2023年数字安全大事记报告
AI智能总结
2023年数字安全大事记 ©北京数字世界咨询有限公司2024.1 2023年数字安全大事记 ©北京数字世界咨询有限公司2024.1 数字安全的三个元素分别为,安全能力、数字资产和数字活动。数字资产是安全能力的保护对象,数字活动是安全能力以及数字资产的服务对象,而数据安全则是三元论的核心目标。对于这四者关系的深度理解和相关技能掌握是做好数字安全工作的关键。 数字安全能力模型研究的基础,来自于数世咨询2020年首次提出的“网络安全三元论”。三元分别为,网络攻防、信息技术和业务场景。 随着数据成为第五大生产要素为典型标志的数字时代来临,“网络安全三元论”在2022年进行了更新迭代升级为“以安全能力、数字资产和数字活动为三元素,以数据安全为核心目标,即三元一核”的“数字安全三元论”,以适应我国数字中国建设的进程。 数世咨询作为国内独立的第三方调研咨询机构,为监管机构、地方政府、投资机构.网安企业等合伙伙伴提供网络安全产业现状调研,细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务。 报告编委 统计分析师:牛爱民媒体分析师:闫志坤技术分析师:陈发明战略分析师:靳慧超综合分析师:刘宸宇首席分析师:李少鹏 分析团队:数世智库数字安全能力研究院 版权声明 本报告版权属于北京数字世界咨询有限公司。 任何转载、摘编或利用其他方式使用本报告文字或者观点,应注明来源。违反上述声明者,数世咨询将保留依法追究其相关责任的权利。 目录 2023年数字安全大事记1 一、年度十大事件2 1、Okta客户数据被盗2 2、国内安全大模型爆发2 3、数字安全产业步履维艰2 4、全球资本市场进入寒冬期3 5、史上最大安全收购:思科收购Splunk3 6、Meta再遭巨额罚款3 7、美国长期对中国实施网络攻击3 8、《商用密码管理条例》修订施行4 9、《计算机信息系统安全专用产品销售许可证》停止颁发4 10、“2522”:筑牢可信可控的数字安全屏障4 二、数据泄露与网络攻击篇6 1、重要结论6 2、2023年度十大数据泄漏事件7 3、2023年度十大网络攻击事件8 三、漏洞篇10 1、漏洞情况综述10 目 录 2、年度十大漏洞15 四、事件处罚篇16 1、重要结论16 2、2023年度十大违规处罚事件16 五、技术产品与资本市场篇18 1、重要结论18 2、技术产品18 3、2023年度数字安全十大创新项目21 4、资本市场21 5、2023年度数字安全十大收并购24 六、国家安全与法规政策篇25 1、重要结论25 2、2023年度国家级网络安全十件大事25 3、2023年度国内数字安全十大法规政策27 4、2023年度国外数字安全十大法规政策29 结语31 2023年数字安全大事记 如果从1994年发布的《中国计算机信息系统安全保护条例》开始算起,中国的数字安全产业已走过三十年。从以杀毒软件为主的数亿元市场,渐渐发展到以信息保密和IT安全并举的百亿市场。紧接着,在“没有网络安全就没有国家安全”的指导理念下,安全产业的发展进入快车道。随着网络安全法、密码法、等保、关保、个保、数保等对产业发展影响重大的法规政策连续出台,产业规模以年均20%的速度迅猛增长,并在2020年达到29.9%的年度增长记录,直逼千亿规模。 形势一片大好之际,却在国际政治、全球经济等大背景以及内部多重因素和长期积累的影响下,开始出现增长疲软的态势,安全产业进入发展缓滞期…… 为了记述数字安全领域发生的大事件以反映产业现状与趋势,基于长期的调查和研究工作,数世咨询每年都从当年国内外上千条事件中进行精选和提炼,并撰写和发布历年《数字安全大事记》。 《2023年数字安全大事记》于2024年1月5日发布。 一、年度十大事件 1、Okta客户数据被盗 国际知名身份安全公司Okta在遭黑客攻击后,其客户支持系统的全部用户数据被盗。Okta约有1.5万家企业客户。其CEO曾在2019年表示,已拥有超过1亿注册用户和500万付费日活用户。攻击事件发生到现在,Okta市值已暴跌3倍,300亿美元的市值蒸发。近年来,在我国的大型攻防演练活动中,也不断的发生安全设备被破解绕过的类似事件。安全公司不安全?实际上,网络攻防能力的逻辑在于资源对抗,没有投入就没有安全,安全公司当然也不例外。 2、国内安全大模型爆发 ChatGPT的火爆引发大语言模型的应用普及,国内先后出现了十几家安全企业发布大模型驱动的安全运营相关产品。根据数世咨询的初步调研,大语言模型或生成式AI支撑的安全产品,目前尚未形成真正的商业收入,尚处于数世咨询定义的市场成熟度中的概念阶段。 (注:数据咨询将市场成熟度定义为四个阶段,概念市场、新兴市场、发展市场和成熟市场) 3、数字安全产业步履维艰 自2020年增长率创历史新高(29.9%)之后,数字安全产业开始出现增长疲软的态势。2021年、2022年连续两年增长率下降11个百分点,而2023年,大概率会出现三十年来的首次无增长。大多数安全企业,旨在锐意进取的降本增效却变成无可奈何地减员降薪。数世咨询在2023年6月向业界呼吁“生存是民营企业的第一要务”,这一观点已经得到了事实的充分验证。 4、全球资本市场进入寒冬期 2023年数字安全资本市场的股权融资再创新低,国内数字安全企业股权 融资仅70余笔,与2022年相比下降26%。股权融资总额约39亿元,与2022年相比下降45%。与此同时,海外数字安全的股权融资也呈大幅度下降态势。股权融资148笔,与2022年相比下降32%。股权融资总额约为50.45亿美元,与2022年相比下降55%。 5、史上最大安全收购:思科收购Splunk 9月,思科宣布以280亿美元的天价收购Splunk,此次收购完成后将为安 全行业最大一笔收购事件。之前的两笔超过百亿美元的收购发生在2021年,一个是由多家资本组成的投资集团以140亿美元收购了McAfee,另一起是私募资本ThomaBravo以123亿美元的价格收购Proofpoint。 6、Meta再遭巨额罚款 5月,Meta因将欧洲地区用户的个人数据传输到美国而被欧盟数据保护委 员会处以13亿美元的罚款,并被勒令在六个月内删除非法存储和处理的数据。之前在2022年,Meta就因被指控旗下的社交网络Facebook允许包括剑桥分析在内的第三方访问用户私人数据,而支付了7.25亿美元的和解费用。 7、美国长期对中国实施网络攻击 9月,中国国家安全部在官方微信公众号发文指出,美国情报部门凭借其强大的网络攻击武器库,对包括中国在内的全球多国实施监控、窃密和网络攻击,如特定入侵行动办公室早在十几年前就开始入侵华为的服务器并持续开展监控;长期持续地对包括西北工业大学在内的国内网络目标实施了上万次恶意网络攻击,窃取大量高价值数据。另据国家网络安全机构对武汉市应急管理局地震监测中心网络被植木马的调研结果,攻击手段符合美国情报机构特征,目 标是窃取地震监测相关数据,带有具有明显的军事侦察目的。 8、《商用密码管理条例》修订施行 4月,国务院总理李强签发中华人民共和国国务院令第760号,《商用密 码管理条例》经2023年4月14日国务院第4次常务会议修订通过并公布,自 2023年7月1日起施行。《条例》包括六大重要内容:一是完善商用密码管理体制。二是促进商用密码科技创新与标准化建设。三是健全商用密码检测认证体系。四是加强电子认证服务使用密码和电子政务电子认证服务活动管理。五是规范商用密码进出口管理。六是促进商用密码应用。 9、《计算机信息系统安全专用产品销售许可证》停止颁发 4月,网信办、工信部、公安部、国家认监委、财政部联合发布公告。自 2023年7月1日起,列入《网络关键设备和网络安全专用产品目录》的产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。同时,停止颁发《计算机信息系统安全专用产品销售许可证》,产品生产者无需申领。此次调整公告,是落实《网络安全法》关于推动安全认证和安全检测结果互认规定的重要举措,对统一网络安全产品安全要求、提升产品整体安全防护能力,减轻网络安全企业负担、营造良好产业发展环境,发展强大网络安全产业、增强国家网络安全能力具有重要意义。 10、“2522”:筑牢可信可控的数字安全屏障 2月,中共中央、国务院印发的《数字中国建设整体布局规划》明确,数字中国建设按照“2522”的整体框架进行布局,即夯实数字基础设施和数据资源体系“两大基础”,推进数字技术与经济、政治、文化、社会、生态文明建设“五位一体”深度融合,强化数字技术创新体系和数字安全屏障“两大能力”,优化数字化发展国内国际“两个环境”。规划指出,“筑牢可信可控的数字安全屏障。切实维护网络安全,完善网络安全法律法规和政策体系。增强数据安 全保障能力,建立数据分类分级保护基础制度,健全网络数据监测预警和应急处置工作体系。” 二、数据泄露与网络攻击篇 1、重要结论 ●与前几年相比,超大规模数据泄漏事件的数量在下降,但中等规模的数据泄露事件数以万计。根据暗网监测公司零零信安的数据,2023年大于10亿条数据量的售卖信息多达数百起,全年交易记录11万起。 ●数据泄露的三大主因,数据库配置错误、勒索软件和针对性的网络攻击。其中,由数据库配置错误可能造成的大规模数据泄露事件,连续两年呈下降态势。而勒索软件,已经发展形成了从破坏数据到窃取数据,再到售卖数据和泄露数据的多种勒索获利方式。 ●安全公司需要提升安全文化。身份安全公司Okta遭黑客攻击,全部客户数据失窃,堪称安全业界的年度大事件。近年来,在我国的大型攻防演练活动中,也不断的发生安全设备被破解绕过的类似事件。实际上,网络攻防能力的逻辑在于资源对抗,没有投入就没有安全,安全公司当然也不例外。 ●2023年的加密货币遭攻击带来的损失明显下降,与2022年43亿美元的损失相比,至少下降了50%。这可能与全球各国政府加强监管和控制力度,从而导致加密货币行业的热度下降有关。 ●据区块链数据分析公司Chainalysis发布的《2023加密资产犯罪》报告,有着国家支持背景的朝鲜黑客组织,在过去六年中,利用网络攻击窃取了价值30亿美元的加密资产,将其用于资助国家研究项目。这种利用网络攻击来获取经济利益为主要目的国家行为实属罕见。(2021年朝鲜的GDP为167.5亿美元) 2、2023年度十大数据泄漏事件 1月,口令管理软件供应商LastPass因泄露2500万客户数据,被100多名客户提起集体诉讼。 1月,美国电信运营商T-MobileUS3700万客户的个人信息遭泄露,包括姓名、账单地址、电子邮件地址、电话号码、出生日期、T-Mobile账户号码等信息。实际上,T-MobileUS自2018年以来已经发生了7次较大规模的数据泄露事件。 3月,地下市场BidenCash免费发布了超过200万张有效信用卡的数据,作为其促销活动的推广策略。泄露的信息包括持卡人的全名、卡号、银行详细信息、到期日期、CVV号、家庭住址和电子邮件地址。 3月,印度最大私营银行HDFCBank7200万条客户数据在地下论坛Breachedforum泄露。泄露的数据包括姓名、出生日期、电话号码和电子邮 件地址,就业信息、贷款详细信息、交易方式、手续费、银行名称和分行、信用评分,以及交易商姓名、交易日志、保证金日志、一般资产日志、会员卡号、员工代码等。 3月,某地下论坛出售印度警方业务的数据。出信者声称该份数据“超过9亿份(600GB)印度法律文件记录/文档、被捕/被控人以及警方/法庭报告……经OCR处理转为JSON格式,随附有原始PDF文件链接。” 7月,研究人员发现负责孟加拉公民出生和死亡登记的官网,其数据可被公开访问。这些数据包括姓名、电话号码、电子邮件地址和国民身份证号码,涉及大部分孟加拉公民,孟加拉的人口数量约为1.7亿。 10月,日本卡西欧官
