網絡防御，考驗大國能力

本報記者 郭媛丹

6日，就萬豪國際5億客戶信息泄露事件，英國路透社援引匿名人士的話，一方面稱找出真兇異常困難，另一方面卻將中國稱作主嫌疑人。近年來，一些西方國家常常毫無根據地指責中國的個人或團隊進行特定網絡攻擊，意圖竊取他國商業(yè)和軍工機密。實際上，中國一直是網絡攻擊的受害者。《環(huán)球時報》記者近日專訪安天實驗室首席技術架構師肖新光，他以一些案例為模板闡述了中國面臨的網絡攻擊情況。安天為網信主管部門、軍隊、保密、部委行業(yè)和關鍵信息基礎設施等高安全需求客戶，提供整體解決方案。肖新光說，依靠在重大安全災難中付出慘痛代價來推動網絡安全能力進步，是一種非常被動的模式，也是我們不希望看到的。

我們所面臨的高級網空威脅行為體，其往往具有境外情報部門背景

環(huán)球時報：進入21世紀以來，網絡應用發(fā)展如火如荼，對中國造成安全威脅的網絡攻擊是否存在階段性特點？

肖新光：從2000 年到2005 年前后，網絡蠕蟲傳播、DDoS等對互聯網使用體驗有較大影響的攻擊容易為人們關注。2005 年后， 隨著互聯網應用的豐富，用戶財產和隱私與網絡的關系愈加密切， 以獲利為目的的木馬和攻擊開始爆炸式增長。

伴隨著信息化高速發(fā)展， 信息資產的價值發(fā)生巨大變化，與互聯網連接或不連接的各種信息系統(tǒng)，成為關系國家安全、國計民生、社會運行的關鍵樞紐。網絡威脅的主要后果，已經不是對公共互聯網效率和上網體驗的影響，而是進一步影響到政治、經濟、軍事、科技、生態(tài)等領域，而相關攻擊更多來自高級網空威脅行為體。

當然，并不是說高級網空威脅行為體最近幾年才出現，從目前公開的信息看，至少從2000 年起，NSA （美國國家安全局） 下屬的“方程式”組織就已經針對全球互聯網重要目標進行入侵。由于具有高度隱蔽性，其威脅是逐漸暴露顯現出來的。

環(huán)球時報：中國的哪些領域受到的網絡攻擊比較集中？

肖新光：中國遭遇高級網絡威脅，主要集中在政治、經濟、軍事、科技等領域的高價值目標。“白象”主要針對政府、軍工、高等院校等目標；“綠斑”主要針對政府、航空、軍事、科研等目標；“海蓮花”針對海事機構、科研院所和航運企業(yè)等。需要指出的是，這種攻擊“集中”在某個領域，體現的是對特定目標的定向性，其目的是獲取機密信息、形成持久的控制和作業(yè)能力，造成目標毀癱等，其表現形式并不是攻擊流量密集的“集中”，恰恰相反，其行為次數通常較少，隱蔽而難以發(fā)現。

環(huán)球時報：能否舉例說明高級網空威脅行為體是如何進行網絡攻擊的？

肖新光：以“白象”為例，該攻擊組織向我方科研人員發(fā)送偽裝成熱點信息的電子郵件，郵件中有惡意鏈接，點擊后就會下載打開含漏洞攻擊代碼的OF?FICE文件，釋放木馬控制電腦。

不只是郵件，包括郵件服務器，甚至網絡防火墻等安全設備，都是高級網空威脅行為體攻擊的首選目標。例如NSA 攻擊中東最大的金融服務機構，就是通過未公開漏洞，先后取得兩層防火墻的控制權，滲透到內網當中。

攻擊者還會通過劫持配送中的設備，買通內部人員，派駐人員到被攻擊方臥底等方式，將木馬和攻擊裝備帶入被攻擊場景中， 從而突破物理隔離防線。一旦攻擊者進入內網，就通過漏洞進行“橫向移動”，投放木馬，獲取更多節(jié)點的控制權，以接近更高價值節(jié)點，獲取高價值敏感信息。同時，攻擊者還會通過隱藏到系統(tǒng)固件中等方法，實現在被攻擊網絡中持久存在的目的。高級網空威脅行為體的攻擊體系非常復雜，我這里只列舉了一些容易理解的例子。

環(huán)球時報：像“海蓮花”等高度組織化、專業(yè)化的境外國家級黑客組織，對中國的攻擊是否在逐年增多？

肖新光：隨著中國的高速發(fā)展，信息化程度不斷提高，信息資產價值也不斷提升。在復雜的大國博弈和地緣競合形勢下，中國面臨的網絡安全挑戰(zhàn)注定會日趨嚴峻。我們所面臨的高級網空威脅行為體，其往往具有境外情報部門背景。它們有堅定的攻擊意志，能夠承受高昂攻擊成本和代價，是在工程體系支撐下，由高水平的人員團隊從攻擊武器庫中選擇合適的裝備進行組合攻擊。

網絡攻擊，“投入產出比極高”？

環(huán)球時報：從潛入到被發(fā)現，很多網絡攻擊是一個長期過程，隱蔽性極高，這是否意味著網絡攻擊的“投入產出比極高”？

肖新光：網絡攻擊既有定向性的，也有非定向性的，既有快速爆發(fā)的，也有長期潛伏的。在定向攻擊中，帶有國家地區(qū)背景的高級網空威脅行為體發(fā)動的攻擊，具有長期、隱蔽的特點，防御處置難度較高，在威脅被獵殺處置后，還會不斷繼續(xù)尋找新的攻擊點。相比于傳統(tǒng)的信號情報手段及人力情報，網絡入侵在很多場景下有更高“效費比”，而且可以和其他手段組合使用。

烏克蘭電網遭攻擊事件（2015 年末，烏克蘭電網發(fā)生世界首例因遭黑客攻擊而造成的大規(guī)模停電事故——編者注） 也說明，網絡攻擊可以達成與傳統(tǒng)軍事打擊局部等效的結果，而且其成本更低。網絡作業(yè)能力能全面提升傳統(tǒng)軍事能力，美國網絡司令部認為，美軍“物理領域的優(yōu)勢在很大程度上依賴于網絡空間中的優(yōu)勢”。

環(huán)球時報：能否以“白象”攻擊組織為例，說明一下是如何發(fā)現、分析和溯源APT（高級持續(xù)性威脅） 攻擊的？

肖新光：首先是要依靠部署在用戶側的態(tài)勢感知平臺體系和高級威脅防護產品，協(xié)助用戶發(fā)現攻擊線索，攔截攻擊行為。同時，安天部署了大量監(jiān)測環(huán)節(jié)，進行主動的威脅捕獲和自動化分析，并與業(yè)內廠商及機構進行威脅情報共享。安天分析團隊通過監(jiān)測分析結果與公開情報結合，對“白象”攻擊組織進行了畫像，并鎖定了一名自然人。

我們要看到，高級網空威脅行為體的能力越強，攻擊就越隱蔽，難發(fā)現。僅靠安全廠商自己的曝光披露，不足以威懾攻擊者。讓每一個重要信息系統(tǒng)和關鍵信息基礎設施形成能夠應對敵情的有效防護能力，才能及時發(fā)現攻擊，最大程度減少損失。

環(huán)球時報：維護網絡安全如同醫(yī)生治病救人，目前能否說“醫(yī)術”趕不上“病魔”的腳步？

肖新光：“ 網絡安全的本質在對抗， 對抗的本質在攻防兩端能力較量。”防御工作的主角是用戶側的安全運維防護人員，我們研發(fā)中的戰(zhàn)術型態(tài)勢感知平臺體系是圍繞用戶側的網空防御人員展開設計的。這個較量必然是長期、動態(tài)的，對抗中的主動權取決于很多因素。在各種博弈中，攻擊方都有一定主動權，但防御方同樣可以以體系化的防御來應對體系化的攻擊。收縮攻擊面，消耗攻擊方資源，削弱、阻斷和呈現攻擊鏈。

網絡強國的偉大戰(zhàn)略目標，需要網絡安全能力來支撐。依靠在重大安全災難中付出慘痛代價來推動網絡安全能力進步，是一種非常被動的模式，也是我們不希望看到的。

“ 敵已在內、敵將在內”——最基礎的敵情想定

環(huán)球時報：網絡安全成為大國博弈和地緣政治中的常態(tài)化對抗，中國的薄弱環(huán)節(jié)有哪些？

肖新光：根據我們在網絡監(jiān)測和處置工作中看到的情況，重要信息系統(tǒng)和關鍵信息基礎設施態(tài)勢感知能力匱乏及防護能力缺失，是當前我們面臨的非常迫切的問題。面對勒索軟件等低水平攻擊，依然頻繁失陷，更不足以應對高級網空威脅行為體的攻擊。網絡防御能力已經成為大國能力的關鍵支撐。

開展能力導向的規(guī)劃和建設，全面提升我國信息基礎設施安全防護能力和水平是當前的發(fā)力點，需要在每一個重要信息系統(tǒng)和關鍵信息基礎設施都實現“全天候全方位感知和有效防護”。

要做好網絡安全防御工作， 需要先建立客觀的敵情想定， 這是對網空威脅行為體的意圖、體系、能力、資源、預案的全面分析和設定。對于高信息價值、高防護等級、高威脅對抗的場景，物理隔離御敵于城門之外已經是不切實際的幻想，“敵已在內、敵將在內”是最基礎的想定。

環(huán)球時報：您對美國的網絡攻擊和防護能力有什么樣的評估？中國與美國的差距大嗎？網絡安全領域是否需要國際合作？

肖新光：美方擁有全球各國中支撐從信號情報到網絡攻擊作業(yè)的最為龐大的工程體系，有著最龐大復雜的機構和人員規(guī)模。美國擁有全球最龐大的網絡空間攻擊武器庫，包括覆蓋全系統(tǒng)平臺的高級惡意代碼、大量未公開漏洞利用工具、攻擊平臺以及運載、植入、傳輸中繼設備等。

美方不僅建設了大量情報和攻擊作業(yè)工程體系，還不遺余力地進行各種戰(zhàn)場預制。從防護能力上看，美國在本世紀初，逐步從威脅導向建設模式走向能力導向建設模式，進行了系統(tǒng)、全面的安全投入。在網絡安全規(guī)劃建設運維方面，美方積累了大量方法、框架、標準等，有非常多成功的實踐經驗。

應對高級網空威脅行為體攻擊對我國重要信息系統(tǒng)和關鍵信息基礎設施來說，是一個非常嚴峻的挑戰(zhàn)。我國的重要信息系統(tǒng)和關鍵基礎設施，需要針對這一量級的攻擊實現有效防護、快速發(fā)現、及時止損、全面量損，這需要系統(tǒng)扎實的建設與投入。可以說，重要信息系統(tǒng)和關鍵基礎設施的防御水平高低會在關鍵時刻決定國家戰(zhàn)略的主動程度。

盡管各國間有不同的國情，有不同的利益訴求，但也面臨著共同的威脅和挑戰(zhàn)，例如應對重大網絡病毒疫情和危害關鍵信息基礎設施的嚴重漏洞等，都需要相應的應急聯動機制，共同維護網絡空間安全。▲