安全前瞻报告0126

1、虎符智库2021安全前瞻报告安全快一步关于 虎符智库 奇安信集团主办的网安行业高端智库，汇聚业界精英力量，跟踪研究前沿数字化与网络安全建设，以及新兴安全风险，致力于为国内网络安全产业发展与网络安全建设提供前瞻建议，为建设网络强国、数字中国贡献力量。 扫码加入关注目录安全数字41、数据泄露42、威胁类型43、安全漏洞64、APT攻击72020安全形势： 疫情年份 网络安全迎来大考81、国际网络对抗白热化 网络攻击公开化82、网络攻击聚焦窃密 军政机构面临泄密风险93、关基破坏性攻击激增 制造社会混乱成目标104、新基建全面加速 安全体系缺失凸显115、新冠疫情全球肆虐 黑客组织迎来狂欢年116、

2、个人数据泄露激增 侵犯隐私乱象整治加码127、攻防博弈失衡加剧 信息系统“千疮百孔”132020年安全创新： 数字化加速安全实战化创新151、疫情之下远程访问需求激增，零信任加速标准化152、内生安全框架从顶层视角构建动态综合防御体系163、自动化技术推动隐私保护合规化164、攻防博弈进化，第三代安全引擎破解0day漏洞难题175、实战攻防演习推动产品技术创新大量涌现186、SOC/SIEM建设强化实战化能力197、政企机构加速上云，云原生安全重构云上安全防护体系202021安全预测：不确定的未来，安全威胁是最确定的风险221、国家间网络对抗升温， 重大安全事件可能再现222、政策利好与严峻形

3、势叠加，网络安全支出有望大幅增长233、安全黑天鹅事件难以避免，实现网络弹性成政企重要目标244、个人隐私法规将继续加强，企业面临更高的隐私保护压力245、勒索攻击黑产模式走向成熟，仍是机构最大的安全威胁256、黑客组织攻击手段持续演进，供应链等攻击方式将受重视267、实战攻防演习效果明显，推动政企实战化安全能力建设262021建议：安全快一步28规划快一步 让安全少走弯路28发现快一步 守好安全第一线28攻防快一步 掌握安全主动权28附录30国内十大网络安全事件301、疫情期间国外黑客组织对我国医疗网络攻击激增302、新型基础设施建设加速，网络安全迎来新机遇303、国家要求加快培育数据要素市

4、场 数据分类分级安全保护成热点314、我国两大炼油厂遭受勒索软件攻击315、工信部推进App专项整治行动，1500余款App被责令整改316、面向新基建的新一代网络安全框架发布327、青少年安全教育纳入国策：教育部要求网络安全全学段覆盖328、个人信息保护法（草案）发布339、圆通速递泄露40万条个人信息被约谈3310、“金链熊”攻击引爆年度最严重APT事件34安全数字1、数据泄露2020年是有记录以来数据泄露最糟糕的一年。根据Risk Based Security的报告，2020年第一季度公开报告的泄露数据量同比增长了273。截至第三季度，公开报告的数据泄露事件总量为360亿条，达到历史新高

5、，超过2019年数据泄露量的2倍。 （2020第三季度报告数据泄露速览）外部入侵依然是数据泄露的最大来源：55%的数据泄露是由有组织的犯罪集团实施的。（Verizon：2020年数据泄露调查报告）2、威胁类型勒索软件为主要的安全威胁。2020年，奇安信安服应急响应团队处理的安全事件中，其中涉及的主要威胁类型包括勒索、恶意代码、挖矿病毒、设备监测异常以及漏洞利用。其中，47%为勒索软件，11%为恶意代码，11%为挖矿代码。政府和医疗部门遭受的网络威胁最多。从奇安信安服应急响应团队处置安全事件所涉及的行业分布来看，政府部门高达22%；医疗卫生行业为14%；事业单位占比10%。3、安全漏洞2020年

6、曝光的信息系统安全漏洞大幅增加。截至2020年10月，国家信息安全漏洞共享平台（CNVD）收集整理信息系统安全漏洞17524个，同比增加36%；其中高危漏洞6363个，同比增加65%。截至 2020年年底，奇安信CERT监测到漏洞信息77408条，较2019年新增3381条。深入研判的漏洞环比增长120.6%。其中，低危漏洞占比24%，中危漏洞占比30%，高危漏洞占比46%。相比2019年，2020年初步研判的高危漏洞增长142个、中危漏洞增长131个、低危漏洞增长63个。2019年初步研判高危148个，中危62个，低危86个。4、APT攻击2020年以窃密为目标的网络攻击大幅增长。根据奇安信

7、威胁情报中心的监测，2020年全球的高级持续威胁攻击（APT）数量增幅为23%。针对我国的APT攻击事件增幅则高达69%。全球针对医疗行业攻击的APT事件增幅达117%。在针对我国的APT攻击中，医疗、政府、金融、教育、国防行业是攻击的重点。其中，医疗占比23.7%，政府占比22.5%，金融占比13.3%， 教育占比12.8%， 国防占比9.4% 。2020安全形势： 疫情年份 网络安全迎来大考 2020年新冠疫情肆虐，危及全球人类生命，但疫情并未使网络攻击组织停下脚步。疫情带来的远程办公工作方式成为黑客攻击的新目标，带来前所未有的网络安全风险，全球黑客迎来狂欢年。新冠疫情对各国医疗保障能力形

8、成考验，严峻的安全态势则对网络安全防护带来年度“大考”。 我们从国际形势、政府机构、关键设施、新技术应用、个人用户和攻防博弈等七个角度，梳理出2020年的网络安全态势。1、国际网络对抗白热化 网络攻击公开化2020年国际冲突加剧，网络攻击和军事冲突成为互补的工具，物理空间的攻击往往引发网络空间的报复，反之亦然。各国间的网络攻击行动日趋频繁化和白热化。2020年3月，安理会首次将网络攻击作为特别议题。针对网络攻击，各国强调以有力手段进行回应。例如，英国在2020年11月正式宣布成立国家网络部队(NCF)，专注于反击网络攻击活动。这些都显示了国际网络空间对抗日趋激烈的事实。各国之间这种你来我往、看

9、不到停止迹象的网络攻击，体现出国际网络对抗的没有规则、日趋白热化的时代特点。在网络攻击缺乏规则的时代，网络空间的脆弱平衡已经难以维持。2、网络攻击聚焦窃密 军政机构面临泄密风险 尽管有安全专家认为，对基础设施的破坏性攻击正取代间谍行动，但2020年间谍窃密依然是网络攻击行动的主要目的。2020年年底曝光的供应链攻击事件，揭示了多个国家的军政机构被入侵的事实，这一事件“可能是历史上最重大的网络间谍行动”。在新冠病毒肆虐全球的背景下，以窃取疫苗相关研究成果为目标的攻击事件也大幅增加，许多国内外疫苗研究机构遭受到网络攻击，导致新冠疫苗相关研究数据被窃取。 奇安信威胁情报中心的统计显示，2020年针对

10、我国重点单位的APT攻击频率明显上升。2020年全球的APT数量增幅为23%，针对我国的APT攻击事件增幅则高达69%。其中，我国政府、医疗以及国防机构更是国外APT组织窃密攻击的重要目标。在2020年的APT攻击事件行业分布中，医疗机构占比24%，政府机构占比21%，教育机构占比12%，国防部门占比11%。 根据奇安信威胁情报中心安全专家的监测，2020年APT组织Dark Hotel频繁对我国机构进行网络攻击，并利用浏览器和VPN 0day漏洞对我国政府机构进行渗透，以窃取机密信息。具有南亚背景的APT组织如蔓灵花、摩诃草、响尾蛇、魔罗桫，几乎全年不间歇地对我国军工、政府、高校进行窃密为目

11、的的攻击行动。华语APT组织毒云藤则对我国重点院校研究所、政府等单位进行针对性攻击，窃取大量的军工情报，对国家安全造成严重的危害。3、关基破坏性攻击激增 制造社会混乱成目标对关键基础设施等关系国计民生领域实施攻击，意图造成社会混乱和持久破坏的活动出现激增。这是传统情报窃取之外，国家级黑客组织的重要目标。2020年世界经济论坛的安全专家也认为，公用事业和关键基础设施已经成为网络攻击的主要目标之一。针对乌克兰电网的攻击还只是少数现象级的攻击事件，2020年此类针对关键基础设施的攻击已经成为普遍和频繁的现象。随着地缘政治紧张局势的加剧，2020年破坏性网络攻击行动进一步加剧。黑客组织对电网、水利、关

12、键制造和交通行业等关键基础设施领域的攻击数量显著增长。国家黑客组织利用破坏性攻击，可以在不付出较高代价的情况下，达到威胁国家经济安全、国家公共卫生安全，以及破坏社会稳定的目标。 2020年5月，委内瑞拉国家电网干线因遭遭到攻击而发生全国大面积停电。 2020年5月，以色列多次挫败对其供水系统的大规模网络攻击，其中一次攻击险些酿成人道灾难。 2020年5月，英国电网重要管理机构埃莱克森（Elexon）受到网络攻击，影响内部IT网络和员工电脑，导致无法进行关键通信。 2020年10月，印度孟买市遭遇前所未有的大范围断电，直接导致铁路运营瘫痪，股票交易所、医疗设施以及其它关键基础设施全面遭遇风险。有

13、报道称，停电很可能源自某国支持的黑客攻击活动。 2020年我国国家电网公司收到的攻击警报相对于2019年度有较大增长，电力领域关键信息基础设施遭到攻击的风险进一步增加。4、新基建全面加速 安全体系缺失凸显疫情成为数字化变革的催化剂，给网络安全带来连锁反应：数字化建设使网络安全成为战略重点，尤其是随着我国新基建的全面加速，5G、工业互联网等数字技术得到逐步部署，新一代信息技术在推动数字经济发展、助力社会治理现代化、推进智慧社会发展的同时，增加了新的安全风险。新基建带来复杂的应用场景，对安全防护提出更高要求：过去零散、局部的建设模式，外挂和附加式的安全能力，根本无法有效应对层出不穷的安全漏洞、安全

14、边界模糊的网络环境，以及攻击者日益高级的攻击方式。在新基建推动的数字化转型期，传统网络安全防护模式存在的安全体系化欠缺、能力碎片化严重、整体协同能力差、弹性恢复能力缺失等弊病被急剧放大。构建面向新基建的安全防护体系，亟需系统化的方法来为用户构建无处不在，处处结合，实战化运行的安全能力体系，在数字化环境内部建立无处不在的网络安全“免疫力”，真正实现内生安全。l 5G的普及推动物联网设备呈现爆发性增长，但海量物联网终端存在明显的安全隐患，成为网络攻击的重要目标。根据奇安信星迹平台（用于捕获网络攻击的蜜罐系统）统计，目前平均每天收到PoC漏洞利用流量约300万次，抽样调查漏洞利用次数的前十名中，九个

15、均为物联网设备漏洞。5、新冠疫情全球肆虐 黑客组织迎来狂欢年受新冠疫情影响，全球远程办公需求激增，用户和市场规模呈爆发式增长。其中，国内疫情高峰期间的远程办公需求环比上涨663%。IDC的调查显示，2020年企业云端数据首次超过本地数据。很多互联网企业的远程办公成为常态。远程办公突破了传统网络边界，带来巨大安全风险。面对新的环境，2020年全球网络攻击激增，黑客组织迎来狂欢年。2020年上半年，网络攻击强度和严重程度均出现飙升。针对医疗和人道主义组织的攻击尤其明显，例如世界卫生组织报告称，对其攻击数量增加了500%。2020年上半年，全球分布式拒绝服务(DDoS)攻击数量增加了151%。安全公

16、司CrowdStrike发现，2020年上半年的攻击数量超过了2019年全年。奇安信威胁情报中心的数据显示，2020年全球的APT数量增幅达23%，针对医疗行业攻击的APT事件增幅则达117%。在疫情高峰期间，我国医疗机构遭遇大量攻击；德国政府在2020年遭冠状病毒主题钓鱼攻击损失数千万欧元；2020年年底引爆的年度最严重APT事件，其攻击活动也始自年初的疫情爆发。新冠疫情导致远程工作激增，攻击者迅速适应“新常态”，暗网市场的网络凭据交易成为热潮。网络安全公司Positive Technologies的调查发现，企业网络凭据相关信息的交易蓬勃发展。2020年第一季度，暗网销售企业网络登录凭证的

17、帖子数量比上一季度猛增了69%。6、个人数据泄露激增 侵犯隐私乱象整治加码2020年抗击疫情需要导致个人信息被频繁收集，尽管主管部门强调落实疫情防控期间的个人信息和隐私保护，通知落实“脱敏处理”和“防疫需要”的要求，疫情期间的个人信息泄露事件依然频发。除疫情期间的个人信息泄露，App侵犯个人隐私问题依然是2020年社会热点。我国监管部门对App 超范围收集用户个人信息等行为持续进行治理。中央网信办、工信部、公安部、国家市场监管总局四部门联合开展App违法违规收集使用个人信息治理工作。侵害用户权益和个人信息收集存在问题的App遭通报、被下线。App用户权益保护测评规范系列标准、App收集使用个人

18、信息最小必要评估规范系列标准等18项团体标准的制定，规范了国内App的用户信息收集，减少侵害用户权益的行为。国际上，苹果公司宣布从2021年年初开始，将会把未经允许对用户数据进行追踪的应用移出应用商店。国内也出现了多起个人信息泄露事件，例如2020年12月，成都某女孩活动轨迹等个人隐私，全都被公布在网上，引发舆论对疫情下个人隐私保护问题的关注；同年11月，富阳法院“人脸识别第一案”的诉讼和宣判提升了整个社会对个人生物信息保护问题的忧虑。实行人脸识别的必要性以及信息采集后的安全性成为社会关注的焦点。7、攻防博弈失衡加剧 信息系统“千疮百孔”2020年攻防博弈呈现出加剧失衡的状态。攻击组织具备更加

19、良好的攻击能力，能在较短时间内实现漏洞利用。尽管使用公开较久的漏洞组合的攻击仍为主流，在面对高价值目标时攻击者会更倾向于使用零日漏洞。攻击者还借助自动化技术改变攻击形态，快速制造出已知威胁的变种，令安全设备无法识别。暗网市场出售的零日漏洞、身份凭据和网络武器，则使攻击组织有能力攻击高价值的目标。脆弱的供应链成为攻击组织的重要突破口，是需要关注的最薄弱环节。在政企机构报告的直接攻击减少的同时，通过供应链发起的“间接攻击”呈上升趋势。据某知名智库报告称，2010-2020年的公开报道中，具有较高影响力的软件供应链攻击和泄露事件呈现逐年递增趋势。与攻击者不断演进的手段形成对照，核心应用、网络设备和新

20、技术的漏洞频发。近两年漏洞数量不断突破新的记录。攻击组织日益高超的手段，以及日趋专业化的分工协作，与信息系统本身的“千疮百孔”透露出攻防博弈严重失衡的现状，以及巨大的潜在安全风险。 2019年业界提交CVND漏洞信息16208条，2020年度提交CNVD漏洞信息高达20136条。奇安信CERT监测到2020年较2019年新增3381条漏洞信息,其中较严重的影响或攻击成本较低的高危漏洞约占46%。 根据奇安信CERT监测，对于新爆发的漏洞，能在漏洞爆发0-7天就能发起的攻击者约占总比例0.23%。 流行视频会议软件Zoom的重要0day漏洞就曾被以50万美元价格出售。 甲骨文公司2020年发布了

21、1576个漏洞，其中包括大量CVSS评分（最高分为10分）达10分、9.8分的高危漏洞，可以令攻击者获得大量特权。 2020年研究人员发现，防御网络攻击的多个主流安全厂商的产品本身存在易遭利用的漏洞，构成严重的安全风险。疫情爆发以来，利用VPN漏洞入侵各国政府机构，成为黑客组织的流行攻击手段。2020年安全创新： 数字化加速安全实战化创新“道高一尺，魔高一丈”，数字世界的攻击与防御，时刻都在上演。2020年严峻的网络安全风险，加速了安全技术产品的研发创新和实践落地，从远程办公催生的“零信任”热，到个人信息保护带来的隐私保护技术，再到新基建浪潮驱动的新一代防御体系-“内生安全框架”，2020年是

22、技术创新加速向实践转化的一年。近年来Gartner机构、RSA大会提出的技术概念，在这一年纷纷开始落地。它们从国家、社会、经济和个人等层面，全方位守护数字时代的网络安全。1、疫情之下远程访问需求激增，零信任加速标准化疫情为远程办公按下了加速键，有观点认为，远程办公普及进度至少提前了三到五年。不过需要看到，疫情只是远程办公加速的催化剂，远程办公的原始驱动力是企业的数字化转型。为了解决远程访问中的业务暴露面收缩、权限管控、身份识别等诸多安全问题，零信任网络访问被认为是解决之道，被Gartner等咨询机构十分看好。各大厂商也纷纷推出了针对远程访问场景下的零信任身份安全解决方案。不过就目前而言，零信任

23、的发展仍然处在一个早期阶段。2020年零信任标准化工作正加速推进。2020年8月12日，美国国家标准与技术研究院（简称NIST）发布零信任架构正式版，对零信任安全原则、架构模型、应用场景做了详细的描述。在国内，由奇安信牵头发起的首个国家标准信息安全技术 零信任参考体系架构编制工作也正式启动，对零信任架构的标准化、落地化将会起到巨大的推动作用。为了解决更加细粒度的权限控制问题，奇安信零信任身份安全解决方案，创新地将人工智能思维应用于零信任实施架构，能够自适应适配用户、设备和应用资源，实现细粒度动态访问控制，有效地降低外部安全风险和内部安全威胁。其智能身份治理平台、智能评估引擎和可信访问控制引擎等

24、关键产品组件，通过建设智能化的资源保护平台实现规模化产业化推广，支持零信任在远程办公、云计算、大数据中心、物联网、车联网、智慧城市等多种应用场景的落地，保护核心资产，支撑关键服务应用高效安全运行。2、内生安全框架从顶层视角构建动态综合防御体系 新基建带来复杂的应用场景，对安全防护提出更高要求：过去零散、局部的建设模式，外挂和附加式的安全能力，根本无法有效应对层出不穷的安全漏洞、安全边界模糊的网络环境，以及组织化、体系化、精准化的网络攻击。数字化时代的到来，彻底打破了网络世界和物理世界的边界，带来了新的安全风险。以前的静态边界防护思路，不再适应新时代的需求，数字化时代的保障需要动态综合的网络安全

25、防御体系。为此，内生安全框架应运而生。内生安全框架从“甲方视角、信息化视角、网络安全顶层视角”出发，构建了适应不同业务场景网络安全整体防御能力分析模型，设计了复杂异构环境下网络安全协同联动机制，形成了全生命周期网络安全部署体系，将安全能力统一规划、分步实施，逐步建成面向数字化时代的一体化安全体系。该框架解构出了“十大工程、五大任务”的落地手册，对每一个工程和任务都给出了具体的部署步骤和标准，政企机构可以结合自身信息化的特点，定义自己的关键工程和任务。以某个新基建工程为例，依据“十工五任”手册，奇安信针对136个信息化组件，总结出了29个安全区域场景，部署了79类安全组件。它适用于几乎所有应用场

26、景，能指导不同行业输出符合其特点的网络安全架构，构建动态综合的网络安全防御体系,全方位满足数字化时代的安全保障需求。11月23日，内生安全框架在世界互联网大会上，获得了“世界互联网领先科技成果”。 3、自动化技术推动隐私保护合规化自欧盟通用数据保护条例（GDPR）的面世起，数据安全和个人隐私保护的合规性，迅速成为了安全圈最热门的话题之一。随着数据总量和流动性的大幅度增加，消费者隐私保护的难度也水涨船高，如何在海量数据中发现消费者的敏感数据，成为非常大的难题。2020年，隐私保护初创公司Security.AI获得RSAC创新沙盒比赛的冠军。公司强调利用AI技术和People Data Graph

27、实现对数据的自动化识别，并且构建面向人的知识图谱，为后续的分析提供模型支撑。为解决传统隐私保护方案效率低下的问题，Security.AI构建了实现消费者数据权利请求-响应的流程自动化处理，能帮助客户快速满足GDPR和CCPA等法规的要求。在国内，数据的非法采集与泄露事件同样是令人头疼的问题。新冠肺炎患者、无症状感染者隐私信息泄露事件屡见不鲜，因非法采集消费者个人隐私数据而先后被下架的App已达数百款之多。奇安信数据安全子公司云安宝基于方滨兴院士提出的“数据不动程序动，数据可用不可见”的技术理念，在国内率先推出更为实战落地的防水堡。防水堡在数据安全和隐私保护方面采用了创新性的数据沙箱和安全分离学

28、习技术，可存储各个数据源全量数据，并且在数据需求方部署隐私保护的前提下，对多个数据源的全量数据进行充分的分析和挖掘，数据分析师只能带走不含敏感数据的分析模型文件和分析结果。针对App隐私合规乱象，奇安信、梆梆安全、爱加密纷纷推出了涵盖App隐私合规检测、App隐私保护评估服务、App安全测试、App整改指导的完整App隐私保护解决方案，通过对Android/iOS应用行为进行自动化/半自动化深度检测，可帮助用户快速满足App违法违规收集使用个人信息认定办法，避免过度采集消费者个人数据。能够预见的是，随着将来国内数据安全法与个人信息保护法等法规的出台，隐私保护领域的创新热度还会不断提升，AI技术

29、将在其中起到更大的作用。4、攻防博弈进化，第三代安全引擎破解0day漏洞难题安全攻击防不胜防，0day漏洞屡被曝出，一切不安全事件都发生在“安全防护”之下，现有安全体系亟需革新。2020年1月17日，第三代安全引擎“天狗”横空出世，它颠覆了查漏洞打补丁的传统安全防护思路，即使不打补丁，也能有效抵御攻击。“天狗”引擎在四个方面实现了突破性创新。首先是从大粒度到细粒度。天狗从大粒度、高层次的“文件可信度”检测，进入到细粒度、低层次的“内存指令可信度”检测，有效解决了“可信程序”存在漏洞被恶意利用，而导致的防护缺陷。其次是防御0day漏洞。它利用已知系统与程序的可信指令采集与授权，来防御可能存在的未

30、知漏洞的攻击，有效解决了“0day漏洞无法防御”的行业难题。第三是断网也能防攻击。天狗不依赖恶意文件特征、不依赖特定漏洞特征、不依赖特定行为特征、不依赖特定的攻击特征的技术独特性，使得天狗引擎不再依赖联网查询，即使隔离网络甚至无网络的环境下，亦不影响防护效果。最后是有效抵御后门问题。通过指令调用检测，天狗可以发现隐藏在系统及应用中的后门指令，弥补行业内后门检测的技术空白。第三代安全引擎“天狗”发布后很快在大型央企、商业企业客户场景得到安装部署，整体装机量快速突破100万台。 5、实战攻防演习推动产品技术创新大量涌现近些年来，为了提升国家及相关重点单位的网络安全防护水平，常态化的实战攻防演习成为

31、了一种重要手段。实战攻防演习通常以实际运行的信息系统作为演习目标，通过有监督的攻防对抗，最大限度地模拟真实的网络攻击，以检验信息系统的安全性和运行保障的有效性。在此过程中，推动大量网络安全产品技术的创新与落地实践，如漏洞管理、欺骗检测、安全编排自动化与响应（SOAR）、扩展检测与响应（XDR）等。针对漏洞管理，目前奇安信CERT今年推出的NOX-安全监测平台覆盖能力较为完整。该平台整合了完整的漏洞情报信息，帮助客户及时发现具有威胁的漏洞，并提供完整的解决方案。同时，奇安信CERT会推动奇安信旗下相关产品快速升级，针对漏洞攻击部署相应的检测规则。国外初创企业Vulcan Cyber推出的SaaS

32、平台，能够自动化整合所有公开的漏洞信息，并且展示漏洞管理全生命周期的各种状态，输出漏洞分析报告，从而大幅度缩减了安全运营人员的漏洞维护工作。欺骗检测技术（蜜罐）也颇受防守方的欢迎。通过模拟真实场景，欺骗检测技术可以欺骗攻击者的入侵行为，从而达到威胁诱捕、隐藏真实业务的目的。2020年，知道创宇、默安科技、长亭科技、奇安信等一大批安全厂商都发布了新版欺骗检测产品，通过极强的仿真能力和欺骗性，可将“仿真诱饵”快速下发的网络的各个区域，全面覆盖攻击链的每个环节，可对攻击行为进行无死角诱捕。在响应环节，SOAR能够将安全运营相关的团队、工具和流程通过编排和自动化技术进行整合，有序处理多源数据，持续进行

33、安全告警分诊与调查、威胁猎捕、案件处置、事件响应。盛华安推出了独立的SOAR3.0产品，与SOC/SIEM平台解耦，能够与自有和第三方SOC平台、高级威胁检测产品集成联动。作为国内首家采用了符合BPMN2.0规范的工作流引擎驱动的安全编排器，盛华安SOAR具有很强的开放性、可扩展性和可伸缩性。为了进一步提升检测与响应能力，扩展检测和响应(XDR)技术正在受到更多人的关注。目前国际上较为流行的做法是，将XDR与安全服务深度整合。例如Respond Software所打造的Respond Analyst作为XDR引擎，可针对安全数据、日志展开自动化的分析与检测，能够大幅度提升该工作的效率。Fire

34、Eye把Respond Analyst集成到旗下的SaaS平台Mandiant Advantage（MDR平台），并利用Mandiant的漏洞情报与前沿技术来改善其安全服务水平。 6、SOC/SIEM建设强化实战化能力近年来重大网络安全事件频发，如永恒之蓝、Struts2、WebLogic远程代码执行漏洞等，强如FireEye也难逃黑客的“魔掌”，这让安全人员越来越难以过着“刀枪入库，马放南山”的生活，平时和战时已经相互交叉、密不可分。实战化能力建设成为安全运营平台SOC/SIEM设备重点发展方向。奇安信发布了新版态势感知与安全运营平台NGSOC、启明星辰推出泰合智能运营系统TSOC皆属此类。

35、综合2020年安全厂商产品动态来看，实战化主要体现在三个方面。其一是常态化实网攻防演练的支持，以攻促防。奇安信NGSOC提供演练态势大屏，来展示攻防演练中防守方管理信息、系统建设、威胁运营等信息的总体状况，为事后的查漏补缺提供决策支持。其二是立体化威胁预警能力。作为政企机构内部威胁检测和安全运营的中枢，仅仅依赖日志关联分析的传统SIEM/SOC设备，无法掌握入侵事件的全貌。因此，SOC平台应该能够发布内部及外部的早期预警信息，并与网络中的IP资产进行关联，分析出可能受影响的资产，提前让了解业务系统可能遭受的攻击和潜在的安全隐患。启明星辰推出的安全管理平台能够及时发布内部及外部的早期预警信息，并

36、与网络中的IP资产进行关联，分析出可能受影响的资产，提前让用户了解业务系统可能遭受的攻击和潜在的安全隐患。其三是远程运营服务。除了驻场安全运营外，SOC平台与远程运营服务的整合，是今年各大安全厂商的重点。作为解决平台使用方人才短缺的重要手段，奇安信能够基于NGSOC平台输出威胁分析情况、安全数据分析的报告、溯源分析、事件协同处置的通报等，保障平时和战时的安全运营。7、政企机构加速上云，云原生安全重构云上安全防护体系自疫情爆发以来，云计算作为数字化建设的重要组成部分，则依靠自身强大的云算力及庞大的云资源，为疫情恢复工作提供稳定高效的支持，同时也进一步加速了云经济整体的发展。可以预见的是，“新基建

37、”、数字化建设的不断发展、国家政策的推动下，在互联网、交通、物流、金融、政务、教育等不同行业，政企机构上云的步伐将会提速。为了确保云上的安全防护，云原生安全作为一种新兴的安全理念在2020年成为热点。无缝衔接的云原生安全，不仅解决云计算普及带来的安全问题，更强调以原生的思维构建云上安全建设、部署与应用，推动安全与云计算深度融合，以更高安全等级和更低使用成本，支持弹性、动态、复杂的行业场景。云原生安全平台能够通过统一平台应对各种安全挑战，帮助企业检测云资源的威胁、保持合规性、保护云原生应用、保护云网络和应用通信，并在工作负载之间执行权限和安全身份验证。在国内，腾讯安全在2020年推出了较为完整的

38、云原生安全解决方案，围绕安全治理、数据安全、应用安全、计算安全和网络安全等层面,搭建完整的云上安全防护架构。在安全治理方面，构建从风险识别、风险监测防护到响应、恢复以及持续运营一系列的治理体系。通过数据安全中台，将企业数据安全相关基础设施、技术与产品全部纳入到云本身，提供数据的发现、治理、加密、保护全流程安全服务。在应用层，将DevSecOps理念贯穿到开发周期中，对容器进行更好安全管理。在网络层，提供SaaS化云网络安全产品，并通过云网络边界治理，保障平台与租户的整体安全。国外，头部网络安全企业派拓网络（Palo Alto Networks）推出了其云原生安全平台Prisma Cloud 2

39、.0，包括数据安全模块，提供数据防泄露（DLP）功能；Web应用与API安全模块，保护Web应用，并能够与CWPP的统一代理框架集成；基于身份的微隔离模块集成了网络可视化功能，以提供网络通信的端到端可视性；身份和访问管理安全模块为客户提供云基础设施授权管理（CIEM）功能。2021安全预测：不确定的未来，安全威胁是最确定的风险 2021年新冠疫情的影响仍将持续，我们将面对更加不确定的未来，但却面临着确定的安全威胁。数字化的推进导致网络威胁和漏洞的增加，攻击者持续、频繁开展新型网络攻击。监管法律环境日趋完善，政企机构面对着确定的合规压力。1、国家间网络对抗升温， 重大安全事件可能再现2020年底

40、的年度最严重APT事件令全球陷入至暗时刻。安全行业年底的艰难时刻，预示着2021年将是更加充满挑战性的一年。在充满变局和不确定的2021年，各个网络攻击组织无疑将继续开展攻击活动，为达到泄露数据、窃取机密、操纵信息，乃至破坏基础设施的目的。具有国家背景的攻击组织通常装备精良、资源丰富，可获得暗网高级攻击工具，多数政企机构缺乏足够安全能力应对此类攻击，因此即便是间接攻击的后果依然非常严重。根据中国国家互联网应急中心发布的中国互联网网络安全监测数据分析报告，2020年上半年中国遭受来自境外的网络攻击持续增加。可以预见，在2021年国家网络攻击组织将更具攻击性，影响和风险越来越大，不排除可能出现导致

41、基础设施瘫痪和重大泄密事件的网络安全事件，任何放松警惕的行为将会带来不可承受的风险和责任。2、政策利好与严峻形势叠加，网络安全支出有望大幅增长2021年疫情影响延续，全球经济承压，但网络安全的支出却可能不降反增。国内“十四五”的政策利好，以及网络攻击事件频发的压力，有望推动2021年的网络安全支出大幅增加。2021年是“十四五”开局之年，新发展格局下扩内需成关键。12月召开的中央经济工作会议，明确了“强化国家战略科技力量、增强产业链供应链自主可控能力、坚持扩大内需战略基点”等2021年的八项重点任务。这意味着，2021年为推动战略科技创新，确保产业链供应链安全，国家将会在包括网络安全在内的科技

42、领域继续加大投入。以扩大内需为目的的新型基础设施建设，也将促进对网络安全建设的巨大需求。信创产业作为“新基建”的重要内容，未来三到五年，将迎来黄金发展期。国产基础软硬件从“不可用”发展为“可用”，并正在向“好用”演变。信创体系相关的安全防护成为业界焦点，将为网络安全企业带来巨大市场空间。疫情期间频发的黑客入侵令CIO面临较大压力：40%的被调查机构在疫情期间曾经历网络攻击。经济下滑和增长放缓将会迫使黑客组织更青睐通过网络攻击获取利益。行业分析人士认为，从网络安全威胁的角度来看，2021年政企机构需要为日益频繁和复杂的攻击做好准备。根据普华永道的全球调查显示，56的受访者计划在2021年增加网络

43、安全预算。毕马威的全球CIO调查则显示，安全与隐私成为2021年最大的IT支出（47%）。2020年12月引爆的年度最严重APT事件令整个行业获得提振。知名投资机构韦德布什证券公司（Wedbush Securities）预测，2021年全球网络安全支出将增长20%。火眼、派拓网络（PANW）、奇安信在内的全球主流网安企业的股价在事件曝光后出现大幅上涨。 2、安全黑天鹅事件难以避免，实现网络弹性成政企重要目标在日趋激烈和复杂的攻击面前，没有多少机构可以避免黑客入侵，实现绝对的安全。2020年年底多个国家的军政机构、基础设施、顶级安全企业的集体沦陷，再次证明任何机构都无法独善其身。网络安全的黑天鹅

44、事件随时可能降临，被黑客组织入侵无法避免。在疫情影响依然延续的2021年，政企机构必将告别追求“完全安全”的思维，从攻击预防转为加强网络弹性，保证业务延续性，为任何可能的攻击后果做好准备。网络弹性的目的是使系统具有预防、抵御网络攻击的能力，以及在遭受网络攻击后能够快速响应和恢复的能力。网络弹性融合了网络安全、风险管理和业务持续性的最佳实践，推动机构制定适应数字化业务目标与需求的战略。全球知名RSAC峰会将2021年的会议主题确定为“弹性”，适应新现实和探寻新方案。为实现弹性网络，基于安全内生理念的新一代网络安全框架，将会成为2021年网络安全建设的重点之一。内生安全框架推动网络安全能力组件与信

45、息化的体系化地聚合，构筑动态防御、主动防御、纵深防御、精准防护、整体防护、联防联控的能力，从而实现应对攻击的网络弹性。 网络安全没有灵丹妙药。现在能做的最好准备就是实现网络弹性，帮助政企机构度过肆虐的疫情和日趋严峻网络攻击，更从容地面对未来的威胁。 4、个人隐私法规将继续加强，企业面临更高的隐私保护压力个人隐私和信息泄露事件频发，推动各国通过立法加强个人信息保护工作。预计，2021年将会有更多的国家加强隐私保护立法和监管行动，增加对消费者的保护和提升企业的责任。企业机构需要努力适应新的、更为严苛的数据隐私法规。信息安全负责人面临前所未有的隐私和违规风险。此外，越来越多企业会将隐私保护视作客户体

46、验的重要组成部分，从而使隐私保护负责人员获得更多支持。2021年1月1日，我国民法典正式实施，个人信息保护范围扩大。根据全国人大立法工作安排，2021年将会继续审议数据安全法、个人信息保护法等法律，有望在2021年出台，为个人信息保护方面形成更加完备的制度、提供更加有力的法律保障。2021年美国加州有望通过加州隐私权法案（CPRA），作为当前加利福尼亚州消费者隐私法案（CCPA）的演进版本，将会增加政府对用户隐私的保护力度。2021年企业面临的隐私保护合规压力不断增加，处理用户个人数据时，企业需要采取“在设计层面纳入隐私考量”的新方法，在软件设计之初就规划和考虑隐私保护问题。5、勒索攻击黑产模

47、式走向成熟，仍是机构最大的安全威胁疫情流行导致远程办公盛行，使2020年成为勒索攻击的繁荣之年。2021年经济下滑将促使攻击组织更青睐可以带来丰厚利润的攻击方式，勒索软件攻击活动将会继续盛行。勒索攻击的黑产模式将走向成熟，同时带动勒索攻击手段的进一步演化，构成所有机构最大的安全威胁。勒索犯罪组织的生态逐步细分，各细分领域攻击者开始联手获取更大利益，包括恶意软件制作者、分发者、漏洞利用工具包创建者、洗钱团伙以及其他类型的参与者。更令人担忧的是一些大型勒索集团开始紧密联系起来，由于其巨大的潜在利益回报，采取针对性勒索攻击的团伙越来越多。2020年德国杜塞尔多夫的医院出现首起勒索攻击致死事件，未来包

48、括关键基础设施在内的设备和传感器会日益成为网络罪犯的攻击目标，人类生命将会面临风险。增加压力迫使交付赎金，针对最脆弱的受害者进行攻击，以及加密数据更难恢复，攻击者的这些策略将使勒索攻击成为2021年网络犯罪人员最赚钱的“业务”，也是所有机构面临的最大威胁。6、黑客组织攻击手段持续演进，供应链等攻击方式将受重视2020年的疫情没有影响网络攻击组织的行动，2021年的攻击组织，尤其是具有国家背景的APT组织，将会不断演化其战术、技术和流程(TTP)，继续加大旨在导致业务中断、窃密和经济损失的攻击行动。火眼、卡巴斯基等知名安全公司都做出了2021年“APT组织数量将会继续增长”，“某些攻击组织将会在

49、2021年致力于实施旨在制造破坏，类似于震网病毒、BlackEnergy（黑色能量）的攻击活动”。APT攻击工具和网络武器市场为众多后进入攻击组织提供了有力的支持。太阳风（SolarWinds）安全事件证实复杂的供应链已经是最薄弱的环节，攻击的成功也必然吸引更多国家级黑客组织采重视这种攻击方式。其中，开源软件作为渗透机构的简便方式，构成严重的安全威胁。目前对开源软件的依赖更加普遍。IDC调查显示，2021年“大约2534的新应用将由30的开源软件组成”。2021年，利用开源代码实施攻击的趋势将加速增长，并向更重要的开源基础设施项目尝试渗透。2021年疫情造成的影响还将持续。在远程办公环境，身份

50、成为新的边界，机构在身份和访问管理（IAM）上弱点，带来安全盲点和漏洞，将会成为多种网络犯罪的根源。正如在2019年没有人想象得到疫情的发生，2021年的黑客组织也可能以我们难以想象的方式，实施影响深远的攻击活动。7、实战攻防演习效果明显，推动政企实战化安全能力建设实战攻防演习的效果显现，尤其是未来针对关键基础设施的实战攻防演习，将会对政企机构带来更大压力，显著推动网络安全建设。2020年以来，国家主管部门主导的国家级网络安全实战攻防演习中参与演习的行业更加广泛，攻击和防守双方的对抗更是前所未有。除了传统的Web攻击、0day、钓鱼、物理渗透等攻击手段，攻击队开始更多地转向精准攻击和供应链攻击

51、。随着数字化转型的深入开展，攻击者的目标系统逐步转向核心业务数据和承载核心数据的业务应用。攻击者的角色也从普通的个人网络犯罪，到有组织的攻击甚至有境外背景的国家级对抗。攻击工具的武器化、攻击手段的战术化，均对政企用户的网络安全防御提出了更高要求。实战攻防演习成为政企用户网络安全保护的常态化工作，也成为政企用户检验网络安全防御体系有效性、全面提升网络安全综合防护能力的重要手段。在实战攻防演习的推动下，政企机构在加强IT资产管理和漏洞管理等，方向实战化成为未来政企用户网络安全建设的重要能力，而实战攻防演习则成为了政企用户实战化安全能力建设的重要手段。2021建议：安全快一步规划快一步 让安全少走弯

52、路安全防护“左移”实现安全内生已成为业界的共识。传统上那种先建设、后防护的附加和外挂安全能力模式，已被证实无法适应攻击日益频繁、手段日益高级的网络安全形势。建造大楼和制造汽车，首先考虑的是根基牢固和安全。在加快推进新型基础设施建设的“十四五”期间，更应该将网络安全明确为“新基建” 的最重要基石，实现“同步规划、同步建设、同步运营”，才能为新基建打造牢固的安全底座。在信息系统和应用，以及新型基础设施建设中，唯有做到“规划快一步”，才能避免漏洞频现的不合格工程，让安全少走弯路。 发现快一步 守好安全第一线2020年年底爆出的年度最严重的APT攻击事件，波及许多国外重要政府部门和顶级安全公司，这再次

53、说明：不存在绝对安全的系统。在强大网络攻击者面前，没有哪个机构能够幸免。更快、更早地发现网络攻击行为，及时地遏制攻击和将损失降到最低，这是最现实的做法。借助态势感知平台、安全运营平台（SOC）以及安全编排与响应自动化系统，实现对安全威胁的及时发现、响应和处置，是守好安全第一线的基础。攻防快一步 掌握安全主动权在网络安全防护中，通过“以攻促防”，可以检验信息系统的安全性和运维保障的有效性，提升网络安全的整体防御水平。目前各行业举办的常态化实网攻防演练已成为发现系统漏洞、检验防护能力的重要方式。一场有效的实战攻防演习检验的不是单纯的业务系统是否安全，更重要的是以人为核心的安全意识和抗风险的能力。攻

54、防快一步，掌握安全主动权，可以有效保障自身业务系统经受实战化网络攻击的考验。附录2020年国内网络安全大事记1、疫情期间国外黑客组织对我国医疗网络攻击激增2020年2月，我国新冠疫情防控进入关键期，网络攻击组织的攻击活动也日益活跃，利用新冠病毒等热门词语发送钓鱼邮件，针对国内医疗和政府机构发起旨在窃取情报的攻击。2020年2月，相关机构发现由某黑客组织APT组织“Patchwork”（也称为Dropping Elephant）发起、对抗击疫情医疗工作领域发动的APT攻击行动。攻击组织采用鱼叉式钓鱼攻击方式，通过邮件进行投递，利用肺炎疫情等相关题材作为诱饵文档，进而通过相关提示诱导受害者执行宏命令。疫情期间，奇安信红雨滴团队捕获了数十个APT组织利用疫情相关信息针对境内外进行网络攻击活动的案例，捕获了数百起黑产组织传播勒索病毒、远控木马等多类型恶