Evento: em 26 de maio de 2022, o Bureau of Industry and Security (BIS) do Departamento de Comércio dos EUA divulgou oficialmente as mais recentes regulamentações de controle de exportação no campo da segurança de rede. De acordo com os requisitos da nova regulamentação, ao cooperar com departamentos governamentais relevantes ou indivíduos em países e regiões classe D, as entidades devem solicitar antecipadamente e obter permissão antes de enviar informações sobre potencial vulnerabilidade de rede através da fronteira. O regulamento divide os países globais em quatro categorias: A, B, D e E, e as medidas restritivas e a gravidade estão aumentando gradualmente. A China é classificada na categoria D, ou seja, “países e regiões restritos”.
É proibido compartilhar vulnerabilidades de segurança com a China sem aprovação, e os protestos de gigantes como a Microsoft são inválidos. A implementação dos novos regulamentos significa que, quando uma entidade dos EUA coopera com organizações e indivíduos relacionados ao governo chinês, se encontrar vulnerabilidades de segurança e informações, não pode ser publicada diretamente, e precisa ser revisada pelo Ministério do Comércio primeiro. O documento também aponta que os requisitos de licenciamento para indivíduos que atuam em nome do governo são necessários para evitar que aqueles que atuam em nome dos governos dos países do grupo D obtenham “projetos de segurança cibernética” por se envolverem em atividades que violem os interesses de segurança nacional e de política externa dos Estados Unidos. A Microsoft apresentou sua objeção a este documento sob a forma de comentários escritos após ter publicado o projeto de comentários no ano passado. A Microsoft disse que se indivíduos e entidades envolvidas em atividades de segurança de rede forem restritos devido à sua associação com o governo, isso suprimirá muito a capacidade das atividades convencionais de segurança de rede atualmente implantadas no mercado global de segurança de rede. Muitas vezes, quando é impossível determinar se a outra parte está relacionada com o governo, a empresa só pode desistir da cooperação diante da pressão de conformidade. O protesto da Microsoft não foi aprovado pelo BIS.
As novas regulamentações suprimem o mecanismo global de compartilhamento de vulnerabilidades, e as plataformas chinesas de vulnerabilidade podem assumir a liderança em se beneficiar. O atual mecanismo de compartilhamento de vulnerabilidades realiza principalmente rastreamento reverso e análise por meio de compartilhamento global, de modo a liberar vários patches de vulnerabilidade. Tomando como exemplo a vulnerabilidade de segurança log4j em 2021, a equipe chinesa de nuvem Alibaba relatou à comunidade de nuvem Alibaba em 23 de dezembro de 2021 que o problema foi relatado ao Apache, o desenvolvedor de software, de acordo com a prática do setor. Tais práticas da indústria formaram uma parte importante da ecologia do desenvolvimento de software. No contexto da implementação dos novos regulamentos nos Estados Unidos, é provável que o mecanismo de compartilhamento de vulnerabilidades seja danificado. No entanto, os principais fabricantes de segurança na China tomaram precauções para estabelecer suas próprias plataformas de vulnerabilidades, que começaram a surgir. Nós resolvemos as plataformas de vulnerabilidades e os casos relacionados dos fabricantes relevantes: 1) Qi An Xin Technology Group Inc(688561) patch plataforma de resposta à vulnerabilidade: em 2021 Qi An Xin Technology Group Inc(688561) ; 2) Qi An Xin Technology Group Inc(688561) – Laboratório Chian Pangu: divulgou um relatório dizendo que a Agência de Segurança Nacional dos EUA realizou atividades de rede maliciosas contra a China por mais de dez anos; 3) 360 Security Technology Inc(601360) nuvem de vulnerabilidade cerebral de segurança: ajudar fabricantes famosos como apple, Google e EOS a reparar vulnerabilidades; 4) 360 Security Technology Inc(601360) : divulgue o relatório “prelúdio à guerra cibernética: NSA (apt-c-40) lançou ataques indiscriminados ao mundo por mais de dez anos”; 5) Sangfor Technologies Inc(300454) : serviço de gerenciamento de vulnerabilidades; 6) Dbappsecurity Co.Ltd(688023) – plataforma de gerenciamento e resposta de vulnerabilidades; 7) Venustech Group Inc(002439) – Plataforma de gerenciamento de vulnerabilidades Tianjing.
Assessoria de investimento: é uma prática industrial única na era da rede para empresas relacionadas à segurança de rede enviar informações para fabricantes de software relevantes através de mecanismos como resposta a vulnerabilidades, digitalização e gerenciamento, e ajudar na reparação de vulnerabilidades relacionadas. A existência de longa data deste modelo ajudou o desenvolvimento de segurança de todos os fabricantes de software dimensional. A implementação dos novos regulamentos nos Estados Unidos suprimiu o modelo global de ajuda mútua e benefício mútuo em certa medida, Espera-se que os fabricantes de segurança de rede relevantes beneficiem da melhoria e estabelecimento das suas próprias plataformas de vulnerabilidade. Os alvos recomendados são: Qi An Xin Technology Group Inc(688561) 360 Security Technology Inc(601360) .
Aviso de risco: a concorrência da indústria intensifica o risco, e a situação epidêmica repetida causa o risco de entrega tardia