重磅发布：2021安全前瞻报告（下篇）

Part 3  2021安全预测

不确定的未来，安全威胁是最确定的风险

2021年新冠疫情的影响仍将持续，我们将面对更加不确定的未来，但却面临着确定的安全威胁。数字化的推进导致网络威胁和漏洞的增加，攻击者持续、频繁开展新型网络攻击。监管法律环境日趋完善，政企机构面对着确定的合规压力。

01  国家间网络对抗升温，重大安全事件可能再现

2020年底的年度最严重APT事件令全球陷入至暗时刻。安全行业年底的艰难时刻，预示着2021年将迎来更加充满挑战的一年。即将上台的拜登政府宣称，将实施足够强硬的反击举措，包括新的金融制裁和对俄罗斯基础设施发动报复性的网络攻击。拜登在声明中称，“将把网络安全列为各级政府机构的头等大事，并扩大对目前基础设施和人员的投入”。美国政府降低了对他国关键信息基础设施攻击的授权门槛，不排除未来可能以对他国关键信息基础设施的攻击，作为其宣称的网络攻击报复行动。这无疑奠定了2021年乃至未来更久的时间，国际网络空间的持续动荡局面。

在充满变局和不确定的2021年，国家网络攻击组织无疑将继续开展攻击活动，达到泄露数据，窃取机密，操纵信息，乃至破坏基础设施的目的。国家背景攻击组织通常装备精良、资源丰富，可获得暗网高级攻击工具，多数政企机构缺乏足够安全能力应对此类攻击，因此即便是间接攻击的后果依然非常严重。根据中国国家互联网应急中心发布的中国互联网网络安全监测数据分析报告，2020年上半年中国遭受来自境外的网络攻击持续增加。可以预见，在2021年国家网络攻击组织将更具攻击性，影响和风险越来越大，不排除可能出现导致基础设施瘫痪和重大泄密事件的网络安全事件，任何放松警惕的行为将会带来不可承受的风险和责任。

02  政策利好与严峻形势叠加，网络安全支出有望大幅增长

2021年疫情影响延续，全球经济承压，但网络安全的支出却可能不降反增。国内“十四五”的政策利好，以及网络攻击事件频发的压力，有望推动2021年的网络安全支出大幅增加。

2021年是“十四五”开局之年，新发展格局下扩内需成关键。12月召开的中央经济工作会议，明确了“强化国家战略科技力量、增强产业链供应链自主可控能力、坚持扩大内需战略基点”等2021年的八项重点任务。这意味着，2021年为推动战略科技创新，确保产业链供应链安全，国家将会在包括网络安全在内的科技领域继续加大投入。以扩大内需为目的的新型基础设施建设，也将促进对网络安全建设的巨大需求。

信创产业作为“新基建”的重要内容，未来三到五年，将迎来黄金发展期。国产基础软硬件从“不可用”发展为“可用”，并正在向“好用”演变。信创体系相关的安全防护成为业界焦点，将为网络安全企业带来巨大市场空间。

疫情期间频发的黑客入侵令CIO面临较大压力：4/10的被调查机构在疫情期间曾经历网络攻击。经济下滑和增长放缓将会迫使黑客组织更青睐通过网络攻击获取利益。行业分析人士认为，从网络安全威胁的角度来看，2021年政企机构需要为日益频繁和复杂的攻击做好准备。根据普华永道的全球调查显示，56％的受访者计划在2021年增加网络安全预算。毕马威的全球CIO调查则显示，安全与隐私成为2021年最大的IT支出（47%）。

2020年12月引爆的年度最严重APT事件令整个行业获得提振。知名投资机构韦德布什证券公司（Wedbush Securities）预测，2021年全球网络安全支出将增长20%。火眼、派拓网络（PANW）、奇安信在内的全球主流网安企业的股价在事件曝光后出现大幅上涨。

03  安全黑天鹅事件难以避免，实现网络弹性成政企重要目标

在日趋激烈和复杂的攻击面前，没有多少机构可以避免黑客入侵，实现绝对的安全。2020年底众多美国军政机构、基础设施、顶级安全企业的集体沦陷，再次证明任何机构都无法独善其身。

网络安全的黑天鹅事件随时可能降临，被黑客组织入侵无法避免。在疫情影响依然延续的2021年，政企机构必将告别追求“完全安全”的思维，从攻击预防转为加强网络弹性，保证业务延续性，为任何可能的攻击后果做好准备。

网络弹性的目的是使系统具有预防、抵御网络攻击的能力，以及在遭受网络攻击后能够快速响应和恢复的能力。网络弹性融合了网络安全、风险管理和业务持续性的最佳实践，推动机构制定适应数字化业务目标与需求的战略。

全球知名RSAC峰会将2021年的会议主题确定为“弹性”，适应新现实和探寻新方案。美国陆军也在加强网络弹性研究，确保在网络系统被入侵或遭受攻击时能够继续执行任务。

为实现弹性网络，基于安全内生理念的新一代网络安全框架，将会成为2021年网络安全建设的重点之一。内生安全框架推动网络安全能力组件与信息化的体系化地聚合，构筑动态防御、主动防御、纵深防御、精准防护、整体防护、联防联控的能力，从而实现应对攻击的网络弹性。

网络安全没有灵丹妙药。现在能做的最好准备就是实现网络弹性，帮助政企机构度过肆虐的疫情和日趋严峻网络攻击，更从容地面对未来的威胁。

04  个人隐私法规将继续加强，企业面临更高的隐私保护压力。

个人隐私和信息泄露事件频发，推动各国通过立法加强个人信息保护工作。预计，2021年将会有更多的国家加强隐私保护立法和监管行动，增加对消费者的保护和提升企业的责任。企业机构需要努力适应新的、更为严苛的数据隐私法规。信息安全负责人面临前所未有的隐私和违规风险。此外，越来越多企业会将隐私保护视作客户体验的重要组成部分，从而使隐私保护负责人员获得更多支持。

2021年1月1日，我国《民法典》正式实施，个人信息保护范围扩大。根据全国人大立法工作安排，2021年将会继续审议《数据安全法》、《个人信息保护法》等法律，有望在2021年出台，为个人信息保护方面形成更加完备的制度、提供更加有力的法律保障。

2021年美国加州有望通过《加州隐私权法案（CPRA）》，作为当前《加利福尼亚州消费者隐私法案（CCPA）》的演进版本，将会增加政府对用户隐私的保护力度。此外有分析认为，2021年美国有望推动全国范围的隐私保护法律，以便全国机构遵循同一个标准。

2021年企业面临的隐私保护合规压力不断增加，处理用户个人数据时，企业需要采取“在设计层面纳入隐私考量”的新方法，在软件设计之初就规划和考虑隐私保护问题。

05  国际网络对抗白热化 网络攻击公开化

疫情流行导致远程办公盛行，使2020年成为勒索攻击的繁荣之年。2021年经济下滑将促使攻击组织更青睐可以带来丰厚利润的攻击方式，勒索软件攻击活动将会继续盛行。

勒索攻击的黑产模式将走向成熟，同时带动勒索攻击手段的进一步演化，构成所有机构最大的安全威胁。勒索犯罪组织的生态逐步细分，各细分领域攻击者开始联手获取更大利益，包括恶意软件制作者、分发者、漏洞利用工具包创建者、洗钱团伙以及其他类型的参与者。更令人担忧的是一些大型勒索集团开始紧密联系起来，由于其巨大的潜在利益回报，采取针对性勒索攻击的团伙越来越多。

2020年德国杜塞尔多夫的医院出现首起勒索攻击致死事件，未来包括关键基础设施在内的设备和传感器会日益成为网络罪犯的攻击目标，人类生命将会面临风险。

增加压力迫使交付赎金，针对最脆弱的受害者进行攻击，以及加密数据更难恢复，攻击者的这些策略将使勒索攻击成为2021年网络犯罪人员最赚钱的“业务”，也是所有机构面临的最大威胁。

06  黑客组织攻击手段持续演进，供应链等攻击方式将受重视

2020年的疫情没有影响网络攻击组织的行动，2021年的攻击组织，尤其是国家背景的APT组织，将会不断演化其战术、技术和流程(TTP)，继续加大旨在导致业务中断、窃密和经济损失的攻击行动。火眼、卡巴斯基等知名安全公司都做出了2021年“APT组织数量将会继续增长”，“某些攻击组织将会在2021年致力于实施旨在制造破坏，类似于震网病毒、BlackEnergy （黑色能量）的攻击活动”。APT攻击工具和网络武器市场为众多后进入攻击组织提供了有力的支持。

太阳风（SolarWinds）安全事件证实复杂的供应链已经是最薄弱的环节，攻击的成功也必然吸引更多国家级黑客组织采重视这种攻击方式。其中，开源软件作为渗透机构的简便方式，构成严重的安全威胁。目前对开源软件的依赖更加普遍。IDC调查显示，2021年“大约25％～34％的新应用将由30％的开源软件组成”。2021年，利用开源代码实施攻击的趋势将加速增长，并向更重要的开源基础设施项目尝试渗透。

2021年疫情造成的影响还将持续。在远程办公环境，身份成为新的边界，机构在身份和访问管理（IAM）上弱点，带来安全盲点和漏洞，将会成为多种网络犯罪的根源。2020年暗网市场流行的网络凭据，也将在2021年成为攻击组织渗透和攻击的有力工具。

正如在2019年没有人想象得到疫情的发生，2021年的黑客组织也可能以我们难以想象的方式，实施影响深远的攻击活动。

07  实战攻防演习效果明显，推动政企实战化安全能力建设

实战攻防演习的效果显现，尤其是未来针对关键基础设施的实战攻防演习，将会对政企机构带来更大压力，显著推动网络安全建设。

2020年以来，国家主管部门主导的国家级网络安全实战攻防演习中参与演习的行业更加广泛，攻击和防守双方的对抗更是前所未有。除了传统的web攻击、0day、钓鱼、物理渗透等攻击手段，攻击队开始更多转向精准攻击和供应链攻击。

随着数字化转型的深入开展，攻击者的目标系统逐步转向核心业务数据和承载核心数据的业务应用。攻击者的角色也从普通的个人网络犯罪，到有组织的攻击甚至有境外背景的国家级对抗。攻击工具的武器化、攻击手段的战术化，均对政企用户的网络安全防御提出了更高要求。

实战攻防演习成为政企用户网络安全保护的常态化工作，也成为政企用户检验网络安全防御体系有效性、全面提升网络安全综合防护能力的重要手段。在实战攻防演习的推动下，政企机构在加强IT资产管理和漏洞管理等，方向实战化成为未来政企用户网络安全建设的重要能力，而实战攻防演习则成为了政企用户实战化安全能力建设的重要手段。

Part 4  2021建议

安全快一步

规划快一步  让安全少走弯路

安全防护“左移”实现安全内生已成为业界的共识。传统上那种先建设、后防护的附加和外挂安全能力模式，已被证实无法适应攻击日益频繁、手段日益高级的网络安全形势。建造大楼和制造汽车，首先考虑的是根基牢固和安全。在加快推进新型基础设施建设的“十四五”期间，更应该将网络安全明确为“新基建” 的最重要基石，实现“同步规划、同步建设、同步运营”，才能为新基建打造牢固的安全底座。在信息系统和应用，以及新型基础设施建设中，唯有做到“规划快一步”，才能避免漏洞频现的不合格工程，让安全少走弯路。

发现快一步  守好安全第一线

2020年年底爆出的年度最严重的APT攻击事件，波及美国重要政府部门和顶级安全公司，这再次说明：不存在绝对安全的系统。在强大网络攻击者面前，没有哪个机构能够幸免。更快、更早地发现网络攻击行为，及时地遏制攻击和将损失降到最低，这是最现实的做法。借助态势感知平台、安全运营平台（SOC）以及安全编排与响应自动化系统，实现对安全威胁的及时发现、响应和处置，是守好安全第一线的基础。

攻防快一步  掌握安全主动权

在网络安全防护中，通过“以攻促防”，可以检验信息系统的安全性和运维保障的有效性，提升网络安全的整体防御水平。目前各行业举办的常态化实网攻防演练已成为发现系统漏洞、检验防护能力的重要方式。一场有效的实战攻防演习检验的不是单纯的业务系统是否安全，更重要的是以人为核心的安全意识和抗风险的能力。攻防快一步，掌握安全主动权，可以有效保障自身业务系统经受实战化网络攻击的考验。

报告出品人：李建平、张少波、魏开元、王彪、张文辉

本报告特别鸣谢：鲍旭华、王少杰、许传朝、王培