大玩家入場，新格局漸成

大玩家入場，新格局漸成

當病毒在工業控制系統中蔓延，其攻擊者想要獲得什么？目標何在？答案很多，捉摸不定。總之，一個國家的核電站，水壩，國家電網都可以成為它的目標。

震網(Stuxnet)的發現

在2010年之后,網絡安全專家杜躍進將互聯網安全威脅分成4個階段：2001～2004 年是“蠕蟲階段”( 以蠕蟲為代表的 “損人不利己”式攻擊為主)；2004～2007 年是 “網絡犯罪階段”( 開始大量出現趨利性的攻擊)； 2007～2010 年是 “網絡竊密階段”( 開始大量出現互聯網竊密行為)；2010 年之后進入了另外一個全新階段，“當時我稱之為網絡戰階段。”從此開始，互聯網安全格局進入一個全新的時代。杜躍進將之成為“大時代”。所謂的大有幾層意思：一是“大玩家”的登場。二是“大事件”的發生。

對于大玩家時代的到來，震網(Stuxnet)是一個劃時代的標志。2010年，一種名為“震網”（Stuxnet）的蠕蟲病毒，侵入了伊朗工廠企業甚至進入西門子為核電站設計的工業控制軟件，并可奪取對一系列核心生產設備尤其是核電設備的關鍵控制權。當年伊朗政府宣布，大約3萬個網絡終端感染“震網”。

與以往的網絡攻擊最為不同的是，震網攻擊的目標是工業控制系統，是第一個專門定向攻擊真實世界中基礎（能源）設施的“蠕蟲”病毒，而它又是如此巧妙，震網病毒前前后后用了很多手段——利用0-day漏洞、隱藏擺渡、長期潛伏、定時爆發……

震網病毒讓整個世界為之嘩然。攻擊中最基本的兩個要素，它是誰？它要達到什么目標？在震網這里完全不知所蹤。攻擊者非常謹慎地實施了這次攻擊。專家分析，病毒編寫者需要對工業生產過程和工業基礎設施十分了解。編寫代碼需要很多人工作幾個月甚至幾年，背后需要一個非常成熟的專業團隊運作，擁有巨大的資源及財政支持。這一切的潛臺詞是：“震網”更像是出自浩大的“政府工程”而非黑客個人行為。

大玩家入場

震網讓全球為之警醒。在過去，人們普遍認為工業控制系統是不可能進入病毒的。但現在，一切發生了變化，工業控制系統中的生態環境與現實網絡越來越接近，由此，適合于網絡的病毒同樣可以在工業系統中安身立民。那么，攻擊者還掌握著什么？什么時候會實施下一次攻擊？這對世界各國的基礎設施意味著什么？而整個領域的分析認為，震網是“大玩家”時代的開啟。

“大玩家”入場意味著什么？意味著不同的動機，不同的目標 ，不同的資源 ，不同的能力 ，不同的方法 。

互聯網安全專家、原國家網絡信息安全技術研究所所長杜躍進分析認為，“大玩家”，代表的是國家力量，服務的是國家間的綜合對抗和博弈，會綜合考慮政治、外交、經濟、社會、軍事等各種因素。其網絡安全攻擊動機與過去的對手相比可能十分不同，因此他們可能選擇不同的目標（對他們來說，對“有價值目標”的定義可能很不一樣）、他們掌握不同的資源（用于實施網絡攻擊。尤其是擁有網絡空間戰略優勢的國家）、他們可能采用不同的方法（包括利用產業優勢的方法，甚至網絡空間之外的方法）、具備不同的能力（整合多方面的頂級專家構建武器級的攻擊能力）等。這一切會導致，“我們需要關注的保護對象發生了很大變化、我們過去的安全對抗經驗開始過時、我們認為不可能的一些事情變成可能。”他進而認為，大玩家的時代將遠遠不同于傳統的網絡攻擊，它將是一場國家資源和力量的對抗。

震網的發現導致世界各國對網絡安全的進一步加強，從而引發了網絡安全整體格局的變化。“有能力的國家都在效仿震網（Stuxnet）等一系列的新型智能攻擊武器開展研究，并且努力做到青出于藍、舉一反三 。”杜躍進認為，在這場格局的改變中，世界各國在動用國家資源、依靠國家力量構建自己在網絡空間中的威懾和防護能力 。而信息技術發達國家會絞盡腦汁盡量利用好其自身的優勢資源，強化自身的不對稱戰略優勢。其他國家會竭力突破自身限制，尋找自己的不對稱威懾能力。

APT攻擊的興起

2013年，斯諾登的爆料讓大玩家的猜測更加浮出水面。“棱鏡門事件最直接的意義在于，過去我們很多關于網絡安全的猜測，如今得到證實了。”杜躍進說。 當斯諾登爆料之后，人們恍然間明白一件事：許多大事件是有關聯的，他們可能來自同一個攻擊者，可能是一個威脅中的一部分。包括美國政府提出的網絡空間戰略、斯諾登事件以及震網從某種層面上說都是一回事。

2013年，斯諾登的爆料讓大玩家更加浮出水面。“棱鏡門事件最直接的意義在于，過去我們很多關于網絡安全的猜測，如今得到證實了。”

這里有必要提一下美國的網絡空間安全戰略。在國際上，美國首先起步，從克林頓到小布什，再到奧巴馬，在近20多年的發展過程中，美國已經率先形成相對完整的國家網絡空間戰略理論。分析美國三屆總統任職期間發布的國家戰略、國家安全戰略、國防戰略、軍事戰略、網絡空間安全戰略、網絡空間軍事戰略、網絡空間國際戰略、國防部網絡空間作戰戰略等所有與網絡空間相關的文件，可以清楚地看出，美國將網絡空間與海洋、空天三個領域并列為全球公共領域（global commons），通過在這三類網絡空間中籌劃戰略發展、謀求絕對優勢，保障國家安全戰略意圖輸出途徑。“當有必要時，美國將以‘對待其他任何形式的國家威脅’那樣應對網絡空間敵對行動”，這是美國在網絡空間秉持的基本立場。

當病毒在工業控制系統中蔓延，攻擊者想要獲得什么？目標何在？答案很多，捉摸不定。總之，一個國家的核電站，水壩，國家電網都可以成為它的目標。

震網之后，針對工業控制系統的病毒Flame、Duqu相繼被發現，安全專家肖新光在一片文章中指出“Flame、Duqu、Gauss和Stuxnet，它們既不是木馬，也不是蠕蟲。它們是APT（高級持續性威脅，Advanced Persistent Threat）。”

APT是什么？APT的本質是“非常有目標攻擊”，換句話說，APT在選定目標上不是隨機的。這個目標可能是一個特定的網絡或系統、一份特定的文件、某個特定的機構或個人等。這是APT和其他威脅的最大區別。比如震網，就是一個非常定制化的病毒，“該病毒幾乎是為伊朗量身打造。”

時代的變遷意味著思維的變化。相關人士指出，在木馬時代的地下經濟驅動中，各個國家均是地下經濟體系和惡意代碼的受害者。其基礎規則也基于這一共同點搭建。而APT出現的最本質原因是國家和政經集團作為“大玩家”直接介入到網絡攻防的游戲體系當中，而攻擊的對象也變成了他國政府和其他對立的政經體系。“這一切，意味著大玩家時代需要截然不同的網絡安全思路。”杜躍進說。

（本文根據綜合資料整理而成，整理：王左利）