)。

（六）委內瑞拉再度因網絡攻擊上演大停電

7月，委內瑞拉再度因網絡攻擊上演大停電，委內瑞拉的23個州中有一半以上受到了停電影響。這是今年3月的大規(guī)模停電以來，停電首次波及首都加拉加斯。

（七）《兒童個人信息網絡保護規(guī)定》正式出臺

8月23日，國家互聯(lián)網信息辦公室正式發(fā)布《兒童個人信息網絡保護規(guī)定》，并于2019年10月1日起施行。這是我國第一部專門針對兒童網絡保護的立法，該規(guī)定填補了互聯(lián)網時代兒童個人信息保護的法律空白。

（八）YouTube非法搜集兒童隱私,美國判罰谷歌1.7億美元

YouTube涉嫌違反兒童隱私法，美國聯(lián)邦貿易委員會宣布將對谷歌處以1.7億美元罰款。這是《兒童在線隱私保護法》出臺以來開出的最大罰單。

（九）隱私安全遭質疑 ZAO被工信部約談

9月3日，工信部網站發(fā)布，對北京陌陌科技有限公司相關負責人進行了問詢約談。ZAO App一經推出便迅速火爆，但也因為隱私安全問題遭到用戶質疑。其中爭議最大的就是用戶協(xié)議中寫到需要使用者同意把肖像權，永久、不可撤銷、免費地給它使用，還能修改，包括它的關聯(lián)公司。

（十）印度核電廠疑似遭APT組織攻擊

11月，印度獨立網絡核電站Kudankulam遭遇疑似朝鮮APT組織Lazarus攻擊，印度官方發(fā)布聲明承認遭到外部攻擊者滲透，被滲透的是用于管理內部計算機連接互聯(lián)網的服務器。這些服務器主要控制部分內部計算機的網絡訪問權限，并且這些服務器與核電站的關鍵設施是隔離的，影響比較低。

（十一）Adobe泄漏7百萬Creative Cloud用戶數(shù)據(jù)

11月，Adobe確認有近700 萬個Creative Cloud 用戶的資料外泄。問題最初是由安全機構Comparitech和安全研究人員Bob Diachenko 發(fā)現(xiàn)，在一個公開的資料庫當中包含了大量Creative Cloud 用戶的資料，其中包括電郵地址、帳戶建立日期、使用的Adobe產品、訂閱狀態(tài)、帳戶ID和所在地等等。

二、2020年網絡安全趨勢預測

（一）勒索軟件熱潮不退，仍是網絡安全攻擊的“寵兒”

對于攻擊者而言，利用勒索軟件犯罪風險很小，只有在少數(shù)情況下，發(fā)起勒索軟件活動的網絡犯罪分子會被繩之以法。然而，其潛在的回報卻很大。在過去的一年中，勒索軟件攻擊案件頻發(fā)，有許多受害者屈服于攻擊者的勒索要求，他們通常支付高額贖金以換取其網絡的安全或換回信息數(shù)據(jù)。數(shù)據(jù)顯示，勒索軟件今年的攻擊成本超過100億美元。

在2020年，作為一種有利可圖且相對無風險的網絡犯罪形式，黑客想必不會放棄。并且目標式勒索軟件攻擊將大幅度增加，確保破壞規(guī)模并提高贖金，這樣的手法只會有增無減。

（二）數(shù)據(jù)隱私問題依然熱門，過去揭露的泄露事件只是冰山一角

2019年網絡安全對于數(shù)據(jù)的依賴性極強，數(shù)據(jù)泄露事件仍是人們的核心關注點。數(shù)據(jù)安全問題逐漸凸顯的另一面是數(shù)據(jù)的激增。據(jù)預測數(shù)據(jù)顯示，2020年我國數(shù)據(jù)總量全球占比將達20%，成為數(shù)據(jù)量最大、數(shù)據(jù)類型最豐富的國家之一。

黑客販賣個人信息、企業(yè)數(shù)據(jù)遭竊取和泄露、網絡運營商收集用戶數(shù)據(jù)等一系列事件依然在人們視線中活躍。后續(xù)引發(fā)的網絡釣魚事件在2020年會持續(xù)增加。據(jù)微軟的一項分析發(fā)現(xiàn)，網絡釣魚詐騙今年增長了250％。未來這些技術會變得越來越復雜，這使它們既難以識別，也更成功地實施。隱私和安全已經成為數(shù)字時代的新標志，數(shù)據(jù)安全和隱私將是2020年企業(yè)面臨的頭等大事。

數(shù)據(jù)比黃金更有價值，不管是企業(yè)負責人還是網絡攻擊者都已察覺。在新的十年開始之初，企業(yè)組織將會更加重視數(shù)據(jù)存儲位置，劃分數(shù)據(jù)敏感程度以及如何保護。個人的數(shù)據(jù)隱私保護意識也將會加強。

（三）人工智能技術作為一把“雙刃劍”，將使黑客攻擊技術、手法更加復雜

2019年，網絡安全行業(yè)開始利用AI技術開展安全防御工作，探索安全解決方案。但網絡攻擊者隨即跟上了步伐，利用AI技術和機器學習研發(fā)攻擊工具、惡意程序，以此來繞開和躲避滲透目標系統(tǒng)。

因此，2020年基于AI的惡意軟件防護將變得愈加重要。網絡安全威脅的發(fā)展推動我們進入AI對抗AI的時代。機器學習、自動化、Deepfakes等都是人工智能技術發(fā)展的成果，但是在享受成果的同時，也要防范其中帶來的安全風險。

Sophos CTO Joe Levy預測，網絡安全行業(yè)嘗試并采用機器學習新技術的速度將繼續(xù)提高，使系統(tǒng)在保護信息系統(tǒng)及其用戶方面能夠做出半自主甚至全自主的決策。這些新的防御技術至關重要，因為網絡犯罪分子很可能會結合自動生成內容和人工操作來開展有目標的攻擊，從而逃避當前的防御，執(zhí)行“人腦（濕件）”攻擊。

（四）Deepfakes技術進一步成熟，相關欺詐案件數(shù)量或持續(xù)走高

2019年，AI換臉是頻頻出現(xiàn)的熱詞。所謂deepfake，是指使用人工智能技術來制作視頻內容，它可以實現(xiàn)以假亂真的效果，使得人們無法通過肉眼分辨真?zhèn)巍?

從國外的惡搞奧巴馬，到國內的朱茵換臉楊冪、以及ZAO App的曇花一現(xiàn)。這項腦洞大開的技術在2017年由Reddit網站用戶「deepfakes」提出并開源，便在論壇炸了鍋。隨即衍生出FakeApp等視頻合成工具和一系列偽造影片。

Deepfake對女性群體的威脅更大，相關偽造視頻中，有超過90%以上涉及到了色情。同時，AI支持的Deepfakes技術能帶來的巨大經濟收益，預計在2020年會有更多的人模仿攻擊，更多的基于Deepfakes的攻擊可能以很低的成本制造出以假亂真的音頻和視頻，與此相關的欺詐損失將超過205億美元。

據(jù)Mitek CTO Stephen Ritter預測，Deepfakes對2020年選舉也將產生重大影響，因為人們的真實身份變得越來越難以驗證。這項技術將用于生成虛假視頻，污蔑政治候選人說過什么或者做過什么，并且這些視頻近乎可以實時制作。

（五）智能互聯(lián)設備數(shù)量大幅增加，物聯(lián)網安全問題意識加強

2019年可謂是物聯(lián)網發(fā)展關鍵的一年，智能聯(lián)網設備相較之前大幅增加，技術更加先進，對于人們的生活更加便捷。但是針對物聯(lián)網安全的問題也開始困擾著人們。

物聯(lián)網的普及使得安全問題迫在眉睫。IoT Analytics預測，到2020年，全球活躍的物聯(lián)網設備數(shù)量將達到100億臺。智能家居、智慧城市、車聯(lián)網等，其建設都有賴于物聯(lián)網技術的進步。

然而，物聯(lián)網安全頻頻見諸報端，比如黑客入侵家用路由器、智能門鈴、汽車或者其他智能設備來監(jiān)視用戶生活，竊取用戶信息，將用戶的信息數(shù)據(jù)隱私出售換取實質利益，或者成為進一步犯罪的手段，這些都讓人們對物聯(lián)網“又愛又怕”。

在2020年，智能聯(lián)網設備的供應商會加強安全因素的考量。研發(fā)沒有安全問題的聯(lián)網產品，增加人們對設備的信任程度，擴大市場推動行業(yè)發(fā)展。因此，物聯(lián)網設備制造商和連接設備的部署者需要制定計劃，升級其提供的功能以確保安全的物聯(lián)網系統(tǒng)。

（六）供應鏈攻擊、開源軟件惡意感染繼續(xù)增加

據(jù)賽門鐵克數(shù)據(jù)顯示，2019年，供應鏈攻擊增加了78%。企業(yè)資源集中于特定市場從而將大多數(shù)輔助業(yè)務流程外包給了熟練的供應商和經驗豐富的第三方，降低了成本，加快了交付速度。大多數(shù)人從已知開發(fā)人員的官方網站安裝軟件或更新的時候，不會過多思考。因此，在過去幾年，黑客越來越多地利用這種信任，通過源代碼來傳播惡意軟件。

利用用戶對廠商產品的信任，在廠商產品下載安裝或者更新時進行惡意軟件植入進行攻擊。這種攻擊手法不易發(fā)現(xiàn)，且潛藏時間長久。IBM表示，2019年發(fā)現(xiàn)漏洞的平均時間高達206天。一般情況下，用戶都不會懷疑受信任的開發(fā)人員或供應商，而供應商又可以提供大量的用戶，攻擊者可以以較低的投入，獲得非常高的回報。

（七）云安全事件隨企業(yè)上云的普及而增加，云數(shù)據(jù)存儲與處理面臨考驗

在2019年的重大數(shù)據(jù)泄露中，有很大一部分源于配置不當?shù)脑拼鎯?，造成大型科技公司和金融機構的數(shù)據(jù)泄露。比如Capital One數(shù)據(jù)泄露事件，利用一個配置錯誤的AWS S3存儲桶來下載敏感數(shù)據(jù)，影響了大約1億美國人和600萬加拿大人。

《福布斯》稱，到2020年，企業(yè)會將83%的工作量轉移到云上。云計算的進步將引發(fā)新的網絡信息安全問題，驅動云安全市場的高速增長。網絡技術協(xié)同融合意味著安全風險的交織與演變。

DivvyCloud聯(lián)合創(chuàng)始人兼CTO Chris DeRamus預測，在2020年，企業(yè)持續(xù)上云，我們將看到大量由于配置錯誤而導致的數(shù)據(jù)泄露。由于科技更新?lián)Q代的壓力，開發(fā)人員經常以創(chuàng)新的名義繞過安全性，這就容易導致大規(guī)模的數(shù)據(jù)泄露。

（八）5G普及，移動端將遭遇更大的攻擊風險，為APT組織所青睞

抓住2019的尾巴，我國正式進入5G商用元年。在今年10月正式商用5G。到11月，中國5G手機銷量超500萬部。中國5G基站到年底將建成超13萬個。據(jù)預測，2020年中國將建設超過60-80萬個5G宏基站。

來年5G的普及也意味著攻擊者將加大了移動惡意軟件攻擊的力度。Mimecast威脅情報副總裁Joshua Douglas預測，在2020年，企業(yè)專注于簡化終端用戶體驗，創(chuàng)建即時通訊并自動執(zhí)行日常任務。在2020年，我們將看到針對移動平臺的攻擊會有所增加，攻擊者利用新工具的安全隱患進行賬戶訪問并隱藏身份。同時，未來移動設備的數(shù)據(jù)丟失，將用時更短，數(shù)量更大。企業(yè)對于移動威脅的檢測和響應投入也將增加，以此完善整體安全策略。

移動端植入已成為很多 APT 團伙的基本操作，移動端的零日漏洞價格也是水漲船高，行情一路看漲。今年 9 月份，零日漏洞交易服務商 Zerodium 發(fā)布的數(shù)據(jù)顯示，Android 零日漏洞的價格首次超過了 iOS。

（九）安全法律法規(guī)進一步落地，企業(yè)或將面臨合規(guī)資源和機制不堪重負

2019年，等保2.0、《國家關鍵信息基礎設施安全保護條例》、《兒童個人信息網絡保護規(guī)定》等網絡安全相關法規(guī)、政策逐漸出臺、落地，推動了整體行業(yè)的發(fā)展。

在2020年，行業(yè)相關法律法規(guī)將陸續(xù)出臺，比如即將生效的《加利福尼亞消費者隱私法》，不斷填補安全行業(yè)空白區(qū)域。同時，現(xiàn)有的和新出臺的安全法規(guī)將進一步落地，加大對不合規(guī)企業(yè)、過度收集數(shù)據(jù)企業(yè)的懲處力度。企業(yè)或將面臨合規(guī)資源和機制不堪重負的問題。

（十）威脅情報信息共享重要性提升，或將面臨新挑戰(zhàn)

在2020年網絡安全攻防全面升級，而威脅情報共享和有效利用將成為提升整體網絡安全防護效率的重要措施。

2019年11月，國家互聯(lián)網信息辦公室會同公安部等有關部門起草了《網絡安全威脅信息發(fā)布管理辦法(征求意見稿)》，向社會公開征求意見。威脅情報對于網絡安全防護具有現(xiàn)實價值，且越來越多的企業(yè)和機構對此需求迫切。

威脅情報發(fā)布標準的落地，由此建立更好的威脅信息共享體系。集體網絡防御和公私協(xié)作將進一步加強未來網絡安全防御的信心和能力。如果與行業(yè)內的其他公司共享網絡安全方面的信息，他們就可以同歸對比各自的安全策略和實踐方式來找出自身在安全保護方面的短處，并提升安全機制的成熟度。但是對于企業(yè)應該共享哪些類型的威脅信息以及分享給誰，這些信任問題將阻礙威脅情報信息共享的發(fā)展。