盤點 2021 年十大網絡安全事件

在網絡安全領域,2021年註定是不平靜的一年。世界各地頻發網絡安全事件,諸如數據泄漏、勒索軟件、黑客攻擊等等層出不窮,有組織、有目的的網絡攻擊形勢愈加明顯,網絡安全風險持續增加。另外,我國也頒佈瞭多項網絡安全相關法律法規,為我國互聯網安全領域法律法規的完善之路拉開瞭序幕。本文以“創宇資訊”視角出發,篩選並總結出瞭2021年最受關註的十大網絡安全事件。

事件一:《中華人民共和國數據安全法》《關鍵信息基礎設施安全保護條例》《中華人民共和國個人信息保護法》等網絡安全相關法律施行。

《中華人民共和國數據安全法》
詳情鏈接:https://mp.weixin.qq.com/s/OOEQqZECu-TbWBZ86_O1Dg

於2021年9月1日起施行。該部法律體現瞭總體國傢安全觀的立法目標,聚焦數據安全領域的突出問題,確立瞭數據分類分級管理,建立瞭數據安全風險評估、監測預警、應急處置,數據安全審查等基本制度,並明確瞭相關主體的數據安全保護義務,這是我國首部數據安全領域的基礎性立法。

《關鍵信息基礎設施安全保護條例》
詳情鏈接:https://mp.weixin.qq.com/s/e8lv9giBX-EXk0ZWv8cvlw

於2021年9月1日起施行。該部法律明確瞭關鍵信息基礎設施的定義及認定程序;明確建立瞭網絡安全信息共享機制;規定任何個人和組織未經授權不得對關鍵信息基礎設施進行探測測試等可能影響或危害關鍵信息基礎設施安全的活動。是在《網絡安全法》框架下全面規范關鍵信息基礎設施安全保護的基礎性法規,是加強網絡安全領域立法、完善網絡安全保護法律法規體系的重要舉措,為我國深入開展關鍵信息基礎設施安全保護工作提供有力法治保障。

《中華人民共和國個人信息保護法》
詳情鏈接:https://mp.weixin.qq.com/s/KYH400MOTBDPgwCUCN3FCA

於2021年11月1日起施行。該部法律圍繞個人信息的處理,從處理規則、跨境提供、個人權力、處理者義務、保護職責部門以及法律責任等不同角度確立瞭相應規則,並且針對敏感個人信息和國傢機關處理強調瞭特別規則。其出發點是保護個人對於個人信息處理享有的權力,厘清企業等個人信息處理者應當遵循的規則和履行的義務,同時明確違法和侵權行為的法律責任。此律成為中國第一部專門規范個人信息保護的法律,對我國公民的個人信息權益保護以及各組織的數據隱私合規實都將產生直接和深遠的影響。

事件二:黑客攻擊美國佛羅裡達水務公司,供水系統險遭“投毒”

詳情鏈接:https://hackernews.cc/achives/37181

2月8日,一名黑客侵入瞭佛羅裡達州奧德馬爾的一傢水處理廠,通過篡改可遠程控制的計算機數據,將該廠水中的氫氧化鈉含量調高到瞭極其危險的水平,讓整個城市的人都差點中毒。幸運的是,水廠的運營商及時發現瞭問題,避免瞭一場災難。此次入侵,使美國關鍵基礎設施在網絡攻擊面前的持續脆弱性暴露無遺。凸顯瞭市政基礎設施面臨網絡攻擊的風險。水務投毒事件一度引起水務行業甚至關鍵基礎設施行業的極度恐慌。

事件三:微軟Exchange Server 產品曝嚴重安全漏洞,FBI從被黑服務器中移除後門

詳情鏈接:https://hackernews.cc/archives/35131

FBI 已展开行动 从被黑 Exchange 服务器中移除后门

3月2日,微軟發佈瞭Microsoft Exchange Server的安全更新公告,其中包含多個Exchange Server嚴重安全漏洞,危害等級為“高危”。並且已經受到瞭一個名為Hafnium的國傢支持的黑客組織的攻擊。微軟第一時間修復這些漏洞,但發佈的補丁並未關閉已經遭入侵的服務器的後門,其他黑客組織幾天後紛紛開始效仿,紛紛針對Exchange服務器進行攻擊。該安全漏洞使全球多個國傢或地區的企業、政府機構、教育機構以及醫療機構等出現嚴重的信息泄露問題。因此,美國司法部於4月13日宣佈一項由美國休斯敦法院授權的行動,批準FBI利用黑客方式刪除Exchange Server後門程序。

事件四:美國保險巨頭CNA Financia被勒索4000萬美元贖金,破贖金最高紀錄

詳情鏈接:https://www.cnbeta.com/articles/tech/1130609.htm

今年3月底,美國最大的保險公司之一CNA Financial被勒索軟件攻擊,在試圖恢復文件無果之後,他們開始與攻擊者談判,黑客要求的贖金高達6000萬美元。最後,CNA Financial在事件發生兩周後支付瞭4000萬美元贖金,以重新獲得對其網絡的控制權。根據目前已公開的勒索病毒付款事件,CNA Financial以4000萬美元贖金“強勢登頂”,創下迄今為止已知的最大勒索軟件贖金支付。

事件五:兩大數據泄露事件——Facebook 5.33億用戶、領英7億用戶數據泄露,於暗網出售

詳情鏈接:https://hackernews.cc/archives/35159

时隔两月 又有黑客在叫卖所谓的 7 亿条 LinkedIn 用户数据

4月,據外媒《The Record》報道,來自106個國傢和地區的超過5.33億Facebook用戶的個人信息在一個黑客論壇上被泄露,包括用戶的個人信息,如Facebook ID、全名、地點、出生日期、電子郵件地址以及用戶可能在個人資料中輸入的其他任何內容。此外,數據庫還包含所有用戶的電話號碼,一些沒在網站上公開電話號碼的用戶也沒能幸免。這批數據通過隨機抽樣檢測驗證瞭真實性。不久,又一起重大信息泄露事件發生,在6月22日,有黑客在暗網平臺出售超過7億領英用戶數據發佈一個包含100萬領英用戶的樣本數據集。據悉,領英有7.56億用戶,也就是說有約92%的領英用戶可以在該泄露的數據庫中檢索到個人的信息。此次事件也成為領英歷史以來最大規模的數據泄漏。

事件六:美國最大成品油管道運營商Colonial Pipeline遭到網絡攻擊

詳情鏈接:https://hackernews.cc/archives/35338

Colonial Pipeline 攻击事件初步调查结果:未及时修复 Exchange 漏洞

2021年5月7日(美國當地時間),美國最大成品油管道運營商Colonial Pipeline遭到網絡攻擊,此次攻擊事件導致提供美國東部沿海主要城市45%燃料供應的輸送油氣管道系統被迫下線。極大影響瞭美國東海岸燃油等能源供應,美國政府宣佈進入國傢緊急狀態。最終Colonial Pipeline支付瞭將近500萬美元的贖金以恢復被攻擊的系統。本次攻擊成為美國能源系統有史以來遭遇的最嚴重網絡襲擊。

事件七:SolarWinds事件背後由俄羅斯支持的Nobelium黑客瞄準全球IT供應鏈

詳情鏈接:https://hackernews.cc/archives/36551

10月25日,微軟威脅情報中心發佈報告稱,去年SolarWinds黑客事件背後由俄羅斯支持的Nobelium威脅集團自2021年5月以來一直在開展持續性的攻擊活動,微軟在發現這些攻擊後通知瞭受影響的目標,還在威脅保護產品中增加瞭檢測功能,使這些目標在未來能夠發現入侵企圖。自7月以來,超過600名微軟客戶成為目標。自2021年5月以來,有140傢管理服務提供商(MSP)和雲服務提供商受到攻擊,至少有14傢被攻破。

事件八:微軟稱其抵擋瞭有史以來最大的 DDoS 攻擊 帶寬負載高達 2.4 Tbps

詳情鏈接:https://hackernews.cc/archives/36395

微軟披露其已經緩解瞭一場發生於8月份的2.4Tbps分佈式拒絕服務(DDoS)攻擊。這次攻擊針對歐洲的一個Azure客戶,比微軟在2020年記錄的最高攻擊帶寬量高出140%。它也超過瞭之前最大的攻擊2.3Tbps的峰值流量,這是在去年針對亞馬遜網絡服務的攻擊。亞馬遜網絡服務(AWS)之前保持著最大的DDoS攻擊防禦的記錄,也就是上面所說的2.3Tbps的嘗試,超過瞭NetScout Arbor在2018年3月保持的1.7Tbps的前記錄。

事件九:核彈級漏洞log4shell席卷全球

詳情鏈接:https://hackernews.cc/archives/37005

Log4j 漏洞可能需要数月甚至数年时间才能妥善解决

https://hackernews.cc/archives/37070

12月10日公開的核彈級漏洞log4shell席卷全球 。新西蘭計算機緊急響應中心(CERT)、美國國傢安全局、德國電信CERT、中國國傢互聯網應急中心(CERT/CC)等多國機構相繼發出警告。全球近一半企業因為該漏洞受到瞭黑客的試圖攻擊。已證實服務器易受到漏洞攻擊的公司包括蘋果、亞馬遜、特斯拉、谷歌、百度、騰訊、網易、京東、Twitter、 Steam等。據統計,共有6921個應用程序都有被攻擊的風險。其危害程度之高,影響范圍之大,以至於不少業內人士將其形容為“無處不在的零日漏洞”。並且,Log4j 漏洞可能需要數月甚至數年時間才能妥善解決。

事件十:英國國傢打擊犯罪局向HIBP披露 5.85 億個被泄露的密碼

詳情鏈接:https://hackernews.cc/archives/37087

英國國傢犯罪署(NCA)與Have I Being Pwned(HIBP)網站共享瞭在調查期間發現的超過5.85億個被盜密碼的集合,該網站為安全漏洞數據編制索引。在美國聯邦調查局FBI於5月份開始與Have I Being Pwned進行類似的合作之後,NCA現在成為第二個正式向HIBP提供被黑密碼的執法機構 。