IVANTIAVALANCHE漏洞利用（上）

是否需要任何身份验证？

此时，我似乎拥有了发送我自己的信息所需的一切。但是，当我发送时，我看到目标服务没有任何反应。我查看了InfoRail服务日志文件，发现了这些有趣的行：

InfoRail日志文件——删除未经身份验证的消息

我似乎漏掉了一个重要的部分：身份验证。有了有关协议和加密的所有详细信息，我能够快速识别网络流量中的注册消息。这是负载不以XML形式存储的罕见示例之一。下面的截图展示了一个注册消息的片段：

注册消息的片段

这里研究人员发现了几件重要的事情：

· --reg.appident——指定尝试注册的服务的名称。

· --reg.uname/reg.puname——指定看起来像用户名的东西。

· --reg.cred/reg.pcred——指定看起来像哈希密码的东西。

经过大量的代码分析，我确定了以下内容：

· --Uname和puname是部分随机的。

· --Cred和pcred值是MD5哈希值，基于以下值：

· --用户名（.anonymous.0.digits）。

· --密钥的适当片段，在源代码中被硬编码。

同样，唯一需要的秘密在源代码中是可见的。攻击者可以检索密钥并构造他自己的有效注册消息。

最后，我们可以正确注册InfoRail服务并将我们自己的消息发送到任何Avalanche服务。

在这个阶段，可以验证ObjectGraph类中没有实现allowlist的服务。我找出了其中的5个：

· 数据存储服务(ZDI-CAN-15169)。

· StatServer服务(ZDI-CAN-15130)。

· 通知服务器服务(ZDI-CAN-15448)。

· 证书管理服务器服务(ZDI-CAN-15449)。

· Web文件服务器服务(ZDI-CAN-15330)。

我们有五个XStream反序列化终端，可以反序列化我们提供的任何东西。人们可以立即开始考虑利用这种反序列化的方法。首先，XStream对其安全性非常透明。他们的安全页面（可在此处获得）基于Java运行时中可用的类提供多个小工具。遗憾的是，没有合适的小工具适用于我试图利用的前四个服务，因为没有加载所需的类。

XStream试图允许尽可能多的对象图，默认转换器几乎是steroid上的Java序列化。除了对第一个不可序列化的父构造函数的调用之外，Java序列化可以实现的一切似乎都可以通过XStream实现（括代理构造）包。

在较新版本的XStream中似乎没有代理构造。但是，我们仍然应该能够使用ysoserial小工具来利用它。那时还没有用于XStream的Ysoserial小工具，所以我自己创建了几个。它们可以在这个GitHub存储库中找到。

使用我的ysoserialXStream小工具，我成功地在四个Avalanche服务中执行了重构代码。以下是我能够利用的服务的摘要，以及所需的小工具：

· StatServer：使用AspectJWeaver和CommonsBeanutils1利用。

· 数据存储库：使用C3P0和CommonsBeanutils1进行利用。

· 证书管理服务器：使用CommonsBeanutils1利用。

· Avalanche通知服务器：使用CommonsBeanutils1利用。

没有特别的原因，让我们关注StatServer。首先，我们必须找到将反序列化包含的XML有效负载的消息的主题和子类别。据此，InfoRail协议消息标头应包含以下键和值：

· h.distlist=255.3.2.12

· h.msgsubcat=3502（GetMuCellTowerData消息）

在本例中，我们将使用AspectJWeaver小工具，它允许我们上传文件。下面是XStream的AspectJWeaver小工具：

AspectJWeaver.xml

这个小工具任务如下：

· iConstant标签包含Base64文件内容。

· folder标签包含上传目录的路径。我的目标是AvalancheWeb应用程序根目录。

• key标记指定文件的名称。

有了所有需要的数据，我们就可以开始利用过程了：

StatServer利用——上传Webshell

以下屏幕截图展示了上传的webshell和whoami命令的执行。

StatServerExploitation——Webshell和命令执行

成功！综上所述，可以向Avalanche服务发送消息的攻击者可以在4个不同的服务中滥用XStream反序列化。

我还在第五个服务上实现了远程代码执行。然而，利用这个服务要复杂得多。

利用JNDI查找

Java命名和目录接口(JNDI)查找有很长的历史，在Log4Shell漏洞出现之前，许多研究人员就已经熟悉了这个向量。CVE-2021-39146就是一个证明，它是一个触发查找的XStream反序列化小工具。它是唯一一个对Web File Server服务有效的XStream小工具，对此我无法制作一个有效的ysoserial小工具。

尽管如此，我们仍在处理一个新的Java版本。因此，我们不能滥用远程类加载。此外，攻击者不能滥用LDAP反序列化向量(此处有描述[PDF])。使用JNDI注入，我们可以交付序列化的有效负载，然后由目标反序列化。然而，我们没有意识到任何反序列化小工具可能被滥用在Web文件服务器。如果有任何gadget，我们首先就不需要JNDI查找。幸运的是，在Web文件服务器类路径中包含了几个有趣的JAR包。

Web文件服务器- Tomcat jar

可以看到，Web File Server加载了几个Tomcat JAR包。你可能还熟悉MichaelStepankin发现的技术，它滥用TomcatBeanFactory中的不安全反射通过JNDILookup执行任意命令。

总之，我们可以执行以下攻击：

· 设置恶意LDAP服务器，该服务器将为恶意BeanFactory提供服务。我们将使用RogueJNDI工具。

· 注册InfoRail服务。

· 发送包含CVE-2021-39146小工具的消息，以指向在步骤1中定义的服务器的Web文件服务器为目标。

· Web文件服务器进行LDAP查找并从恶意服务器检索数据。

· 远程代码执行。

LDAP服务器的设置如下图所示：

RogueJndi的设置

下一个片段展示了用于此概念证明的CVE-2021-39146小工具：

jndiGadget.xml

如果一切顺利，并且成功地执行了查找，那么Rogue JNDI应该显示以下消息，并且应该在目标系统上执行代码。

被触发的JNDI查找

总而言之，我们能够滥用自定义的IvantiAvalanche协议和XML消息反序列化机制来利用五种不同的服务并以SYSTEM权限远程执行代码。我在IvantiAvalanche中发现了更多反序列化漏洞。接下来，我将继续讨论协议和跨服务通信。

在通信和身份验证消息中滥用攻击条件

如上所述，各种Avalanche服务在InfoRail的帮助下相互通信。当服务提供响应时，该响应将再次通过InfoRail服务转发。这项研究的想法是：攻击者是否有可能欺骗响应？如果是这样，就有可能滥用IvantiAvalanche行为并执行潜在的恶意操作。

我重点研究了身份验证操作，如下图所示：

认证方案

当用户通过AvalancheWeb应用程序登录面板进行身份验证时，后端会将身份验证消息传输到EnterpriseServer。此服务验证凭据并发回适当的响应。如果提供的凭据正确，则用户将通过身份验证。

在这个研究过程中，我学到了两件重要的事情：

· 攻击者可以注册为任何服务。

· 身份验证消息分布在注册的Enterprise Server的每个实例中。

据此，攻击者可以将自己注册为企业服务器，并截获传入的身份验证消息。但是，这种行为并没有什么直接的后果，因为传输的密码是经过哈希和加密的。

下一个问题是是否可以将攻击者自己的响应传递给AvalancheWeb，以及它是否会被接受。事实证明，是的，这是可能的！如果你想提供自己的响应，则必须在消息标头中正确设置两个值：

· Origin——发送消息的AvalancheWeb后端的主题(ID)。

· MsgId——原始身份验证消息的消息ID。

这两个值都比较容易获得，因此攻击者可以对消息提供自己的响应。它将被正在等待响应的服务接受。下图展示了一个攻击场景示例。

攻击条件

攻击场景如下：

——攻击者尝试使用错误的凭据登录Web应用程序。

——Web应用程序发送认证消息。

——InfoRail服务将消息发送到两台企业服务器：合法服务器和恶意服务器。

——攻击时间：

——合法服务器以“错误凭据”消息响应。

——恶意服务器以“credentialsOK”消息响应。如果攻击者的服务器首先传递消息，则将其转发到AvalancheWeb应用程序。

——攻击者获得身份验证。

请注意，针对攻击者服务器的“登录消息”不是故意存在的（尽管它实际上是传输给攻击者的）。我想强调一个事实，即可以在不可能读取消息的情况下利用这个问题。在此攻击中，攻击者必须暴力破解已经提到的消息ID值。它使整个攻击复杂化，但仍然有可能被利用。

总结这一部分，攻击者可以设置自己的恶意Enterprise Server，并滥用攻击条件来向Web应用程序交付自己的身份验证响应。还有两件事需要调查：响应消息是什么样的，我们能否缓解攻击？

身份验证处理

以下代码段提供了对登录消息的示例响应。请注意，这些消息在合法使用期间会更大。但是，对于概念验证，我已将它们最小化并仅存储了开发所需的那些部分。

响应消息由几个重要部分组成：

· 它包含一个responseObject标记，它是一个序列化的用户对象。

· 它包含一个非常重要的responseCode标签。

· 在身份验证期间的某个时刻，Web后端调用UserService.doLogin方法：

doLogin.java

在[1]处，UserCredentials对象被实例化。然后，设置其成员。

在[2]处，将调用authenticate方法，并将在[1]处初始化的对象作为参数传递：

authenticate.java

在[1]处，初始化UserLogin对象。

在[2]处，UserCredentials对象被序列化。

在[3]处，消息正在发送到企业服务器，Web后端等待响应。

在[4]处，验证响应中包含的responseCode。我们希望它等于0。

在[5]处，userLogin.authenticated设置为True。

在[6]处，userLogin.currentUser被设置为包含在responseObject中的对象。

在[7]处，该方法返回userLogin对象。

基本上，响应应该有一个等于0的responseCode。它还应该在responseObject标记中包含一个正确序列化的User对象。

最后，我们分析负责调用doLogin函数的UserBean.loginInner方法的片段。

loginInner.java

在[1]处，调用doLogin方法。它检索UserLogin类型的对象。

在[2]处，它将this.currentUser设置为userLogin.currentUser。

在[3]处，它设置各种其他设置。

有一件非常重要的事情需要注意：Web后端不会将登录面板中提供的用户名与企业服务器检索到的用户名进行比较。因此，攻击者可以：

· 触发用户名为“poc”的身份验证。

· 赢得攻击并在响应中提供用户“amcadmin”。

· 然后攻击者将被认证为“amcadmin”。

总而言之，攻击者似乎没有任何障碍，他的响应应该由WebBackend处理，没有任何问题。接下来，我们将注意力转向防御。

在默认安装中，EnterpriseServer和InfoRail服务与Web后端位于同一主机上。这使得攻击条件的利用变得更加困难，因为合法的通信由本地接口处理，这比通过外部网络接口的通信要快得多。

尽管如此，攻击者还是有一些优势。例如，他不必生成动态响应，因为响应负载可以在漏洞利用中进行硬编码。下表概述了攻击者和合法EnterpriseServer必须执行的操作。

攻击者

从原始登录消息中获取消息ID，并将其放置在标头中。

发送静态响应。

企业服务器

从原始登录消息中获取消息ID并将其放在标头中。

解密并验证用户的凭据。

检索用户的详细信息并创建用户对象。

动态创建响应。

远程攻击者需要执行的操作要少得多，可以更快地准备响应。它使攻击可以顺利进行。

未经身份验证的攻击者可以修改Avalanche系统设置。这是由于一个单独的漏洞允许绕过域身份验证(ZDI-CAN-15919)。远程攻击者可以启用基于LDAP的身份验证并为LDAP服务器配置设置任何地址。在这种情况下，合法的EnterpriseServer将首先尝试访问这个“非法”身份验证服务器。这将给攻击者额外的1 - 2秒时间(如果使用得当，甚至更多)。这样，攻击者就可以获得更多的时间来发起攻击。

IVANTIAVALANCHE漏洞利用（上）

是否需要任何身份验证？

此时，我似乎拥有了发送我自己的信息所需的一切。但是，当我发送时，我看到目标服务没有任何反应。我查看了InfoRail服务日志文件，发现了这些有趣的行：

InfoRail日志文件——删除未经身份验证的消息

我似乎漏掉了一个重要的部分：身份验证。有了有关协议和加密的所有详细信息，我能够快速识别网络流量中的注册消息。这是负载不以XML形式存储的罕见示例之一。下面的截图展示了一个注册消息的片段：

注册消息的片段

这里研究人员发现了几件重要的事情：

· --reg.appident——指定尝试注册的服务的名称。

· --reg.uname/reg.puname——指定看起来像用户名的东西。

· --reg.cred/reg.pcred——指定看起来像哈希密码的东西。

经过大量的代码分析，我确定了以下内容：

· --Uname和puname是部分随机的。

· --Cred和pcred值是MD5哈希值，基于以下值：

· --用户名（.anonymous.0.digits）。

· --密钥的适当片段，在源代码中被硬编码。

同样，唯一需要的秘密在源代码中是可见的。攻击者可以检索密钥并构造他自己的有效注册消息。

最后，我们可以正确注册InfoRail服务并将我们自己的消息发送到任何Avalanche服务。

在这个阶段，可以验证ObjectGraph类中没有实现allowlist的服务。我找出了其中的5个：

· 数据存储服务(ZDI-CAN-15169)。

· StatServer服务(ZDI-CAN-15130)。

· 通知服务器服务(ZDI-CAN-15448)。

· 证书管理服务器服务(ZDI-CAN-15449)。

· Web文件服务器服务(ZDI-CAN-15330)。

我们有五个XStream反序列化终端，可以反序列化我们提供的任何东西。人们可以立即开始考虑利用这种反序列化的方法。首先，XStream对其安全性非常透明。他们的安全页面（可在此处获得）基于Java运行时中可用的类提供多个小工具。遗憾的是，没有合适的小工具适用于我试图利用的前四个服务，因为没有加载所需的类。

XStream试图允许尽可能多的对象图，默认转换器几乎是steroid上的Java序列化。除了对第一个不可序列化的父构造函数的调用之外，Java序列化可以实现的一切似乎都可以通过XStream实现（括代理构造）包。

在较新版本的XStream中似乎没有代理构造。但是，我们仍然应该能够使用ysoserial小工具来利用它。那时还没有用于XStream的Ysoserial小工具，所以我自己创建了几个。它们可以在这个GitHub存储库中找到。

使用我的ysoserialXStream小工具，我成功地在四个Avalanche服务中执行了重构代码。以下是我能够利用的服务的摘要，以及所需的小工具：

· StatServer：使用AspectJWeaver和CommonsBeanutils1利用。

· 数据存储库：使用C3P0和CommonsBeanutils1进行利用。

· 证书管理服务器：使用CommonsBeanutils1利用。

· Avalanche通知服务器：使用CommonsBeanutils1利用。

没有特别的原因，让我们关注StatServer。首先，我们必须找到将反序列化包含的XML有效负载的消息的主题和子类别。据此，InfoRail协议消息标头应包含以下键和值：

· h.distlist=255.3.2.12

· h.msgsubcat=3502（GetMuCellTowerData消息）

在本例中，我们将使用AspectJWeaver小工具，它允许我们上传文件。下面是XStream的AspectJWeaver小工具：

AspectJWeaver.xml

这个小工具任务如下：

· iConstant标签包含Base64文件内容。

· folder标签包含上传目录的路径。我的目标是AvalancheWeb应用程序根目录。

• key标记指定文件的名称。

有了所有需要的数据，我们就可以开始利用过程了：

StatServer利用——上传Webshell

以下屏幕截图展示了上传的webshell和whoami命令的执行。

StatServerExploitation——Webshell和命令执行

成功！综上所述，可以向Avalanche服务发送消息的攻击者可以在4个不同的服务中滥用XStream反序列化。

我还在第五个服务上实现了远程代码执行。然而，利用这个服务要复杂得多。

利用JNDI查找

Java命名和目录接口(JNDI)查找有很长的历史，在Log4Shell漏洞出现之前，许多研究人员就已经熟悉了这个向量。CVE-2021-39146就是一个证明，它是一个触发查找的XStream反序列化小工具。它是唯一一个对Web File Server服务有效的XStream小工具，对此我无法制作一个有效的ysoserial小工具。

尽管如此，我们仍在处理一个新的Java版本。因此，我们不能滥用远程类加载。此外，攻击者不能滥用LDAP反序列化向量(此处有描述[PDF])。使用JNDI注入，我们可以交付序列化的有效负载，然后由目标反序列化。然而，我们没有意识到任何反序列化小工具可能被滥用在Web文件服务器。如果有任何gadget，我们首先就不需要JNDI查找。幸运的是，在Web文件服务器类路径中包含了几个有趣的JAR包。

Web文件服务器- Tomcat jar

可以看到，Web File Server加载了几个Tomcat JAR包。你可能还熟悉MichaelStepankin发现的技术，它滥用TomcatBeanFactory中的不安全反射通过JNDILookup执行任意命令。

总之，我们可以执行以下攻击：

· 设置恶意LDAP服务器，该服务器将为恶意BeanFactory提供服务。我们将使用RogueJNDI工具。

· 注册InfoRail服务。

· 发送包含CVE-2021-39146小工具的消息，以指向在步骤1中定义的服务器的Web文件服务器为目标。

· Web文件服务器进行LDAP查找并从恶意服务器检索数据。

· 远程代码执行。

LDAP服务器的设置如下图所示：

RogueJndi的设置

下一个片段展示了用于此概念证明的CVE-2021-39146小工具：

jndiGadget.xml

如果一切顺利，并且成功地执行了查找，那么Rogue JNDI应该显示以下消息，并且应该在目标系统上执行代码。

被触发的JNDI查找

总而言之，我们能够滥用自定义的IvantiAvalanche协议和XML消息反序列化机制来利用五种不同的服务并以SYSTEM权限远程执行代码。我在IvantiAvalanche中发现了更多反序列化漏洞。接下来，我将继续讨论协议和跨服务通信。

在通信和身份验证消息中滥用攻击条件

如上所述，各种Avalanche服务在InfoRail的帮助下相互通信。当服务提供响应时，该响应将再次通过InfoRail服务转发。这项研究的想法是：攻击者是否有可能欺骗响应？如果是这样，就有可能滥用IvantiAvalanche行为并执行潜在的恶意操作。

我重点研究了身份验证操作，如下图所示：

认证方案

当用户通过AvalancheWeb应用程序登录面板进行身份验证时，后端会将身份验证消息传输到EnterpriseServer。此服务验证凭据并发回适当的响应。如果提供的凭据正确，则用户将通过身份验证。

在这个研究过程中，我学到了两件重要的事情：

· 攻击者可以注册为任何服务。

· 身份验证消息分布在注册的Enterprise Server的每个实例中。

据此，攻击者可以将自己注册为企业服务器，并截获传入的身份验证消息。但是，这种行为并没有什么直接的后果，因为传输的密码是经过哈希和加密的。

下一个问题是是否可以将攻击者自己的响应传递给AvalancheWeb，以及它是否会被接受。事实证明，是的，这是可能的！如果你想提供自己的响应，则必须在消息标头中正确设置两个值：

· Origin——发送消息的AvalancheWeb后端的主题(ID)。

· MsgId——原始身份验证消息的消息ID。

这两个值都比较容易获得，因此攻击者可以对消息提供自己的响应。它将被正在等待响应的服务接受。下图展示了一个攻击场景示例。

攻击条件

攻击场景如下：

——攻击者尝试使用错误的凭据登录Web应用程序。

——Web应用程序发送认证消息。

——InfoRail服务将消息发送到两台企业服务器：合法服务器和恶意服务器。

——攻击时间：

——合法服务器以“错误凭据”消息响应。

——恶意服务器以“credentialsOK”消息响应。如果攻击者的服务器首先传递消息，则将其转发到AvalancheWeb应用程序。

——攻击者获得身份验证。

请注意，针对攻击者服务器的“登录消息”不是故意存在的（尽管它实际上是传输给攻击者的）。我想强调一个事实，即可以在不可能读取消息的情况下利用这个问题。在此攻击中，攻击者必须暴力破解已经提到的消息ID值。它使整个攻击复杂化，但仍然有可能被利用。

总结这一部分，攻击者可以设置自己的恶意Enterprise Server，并滥用攻击条件来向Web应用程序交付自己的身份验证响应。还有两件事需要调查：响应消息是什么样的，我们能否缓解攻击？

身份验证处理

以下代码段提供了对登录消息的示例响应。请注意，这些消息在合法使用期间会更大。但是，对于概念验证，我已将它们最小化并仅存储了开发所需的那些部分。

响应消息由几个重要部分组成：

· 它包含一个responseObject标记，它是一个序列化的用户对象。

· 它包含一个非常重要的responseCode标签。

· 在身份验证期间的某个时刻，Web后端调用UserService.doLogin方法：

doLogin.java

在[1]处，UserCredentials对象被实例化。然后，设置其成员。

在[2]处，将调用authenticate方法，并将在[1]处初始化的对象作为参数传递：

authenticate.java

在[1]处，初始化UserLogin对象。

在[2]处，UserCredentials对象被序列化。

在[3]处，消息正在发送到企业服务器，Web后端等待响应。

在[4]处，验证响应中包含的responseCode。我们希望它等于0。

在[5]处，userLogin.authenticated设置为True。

在[6]处，userLogin.currentUser被设置为包含在responseObject中的对象。

在[7]处，该方法返回userLogin对象。

基本上，响应应该有一个等于0的responseCode。它还应该在responseObject标记中包含一个正确序列化的User对象。

最后，我们分析负责调用doLogin函数的UserBean.loginInner方法的片段。

loginInner.java

在[1]处，调用doLogin方法。它检索UserLogin类型的对象。

在[2]处，它将this.currentUser设置为userLogin.currentUser。

在[3]处，它设置各种其他设置。

有一件非常重要的事情需要注意：Web后端不会将登录面板中提供的用户名与企业服务器检索到的用户名进行比较。因此，攻击者可以：

· 触发用户名为“poc”的身份验证。

· 赢得攻击并在响应中提供用户“amcadmin”。

· 然后攻击者将被认证为“amcadmin”。

总而言之，攻击者似乎没有任何障碍，他的响应应该由WebBackend处理，没有任何问题。接下来，我们将注意力转向防御。

在默认安装中，EnterpriseServer和InfoRail服务与Web后端位于同一主机上。这使得攻击条件的利用变得更加困难，因为合法的通信由本地接口处理，这比通过外部网络接口的通信要快得多。

尽管如此，攻击者还是有一些优势。例如，他不必生成动态响应，因为响应负载可以在漏洞利用中进行硬编码。下表概述了攻击者和合法EnterpriseServer必须执行的操作。

攻击者

从原始登录消息中获取消息ID，并将其放置在标头中。

发送静态响应。

企业服务器

从原始登录消息中获取消息ID并将其放在标头中。

解密并验证用户的凭据。

检索用户的详细信息并创建用户对象。

动态创建响应。

远程攻击者需要执行的操作要少得多，可以更快地准备响应。它使攻击可以顺利进行。

未经身份验证的攻击者可以修改Avalanche系统设置。这是由于一个单独的漏洞允许绕过域身份验证(ZDI-CAN-15919)。远程攻击者可以启用基于LDAP的身份验证并为LDAP服务器配置设置任何地址。在这种情况下，合法的EnterpriseServer将首先尝试访问这个“非法”身份验证服务器。这将给攻击者额外的1 - 2秒时间(如果使用得当，甚至更多)。这样，攻击者就可以获得更多的时间来发起攻击。

研究人员发现，Magecart的攻击活动一直在利用三个在线餐厅订餐系统盗取那些毫无戒心的顾客的支付卡凭证，并且攻击影响了大约300家使用这些服务的餐厅，迄今已泄露了数万张卡的信息。

多次进行攻击的Magecart团伙将e-skimmer脚本注入到了使用这三个独立平台的在线订购门户。来自Recorded Future的研究人员在本周的一篇博文中透露，针对MenuDrive、Harbortouch和InTouchPOS进行的攻击，一个似乎在去年11月开始的，另一个是在1月。

攻击的具体内容

Recorded Future's Insikt Group的研究人员在报告中写道，这三个平台上，至少有311家餐厅被Magecart感染，随着更深入的分析，这个数字可能会继续增加。

Magecart是一个网络犯罪集团的总称，他们会使用盗卡技术从销售点（POS）或电子商务系统使用的支付卡中窃取凭证。并且他们通常最终会在暗网的黑客论坛上出售这些被盗的凭证。

研究人员指出，在Recorded Future观察到的两个攻击活动中，那些受影响的餐馆网站往往会导致客户的支付卡数据和PII（他们的账单信息和联系信息）发生泄露。

他们说，到目前为止，研究人员已经从暗网上发布的活动中发现了5万多条被破坏的支付记录，他们预计未来会有更多被盗数据被发布出来。

研究人员发现，MenuDrive和Harbortouch是同一个Magecart攻击者的攻击目标，这一攻击活动导致80家使用MenuDrive的餐馆和74家使用Harbortouch的餐馆感染了e-skimmer病毒。

他们在帖子中指出，这个攻击活动可能是不晚于2022年1月18日开始的，截至本报告发布，仍然有一部分餐馆受到了感染。然而，研究人员确定该攻击活动的恶意域名为authorizen[.]net，5月26日以来就已经被封锁。

研究人员说，一个单独的、不相关的Magecart攻击活动甚至在更早就针对InTouchPOS进行了攻击，此活动最迟在2021年11月12日开始。在那次攻击活动中，有157家使用该平台的餐馆被感染e-skimmers，而且与该攻击活动有关的恶意域名bouncepilot[.]net和pinimg[.org仍然十分活跃。

此外，据Recorded Future称，针对InTouchPOS的攻击活动使用的策略和破坏指标与自2020年5月以来，针对400个从事不同类型交易的电子商务网站的其他网络犯罪活动非常相似。研究人员说，截至6月21日，相关攻击活动中的30多个受影响的网站仍然在受到不同程度的影响。

诱人的数据

研究人员指出，虽然像Uber Eats和DoorDash这样的集中式餐厅订餐平台在这类系统的市场中占主导地位，而且比受这些活动影响的平台要知名得多，但互联网上数百个为当地餐厅服务的小型平台仍然是网络犯罪分子的重要攻击目标。

他们说，即使是小规模的平台也可能有数以百计的餐馆作为客户，这意味着针对一个较小的平台攻击就可以泄露出数十种在线交易和支付卡的信息。事实上，这些平台对攻击者来说是非常有吸引力的，研究人员指出，他们更倾向于用最少的工作量寻求最高的回报。

一位安全专家指出，一般来说，电子商务网站在安全方面一直面临着很大的挑战，而且往往会包含来自第三方或供应链合作伙伴的代码，这些代码很容易被攻击者破坏，并可能对下游产生更大的影响。

网络安全公司PerimeterX的首席营销官在给媒体的一封电子邮件中写道，这是用来解释网络攻击生命周期的一个很好的例子，由于网络攻击的周期性和连续性，导致网站的数据被大量泄露，这也就是Magecart攻击的结果，这也为另一个网站的刷卡、凭证填充或账户接管攻击提供了资源。

研究人员发现，Magecart的攻击活动一直在利用三个在线餐厅订餐系统盗取那些毫无戒心的顾客的支付卡凭证，并且攻击影响了大约300家使用这些服务的餐厅，迄今已泄露了数万张卡的信息。

多次进行攻击的Magecart团伙将e-skimmer脚本注入到了使用这三个独立平台的在线订购门户。来自Recorded Future的研究人员在本周的一篇博文中透露，针对MenuDrive、Harbortouch和InTouchPOS进行的攻击，一个似乎在去年11月开始的，另一个是在1月。

攻击的具体内容

Recorded Future's Insikt Group的研究人员在报告中写道，这三个平台上，至少有311家餐厅被Magecart感染，随着更深入的分析，这个数字可能会继续增加。

Magecart是一个网络犯罪集团的总称，他们会使用盗卡技术从销售点（POS）或电子商务系统使用的支付卡中窃取凭证。并且他们通常最终会在暗网的黑客论坛上出售这些被盗的凭证。

研究人员指出，在Recorded Future观察到的两个攻击活动中，那些受影响的餐馆网站往往会导致客户的支付卡数据和PII（他们的账单信息和联系信息）发生泄露。

他们说，到目前为止，研究人员已经从暗网上发布的活动中发现了5万多条被破坏的支付记录，他们预计未来会有更多被盗数据被发布出来。

研究人员发现，MenuDrive和Harbortouch是同一个Magecart攻击者的攻击目标，这一攻击活动导致80家使用MenuDrive的餐馆和74家使用Harbortouch的餐馆感染了e-skimmer病毒。

他们在帖子中指出，这个攻击活动可能是不晚于2022年1月18日开始的，截至本报告发布，仍然有一部分餐馆受到了感染。然而，研究人员确定该攻击活动的恶意域名为authorizen[.]net，5月26日以来就已经被封锁。

研究人员说，一个单独的、不相关的Magecart攻击活动甚至在更早就针对InTouchPOS进行了攻击，此活动最迟在2021年11月12日开始。在那次攻击活动中，有157家使用该平台的餐馆被感染e-skimmers，而且与该攻击活动有关的恶意域名bouncepilot[.]net和pinimg[.org仍然十分活跃。

此外，据Recorded Future称，针对InTouchPOS的攻击活动使用的策略和破坏指标与自2020年5月以来，针对400个从事不同类型交易的电子商务网站的其他网络犯罪活动非常相似。研究人员说，截至6月21日，相关攻击活动中的30多个受影响的网站仍然在受到不同程度的影响。

诱人的数据

研究人员指出，虽然像Uber Eats和DoorDash这样的集中式餐厅订餐平台在这类系统的市场中占主导地位，而且比受这些活动影响的平台要知名得多，但互联网上数百个为当地餐厅服务的小型平台仍然是网络犯罪分子的重要攻击目标。

他们说，即使是小规模的平台也可能有数以百计的餐馆作为客户，这意味着针对一个较小的平台攻击就可以泄露出数十种在线交易和支付卡的信息。事实上，这些平台对攻击者来说是非常有吸引力的，研究人员指出，他们更倾向于用最少的工作量寻求最高的回报。

一位安全专家指出，一般来说，电子商务网站在安全方面一直面临着很大的挑战，而且往往会包含来自第三方或供应链合作伙伴的代码，这些代码很容易被攻击者破坏，并可能对下游产生更大的影响。

网络安全公司PerimeterX的首席营销官在给媒体的一封电子邮件中写道，这是用来解释网络攻击生命周期的一个很好的例子，由于网络攻击的周期性和连续性，导致网站的数据被大量泄露，这也就是Magecart攻击的结果，这也为另一个网站的刷卡、凭证填充或账户接管攻击提供了资源。

7月30日，2022全球数字经济大会数字安全峰会暨第十届互联网安全大会（简称ISC 2022）开幕式在北京举行。大会由全球数字经济大会组委会主办，北京市经济和信息化局、北京市朝阳区人民政府、中国通信企业协会、亚洲数据集团、中国信息通信研究院 、360 集团、ISC 平台共同承办，中国互联网协会、中国网络空间安全协会、全国工商联大数据运维（网络安全）委员会、中国软件行业协会、中国信息协会、中国中小企业协会、中国企业联合会、中国企业家协会、北京总部企业协会共同协办，汇聚国家政要、智囊、专家学者，深入探讨数据基础设施布局、数字安全产业发展、数字核心技术创新等数字时代热点话题。

今年，迎来十周年的ISC大会充分利用首都国际资源、科技资源，打造引领全球数字经济安全发展的国际合作交流新平台，向世界发出中国声音。大会以“护航数字文明，开创数字安全新时代”为主题，呼吁行业凝聚力量，为国家筑牢数字安全屏障体系，为数字经济发展保驾护航。

筑牢数字安全屏障，护航数字经济发展

十八大以来，党和国家高度重视数字安全发展。北京市立足首都城市战略定位，坚持以科技创新为引擎，构建数字安全新格局，推动数字安全高质量发展。北京市人民政府副秘书长刘印春在致辞中表示，北京将持续加强技术攻关，完善数字经济安全体系。加快提升数字安全实力，促进新技术在金融科技、数据流动、安全保护等场景中的应用。同时，加强数字安全供给能力，筑牢数字安全治理体系。持续增强数字安全产业的供给，提高产业链供应链韧性，打造数字发展的新高地。

北京市人民政府副秘书长刘印春

数字经济在突破传统生产要素的流动限制，促进市场效率的同时，带来了不容忽视的信息安全问题。全国工商联党组副书记、副主席樊友山在致辞中表示，网络安全龙头企业要发挥自身技术、人才优势和技术创新主体作用，开展数字安全基础理论创新、重大问题研究和核心技术攻关，助力数字安全技术创新发展。同时积极推动网信领域法律法规不断完善，积极参与网络空间国际标准规则制定，助力形成良性的数据安全治理体系。

全国工商联党组副书记、副主席樊友山

面对数字时代新的安全问题，需要新的防御思路，十三届全国政协社会和法制委员会副主任 ，中国友谊促进会理事长，公安部原副部长，网信办原副主任陈智敏在致辞中指出，要用控制论、信息论和系统论思维，来考虑数字安全或数据安全问题，从工作思路、领导指挥、力量组织、作战样式、体系协调、标准规则制定等方面做出调整。

十三届全国政协社会和法制委员会副主任 ，中国友谊促进会理事长，公安部原副部长，网信办原副主任陈智敏

网络安全产业是保障国家网络安全的重要力量。中国国际经济交流中心副理事长，原国务院发展研究中心副主任王一鸣在致辞中表示，要培育发展网络安全企业，创新网络安全服务模式，打造“平台+服务”的网络安全保障体系，形成网络防护、安全监管、安全服务、密码等各具特色的系统解决方案，当好国家网络安全的“守护者”。

中国国际经济交流中心副理事长，原国务院发展研究中心副主任王一鸣

网络安全是护航数字经济发展引擎的关键，是数字时代构筑新优势、领先新赛道的前提。工业和信息化部网络安全管理局局长隋静在致辞中从安全产业协同发展的角度，提出要夯实安全底座，增强关键基础设施安全韧性，构建共建、共享、共用、共维的网络安全协同防护体系。完善制度规则，强化行业数据安全治理能力。强化创新驱动，推动网络安全关键技术突破。同时，加速资源聚集，提升网络安全供给能力，加快构建完善产学研用协同发展良性生态。

工业和信息化部网络安全管理局局长隋静

中央网信办信息化发展局副局长、一级巡视员张望在致辞中表示，要注重强化安全意识，加强制度建设和管理，最大化保障网络安全和数据安全。各界要加强技术协作，推动网络安全和数据安全相关理论和技术的研究向纵深发展。同时还要及时制定针对各类问题的应急预案并适时开展实战演练，提升重大安全事件的应急处置能力。

中央网信办信息化发展局副局长、一级巡视员张望

伴随5G技术、智慧城市、政企“上云”、大数据等数字化技术的广泛应用和深入服务于社会经济，其安全问题带来的后果更为严峻。中国工程院院士，ISC名誉主席邬贺铨从生态角度指出，数字安全生态的另一个纬度要覆盖工业企业设备供应商、基础电信运营商、云服务商、工业互联网平台运营商、工业应用提供商、数字安全企业、第三方检测机构与用户等，上下游都有维护安全的责任，并需要紧密合作实现威胁与处置情报共享。

中国工程院院士，ISC名誉主席邬贺铨

“看见”威胁，为数字安全时代探索中国方案

近年来，数字化面临内外部双重安全挑战，倒逼网络安全升级数字安全。开幕式上，360集团创始人周鸿祎发表《360为数字安全时代探索中国方案》主题演讲，他指出，面对强大的对手，“看不见”已经成为数字安全时代最大的痛点。而对数字化转型企业而言，“看见”是安全的分水岭，回避“看见”谈安全是隔靴搔痒。

360集团创始人周鸿祎

360过去20年投入了200亿，聚集起2000名安全专家，积累了2000PB的安全大数据，建立了一套以“看见”为核心的安全运营服务体系，形成了一套“感知风险、看见威胁、抵御攻击”的安全能力。在周鸿祎看来，360在探索的是数字安全时代的中国方案，在未来数字化的各个技术场景，360的安全能力框架可以成为底座和盔甲，做数字空间里的预警机和雷达，能够发现敌人的“隐身飞机”和“巡航导弹”。

会上，围绕时下数字安全问题、技术信任体系、大数据保障等维度，众多行业专家、企业领袖纷纷带来了精彩的主题演讲。华为北京总经理张东亚，中国信息通信研究院副院长魏亮，Pwn2Own世界黑客大师赛冠军，“Master of Pwn”（世界破解大师）Steven Seeley，IDC中国副总裁兼首席分析师讲武连峰，奇安信科技集团股份有限公司副总裁韩永刚分别带来了数字安全领域前沿观点。

随后，由大数据协同安全技术国家工程研究中心副主任钟力主持的“领航数字时代·高端对话论坛”围绕《数字经济时代下的安全问题》展开了探讨，360集团副总裁、首席安全官杜跃进，IDC中国副总裁兼首席分析师武连峰，龙芯中科技术股份有限公司董事长胡伟武，中国信息协会信息安全专业委员会常务副主任陈晓桦分享了各自的观点。

护航中小微企业安全、平稳实现数字化转型

开幕式上，北京市朝阳区政府党组成员、副区长舒毕磊，360集团首席运营官兼360 数字安全集团首席执行官叶健共同发布中小企业安全服务平台。依托该平台，政企双方将联合开展中小企业数字安全赋能行动，面向中小微企业免费提供数字安全与管理解决方案，实现数字安全领域的“高级防护能力普惠”。

左：北京市朝阳区政府党组成员、副区长舒毕磊

右：360集团首席运营官兼360 数字安全集团首席执行官叶健

随后，国内首份专门针对中小微企业数字安全的研究报告——《2022中小微企业数字安全报告》正式发布。报告对中小微企业的安全现状、安全投入、数字安全发展指数等方面进行了深入分析，并提出“构建一个中小微企业数字安全转型的桥梁，一端连接中小微企业，另一端连接政府”的愿景。

对此，360集团副总裁首席安全官杜跃进博士表示，“中小微企业在数字化业务场景、预算、安全能力、应急响应等方面都有特定的安全需求，过去适用于大企业的安全服务和产品不能照搬。面对中小微企业面临的严峻数字安全新威胁，需要新思考，新方案。”

360集团副总裁首席安全官杜跃进博士

开启数字安全元宇宙，构建多元价值生态

值得关注的是，因一直追求“多元交流平台，赋能行业价值”而被各界青睐的ISC大会，今年继续在大会交流形式上尝试突破。ISC 2022首创线下大会与线上元宇宙沉浸平台同频联动的数字融合新模式，开启N世界-ISC大陆。

未来三天，ISC 2022的全部干货内容将上线N世界-ISC大陆，包括未来峰会、开发者大会、生态大会、十七场联合峰会、六十余场技术和产业主题论坛以及七场特色活动。此外，安全行业的“半壁江山”将亮相ISC数字安全展区。更多大会内容锁定N世界-ISC大陆，加入万人同频共话安全。

7月30日，2022全球数字经济大会数字安全峰会暨第十届互联网安全大会（简称ISC 2022）开幕式在北京举行。大会由全球数字经济大会组委会主办，北京市经济和信息化局、北京市朝阳区人民政府、中国通信企业协会、亚洲数据集团、中国信息通信研究院 、360 集团、ISC 平台共同承办，中国互联网协会、中国网络空间安全协会、全国工商联大数据运维（网络安全）委员会、中国软件行业协会、中国信息协会、中国中小企业协会、中国企业联合会、中国企业家协会、北京总部企业协会共同协办，汇聚国家政要、智囊、专家学者，深入探讨数据基础设施布局、数字安全产业发展、数字核心技术创新等数字时代热点话题。

今年，迎来十周年的ISC大会充分利用首都国际资源、科技资源，打造引领全球数字经济安全发展的国际合作交流新平台，向世界发出中国声音。大会以“护航数字文明，开创数字安全新时代”为主题，呼吁行业凝聚力量，为国家筑牢数字安全屏障体系，为数字经济发展保驾护航。

筑牢数字安全屏障，护航数字经济发展

十八大以来，党和国家高度重视数字安全发展。北京市立足首都城市战略定位，坚持以科技创新为引擎，构建数字安全新格局，推动数字安全高质量发展。北京市人民政府副秘书长刘印春在致辞中表示，北京将持续加强技术攻关，完善数字经济安全体系。加快提升数字安全实力，促进新技术在金融科技、数据流动、安全保护等场景中的应用。同时，加强数字安全供给能力，筑牢数字安全治理体系。持续增强数字安全产业的供给，提高产业链供应链韧性，打造数字发展的新高地。

北京市人民政府副秘书长刘印春

数字经济在突破传统生产要素的流动限制，促进市场效率的同时，带来了不容忽视的信息安全问题。全国工商联党组副书记、副主席樊友山在致辞中表示，网络安全龙头企业要发挥自身技术、人才优势和技术创新主体作用，开展数字安全基础理论创新、重大问题研究和核心技术攻关，助力数字安全技术创新发展。同时积极推动网信领域法律法规不断完善，积极参与网络空间国际标准规则制定，助力形成良性的数据安全治理体系。

全国工商联党组副书记、副主席樊友山

面对数字时代新的安全问题，需要新的防御思路，十三届全国政协社会和法制委员会副主任 ，中国友谊促进会理事长，公安部原副部长，网信办原副主任陈智敏在致辞中指出，要用控制论、信息论和系统论思维，来考虑数字安全或数据安全问题，从工作思路、领导指挥、力量组织、作战样式、体系协调、标准规则制定等方面做出调整。

十三届全国政协社会和法制委员会副主任 ，中国友谊促进会理事长，公安部原副部长，网信办原副主任陈智敏

网络安全产业是保障国家网络安全的重要力量。中国国际经济交流中心副理事长，原国务院发展研究中心副主任王一鸣在致辞中表示，要培育发展网络安全企业，创新网络安全服务模式，打造“平台+服务”的网络安全保障体系，形成网络防护、安全监管、安全服务、密码等各具特色的系统解决方案，当好国家网络安全的“守护者”。

中国国际经济交流中心副理事长，原国务院发展研究中心副主任王一鸣

网络安全是护航数字经济发展引擎的关键，是数字时代构筑新优势、领先新赛道的前提。工业和信息化部网络安全管理局局长隋静在致辞中从安全产业协同发展的角度，提出要夯实安全底座，增强关键基础设施安全韧性，构建共建、共享、共用、共维的网络安全协同防护体系。完善制度规则，强化行业数据安全治理能力。强化创新驱动，推动网络安全关键技术突破。同时，加速资源聚集，提升网络安全供给能力，加快构建完善产学研用协同发展良性生态。

工业和信息化部网络安全管理局局长隋静

中央网信办信息化发展局副局长、一级巡视员张望在致辞中表示，要注重强化安全意识，加强制度建设和管理，最大化保障网络安全和数据安全。各界要加强技术协作，推动网络安全和数据安全相关理论和技术的研究向纵深发展。同时还要及时制定针对各类问题的应急预案并适时开展实战演练，提升重大安全事件的应急处置能力。

中央网信办信息化发展局副局长、一级巡视员张望

伴随5G技术、智慧城市、政企“上云”、大数据等数字化技术的广泛应用和深入服务于社会经济，其安全问题带来的后果更为严峻。中国工程院院士，ISC名誉主席邬贺铨从生态角度指出，数字安全生态的另一个纬度要覆盖工业企业设备供应商、基础电信运营商、云服务商、工业互联网平台运营商、工业应用提供商、数字安全企业、第三方检测机构与用户等，上下游都有维护安全的责任，并需要紧密合作实现威胁与处置情报共享。

中国工程院院士，ISC名誉主席邬贺铨

“看见”威胁，为数字安全时代探索中国方案

近年来，数字化面临内外部双重安全挑战，倒逼网络安全升级数字安全。开幕式上，360集团创始人周鸿祎发表《360为数字安全时代探索中国方案》主题演讲，他指出，面对强大的对手，“看不见”已经成为数字安全时代最大的痛点。而对数字化转型企业而言，“看见”是安全的分水岭，回避“看见”谈安全是隔靴搔痒。

360集团创始人周鸿祎

360过去20年投入了200亿，聚集起2000名安全专家，积累了2000PB的安全大数据，建立了一套以“看见”为核心的安全运营服务体系，形成了一套“感知风险、看见威胁、抵御攻击”的安全能力。在周鸿祎看来，360在探索的是数字安全时代的中国方案，在未来数字化的各个技术场景，360的安全能力框架可以成为底座和盔甲，做数字空间里的预警机和雷达，能够发现敌人的“隐身飞机”和“巡航导弹”。

会上，围绕时下数字安全问题、技术信任体系、大数据保障等维度，众多行业专家、企业领袖纷纷带来了精彩的主题演讲。华为北京总经理张东亚，中国信息通信研究院副院长魏亮，Pwn2Own世界黑客大师赛冠军，“Master of Pwn”（世界破解大师）Steven Seeley，IDC中国副总裁兼首席分析师讲武连峰，奇安信科技集团股份有限公司副总裁韩永刚分别带来了数字安全领域前沿观点。

随后，由大数据协同安全技术国家工程研究中心副主任钟力主持的“领航数字时代·高端对话论坛”围绕《数字经济时代下的安全问题》展开了探讨，360集团副总裁、首席安全官杜跃进，IDC中国副总裁兼首席分析师武连峰，龙芯中科技术股份有限公司董事长胡伟武，中国信息协会信息安全专业委员会常务副主任陈晓桦分享了各自的观点。

护航中小微企业安全、平稳实现数字化转型

开幕式上，北京市朝阳区政府党组成员、副区长舒毕磊，360集团首席运营官兼360 数字安全集团首席执行官叶健共同发布中小企业安全服务平台。依托该平台，政企双方将联合开展中小企业数字安全赋能行动，面向中小微企业免费提供数字安全与管理解决方案，实现数字安全领域的“高级防护能力普惠”。

左：北京市朝阳区政府党组成员、副区长舒毕磊

右：360集团首席运营官兼360 数字安全集团首席执行官叶健

随后，国内首份专门针对中小微企业数字安全的研究报告——《2022中小微企业数字安全报告》正式发布。报告对中小微企业的安全现状、安全投入、数字安全发展指数等方面进行了深入分析，并提出“构建一个中小微企业数字安全转型的桥梁，一端连接中小微企业，另一端连接政府”的愿景。

对此，360集团副总裁首席安全官杜跃进博士表示，“中小微企业在数字化业务场景、预算、安全能力、应急响应等方面都有特定的安全需求，过去适用于大企业的安全服务和产品不能照搬。面对中小微企业面临的严峻数字安全新威胁，需要新思考，新方案。”

360集团副总裁首席安全官杜跃进博士

开启数字安全元宇宙，构建多元价值生态

值得关注的是，因一直追求“多元交流平台，赋能行业价值”而被各界青睐的ISC大会，今年继续在大会交流形式上尝试突破。ISC 2022首创线下大会与线上元宇宙沉浸平台同频联动的数字融合新模式，开启N世界-ISC大陆。

未来三天，ISC 2022的全部干货内容将上线N世界-ISC大陆，包括未来峰会、开发者大会、生态大会、十七场联合峰会、六十余场技术和产业主题论坛以及七场特色活动。此外，安全行业的“半壁江山”将亮相ISC数字安全展区。更多大会内容锁定N世界-ISC大陆，加入万人同频共话安全。

7月30日，2022全球数字经济大会数字安全峰会暨第十届互联网安全大会（简称ISC 2022）开幕式在北京举行。大会由全球数字经济大会组委会主办，北京市经济和信息化局、北京市朝阳区人民政府、中国通信企业协会、亚洲数据集团、中国信息通信研究院 、360 集团、ISC 平台共同承办，中国互联网协会、中国网络空间安全协会、全国工商联大数据运维（网络安全）委员会、中国软件行业协会、中国信息协会、中国中小企业协会、中国企业联合会、中国企业家协会、北京总部企业协会共同协办，汇聚国家政要、智囊、专家学者，深入探讨数据基础设施布局、数字安全产业发展、数字核心技术创新等数字时代热点话题。

今年，迎来十周年的ISC大会充分利用首都国际资源、科技资源，打造引领全球数字经济安全发展的国际合作交流新平台，向世界发出中国声音。大会以“护航数字文明，开创数字安全新时代”为主题，呼吁行业凝聚力量，为国家筑牢数字安全屏障体系，为数字经济发展保驾护航。

筑牢数字安全屏障，护航数字经济发展

十八大以来，党和国家高度重视数字安全发展。北京市立足首都城市战略定位，坚持以科技创新为引擎，构建数字安全新格局，推动数字安全高质量发展。北京市人民政府副秘书长刘印春在致辞中表示，北京将持续加强技术攻关，完善数字经济安全体系。加快提升数字安全实力，促进新技术在金融科技、数据流动、安全保护等场景中的应用。同时，加强数字安全供给能力，筑牢数字安全治理体系。持续增强数字安全产业的供给，提高产业链供应链韧性，打造数字发展的新高地。

北京市人民政府副秘书长刘印春

数字经济在突破传统生产要素的流动限制，促进市场效率的同时，带来了不容忽视的信息安全问题。全国工商联党组副书记、副主席樊友山在致辞中表示，网络安全龙头企业要发挥自身技术、人才优势和技术创新主体作用，开展数字安全基础理论创新、重大问题研究和核心技术攻关，助力数字安全技术创新发展。同时积极推动网信领域法律法规不断完善，积极参与网络空间国际标准规则制定，助力形成良性的数据安全治理体系。

全国工商联党组副书记、副主席樊友山

面对数字时代新的安全问题，需要新的防御思路，十三届全国政协社会和法制委员会副主任 ，中国友谊促进会理事长，公安部原副部长，网信办原副主任陈智敏在致辞中指出，要用控制论、信息论和系统论思维，来考虑数字安全或数据安全问题，从工作思路、领导指挥、力量组织、作战样式、体系协调、标准规则制定等方面做出调整。

十三届全国政协社会和法制委员会副主任 ，中国友谊促进会理事长，公安部原副部长，网信办原副主任陈智敏

网络安全产业是保障国家网络安全的重要力量。中国国际经济交流中心副理事长，原国务院发展研究中心副主任王一鸣在致辞中表示，要培育发展网络安全企业，创新网络安全服务模式，打造“平台+服务”的网络安全保障体系，形成网络防护、安全监管、安全服务、密码等各具特色的系统解决方案，当好国家网络安全的“守护者”。

中国国际经济交流中心副理事长，原国务院发展研究中心副主任王一鸣

网络安全是护航数字经济发展引擎的关键，是数字时代构筑新优势、领先新赛道的前提。工业和信息化部网络安全管理局局长隋静在致辞中从安全产业协同发展的角度，提出要夯实安全底座，增强关键基础设施安全韧性，构建共建、共享、共用、共维的网络安全协同防护体系。完善制度规则，强化行业数据安全治理能力。强化创新驱动，推动网络安全关键技术突破。同时，加速资源聚集，提升网络安全供给能力，加快构建完善产学研用协同发展良性生态。

工业和信息化部网络安全管理局局长隋静

中央网信办信息化发展局副局长、一级巡视员张望在致辞中表示，要注重强化安全意识，加强制度建设和管理，最大化保障网络安全和数据安全。各界要加强技术协作，推动网络安全和数据安全相关理论和技术的研究向纵深发展。同时还要及时制定针对各类问题的应急预案并适时开展实战演练，提升重大安全事件的应急处置能力。

中央网信办信息化发展局副局长、一级巡视员张望

伴随5G技术、智慧城市、政企“上云”、大数据等数字化技术的广泛应用和深入服务于社会经济，其安全问题带来的后果更为严峻。中国工程院院士，ISC名誉主席邬贺铨从生态角度指出，数字安全生态的另一个纬度要覆盖工业企业设备供应商、基础电信运营商、云服务商、工业互联网平台运营商、工业应用提供商、数字安全企业、第三方检测机构与用户等，上下游都有维护安全的责任，并需要紧密合作实现威胁与处置情报共享。

中国工程院院士，ISC名誉主席邬贺铨

“看见”威胁，为数字安全时代探索中国方案

近年来，数字化面临内外部双重安全挑战，倒逼网络安全升级数字安全。开幕式上，360集团创始人周鸿祎发表《360为数字安全时代探索中国方案》主题演讲，他指出，面对强大的对手，“看不见”已经成为数字安全时代最大的痛点。而对数字化转型企业而言，“看见”是安全的分水岭，回避“看见”谈安全是隔靴搔痒。

360集团创始人周鸿祎

360过去20年投入了200亿，聚集起2000名安全专家，积累了2000PB的安全大数据，建立了一套以“看见”为核心的安全运营服务体系，形成了一套“感知风险、看见威胁、抵御攻击”的安全能力。在周鸿祎看来，360在探索的是数字安全时代的中国方案，在未来数字化的各个技术场景，360的安全能力框架可以成为底座和盔甲，做数字空间里的预警机和雷达，能够发现敌人的“隐身飞机”和“巡航导弹”。

会上，围绕时下数字安全问题、技术信任体系、大数据保障等维度，众多行业专家、企业领袖纷纷带来了精彩的主题演讲。华为北京总经理张东亚，中国信息通信研究院副院长魏亮，Pwn2Own世界黑客大师赛冠军，“Master of Pwn”（世界破解大师）Steven Seeley，IDC中国副总裁兼首席分析师讲武连峰，奇安信科技集团股份有限公司副总裁韩永刚分别带来了数字安全领域前沿观点。

随后，由大数据协同安全技术国家工程研究中心副主任钟力主持的“领航数字时代·高端对话论坛”围绕《数字经济时代下的安全问题》展开了探讨，360集团副总裁、首席安全官杜跃进，IDC中国副总裁兼首席分析师武连峰，龙芯中科技术股份有限公司董事长胡伟武，中国信息协会信息安全专业委员会常务副主任陈晓桦分享了各自的观点。

护航中小微企业安全、平稳实现数字化转型

开幕式上，北京市朝阳区政府党组成员、副区长舒毕磊，360集团首席运营官兼360 数字安全集团首席执行官叶健共同发布中小企业安全服务平台。依托该平台，政企双方将联合开展中小企业数字安全赋能行动，面向中小微企业免费提供数字安全与管理解决方案，实现数字安全领域的“高级防护能力普惠”。

左：北京市朝阳区政府党组成员、副区长舒毕磊

右：360集团首席运营官兼360 数字安全集团首席执行官叶健

随后，国内首份专门针对中小微企业数字安全的研究报告——《2022中小微企业数字安全报告》正式发布。报告对中小微企业的安全现状、安全投入、数字安全发展指数等方面进行了深入分析，并提出“构建一个中小微企业数字安全转型的桥梁，一端连接中小微企业，另一端连接政府”的愿景。

对此，360集团副总裁首席安全官杜跃进博士表示，“中小微企业在数字化业务场景、预算、安全能力、应急响应等方面都有特定的安全需求，过去适用于大企业的安全服务和产品不能照搬。面对中小微企业面临的严峻数字安全新威胁，需要新思考，新方案。”

360集团副总裁首席安全官杜跃进博士

开启数字安全元宇宙，构建多元价值生态

值得关注的是，因一直追求“多元交流平台，赋能行业价值”而被各界青睐的ISC大会，今年继续在大会交流形式上尝试突破。ISC 2022首创线下大会与线上元宇宙沉浸平台同频联动的数字融合新模式，开启N世界-ISC大陆。

未来三天，ISC 2022的全部干货内容将上线N世界-ISC大陆，包括未来峰会、开发者大会、生态大会、十七场联合峰会、六十余场技术和产业主题论坛以及七场特色活动。此外，安全行业的“半壁江山”将亮相ISC数字安全展区。更多大会内容锁定N世界-ISC大陆，加入万人同频共话安全。

7月30日，以“护航数字文明，开创数字安全新时代”为主题的2022全球数字经济大会——数字安全峰会暨ISC 2022互联网安全大会开幕式在北京开幕。全国工商联党组副书记、副主席樊友山出席并致辞。

樊友山表示，“数字经济在突破传统生产要素的流动限制，促进市场效率的同时，也带来了不容忽视的信息安全问题，这就要求我们必须筑牢数字安全屏障。应积极推动数字安全技术新发展，发挥市场主体新作用，完善新规则，助力构筑数字经济安全新长城。”

全国工商联党组副书记、副主席樊友山

当前，我国正进入数字化转型、智能化升级的关键时期。数字安全形势较过往发生了重大变化，防御理念、防御体系、防御技术都亟待变革。

对此，樊友山提出网络安全企业助力数字安全建设的三个关键点。网络安全龙头企业要发挥自身技术、人才优势和技术创新主体作用，开展数字安全基础理论创新、重大问题研究和核心技术攻关，助力数字安全技术创新发展。广大网络安全企业要提高政治站位，牢固树立总体国家安全观，加强与政府部门、产业链上下游企业协同，共同维护国家网络空间主权、兼顾安全和发展。各网络安全企业作为护网主力，要加强对网络安全产业发展规律的认识，积极推动网信领域法律法规不断完善，积极参与网络空间国际标准规则制定，助力形成良性的数据安全治理体系。