中國網絡安全防護：四個自問

中國網絡安全防護：四個自問

“網絡攻擊中大玩家的出現(xiàn)，針對具有重要戰(zhàn)略價值的防護目標，將逐漸區(qū)別于業(yè)余類的對抗，形成網絡安全對抗的兩個分支。這兩類分支的區(qū)別越來越大，對抗傳統(tǒng)黑客的方式，不適應于對抗大玩家。網絡安全對抗進入全新的一頁，需要研究新的思路，建設新的能力?！?/p>

杜躍進

教授、博士，互聯(lián)網安全專家。曾任國家網絡信息安全技術研究所所長、國家計算機網絡應急技術處理協(xié)調中心副總工程師。主持或參與了2001年至2008年我國幾乎所有大規(guī)模網絡安全事件的數(shù)據(jù)監(jiān)測、技術分析和應急協(xié)調等工作。

應對APT的挑戰(zhàn)

震網出來之后的4年內，圍繞其的分析主要有：它是如何攻擊位于Natanz的伊朗核設施的？它是如何隱藏自己的？它是如何違背開發(fā)者的期望并擴散到Natanz之外的？但是這些分析的主要內容要么是錯誤的要么是不完整的。這些問題困擾著網絡安全專家、軍事戰(zhàn)略家、信息安全專家、政治決策者和廣大公眾。

與之前出現(xiàn)的病毒、木馬全然不同，類似于震網這樣的。APT（高級持續(xù)性感染）種類的攻擊是另外完全不同的一種,那么，如何有效應對APT攻擊？

業(yè)內專家分析說，在早期感染式病毒為主導的時代，我們面對的是對文件完整性的焦慮，因此，我們要進行人工分析，編寫清除病毒的參數(shù)、腳本或模塊，把文件恢復到感染前的狀態(tài)；而對于蠕蟲，我們面對的是及時性焦慮，類似Slammer在不到十分鐘的時間就感染了全球百萬臺SQL Server服務器的等情況，讓產業(yè)界更關注發(fā)現(xiàn)并遏制蠕蟲的及時性；而對于木馬，我們主要擔心其數(shù)量級數(shù)的膨脹，是一種數(shù)量級和處理能力焦慮，我們需要增強海量計算資源的自動分析和終端上的主動防御能力與之抗衡；而對于APT，我們卻是難以預見和防御的，我們對APT的恐懼是對其后果的焦慮，那么我們應如何有效應對APT？我們所能做的是如何更快速的感知和深度分析APT，以及對APT的回溯評估。

他進一步尖銳地指出，“面對類似APT等新興威脅，傳統(tǒng)查殺率統(tǒng)計已經失去了意義，安全廠商能力表現(xiàn)的度量衡又是什么呢？”

在過去，大部分蠕蟲病毒雖然讓安全企業(yè)很困擾，但大部分病毒可以在24小時內被捕獲，有的時間稍長但也是以天來計算。而APT時代，“我們對相關惡意代碼的感知時間則以年為單位來計算，比如，F(xiàn)lame是在初始活動近5年后才被發(fā)現(xiàn)的，這是由于投放的定向性、條件觸發(fā)、自毀等方法導致的攻守不平衡。而另一原因也是境內外能力與信息的不對稱，無法得到國外工控等廠商的技術支持?！?/p>

不同的時代，由于威脅對象和方法的不同，引發(fā)了需求和焦慮感的不同，進而導致我們工作方法也隨之產生相應地改變。

對抗方式的改變

攻擊方式的改變，攻擊思維的改變，意味著對抗方式必須改變。最初的安全對抗只是單純的加密與解密的對抗；之后的系統(tǒng)安全也相對簡單。但APT出現(xiàn)后的網絡攻防的復雜程度已經超越以往。

那么，中國網絡安全防護的現(xiàn)狀如何？相關人士分析說，僅在漏洞發(fā)現(xiàn)方面，我們就遠遠落后于我們的對手。

就APT 攻擊而言，攻擊者通常會組合使用“零日漏洞”(0day)、用社會工程學攻擊方法、使用特征未知尚不能檢測的攻擊程序等。杜躍進認為，有三類漏洞影響著中國的網絡安全。一類是隱藏多年的“戰(zhàn)略級儲備漏洞”，它們具有重大利用價值、被攻擊者長期秘密掌握而不為外人所知。第二類是多如牛毛的“自主開發(fā)的漏洞”。這些漏洞是因為我們的軟件開發(fā)人員不懂得安全編程、所用的軟件也不經過安全檢測和審計，最終導致大量的自主開發(fā)軟件存在多如牛毛的漏洞( 因為如今都是聯(lián)網環(huán)境，這些漏洞都比較容易被攻擊者探測和利用)。第三類是復雜關聯(lián)的“代碼共用漏洞”，指的是現(xiàn)在大量軟件互相共用代碼模塊，導致某個軟件的漏洞實際上會影響大量其他軟件，但是這種漏洞的關聯(lián)影響常常從用戶到開發(fā)者都沒注意到。

2012年，國外媒體刊登了一篇文章《玻璃龍》，玻璃，意味著透明。作者是一個技術人員，他花了一年半的時間每天花費7個小時探測和研究中國的網站。種種觀察之后，這篇文章最后得出觀點：“中國的網絡攻擊能力與其經濟大國的地位不相稱，能力偏低；網站缺少基本的防護，數(shù)以萬計的網絡和數(shù)據(jù)庫難以抵擋遠程攻擊；中國黑客使用的工具質量低下、隱蔽能力差、加密技術落后，代碼重復使用普遍；攻擊方式比較低級，似乎只在攻擊某一特定行業(yè)時比較在行。這名黑客還分析了之所以出現(xiàn)這種情況的原因，包括，人才培養(yǎng)不夠，缺乏有效的安全管理等等。

杜躍進認為，這個分析是比較客觀的。“值得關注的是，我們的很多軟件，系統(tǒng)，包括承載著許多敏感信息的系統(tǒng)都漏洞百出。因為我們不懂怎么做安全的設計和安全的開發(fā)與測試，但是今天互聯(lián)網與全球連接，有的是人對我們感興趣，如果不解決這些問題，未來的網絡安全狀況可想而知?！?/p>

拷問網絡安全防護能力

不得不提的是，斯諾登爆料之后，國內議論紛紛，有一種極保守的觀點是，如果不接入互聯(lián)網就不存在這么多安全問題了。

就如同一個命題：向左走？向右走？“向左走退出互聯(lián)網意味著徹底認輸，等于徹底出局。而只有迎接挑戰(zhàn)才有一線生機?！倍跑S進認為。Gartner在去年的一個論斷是，全世界所有的公司都是IT公司，無論何種公司未來都將采用IT的方式做財務，IT的方式做生意。 “IT意味著很多風險，但是這是必須承受的?！?/p>

就此，杜躍進分析：“網絡攻擊中大玩家的出現(xiàn)，針對具有重要戰(zhàn)略價值的防護目標，將逐漸區(qū)別于業(yè)余類的對抗，形成網絡安全對抗的兩個分支。這兩類分支的區(qū)別越來越大，對抗傳統(tǒng)黑客的方式，不適應于來對抗大玩家。網絡安全對抗進入全新的一頁，需要研究新的思路，建設新的能力?！?/p>

2014中國互聯(lián)網安全大會現(xiàn)場

但目前來看，中國急需從各種網絡安全事件中審視自身的安全應對能力，并全面提升安全思路?！安坏貌徽f，在大玩家時代，我們面臨著殘酷的現(xiàn)實——能力不足?！倍跑S進認為，“網絡安全講究知己知彼，但從Stuxnet到Duqu到Flame，我們的發(fā)現(xiàn)能力、分析能力、應急能力如何？我們的知彼能力如何？ 2009暴風影音事件、2013中國域名受攻擊事件中，我們的知己能力又如何？ 斯諾登事件、棱鏡事件中，我們的安全防護能力如何？”

針對這些問題，杜躍進對當前網絡提出了幾個自問。

自問之一：

直到今天，誰能說得清整網的安全風險？

自問之二：

Flame等攻擊，如果是針對我國的，我們能應對嗎？除了Stuxnet系列的攻擊，別人的武器庫中還有別的我們目前想像不到的攻擊方法嗎？ 是不是已經有針對我國的高級攻擊早已潛伏在我們的關鍵部位呢？ 為什么發(fā)現(xiàn)不了APT，哪怕不是那么高級的？ 為什么我們對事件、惡意代碼、漏洞的發(fā)現(xiàn)與分析能力屢屢失效？

自問之三：

所謂自主可控。過渡期有多長？這期間怎么辦？不僅僅是產品的問題，運行上的問題呢？（自己的產品，就能實現(xiàn)自主可控嗎？） 有一天這些自主可控的設備都會上線，在這種過渡時期，安全如何做？

自問之四：

BYOD，準備好了嗎？未來網絡環(huán)境更復雜，面對如此紛繁復雜的網絡環(huán)境，如何提升網絡安全能力？

杜認為，針對大玩家時代的網絡攻擊，人工的成分比以往更加重要，因此情報、資源和能力的整合將更加重要，現(xiàn)有的監(jiān)測、預警、響應以及風險管理，在應用到新分支時，恐怕都需要進行針對性的升級。

（本文根據(jù)綜合資料整理而成，整理：王左利）