網(wǎng)絡(luò)防御，考驗大國能力

本報記者 郭媛丹

6日，就萬豪國際5億客戶信息泄露事件，英國路透社援引匿名人士的話，一方面稱找出真兇異常困難，另一方面卻將中國稱作主嫌疑人。近年來，一些西方國家常常毫無根據(jù)地指責(zé)中國的個人或團隊進行特定網(wǎng)絡(luò)攻擊，意圖竊取他國商業(yè)和軍工機密。實際上，中國一直是網(wǎng)絡(luò)攻擊的受害者?！董h(huán)球時報》記者近日專訪安天實驗室首席技術(shù)架構(gòu)師肖新光，他以一些案例為模板闡述了中國面臨的網(wǎng)絡(luò)攻擊情況。安天為網(wǎng)信主管部門、軍隊、保密、部委行業(yè)和關(guān)鍵信息基礎(chǔ)設(shè)施等高安全需求客戶，提供整體解決方案。肖新光說，依靠在重大安全災(zāi)難中付出慘痛代價來推動網(wǎng)絡(luò)安全能力進步，是一種非常被動的模式，也是我們不希望看到的。

我們所面臨的高級網(wǎng)空威脅行為體，其往往具有境外情報部門背景

環(huán)球時報：進入21世紀(jì)以來，網(wǎng)絡(luò)應(yīng)用發(fā)展如火如荼，對中國造成安全威脅的網(wǎng)絡(luò)攻擊是否存在階段性特點？

肖新光：從2000 年到2005 年前后，網(wǎng)絡(luò)蠕蟲傳播、DDoS等對互聯(lián)網(wǎng)使用體驗有較大影響的攻擊容易為人們關(guān)注。2005 年后， 隨著互聯(lián)網(wǎng)應(yīng)用的豐富，用戶財產(chǎn)和隱私與網(wǎng)絡(luò)的關(guān)系愈加密切， 以獲利為目的的木馬和攻擊開始爆炸式增長。

伴隨著信息化高速發(fā)展， 信息資產(chǎn)的價值發(fā)生巨大變化，與互聯(lián)網(wǎng)連接或不連接的各種信息系統(tǒng)，成為關(guān)系國家安全、國計民生、社會運行的關(guān)鍵樞紐。網(wǎng)絡(luò)威脅的主要后果，已經(jīng)不是對公共互聯(lián)網(wǎng)效率和上網(wǎng)體驗的影響，而是進一步影響到政治、經(jīng)濟、軍事、科技、生態(tài)等領(lǐng)域，而相關(guān)攻擊更多來自高級網(wǎng)空威脅行為體。

當(dāng)然，并不是說高級網(wǎng)空威脅行為體最近幾年才出現(xiàn)，從目前公開的信息看，至少從2000 年起，NSA （美國國家安全局） 下屬的“方程式”組織就已經(jīng)針對全球互聯(lián)網(wǎng)重要目標(biāo)進行入侵。由于具有高度隱蔽性，其威脅是逐漸暴露顯現(xiàn)出來的。

環(huán)球時報：中國的哪些領(lǐng)域受到的網(wǎng)絡(luò)攻擊比較集中？

肖新光：中國遭遇高級網(wǎng)絡(luò)威脅，主要集中在政治、經(jīng)濟、軍事、科技等領(lǐng)域的高價值目標(biāo)?！鞍紫蟆敝饕槍φ④姽?、高等院校等目標(biāo)；“綠斑”主要針對政府、航空、軍事、科研等目標(biāo)；“海蓮花”針對海事機構(gòu)、科研院所和航運企業(yè)等。需要指出的是，這種攻擊“集中”在某個領(lǐng)域，體現(xiàn)的是對特定目標(biāo)的定向性，其目的是獲取機密信息、形成持久的控制和作業(yè)能力，造成目標(biāo)毀癱等，其表現(xiàn)形式并不是攻擊流量密集的“集中”，恰恰相反，其行為次數(shù)通常較少，隱蔽而難以發(fā)現(xiàn)。

環(huán)球時報：能否舉例說明高級網(wǎng)空威脅行為體是如何進行網(wǎng)絡(luò)攻擊的？

肖新光：以“白象”為例，該攻擊組織向我方科研人員發(fā)送偽裝成熱點信息的電子郵件，郵件中有惡意鏈接，點擊后就會下載打開含漏洞攻擊代碼的OF?FICE文件，釋放木馬控制電腦。

不只是郵件，包括郵件服務(wù)器，甚至網(wǎng)絡(luò)防火墻等安全設(shè)備，都是高級網(wǎng)空威脅行為體攻擊的首選目標(biāo)。例如NSA 攻擊中東最大的金融服務(wù)機構(gòu)，就是通過未公開漏洞，先后取得兩層防火墻的控制權(quán)，滲透到內(nèi)網(wǎng)當(dāng)中。

攻擊者還會通過劫持配送中的設(shè)備，買通內(nèi)部人員，派駐人員到被攻擊方臥底等方式，將木馬和攻擊裝備帶入被攻擊場景中， 從而突破物理隔離防線。一旦攻擊者進入內(nèi)網(wǎng)，就通過漏洞進行“橫向移動”，投放木馬，獲取更多節(jié)點的控制權(quán)，以接近更高價值節(jié)點，獲取高價值敏感信息。同時，攻擊者還會通過隱藏到系統(tǒng)固件中等方法，實現(xiàn)在被攻擊網(wǎng)絡(luò)中持久存在的目的。高級網(wǎng)空威脅行為體的攻擊體系非常復(fù)雜，我這里只列舉了一些容易理解的例子。

環(huán)球時報：像“海蓮花”等高度組織化、專業(yè)化的境外國家級黑客組織，對中國的攻擊是否在逐年增多？

肖新光：隨著中國的高速發(fā)展，信息化程度不斷提高，信息資產(chǎn)價值也不斷提升。在復(fù)雜的大國博弈和地緣競合形勢下，中國面臨的網(wǎng)絡(luò)安全挑戰(zhàn)注定會日趨嚴(yán)峻。我們所面臨的高級網(wǎng)空威脅行為體，其往往具有境外情報部門背景。它們有堅定的攻擊意志，能夠承受高昂攻擊成本和代價，是在工程體系支撐下，由高水平的人員團隊從攻擊武器庫中選擇合適的裝備進行組合攻擊。

網(wǎng)絡(luò)攻擊，“投入產(chǎn)出比極高”？

環(huán)球時報：從潛入到被發(fā)現(xiàn)，很多網(wǎng)絡(luò)攻擊是一個長期過程，隱蔽性極高，這是否意味著網(wǎng)絡(luò)攻擊的“投入產(chǎn)出比極高”？

肖新光：網(wǎng)絡(luò)攻擊既有定向性的，也有非定向性的，既有快速爆發(fā)的，也有長期潛伏的。在定向攻擊中，帶有國家地區(qū)背景的高級網(wǎng)空威脅行為體發(fā)動的攻擊，具有長期、隱蔽的特點，防御處置難度較高，在威脅被獵殺處置后，還會不斷繼續(xù)尋找新的攻擊點。相比于傳統(tǒng)的信號情報手段及人力情報，網(wǎng)絡(luò)入侵在很多場景下有更高“效費比”，而且可以和其他手段組合使用。

烏克蘭電網(wǎng)遭攻擊事件（2015 年末，烏克蘭電網(wǎng)發(fā)生世界首例因遭黑客攻擊而造成的大規(guī)模停電事故——編者注） 也說明，網(wǎng)絡(luò)攻擊可以達成與傳統(tǒng)軍事打擊局部等效的結(jié)果，而且其成本更低。網(wǎng)絡(luò)作業(yè)能力能全面提升傳統(tǒng)軍事能力，美國網(wǎng)絡(luò)司令部認為，美軍“物理領(lǐng)域的優(yōu)勢在很大程度上依賴于網(wǎng)絡(luò)空間中的優(yōu)勢”。

環(huán)球時報：能否以“白象”攻擊組織為例，說明一下是如何發(fā)現(xiàn)、分析和溯源APT（高級持續(xù)性威脅） 攻擊的？

肖新光：首先是要依靠部署在用戶側(cè)的態(tài)勢感知平臺體系和高級威脅防護產(chǎn)品，協(xié)助用戶發(fā)現(xiàn)攻擊線索，攔截攻擊行為。同時，安天部署了大量監(jiān)測環(huán)節(jié)，進行主動的威脅捕獲和自動化分析，并與業(yè)內(nèi)廠商及機構(gòu)進行威脅情報共享。安天分析團隊通過監(jiān)測分析結(jié)果與公開情報結(jié)合，對“白象”攻擊組織進行了畫像，并鎖定了一名自然人。

我們要看到，高級網(wǎng)空威脅行為體的能力越強，攻擊就越隱蔽，難發(fā)現(xiàn)。僅靠安全廠商自己的曝光披露，不足以威懾攻擊者。讓每一個重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施形成能夠應(yīng)對敵情的有效防護能力，才能及時發(fā)現(xiàn)攻擊，最大程度減少損失。

環(huán)球時報：維護網(wǎng)絡(luò)安全如同醫(yī)生治病救人，目前能否說“醫(yī)術(shù)”趕不上“病魔”的腳步？

肖新光：“ 網(wǎng)絡(luò)安全的本質(zhì)在對抗， 對抗的本質(zhì)在攻防兩端能力較量。”防御工作的主角是用戶側(cè)的安全運維防護人員，我們研發(fā)中的戰(zhàn)術(shù)型態(tài)勢感知平臺體系是圍繞用戶側(cè)的網(wǎng)空防御人員展開設(shè)計的。這個較量必然是長期、動態(tài)的，對抗中的主動權(quán)取決于很多因素。在各種博弈中，攻擊方都有一定主動權(quán)，但防御方同樣可以以體系化的防御來應(yīng)對體系化的攻擊。收縮攻擊面，消耗攻擊方資源，削弱、阻斷和呈現(xiàn)攻擊鏈。

網(wǎng)絡(luò)強國的偉大戰(zhàn)略目標(biāo)，需要網(wǎng)絡(luò)安全能力來支撐。依靠在重大安全災(zāi)難中付出慘痛代價來推動網(wǎng)絡(luò)安全能力進步，是一種非常被動的模式，也是我們不希望看到的。

“ 敵已在內(nèi)、敵將在內(nèi)”——最基礎(chǔ)的敵情想定

環(huán)球時報：網(wǎng)絡(luò)安全成為大國博弈和地緣政治中的常態(tài)化對抗，中國的薄弱環(huán)節(jié)有哪些？

肖新光：根據(jù)我們在網(wǎng)絡(luò)監(jiān)測和處置工作中看到的情況，重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施態(tài)勢感知能力匱乏及防護能力缺失，是當(dāng)前我們面臨的非常迫切的問題。面對勒索軟件等低水平攻擊，依然頻繁失陷，更不足以應(yīng)對高級網(wǎng)空威脅行為體的攻擊。網(wǎng)絡(luò)防御能力已經(jīng)成為大國能力的關(guān)鍵支撐。

開展能力導(dǎo)向的規(guī)劃和建設(shè)，全面提升我國信息基礎(chǔ)設(shè)施安全防護能力和水平是當(dāng)前的發(fā)力點，需要在每一個重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施都實現(xiàn)“全天候全方位感知和有效防護”。

要做好網(wǎng)絡(luò)安全防御工作， 需要先建立客觀的敵情想定， 這是對網(wǎng)空威脅行為體的意圖、體系、能力、資源、預(yù)案的全面分析和設(shè)定。對于高信息價值、高防護等級、高威脅對抗的場景，物理隔離御敵于城門之外已經(jīng)是不切實際的幻想，“敵已在內(nèi)、敵將在內(nèi)”是最基礎(chǔ)的想定。

環(huán)球時報：您對美國的網(wǎng)絡(luò)攻擊和防護能力有什么樣的評估？中國與美國的差距大嗎？網(wǎng)絡(luò)安全領(lǐng)域是否需要國際合作？

肖新光：美方擁有全球各國中支撐從信號情報到網(wǎng)絡(luò)攻擊作業(yè)的最為龐大的工程體系，有著最龐大復(fù)雜的機構(gòu)和人員規(guī)模。美國擁有全球最龐大的網(wǎng)絡(luò)空間攻擊武器庫，包括覆蓋全系統(tǒng)平臺的高級惡意代碼、大量未公開漏洞利用工具、攻擊平臺以及運載、植入、傳輸中繼設(shè)備等。

美方不僅建設(shè)了大量情報和攻擊作業(yè)工程體系，還不遺余力地進行各種戰(zhàn)場預(yù)制。從防護能力上看，美國在本世紀(jì)初，逐步從威脅導(dǎo)向建設(shè)模式走向能力導(dǎo)向建設(shè)模式，進行了系統(tǒng)、全面的安全投入。在網(wǎng)絡(luò)安全規(guī)劃建設(shè)運維方面，美方積累了大量方法、框架、標(biāo)準(zhǔn)等，有非常多成功的實踐經(jīng)驗。

應(yīng)對高級網(wǎng)空威脅行為體攻擊對我國重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施來說，是一個非常嚴(yán)峻的挑戰(zhàn)。我國的重要信息系統(tǒng)和關(guān)鍵基礎(chǔ)設(shè)施，需要針對這一量級的攻擊實現(xiàn)有效防護、快速發(fā)現(xiàn)、及時止損、全面量損，這需要系統(tǒng)扎實的建設(shè)與投入?？梢哉f，重要信息系統(tǒng)和關(guān)鍵基礎(chǔ)設(shè)施的防御水平高低會在關(guān)鍵時刻決定國家戰(zhàn)略的主動程度。

盡管各國間有不同的國情，有不同的利益訴求，但也面臨著共同的威脅和挑戰(zhàn)，例如應(yīng)對重大網(wǎng)絡(luò)病毒疫情和危害關(guān)鍵信息基礎(chǔ)設(shè)施的嚴(yán)重漏洞等，都需要相應(yīng)的應(yīng)急聯(lián)動機制，共同維護網(wǎng)絡(luò)空間安全?！?/p>