2018安全服务年度盘点｜应急当先 · 演习为王 · 走向实战

从网络攻击的情况看，2018年是个不平静的一年。不仅个人隐私和数据泄露事件层出不穷，而且针对国家信息基础设施的网络安全攻击更是呈现高发态势。

据不完全统计，360安全服务应急响应团队在2018年处理的政企单位安全事件超过700起，排名前三的安全事件分别是：勒索软件事件（275起）、挖矿木马事件（95起）、网站木马类事件（52起）。

数据泄露事件层出不穷

2018年可以说是个人隐私和数据泄露事件集中爆发的年份，动辄数千万甚至数亿的用户信息泄露带来了难以估量的安全隐患。

3月，Facebook 数据泄露，约8700万用户数据被滥用；

6月，弹幕社区网站AcFun（A站）被拖库，千万条用户数据在暗网被贩卖；

接着圆通快递、顺丰快递分别被曝光用户数据泄露，泄露的数据量均达到数亿条；

8月，华住集团数据泄露，超过5亿条客户信息被泄露；

11月，万豪集团步华住集团后尘也爆出约5亿条客户信息被泄露；

12月28日爆出12306第三方应用平台的数百万条旅客信息在暗网上被低价出售。

高级威胁攻击行为愈演愈烈

360公司于2018年7月5日首次对外公开了一个高级攻击组织——蓝宝菇（APT-C-12）。蓝宝菇利用针对性很强的鱼叉攻击手段，针对我国政府、军工、科研、金融等重点单位和部门进行网络间谍活动，收集用户电脑中的敏感文件，并安装持久化后门程序，以求长期监控用户的计算机。该APT攻击从2011年开始已持续近8年。

事实上，蓝宝菇并非2018年唯一的高级威胁攻击事件。2018年，360威胁情报中心发布了18篇APT活动技术报告，涉及6个独立APT组织，其中2个为2018年全新揭露的团伙，并发现在野0day漏洞攻击事件2次。这些攻击大都是针对政企机构的。预计2019年依然是高级威胁事件多发的年份，高级威胁攻击将长期以政府、军工、科研机构等敏感单位为目标。

勒索蠕虫延伸至生产系统

自2017年5月WannaCry（永恒之蓝勒索蠕虫）大规模爆发以来，勒索病毒已发展成为对政企机构和网民直接威胁最大的一类木马病毒，2018年勒索病毒的质量和数量均不断攀升，先后爆发了Globelmposter、GandCrab、Crysis等勒索病毒。

2月，某三甲医院遭遇勒索病毒，全院所有的医疗系统均无法正常使用；

8月，台积电在台湾北、中、南的三处重要生产基地，均因勒索病毒入侵导致生产停摆。

类似的勒索事件在2018年比比皆是，360安服应急响应团队一年来就处理了275起勒索软件事件。

事实上，勒索病毒的攻击不再局限于加密核心业务文件，而是对企业的服务器和业务系统进行攻击，感染企业的关键系统，破坏企业的日常运营，甚至还延伸至生产线，专门针对生产线一些软硬件系统难以升级打补丁的特点，定向进行感染。

行业主管机关频频发布安全管理要求

2018年也是行业主管机关密集发布行业或领域安全管理要求的年份。5月25日，欧盟正式开始实施《一般数据保护条例》（GDPR），GDPR是迄今为止覆盖面最广、监管条件最严格的关于个人隐私和数据安全的法规。

9月13日，国家能源局发布了《关于加强电力行业网络安全工作的指导意见》，提出加强电力企业数据安全保护，提高网络安全态势感知、预警及应急处置能力，做好新技术、新业务网络安全保障等12个方面30条意见； 12月19日，证监会发布《证券基金经营机构信息技术管理办法》，明确了治理、安全、合规的三条主线，强调信息系统安全、安全监测、数据全生命周期管理、应急管理等方面的要求。

2018年6月，公安部公布《网络安全等级保护条例（征求意见稿）》。等级保护新标准也呼之欲出，新等保将移动互联、云计算、大数据、物联网和工业控制等新技术新应用都纳入保护范围，重点保护目标聚焦在关键信息基础设施和大数据安全，重点提升监测发现、安全防护、应急处置三大网络安全能力。12月25日，已进行第一次等级保护新标准的培训。

国家层面日益重视网络安全

2018年4月21日，号称“史上规格最高”的全国网络安全和信息化工作会议闭幕。中央网络安全和信息化委员会主任习近平指出，应加强网络安全信息统筹机制、手段、平台建设，加强网络安全事件应急指挥能力建设，做到关口前移、防患于未然。

9月20日，美国总统特朗普发布了美国《国家网络战略》，提出美国网络安全的4项支柱、10项目标、42项优先行动，强调对网络安全风险进行管控，促进全生命周期网络安全，加强对产品和系统的网络安全和弹性的定期测试，改进供应链风险管理等。

2018年的安全服务热点从以下几方面可窥一斑。

高级威胁检测成为政企单位的刚需

随着政企单位对网络安全投入实效性的重视，政企单位已不仅仅满足对普通攻击事件的发现，而是对能否检测高级威胁、能否针对发生的安全事件进行攻击溯源有了更高的需求。

随着攻击手法不断变化，传统的基于规则的检测方法已经不能完全应对现有的攻击。2018年各政企单位在全流量数据采集上持续加大投入，对攻击者相关的意图、手法、背后组织的研判，已成为企业安全运营过程中不可或缺的手段，对攻击溯源的需求也大大增加。2018年，几乎每次应急响应都有进行攻击溯源的需求。

2019年，安全数据分析相关技术将会得到更深度的应用，尤其是结合机器学习的应用将会逐渐在各类安全场景中得到实践，安全大数据分析类的产品和服务将占有更大市场。

实战攻防演习成为检验防护体系有效性的重要手段

实战攻防演习已成为检验政企单位网络安全防护体系有效性的绝佳手段。2017-2018年，360企业安全承担了27项国家级重保任务，并协助多个部委、各级政府、省公安厅、行业央企单位举行实战攻防演习活动30余场。

可以说，实战攻防演习是政企单位整体、深入验证安全防御能力建设实效的最有效手段。当面对黑客组织“有组织”的攻击行为时，传统的安全检测、风险评估、渗透测试难以验证安全防护体系的真正抗击打能力。通过实战攻防演习这种有“安全技术保障”的“真实”攻击行为，可以验证建设及运营单位的安全防护能力，检验面对真实攻击时，单位的实时监测、抵抗攻击、在攻击中恢复等各方面的综合能力及协同联动处置攻击的水平。

应急响应成为安全企业的核心能力

应急响应已经成为政企单位网络安全的关键环节与核心能力。仅仅处理所发现的安全攻击这一个点，已经难以满足单位的对应急响应需求。利用威胁情报、大数据安全分析、追踪溯源等一系列技术，进行应急样本分析，将本地威胁事件与云端威胁情报相结合，深入研判分析，判定攻击方式、路径、手法，推断攻击目的，进行精准分析处置，已成为更多政企单位对应急响应的诉求。

形成追踪溯源闭环的应急响应可以点延伸至线，以应急响应带动攻击链的挖掘和发现，准确定位风险点，发现潜在的安全威胁隐患，让应急响应成为采取精准整改措施的支撑手段。

安全服务与安全产品日益紧密融合

2018年，360企业安全倡导将安全产品与安全服务深度融合，通过融合全流量网络数据抓取和分析、终端检测响应数据分析、态势感知安全数据与分析，形成创新型安全服务，与安全产品相融合，聚焦于切实解决行业客户面临的安全问题。

美国领先的网络安全厂商火眼（FireEye）也是这方面的典型企业。火眼从以设备为中心转型为以服务为主导、服务融合产品的商业模式，2018年火眼来自服务结合产品的收益明显增多，如终端防御与安全服务、威胁情报、安全运营的结合，而产品的定位也已与数据泄露事件调查、新型攻击手法调查相融合。

威胁情报更广泛地用于攻击分析和预测

IDC、安全牛分别在2018年底发布了中国威胁情报矩阵图，360企业安全、思科、IBM成为威胁情报矩阵排名最靠前的“领先者”。2018年，威胁情报与安全服务的结合日益紧密，通过结合高级威胁防护APT、网络全流量分析NTA、用户行为分析UBA、网络资产测绘、取证溯源等方面的网络安全威胁大数据和威胁情报消息，安全服务人员进行关联分析、深度挖掘，结合风险评估、渗透测试的结果，可发现政企单位存在的高级网络威胁和安全事件，并结合行业预警通报进行攻击预测。

安全人才的需求热点和培养模式升级

据360互联网安全中心和智联人才联合发布的《2018网络安全人才市场状况研究报告》，通过对教育机构、大型政企机构和安全企业进行调查，2018年上半年网络安全人才需求规模指数较2017年上半年同比增长了44.9%。

伴随着网络安全产业的日益繁荣，政企单位及安全公司对网络安全人才的需求呈现井喷之势，但学校和社会化教育培训出的人才数量远远跟不上市场需求。

2018年，网络安全的人才使用和培养模式都在发生变化，安全大数据分析师、应急响应工程师成为最为抢手、最稀缺的人才资源，人才的需求热点表明了安全业务的发展方向，即注重数据分析、注重持续的应急响应和处置，而不再只是传统的“老三样”安全岗位和职责。

网络安全人才的实战经验越来越得到重视，安全运营及对安全工作实效的注重提出了更多安全人才需求，同时也为安全人才的进一步分工提供了契机。在基于场景的安全运营模式下，安全监控、驻场运营、初级事件分析均可通过固化安全操作手册，培训具有一定能力的从业人员来实现人才扩展，高级事件分析、事件处置、追踪溯源则可交给二线专家来承担。通过岗位的细分，可实现安全人才的梯次化培养，满足市场对安全人才的需求。

纵观2018，畅想2019，可以预见，网络安全的未来将是服务型的业态，政企单位将进一步加强对安全服务的投资，也将更关注网络安全投资的实效性；将进一步从被动防御转向积极防御，对安全服务的认识将从“买人”来运维设备，到购买“价值”即能够发现威胁并及时进行响应处置。

实战攻防演习将被广大政企单位更广泛地接受，成为检验防护体系、发现问题的利器；而高端攻防渗透人才仍将属于紧缺型人才，对于政企单位来说，不求“拥有”，但求“可用”。

应急响应当先、实战演习为王，安全服务走向实战、达成实效，这是一条通往未来之路。