本报记者 郭媛丹
6日,就万豪国际5亿客户信息泄露事件,英国路透社援引匿名人士的话,一方面称找出真凶异常困难,另一方面却将中国称作主嫌疑人。近年来,一些西方国家常常毫无根据地指责中国的个人或团队进行特定网络攻击,意图窃取他国商业和军工机密。实际上,中国一直是网络攻击的受害者。《环球时报》记者近日专访安天实验室首席技术架构师肖新光,他以一些案例为模板阐述了中国面临的网络攻击情况。安天为网信主管部门、军队、保密、部委行业和关键信息基础设施等高安全需求客户,提供整体解决方案。肖新光说,依靠在重大安全灾难中付出惨痛代价来推动网络安全能力进步,是一种非常被动的模式,也是我们不希望看到的。
我们所面临的高级网空威胁行为体,其往往具有境外情报部门背景
环球时报:进入21世纪以来,网络应用发展如火如荼,对中国造成安全威胁的网络攻击是否存在阶段性特点?
肖新光:从2000 年到2005 年前后,网络蠕虫传播、DDoS等对互联网使用体验有较大影响的攻击容易为人们关注。2005 年后, 随着互联网应用的丰富,用户财产和隐私与网络的关系愈加密切, 以获利为目的的木马和攻击开始爆炸式增长。
伴随着信息化高速发展, 信息资产的价值发生巨大变化,与互联网连接或不连接的各种信息系统,成为关系国家安全、国计民生、社会运行的关键枢纽。网络威胁的主要后果,已经不是对公共互联网效率和上网体验的影响,而是进一步影响到政治、经济、军事、科技、生态等领域,而相关攻击更多来自高级网空威胁行为体。
当然,并不是说高级网空威胁行为体最近几年才出现,从目前公开的信息看,至少从2000 年起,NSA (美国国家安全局) 下属的“方程式”组织就已经针对全球互联网重要目标进行入侵。由于具有高度隐蔽性,其威胁是逐渐暴露显现出来的。
环球时报:中国的哪些领域受到的网络攻击比较集中?
肖新光:中国遭遇高级网络威胁,主要集中在政治、经济、军事、科技等领域的高价值目标。“白象”主要针对政府、军工、高等院校等目标;“绿斑”主要针对政府、航空、军事、科研等目标;“海莲花”针对海事机构、科研院所和航运企业等。需要指出的是,这种攻击“集中”在某个领域,体现的是对特定目标的定向性,其目的是获取机密信息、形成持久的控制和作业能力,造成目标毁瘫等,其表现形式并不是攻击流量密集的“集中”,恰恰相反,其行为次数通常较少,隐蔽而难以发现。
环球时报:能否举例说明高级网空威胁行为体是如何进行网络攻击的?
肖新光:以“白象”为例,该攻击组织向我方科研人员发送伪装成热点信息的电子邮件,邮件中有恶意链接,点击后就会下载打开含漏洞攻击代码的OF⁃FICE文件,释放木马控制电脑。
不只是邮件,包括邮件服务器,甚至网络防火墙等安全设备,都是高级网空威胁行为体攻击的首选目标。例如NSA 攻击中东最大的金融服务机构,就是通过未公开漏洞,先后取得两层防火墙的控制权,渗透到内网当中。
攻击者还会通过劫持配送中的设备,买通内部人员,派驻人员到被攻击方卧底等方式,将木马和攻击装备带入被攻击场景中, 从而突破物理隔离防线。一旦攻击者进入内网,就通过漏洞进行“横向移动”,投放木马,获取更多节点的控制权,以接近更高价值节点,获取高价值敏感信息。同时,攻击者还会通过隐藏到系统固件中等方法,实现在被攻击网络中持久存在的目的。高级网空威胁行为体的攻击体系非常复杂,我这里只列举了一些容易理解的例子。
环球时报:像“海莲花”等高度组织化、专业化的境外国家级黑客组织,对中国的攻击是否在逐年增多?
肖新光:随着中国的高速发展,信息化程度不断提高,信息资产价值也不断提升。在复杂的大国博弈和地缘竞合形势下,中国面临的网络安全挑战注定会日趋严峻。我们所面临的高级网空威胁行为体,其往往具有境外情报部门背景。它们有坚定的攻击意志,能够承受高昂攻击成本和代价,是在工程体系支撑下,由高水平的人员团队从攻击武器库中选择合适的装备进行组合攻击。
网络攻击,“投入产出比极高”?
环球时报:从潜入到被发现,很多网络攻击是一个长期过程,隐蔽性极高,这是否意味着网络攻击的“投入产出比极高”?
肖新光:网络攻击既有定向性的,也有非定向性的,既有快速爆发的,也有长期潜伏的。在定向攻击中,带有国家地区背景的高级网空威胁行为体发动的攻击,具有长期、隐蔽的特点,防御处置难度较高,在威胁被猎杀处置后,还会不断继续寻找新的攻击点。相比于传统的信号情报手段及人力情报,网络入侵在很多场景下有更高“效费比”,而且可以和其他手段组合使用。
乌克兰电网遭攻击事件(2015 年末,乌克兰电网发生世界首例因遭黑客攻击而造成的大规模停电事故——编者注) 也说明,网络攻击可以达成与传统军事打击局部等效的结果,而且其成本更低。网络作业能力能全面提升传统军事能力,美国网络司令部认为,美军“物理领域的优势在很大程度上依赖于网络空间中的优势”。
环球时报:能否以“白象”攻击组织为例,说明一下是如何发现、分析和溯源APT(高级持续性威胁) 攻击的?
肖新光:首先是要依靠部署在用户侧的态势感知平台体系和高级威胁防护产品,协助用户发现攻击线索,拦截攻击行为。同时,安天部署了大量监测环节,进行主动的威胁捕获和自动化分析,并与业内厂商及机构进行威胁情报共享。安天分析团队通过监测分析结果与公开情报结合,对“白象”攻击组织进行了画像,并锁定了一名自然人。
我们要看到,高级网空威胁行为体的能力越强,攻击就越隐蔽,难发现。仅靠安全厂商自己的曝光披露,不足以威慑攻击者。让每一个重要信息系统和关键信息基础设施形成能够应对敌情的有效防护能力,才能及时发现攻击,最大程度减少损失。
环球时报:维护网络安全如同医生治病救人,目前能否说“医术”赶不上“病魔”的脚步?
肖新光:“ 网络安全的本质在对抗, 对抗的本质在攻防两端能力较量。”防御工作的主角是用户侧的安全运维防护人员,我们研发中的战术型态势感知平台体系是围绕用户侧的网空防御人员展开设计的。这个较量必然是长期、动态的,对抗中的主动权取决于很多因素。在各种博弈中,攻击方都有一定主动权,但防御方同样可以以体系化的防御来应对体系化的攻击。收缩攻击面,消耗攻击方资源,削弱、阻断和呈现攻击链。
网络强国的伟大战略目标,需要网络安全能力来支撑。依靠在重大安全灾难中付出惨痛代价来推动网络安全能力进步,是一种非常被动的模式,也是我们不希望看到的。
“ 敌已在内、敌将在内”——最基础的敌情想定
环球时报:网络安全成为大国博弈和地缘政治中的常态化对抗,中国的薄弱环节有哪些?
肖新光:根据我们在网络监测和处置工作中看到的情况,重要信息系统和关键信息基础设施态势感知能力匮乏及防护能力缺失,是当前我们面临的非常迫切的问题。面对勒索软件等低水平攻击,依然频繁失陷,更不足以应对高级网空威胁行为体的攻击。网络防御能力已经成为大国能力的关键支撑。
开展能力导向的规划和建设,全面提升我国信息基础设施安全防护能力和水平是当前的发力点,需要在每一个重要信息系统和关键信息基础设施都实现“全天候全方位感知和有效防护”。
要做好网络安全防御工作, 需要先建立客观的敌情想定, 这是对网空威胁行为体的意图、体系、能力、资源、预案的全面分析和设定。对于高信息价值、高防护等级、高威胁对抗的场景,物理隔离御敌于城门之外已经是不切实际的幻想,“敌已在内、敌将在内”是最基础的想定。
环球时报:您对美国的网络攻击和防护能力有什么样的评估?中国与美国的差距大吗?网络安全领域是否需要国际合作?
肖新光:美方拥有全球各国中支撑从信号情报到网络攻击作业的最为庞大的工程体系,有着最庞大复杂的机构和人员规模。美国拥有全球最庞大的网络空间攻击武器库,包括覆盖全系统平台的高级恶意代码、大量未公开漏洞利用工具、攻击平台以及运载、植入、传输中继设备等。
美方不仅建设了大量情报和攻击作业工程体系,还不遗余力地进行各种战场预制。从防护能力上看,美国在本世纪初,逐步从威胁导向建设模式走向能力导向建设模式,进行了系统、全面的安全投入。在网络安全规划建设运维方面,美方积累了大量方法、框架、标准等,有非常多成功的实践经验。
应对高级网空威胁行为体攻击对我国重要信息系统和关键信息基础设施来说,是一个非常严峻的挑战。我国的重要信息系统和关键基础设施,需要针对这一量级的攻击实现有效防护、快速发现、及时止损、全面量损,这需要系统扎实的建设与投入。可以说,重要信息系统和关键基础设施的防御水平高低会在关键时刻决定国家战略的主动程度。
尽管各国间有不同的国情,有不同的利益诉求,但也面临着共同的威胁和挑战,例如应对重大网络病毒疫情和危害关键信息基础设施的严重漏洞等,都需要相应的应急联动机制,共同维护网络空间安全。▲