网络安全产业参与曝光高级可持续威胁组织的动因及启示

（北京双洲科技有限公司）

编者按：近年来，国内外网络安全企业频繁参与发布各类高级可持续威胁（APT）组织的报告，对当事国家的政治、经济安全乃至国际关系都造成了一定影响。其中以美国“赛门铁克”、“火眼”，俄罗斯“卡巴斯基”为代表的网络安全公司，是披露APT组织的主力军。当前，网络安全产业已经不仅仅对国家网络经济发展具有重要推动作用，其已经能够对国家政治、国土安全和国际关系造成不可忽视的重要影响，有必要从中总结经验做法，为国家网络安全产业发展和网络空间治理提供借鉴。

1.国外网络安全公司曝光APT组织的基本情况

1.1 网络安全公司成为披露APT组织信息的主渠道

目前，发布APT组织信息的机构主要有三类。首先，网络安全公司是当前曝光APT组织的主要力量。随着新兴资本与情报界人才大量流入更具规模和能力的网络安全行业，世界范围内已经有众多企业拥有足以同政府情报和执法部门相媲美的数据情报收集与分析水平，对APT组织具有更为强大的分析追踪能力。其次，大型企业的安全机构或部门是曝光APT攻击的新兴力量。目前，一些知名企业纷纷组建技术实力强大的安全团队，以应对日益严峻的网络安全形势。例如，谷歌的安全团队早在2014年就先于“火眼”公司发现了与俄罗斯政府有关系的黑客组织APT28。2017年4月份，普华永道的网络安全部门与世界第三大军工企业BAE系统公司配合英国国家网络安全中心披露了APT10黑客组织的情况，并称该黑客组织来自中国。再者，国家情报部门利用网络安全企业的技术支持，成为曝光APT组织的权威部门。近年来，美、英、德、法、韩等国的情报部门，通过政企合作的方式，均披露过本国政府部门或相关团体受到APT攻击，并发布了详细报告。

1.2 “利益驱动、政治导向”是网络安全公司发布APT组织报告的根本动因

目前，由于网络安全企业在业务能力、面向客户以及与政府部门协作关系等层面存在差异，因此其发布APT黑客组织报告的动机也有所不同。综合来看，主要有两个方面。一是经济利益驱动。大多数公司发布报告的目的是为了证明自身技术实力，提升业内知名度，从而获取更多的商业利益。美国的网络安全私营企业与政府有着极其密切的合作，通过网络防务承包，两者已经形成了紧密且十分庞大的网络安全产业复合体。此外，美国情报部门还出资培育一些对其有价值的网络安全公司。例如，美国中情局（CIA）的风险投资部门In-Q-Tel对于“火眼”的早期发展就给予了一定的帮助和引导，并保留了“火眼”一小部分的股份（少于1%）。对于以商业利益为首要目标的网络安全公司来说，曝光美国敌对国家的黑客攻击活动，帮助政府做其不方便出面做的事情，不仅可以证明自身技术实力，还可以与政府建立更加紧密的捆绑关系。二是服务于政治目的。美国公私部门之间的“旋转门”机制使得美国军队、安全机构与网络防务承包商之间存在着频繁的人员流动。例如2013年披露中国网络间谍报告的Mandiant公司，其创始人就是美国空军退役军官，曾在美国国防部担任计算机安全官员。这种人力资源为美国政府利用私营企业实现其战略目的提供了便利，也成为很多安全公司生存之本，也是服务于美国的国家政治需要。作为美国政府的“马前卒”，这些私营企业可以成为实现美国政府政治目的“隐形推手”。一般情况下，这类由政府主导的揭露黑客组织事件多发生在政府发布某些针对别国的外交政策前后，以证明其外交政策的正当性。

1.3 “溯源取证、技术支撑”是网络安全公司披露判定APT组织身份的主要手段

当前，技术实力强大的网络安全公司经常发布关于由国家支持的APT黑客组织发动攻击活动的报告，涉及朝鲜、越南、伊朗、俄罗斯等，中国也多次成为被曝光的对象，使中国处于极其被动的地位，并且成为美国制造并宣扬“中国网络威胁论”的重要推手，这其实已经形成了一种战略威慑，对国家安全布局乃至国际关系和全球格局都产生了一定的影响。安全公司发布的报告之所以能够起到这么大的影响力，归根到底是其具有强大的技术支撑，能够在技术层面形成证据链。一般情况下，网络安全公司与国家情报部门主要通过被攻击的目标主体、攻击的范围和强度来判断攻击是否属于国家行为，甚至可以直接通过溯源追踪找出黑客组织的身份证据。通常APT组织的国别判断依据主要以发动攻击的时间和程序执行编译的时间符合哪一时区、程序中的设置语言、受攻击国的地缘政治利益、发动攻击的时机是否与某一国际政治事件重合，以及通过与之前攻击活动所用的恶意软件等攻击工具和攻击方式进行对比等条件判断，再结合对攻击源头的反向定位，从而得出APT组织的相关结论。

2.国外网络安全公司曝光APT组织的主要特点

2.1 曝光的APT组织具有很明显的选择性

近年来，被曝光的APT组织主要包括有国家政府背景的黑客组织和无政府背景的网络犯罪组织。其中无政府支持的APT组织发动攻击多为谋求经济利益，通过窃取企业重要用户信息、知识产权、商业机密等进行贩卖和勒索，或通过窃取个人信息、个人数据进行身份欺诈等金融犯罪活动。由国家政府支持的APT组织则通常出于政治目的发动攻击活动，窃取情报，开展间谍活动。从当前网络安全公司曝光APT黑客组织的情况看，其选择披露对象具有明显的针对性，突出了国家政府支持的APT组织信息。特别是美国，范围集中在美国的竞争对手或无国际影响力的小国，而对于美国政府及其盟友所实施的黑客行为，他们则视而不见、避而不谈。作为美国的网络安全公司，其客户大部分为欧美企业，所以曝光的集中点聚焦于中俄等具有竞争力的大国。美国强大的网络攻击和网络监控能力世界皆知，其监控的触角遍布全球，因此美国网络安全公司绝对有能力监测到欧美的黑客攻击活动，然而，欧美的黑客活动从未得到美国网络安全公司的揭露，这就充分证明了这些网络安全公司与政府之间的密切关系，具有很强的政治属性。

2.2 网络安全公司与国家部门政企联动，扩大影响

在网络安全公司或国家情报部门发布APT组织的报告后，其国家政府部门往往会紧接着采取后续跟进措施，以加强渲染、施加压力，并最终达到某种政治目的或更高层面的国家企图。其做法通常有三种：一是发布警告声明，提高警戒水平，加强防范。例如，2017年6月，在多个网络安全公司发布“WannaCry”勒索病毒与朝鲜黑客组织有关的证据后，美国国土安全部与联邦调查局联合发布了一份警告声明，对朝鲜政府自2009年以来发起的一系列网络攻击提出指责并警告称未来可能会出现更多的网络攻击事件。二是采取制裁措施进行报复。2016年12月，美国前总统奥巴马宣布对俄罗斯进行制裁，以此作为对美国政府所称的俄罗斯黑客组织干预美国大选所采取的报复措施。三是逮捕、起诉黑客人员。近年来，美国执法部门陆续逮捕、起诉了多名涉嫌攻击美国政府和企业的黑客，成为美国打击国家支持的网络攻击的又一重要工具，并对国际关系造成了一定程度的影响。

2.3 被曝光国家“被动否认，消极应对”

目前，针对网络安全公司或国家情报机构明确指出APT黑客攻击活动来源于某一国政府的情况，被披露国家通常采取的态度主要包括三种。一是全面否认，并强调自身是网络攻击的受害国。目前，包括越南、俄罗斯、朝鲜、伊朗在内的被披露涉及黑客攻击活动的国家在报告发布的第一时间都采取全面否认的方式进行回应，并强调自身长期受到网络攻击的事实。这种方式可以转移事件的焦点，减少舆论压力。此外，某些国家在否认的同时，也会用其他的可能原因从另一个角度来解读事件，以模糊视听。二是承认指控，但撇清与政府的关系。俄罗斯总统普京近期面对美国指责俄罗斯干扰美国大选时，承认“一些‘爱国’黑客可能令这段时间俄罗斯与西方的关系雪上加霜”，但否认俄罗斯在国家层面参与过此类活动。这种回应方式从侧面承认了攻击活动，但撇清了政府的责任。三是承认指控，但用法律和国家安全当挡箭牌。2013年“棱镜门”事件曝光后，美国前总统奥巴马虽然公开承认实施网络监控计划，但却极力维护该计划的正当性，以法律和国家安全为挡箭牌。“国家安全”和“反恐”是美国一贯使用的“伎俩”，是其所有受到质疑的网络攻击行动的“保护伞”。

3.几点启示

3.1 加强网络安全态势感知和防御能力

APT组织攻击目标明确、危害大，甚至对国家安全构成严重威胁，因此政府机构成为世界各国对抗APT攻击的最主要支持。只有政府建立强大的威胁监测、防御、分析、溯源等安全技术能力，才能有效地发现威胁、阻断攻击以及反制对手，才能取得主动。在全球网络安全形势日趋严峻的形势下，国家安全态势感知和防御能力是抵御威胁的根本保障。而与欧美相比，我国安全防御技术总体落后，对高级别复杂性威胁应对能力不足，这就需要政府机构集中力量大力发展网络安全技术, 通过政、产、研、学合作提升整体网络安全技术水平，从而为国家网络安全态势感知和防御提供支撑。一方面，以技术为基础，在政府的政策支持和统筹管理下，整合党政军民多方资金、技术和科技资源，发挥政府机构和网络安全公司各自优势，形成取长补短的技术发展格局。另一方面，以人才为根本，着力培养顶尖网络安全技术人才,为网络安全技术的发展提供人才支撑，以此不断健全国家空间安防力量，对APT组织网络攻击形成威慑，在国际网络空间大环境中取得话语权。

3.2 重点培植网络安全知名企业，充分发挥网络安全公司在网络空间国际治理中的支撑作用

目前我国的网络安全产业虽然得到快速发展，但尚未形成完备的生态体系，缺乏能够与国外企业抗衡的知名企业，这使得我国在网络安全治理方面难以获得有效的产业支撑，对待APT组织攻击难以分析取证，难以掌握整个攻击过程，并缺乏有效的反制措施,在整个网络防护过程中处于被动的不利地位。培育顶尖的网络安全公司，发展强大的网络安全技术，不仅可以为我国网络安全体系建立坚固的安全防线，保护我国关键信息基础设施安全和数据安全，还可以利用民间企业的创新能力为国家在国际网络空间博弈中提供有效的先进技术支撑。当前，我国应积极在国内选取一批优质的网络安全企业，主动培育发展技术实力强的网络安全龙头企业，使其成为国家间网络空间防御体系的重要力量，为占据网络空间制高点和提升国际话语权贡献力量。

3.3 深入推进网络空间国际合作战略，强化网络安全合作联防

面对日益严峻的APT攻击威胁，任何国家都难以独善其身，国家政府应以深入推进网络空间国际合作战略为依托，不断拓展网络空间伙伴关系，积极与其他各国开展对话与合作，实现威胁信息、安全技术共享，共同开展打击恶意网络攻击活动。同时，面对全球性的网络安全问题与挑战,国家政府应积极推进建设性国际协商合作，积极树立“负责任大国”的正面国际形象；针对他国的恶意指控，需借助国际合作平台向世界各国表明国家政府希望网络空间和平、各国共同繁荣发展的明确立场，向世界宣传 “网络空间共同体”的主张，消除西方国家营造“黑客威胁论”的土壤环境。