对抗网络威胁演化建立“网络平安城市”

□ 童 宁

对抗网络威胁演化建立“网络平安城市”

□ 童 宁

当前，智慧城市、智慧生活已成为移动互联网、物联网、云计算等技术与O2O、C2C、共享经济等商业模式交叉融合的产物，也是科技巨擘争相布局的创新热土和现代城市发展演化的重要方向。在智慧城市建设过程中，智慧应用与网络安全密不可分，二者往小处说有可能涉及个人隐私泄露，往大处说，事关危机处理、决策判断。因此，在与不断演化的网络威胁对抗中，就需要将网络安全防护系统纳入到智慧城市管理系统之中，建立和建成“网络平安城市”。

智慧城市不是说建就建 安全威胁如影随形

当今“大数据是‘钻石矿’，人在干、数在转、云在算”。在2016年中国大数据产业峰会上，李克强总理这样强调大数据的意义。推进大数据、云计算、物联网的发展不仅有效促进经济结构调整，也推动着百姓日常生活质量的大幅提升。目前，我国已经有超过500个城市在进行智慧城市试点，均出台了相应规划，计划投资规模超过万亿元。智慧城市建设不仅有利于技术更新和科技成果转化速度加快，更能利用智慧化的城市管理、城市生活以及城市生产，将更便捷的网络化、智能化的系统慢慢渗透到市民的生活中，真正实现为民而建。

智慧城市是多应用、多行业、复杂系统组成的综合体，多个应用系统之间存在信息共享、交互的需求。而云计算恰好可以打破信息孤岛，充分利用大数据来实现各个系统之间的协同运行，但云计算是需要无处不在的网络连接和随时随地可用的大数据来支撑。但是，在遍布智慧城市每一个角落的网络中，设备上、系统内都可能存在大量的已知和未知漏洞，无论是“数在转”，还是“云在算”，不法分子都会盯上这些价值不菲的数字资源，暴力或者恐怖分子更会借机对智慧城市发动毁灭性的网络攻击。

国家互联网应急中心公布的第15期安全周报显示，我国境内感染网络病毒主机数量达到86.8万，同比增长13.8%，境内被植入后门网站总数为4441个，同比大增71.1%，新增信息安全漏洞数量为106，同比增长14.0%……，这么一连串触目惊心的数字并不简单，暗藏着可以威胁智慧城市建设的巨大阴影。例如，通过信息安全漏洞黑客可能会攻击交通、水利、电力等基础设施系统，造成经济损失、社会秩序混乱乃至威胁国家安全，智慧城市的建设目标自然也就无从谈起。

平安城市的泛化：“网络平安城市”

城市的诞生书写了人类聪智的文明史，预计到2050年，大约超过70%的人口将会生活在城市当中。而中国的城市化进程发展更为迅猛，随着大量人口涌入城市，城市规划和管理、社会稳定与安全、民生及可持续发展等各方面都面临着严峻的挑战。正因为如此，我们必须建立一个更加和谐的理想家园、一个更加智慧的城市、更加平安的城市。

平安城市不仅仅是指治安管理、灾难预警、安全生产、社会监控等城市物理空间安全，同样也应该指网络空间的安全性。而目前我国城市级网络空间安全管理的现状并不乐观，其问题突出体现在缺少城市一级的总体安全态势监控、对公众网络安全意识教育投入不够、网络安全人员培养体系缺乏、网络安全管理边界对象不清晰等，这些问题导致城市网络安全管理存在着大量漏洞，安全威胁很容易乘虚而入。

需要注意的是智慧城市的安全风险又不同于传统信息安全风险，每个层面都存在着安全风险，并且更容易受到有组织有计划的黑客团体攻击。首先，在智慧城市建设中通常将智慧城市划分为感知层、通信传输层、应用层、智能分析等层面。这几个层面哪个层面出现问题都有可能造成城市管理混乱，轻则数据泄露，重则事故频发。其次，一些匿名者的攻击行动往往出于政治性目的，他们通常使用doxes、DNS攻击、丑化、重定向、DDoS攻击、数据库资料泄露等攻击手段，破坏攻击目标的网络及数据。而更大的威胁在于，黑客很可能采用缓慢渗透的方式来侵入防护严密的智慧城市网络防御体系，这种高级持续性威胁（APT攻击）不仅防范难度高，而且破坏力更大。那么，到底有什么好方法可以抵御这些威胁呢？

“网络平安城市”的任务：网络威胁有效治理

智慧城市的建设是一项巨大的工程，牵涉众多信息化子系统的建设，其中任何一个环节出现问题都可能影响城市的整体安全防护。而且，智慧城市是一个政府、企业、公众有机衔接的城市体系，必须要整合各方力量，打造主动式、立体式的网络安全防护体系。

作为云与大数据安全的技术领导厂商，亚信安全长期跟踪、收集、分析、治理遍布全球的 网络攻击，帮助用户共渡难关。亚信安全相信：“未知的威胁总是令人恐惧，但当它们被彻底揭露之后，努力寻找到最佳的防御手段则会帮助用户重拾信心。”

当前，智慧城市应用业务集中在个人终端移动化、数据中心云化，而网络攻击技术也向更加高级的定向式攻击演化：

第一，PC和移动设备构成了消费者信息终端的多样化，用户会面对日益增多、不断精进的恶意程序和黑客攻击手法，而传统防护系统陈旧的防护模式也会在新的安全威胁下显得“无力”。

第二，云计算数据中心的虚拟化基础设施，即服务器、网络和存储设备，皆以准备完毕，它们会让数据中心变得更为灵活，更自动化，这让数据中心的防御环境出现了巨大的变化。

第三，高级持续性威胁（advanced persistent threat，APT）呈增长之势，APT攻击者采用定制化的手段、利用社会工程学，有计划、有组织地持续窥探目标网络弱点，长期潜伏并窃取核心机密数据，这让智慧城市中的软硬件系统都处于危险境地。

信息安全厂商必须针对威胁的数量、变化和速度寻找解决方案，以应对今日的威胁演进，这包括能够对任何设备、任何应用、任何地点提供有效防护。作为防御体系发展的基础，亚信安全的云安全技术搜集了大量的威胁相关信息，然后运用大数据分析来发掘、交叉关联、分析新的威胁。这让我们可以通过成熟的云端基础架构来提供即时的防护，确保网络威胁治理在数量、变化与速度上都能获得有效而高效率的管理。

以最难防范的APT 攻击为例，由于攻击者采用了定制化的手段，利用社会工程学，有计划、有组织地持续窥探目标网络弱点，长期潜伏并窃取核心机密数据，这让越来越多的数据中心处于危险境地。更可怕的是APT 攻击会演化成为普遍的网络犯罪，让智慧城市中的网络装置处于安全风险之中。所以，预知APT 威胁将会来自哪里，察觉威胁具备怎样的特征，进而采取与之对应的防御战略将具有重大意义。

实际上，媒体所报道的APT 攻击事件只能算是冰山一角，很多智慧城市网络系统的管理者并不知道正在被APT 攻击，或是考虑到负面影响而未披露。所以，解开APT 攻击之谜的第1步就是充分了解黑客将从何入手、清楚他们是如何拿到数据的。通过研究和总结我们发现，APT 攻击的来龙去脉可以分为以下6个阶段，并具有非常明显的行动特点。

图2 APT 攻击原理分析

第1 阶段：情报收集

亚信安全的调查结果显示，只有31% 的组织会惩罚将内部机密资料贴到公众社交平台上的员工，这使得黑客非常容易就能获取到目标IT 环境和网络架构内的重要信息。攻击者针对需要窃取数据的企业对象，将第1个目标锁定到员工的身上，并使用公共信息资源（网络社交工具，如微信、微博、朋友圈等）以及社交工程学等手段收集并研究目标对象的相关信息，准备实施定向攻击。

第2 阶段：单点突破

利用电子邮件、即时通信软件、社交网络或应用程序漏洞找到进入目标网络的大门。亚信安全的调查结果显示，在87% 的组织中会有网络用户点击黑客安排的网络链接，这些恶意链接都是精心设计的APT 社交工程的诱饵。另外，超过90% 的APT 攻击利用了社交工程钓鱼邮件，这是针对性最强、设计最缜密、入侵最有效、成本最低廉的攻击媒介。恰恰是这种简单的技巧，使得攻击者不费吹灰之力绕过传统安全防御，将恶意代码推送给目标个体，创建后门，实现单点突破进入目标网络，从而着手进一步网络渗透。

第3 阶段：命令与控制 （C&C 通信）

目标个体一旦阅读或点击了“诱饵”，攻击者的后门程序将会成功植入到目标个体的主机上，以达到持久驻留在内部网络的目的，并伺机潜入尽可能多的主机。被入侵的计算机通过部署在互联网的C&C 服务器与攻击者保持通信，获取攻击者的指令及更多攻击工具，用于后续阶段的使用。由于 C&C 通信的特征与正常流量不同，因此这通常是APT 攻击的第1个迹象。但是，攻击者演进了技术，通过降低通信频率，使用加密手段以及在极短的时间内改变域名和 IP 地址，让C&C通信变得难以检测。

第4 阶段：横向移动

攻击者立足之后会渗透更多的内部主机，收集凭证、提升权限级别，实现持久控制。为此，攻击者会试图获取大量的普通账户以及管理员账户。攻击者通常会跟踪 Active Directory 之类目录服务或Root 权限的账号，使用一定的技巧和工具（例如可以传递哈希值算法的工具）将攻击者权限提升到和管理者一样。这个过程一旦成功，攻击者便会为自己创建合法的账户和访问权限，以访问托管所需信息的服务器，从而加快敏感数据的发掘和泄漏。由于最终数据窃取利用了合法的管理凭证，这使得数据窃取检测变得更加困难。

第5 阶段：资产/ 资料发掘

为确保以后的数据窃取行动中会得到最有价值的数据，攻击者会长期低调地潜伏，并使用一些技术和工具手段识别有价值的服务器及存放在这些服务器上的重要信息资产，以挖掘出更多敏感资料。这个过程通常不是重复自动化的过程，而是人工对数据作分析，寻找雇佣者需要的或是可以高价贩卖的“数据”。

第6 阶段：资料窃取

APT 是一种高级的、狡猾的伎俩，高级黑客可以利用APT 入侵网络，逃避“追捕”，随心所欲对相关数据进行长期访问，最终挖掘到想要的信息。而在收集了敏感信息之后攻击者将把数据归集起来进行压缩和加密，再通过外部暂存服务器将数据外传出去。攻击者主要的行为将放在长期控制上，可如果他们发现事件败露便会破坏信息的完整性及可用性，以起到“毁尸灭迹”的目的。但此时泄密信息早已进入到地下黑市交易，或是被雇佣方非法占有。

那么，问题来了！面对APT 攻击，用户真的无法进行有效的预防和抑制吗？能否在APT 攻击生命周期的时间线轴上进行防御和治理呢？

“螺旋迭代”的立体化治理结构

亚信安全提出：“一个中心，四个过程”的“螺旋迭代”的APT治理模式，实现针对性极强的立体化治理结构。一个中心：是以监控为中心，实现威胁可视化、策略下发以及威胁情报共享，它是治理战略的中控系统，贯穿整个治理周期的始终。四个过程分别是侦测、分析、响应和阻止。

1）侦测是治理战略的神经系统，亚信安全深度威胁发现平台（deep discovery，DD）产品平台构成网络神经中枢，亚信安全全线安全产品构成网络神经元，用于检测攻击者所使用的传统防御无法识别的恶意程序、通信及行为等威胁。

2）分析是治理战略的取证分析系统，通过Deep Discovery Endpoint Sensor确认威胁是否发生，分析风险、攻击和攻击者的本质，回溯攻击场景，评估威胁的影响和范围。

3）响应是治理战略的联动治理系统，亚信安全管理平台负责制定及分发治理策略，亚信安全全线安全产品及其他第三方安全产品负责执行补救措施，清除威胁，实施联动保护，适应防护变化的要求。

4）阻止是治理战略的预防系统,主要针对APT攻击的第5阶段和第6阶段实施安全防御，通过数据发掘了解信息资产的分布，通过数据加密、防泄漏、应用控制、APT追踪等技术，防止信息资产被非法访问或外泄。

图3 亚信安全APT治理战略“双回路”解决方案

“螺旋迭代”的APT治理模式与之对应的是亚信安全APT治理战略“双回路”解决方案。

1）本地威胁情报回路。以亚信安全深度威胁发现平台为主的亚信安全全线产品不仅实现安全节点的全面覆盖，具备已知威胁的拦截能力以及可疑威胁的侦测能力，最重要的是有别于基于传统特征码检测的未知威胁发现以及联动分析机制，所有安全节点侦测到的可疑对象都将提交至亚信安全深度威胁分析设备（DDAN），使用扩展的深度动态沙箱作进一步分析，用以确认新型威胁，并生成新型威胁特征：如文件Hash、IP、域、OpenIOC 以及C&C 黑名单等；DDAN 将新型威胁特征提交给Control Manager，Control Manager 通过策略将新型威胁特征下发到本地的网关、虚拟化、服务器以及终端等各个安全节点，以提高新型威胁的侦测和阻断能力，并开启新一轮的威胁侦测，实现本地威胁情报回路。

2）全球威胁情报回路：本地新型威胁特征也会提交给云端SPN，共享给亚信安全全球用户使用。另外，通过部署在本地SPN 以及亚信安全云端SPN 的实时威胁情报共享机制，了解其他地方发现的相同C&C 恶意服务器或类似恶意软件的攻击，使得各个安全节点可以对C&C 恶意回连等APT 特征行为进行侦测和阻断。

已有的APT治理成功案例可以证明，以亚信安全深度威胁发现平台为神经中枢，以亚信安全全线安全产品为神经元的全方位侦测体系，可以充分利用云端及本地威胁特征侦测并阻止已知威胁，同时利用高级威胁扫描引擎侦测可疑威胁，并通过进一步分析和确认，最终通过Control Manager在本地和云端共享这些威胁特征，让客户不仅能够检测APT，还能对企业IT 进行联动保护和智能修复，保护企业免受攻击，消除APT对组织战略发展的不利影响。实际上，本地和全球威胁情报“双回路”的畅通，最终形成了可以支持APT 治理战略落地的整体方案，这也是APT 攻击威胁防御演化为威胁治理的“基本条件”。

多年之前，网络安全软件很难甄别攻击是如何发生，但随着信息安全技术的不断创新，网络攻击正在得到有效拦截，黑客的进攻路径也可以在最新的安全产品下显露无疑。这些创新的网络安全技术必将成为“网络平安城市”的重要组成部分，为智慧城市、智慧中国护航。

强化城市级网络空间态势感知 亚信安全在行动

在建设智慧城市的过程中，我们建议相关管理部门最好能够建立网络威胁的预警防护体系以及城市一级的总体安全态势监控，一旦发生安全威胁能够及时进行处理。城市管理者还应该加强公众网络安全教育，让公众认识到网络安全的严重威胁，并能在生活中主动强化安全防御意识。此外，智慧城市还应该建立网络安全人才培养基地，为平安城市的构建提供充足的人才资源支撑。

从智慧城市的实践来看，强化城市级网络空间态势感知至关重要，这要求智慧城市打造高效的公共安全服务平台，能够及时感知网络安全威胁的变化，提供病毒木马、钓鱼诈骗、网络安全预警、漏洞报告在内的安全情报，帮助政府单位、企业、个人应对安全风险。

亚信安全正在通过以云安全实验室为核心的安全威胁情报搜集系统，来帮助政府强化网络空间态势能力。云安全实验室整合了全球云安全资源以及完全本地化的安全服务，能提供及时的安全威胁响应服务。此外，亚信安全还与成都市政府等地方政府进行广泛合作，通过建设高级威胁情报中心、培养网络安全人才、强化公众网络安全教育、网络安全联合研究等措施，全面提升智慧城市的网络安全防护能力。

童 宁

亚信安全业务发展及产品研发总经理.负责亚信安全TSG产品管理团队，包括产品管理，业务发展以及产品研发管理。历任趋势科技中国研发中心项目经理、软件测试总监、研发中心运营总监、全球产品维护资深总监、趋势科技中国产品管理及市场发展总监，直接领导美国、德国、日本、中国台湾，以及中国研发中心的产品维护研发团队，对全球客户进行服务；负责中国区销售产品的市场战略、营销计划、价格策略以及合作伙伴。2015年9月起，随亚信安全收购趋势科技中国，加入亚信安全。tongning@asiainfo-sec.com

Defense the Evolutionary of Cyber Threats to Build a Cyber Security of Smart City

Tong Ning