大玩家入場，新格局漸成

大玩家入場，新格局漸成

當(dāng)病毒在工業(yè)控制系統(tǒng)中蔓延，其攻擊者想要獲得什么？目標(biāo)何在？答案很多，捉摸不定?？傊?，一個(gè)國家的核電站，水壩，國家電網(wǎng)都可以成為它的目標(biāo)。

震網(wǎng)(Stuxnet)的發(fā)現(xiàn)

在2010年之后,網(wǎng)絡(luò)安全專家杜躍進(jìn)將互聯(lián)網(wǎng)安全威脅分成4個(gè)階段：2001～2004 年是“蠕蟲階段”( 以蠕蟲為代表的 “損人不利己”式攻擊為主)；2004～2007 年是 “網(wǎng)絡(luò)犯罪階段”( 開始大量出現(xiàn)趨利性的攻擊)； 2007～2010 年是 “網(wǎng)絡(luò)竊密階段”( 開始大量出現(xiàn)互聯(lián)網(wǎng)竊密行為)；2010 年之后進(jìn)入了另外一個(gè)全新階段，“當(dāng)時(shí)我稱之為網(wǎng)絡(luò)戰(zhàn)階段?！睆拇碎_始，互聯(lián)網(wǎng)安全格局進(jìn)入一個(gè)全新的時(shí)代。杜躍進(jìn)將之成為“大時(shí)代”。所謂的大有幾層意思：一是“大玩家”的登場。二是“大事件”的發(fā)生。

對(duì)于大玩家時(shí)代的到來，震網(wǎng)(Stuxnet)是一個(gè)劃時(shí)代的標(biāo)志。2010年，一種名為“震網(wǎng)”（Stuxnet）的蠕蟲病毒，侵入了伊朗工廠企業(yè)甚至進(jìn)入西門子為核電站設(shè)計(jì)的工業(yè)控制軟件，并可奪取對(duì)一系列核心生產(chǎn)設(shè)備尤其是核電設(shè)備的關(guān)鍵控制權(quán)。當(dāng)年伊朗政府宣布，大約3萬個(gè)網(wǎng)絡(luò)終端感染“震網(wǎng)”。

與以往的網(wǎng)絡(luò)攻擊最為不同的是，震網(wǎng)攻擊的目標(biāo)是工業(yè)控制系統(tǒng)，是第一個(gè)專門定向攻擊真實(shí)世界中基礎(chǔ)（能源）設(shè)施的“蠕蟲”病毒，而它又是如此巧妙，震網(wǎng)病毒前前后后用了很多手段——利用0-day漏洞、隱藏?cái)[渡、長期潛伏、定時(shí)爆發(fā)……

震網(wǎng)病毒讓整個(gè)世界為之嘩然。攻擊中最基本的兩個(gè)要素，它是誰？它要達(dá)到什么目標(biāo)？在震網(wǎng)這里完全不知所蹤。攻擊者非常謹(jǐn)慎地實(shí)施了這次攻擊。專家分析，病毒編寫者需要對(duì)工業(yè)生產(chǎn)過程和工業(yè)基礎(chǔ)設(shè)施十分了解。編寫代碼需要很多人工作幾個(gè)月甚至幾年，背后需要一個(gè)非常成熟的專業(yè)團(tuán)隊(duì)運(yùn)作，擁有巨大的資源及財(cái)政支持。這一切的潛臺(tái)詞是：“震網(wǎng)”更像是出自浩大的“政府工程”而非黑客個(gè)人行為。

大玩家入場

震網(wǎng)讓全球?yàn)橹?。在過去，人們普遍認(rèn)為工業(yè)控制系統(tǒng)是不可能進(jìn)入病毒的。但現(xiàn)在，一切發(fā)生了變化，工業(yè)控制系統(tǒng)中的生態(tài)環(huán)境與現(xiàn)實(shí)網(wǎng)絡(luò)越來越接近，由此，適合于網(wǎng)絡(luò)的病毒同樣可以在工業(yè)系統(tǒng)中安身立民。那么，攻擊者還掌握著什么？什么時(shí)候會(huì)實(shí)施下一次攻擊？這對(duì)世界各國的基礎(chǔ)設(shè)施意味著什么？而整個(gè)領(lǐng)域的分析認(rèn)為，震網(wǎng)是“大玩家”時(shí)代的開啟。

“大玩家”入場意味著什么？意味著不同的動(dòng)機(jī)，不同的目標(biāo) ，不同的資源 ，不同的能力 ，不同的方法 。

互聯(lián)網(wǎng)安全專家、原國家網(wǎng)絡(luò)信息安全技術(shù)研究所所長杜躍進(jìn)分析認(rèn)為，“大玩家”，代表的是國家力量，服務(wù)的是國家間的綜合對(duì)抗和博弈，會(huì)綜合考慮政治、外交、經(jīng)濟(jì)、社會(huì)、軍事等各種因素。其網(wǎng)絡(luò)安全攻擊動(dòng)機(jī)與過去的對(duì)手相比可能十分不同，因此他們可能選擇不同的目標(biāo)（對(duì)他們來說，對(duì)“有價(jià)值目標(biāo)”的定義可能很不一樣）、他們掌握不同的資源（用于實(shí)施網(wǎng)絡(luò)攻擊。尤其是擁有網(wǎng)絡(luò)空間戰(zhàn)略優(yōu)勢(shì)的國家）、他們可能采用不同的方法（包括利用產(chǎn)業(yè)優(yōu)勢(shì)的方法，甚至網(wǎng)絡(luò)空間之外的方法）、具備不同的能力（整合多方面的頂級(jí)專家構(gòu)建武器級(jí)的攻擊能力）等。這一切會(huì)導(dǎo)致，“我們需要關(guān)注的保護(hù)對(duì)象發(fā)生了很大變化、我們過去的安全對(duì)抗經(jīng)驗(yàn)開始過時(shí)、我們認(rèn)為不可能的一些事情變成可能?！彼M(jìn)而認(rèn)為，大玩家的時(shí)代將遠(yuǎn)遠(yuǎn)不同于傳統(tǒng)的網(wǎng)絡(luò)攻擊，它將是一場國家資源和力量的對(duì)抗。

震網(wǎng)的發(fā)現(xiàn)導(dǎo)致世界各國對(duì)網(wǎng)絡(luò)安全的進(jìn)一步加強(qiáng)，從而引發(fā)了網(wǎng)絡(luò)安全整體格局的變化?！坝心芰Φ膰叶荚谛Х抡鹁W(wǎng)（Stuxnet）等一系列的新型智能攻擊武器開展研究，并且努力做到青出于藍(lán)、舉一反三 ?！倍跑S進(jìn)認(rèn)為，在這場格局的改變中，世界各國在動(dòng)用國家資源、依靠國家力量構(gòu)建自己在網(wǎng)絡(luò)空間中的威懾和防護(hù)能力 。而信息技術(shù)發(fā)達(dá)國家會(huì)絞盡腦汁盡量利用好其自身的優(yōu)勢(shì)資源，強(qiáng)化自身的不對(duì)稱戰(zhàn)略優(yōu)勢(shì)。其他國家會(huì)竭力突破自身限制，尋找自己的不對(duì)稱威懾能力。

APT攻擊的興起

2013年，斯諾登的爆料讓大玩家的猜測更加浮出水面。“棱鏡門事件最直接的意義在于，過去我們很多關(guān)于網(wǎng)絡(luò)安全的猜測，如今得到證實(shí)了?！倍跑S進(jìn)說。 當(dāng)斯諾登爆料之后，人們恍然間明白一件事：許多大事件是有關(guān)聯(lián)的，他們可能來自同一個(gè)攻擊者，可能是一個(gè)威脅中的一部分。包括美國政府提出的網(wǎng)絡(luò)空間戰(zhàn)略、斯諾登事件以及震網(wǎng)從某種層面上說都是一回事。

2013年，斯諾登的爆料讓大玩家更加浮出水面?！袄忡R門事件最直接的意義在于，過去我們很多關(guān)于網(wǎng)絡(luò)安全的猜測，如今得到證實(shí)了?！?/p>

這里有必要提一下美國的網(wǎng)絡(luò)空間安全戰(zhàn)略。在國際上，美國首先起步，從克林頓到小布什，再到奧巴馬，在近20多年的發(fā)展過程中，美國已經(jīng)率先形成相對(duì)完整的國家網(wǎng)絡(luò)空間戰(zhàn)略理論。分析美國三屆總統(tǒng)任職期間發(fā)布的國家戰(zhàn)略、國家安全戰(zhàn)略、國防戰(zhàn)略、軍事戰(zhàn)略、網(wǎng)絡(luò)空間安全戰(zhàn)略、網(wǎng)絡(luò)空間軍事戰(zhàn)略、網(wǎng)絡(luò)空間國際戰(zhàn)略、國防部網(wǎng)絡(luò)空間作戰(zhàn)戰(zhàn)略等所有與網(wǎng)絡(luò)空間相關(guān)的文件，可以清楚地看出，美國將網(wǎng)絡(luò)空間與海洋、空天三個(gè)領(lǐng)域并列為全球公共領(lǐng)域（global commons），通過在這三類網(wǎng)絡(luò)空間中籌劃戰(zhàn)略發(fā)展、謀求絕對(duì)優(yōu)勢(shì)，保障國家安全戰(zhàn)略意圖輸出途徑?！爱?dāng)有必要時(shí)，美國將以‘對(duì)待其他任何形式的國家威脅’那樣應(yīng)對(duì)網(wǎng)絡(luò)空間敵對(duì)行動(dòng)”，這是美國在網(wǎng)絡(luò)空間秉持的基本立場。

當(dāng)病毒在工業(yè)控制系統(tǒng)中蔓延，攻擊者想要獲得什么？目標(biāo)何在？答案很多，捉摸不定?？傊?，一個(gè)國家的核電站，水壩，國家電網(wǎng)都可以成為它的目標(biāo)。

震網(wǎng)之后，針對(duì)工業(yè)控制系統(tǒng)的病毒Flame、Duqu相繼被發(fā)現(xiàn)，安全專家肖新光在一片文章中指出“Flame、Duqu、Gauss和Stuxnet，它們既不是木馬，也不是蠕蟲。它們是APT（高級(jí)持續(xù)性威脅，Advanced Persistent Threat）?！?/p>

APT是什么？APT的本質(zhì)是“非常有目標(biāo)攻擊”，換句話說，APT在選定目標(biāo)上不是隨機(jī)的。這個(gè)目標(biāo)可能是一個(gè)特定的網(wǎng)絡(luò)或系統(tǒng)、一份特定的文件、某個(gè)特定的機(jī)構(gòu)或個(gè)人等。這是APT和其他威脅的最大區(qū)別。比如震網(wǎng)，就是一個(gè)非常定制化的病毒，“該病毒幾乎是為伊朗量身打造?！?/p>

時(shí)代的變遷意味著思維的變化。相關(guān)人士指出，在木馬時(shí)代的地下經(jīng)濟(jì)驅(qū)動(dòng)中，各個(gè)國家均是地下經(jīng)濟(jì)體系和惡意代碼的受害者。其基礎(chǔ)規(guī)則也基于這一共同點(diǎn)搭建。而APT出現(xiàn)的最本質(zhì)原因是國家和政經(jīng)集團(tuán)作為“大玩家”直接介入到網(wǎng)絡(luò)攻防的游戲體系當(dāng)中，而攻擊的對(duì)象也變成了他國政府和其他對(duì)立的政經(jīng)體系?！斑@一切，意味著大玩家時(shí)代需要截然不同的網(wǎng)絡(luò)安全思路?！倍跑S進(jìn)說。

（本文根據(jù)綜合資料整理而成，整理：王左利）