網(wǎng)絡(luò)安全產(chǎn)業(yè)參與曝光高級可持續(xù)威脅組織的動因及啟示

（北京雙洲科技有限公司）

編者按：近年來，國內(nèi)外網(wǎng)絡(luò)安全企業(yè)頻繁參與發(fā)布各類高級可持續(xù)威脅（APT）組織的報告，對當(dāng)事國家的政治、經(jīng)濟安全乃至國際關(guān)系都造成了一定影響。其中以美國“賽門鐵克”、“火眼”，俄羅斯“卡巴斯基”為代表的網(wǎng)絡(luò)安全公司，是披露APT組織的主力軍。當(dāng)前，網(wǎng)絡(luò)安全產(chǎn)業(yè)已經(jīng)不僅僅對國家網(wǎng)絡(luò)經(jīng)濟發(fā)展具有重要推動作用，其已經(jīng)能夠?qū)艺?、國土安全和國際關(guān)系造成不可忽視的重要影響，有必要從中總結(jié)經(jīng)驗做法，為國家網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展和網(wǎng)絡(luò)空間治理提供借鑒。

1.國外網(wǎng)絡(luò)安全公司曝光APT組織的基本情況

1.1 網(wǎng)絡(luò)安全公司成為披露APT組織信息的主渠道

目前，發(fā)布APT組織信息的機構(gòu)主要有三類。首先，網(wǎng)絡(luò)安全公司是當(dāng)前曝光APT組織的主要力量。隨著新興資本與情報界人才大量流入更具規(guī)模和能力的網(wǎng)絡(luò)安全行業(yè)，世界范圍內(nèi)已經(jīng)有眾多企業(yè)擁有足以同政府情報和執(zhí)法部門相媲美的數(shù)據(jù)情報收集與分析水平，對APT組織具有更為強大的分析追蹤能力。其次，大型企業(yè)的安全機構(gòu)或部門是曝光APT攻擊的新興力量。目前，一些知名企業(yè)紛紛組建技術(shù)實力強大的安全團隊，以應(yīng)對日益嚴峻的網(wǎng)絡(luò)安全形勢。例如，谷歌的安全團隊早在2014年就先于“火眼”公司發(fā)現(xiàn)了與俄羅斯政府有關(guān)系的黑客組織APT28。2017年4月份，普華永道的網(wǎng)絡(luò)安全部門與世界第三大軍工企業(yè)BAE系統(tǒng)公司配合英國國家網(wǎng)絡(luò)安全中心披露了APT10黑客組織的情況，并稱該黑客組織來自中國。再者，國家情報部門利用網(wǎng)絡(luò)安全企業(yè)的技術(shù)支持，成為曝光APT組織的權(quán)威部門。近年來，美、英、德、法、韓等國的情報部門，通過政企合作的方式，均披露過本國政府部門或相關(guān)團體受到APT攻擊，并發(fā)布了詳細報告。

1.2 “利益驅(qū)動、政治導(dǎo)向”是網(wǎng)絡(luò)安全公司發(fā)布APT組織報告的根本動因

目前，由于網(wǎng)絡(luò)安全企業(yè)在業(yè)務(wù)能力、面向客戶以及與政府部門協(xié)作關(guān)系等層面存在差異，因此其發(fā)布APT黑客組織報告的動機也有所不同。綜合來看，主要有兩個方面。一是經(jīng)濟利益驅(qū)動。大多數(shù)公司發(fā)布報告的目的是為了證明自身技術(shù)實力，提升業(yè)內(nèi)知名度，從而獲取更多的商業(yè)利益。美國的網(wǎng)絡(luò)安全私營企業(yè)與政府有著極其密切的合作，通過網(wǎng)絡(luò)防務(wù)承包，兩者已經(jīng)形成了緊密且十分龐大的網(wǎng)絡(luò)安全產(chǎn)業(yè)復(fù)合體。此外，美國情報部門還出資培育一些對其有價值的網(wǎng)絡(luò)安全公司。例如，美國中情局（CIA）的風(fēng)險投資部門In-Q-Tel對于“火眼”的早期發(fā)展就給予了一定的幫助和引導(dǎo)，并保留了“火眼”一小部分的股份（少于1%）。對于以商業(yè)利益為首要目標的網(wǎng)絡(luò)安全公司來說，曝光美國敵對國家的黑客攻擊活動，幫助政府做其不方便出面做的事情，不僅可以證明自身技術(shù)實力，還可以與政府建立更加緊密的捆綁關(guān)系。二是服務(wù)于政治目的。美國公私部門之間的“旋轉(zhuǎn)門”機制使得美國軍隊、安全機構(gòu)與網(wǎng)絡(luò)防務(wù)承包商之間存在著頻繁的人員流動。例如2013年披露中國網(wǎng)絡(luò)間諜報告的Mandiant公司，其創(chuàng)始人就是美國空軍退役軍官，曾在美國國防部擔(dān)任計算機安全官員。這種人力資源為美國政府利用私營企業(yè)實現(xiàn)其戰(zhàn)略目的提供了便利，也成為很多安全公司生存之本，也是服務(wù)于美國的國家政治需要。作為美國政府的“馬前卒”，這些私營企業(yè)可以成為實現(xiàn)美國政府政治目的“隱形推手”。一般情況下，這類由政府主導(dǎo)的揭露黑客組織事件多發(fā)生在政府發(fā)布某些針對別國的外交政策前后，以證明其外交政策的正當(dāng)性。

1.3 “溯源取證、技術(shù)支撐”是網(wǎng)絡(luò)安全公司披露判定APT組織身份的主要手段

當(dāng)前，技術(shù)實力強大的網(wǎng)絡(luò)安全公司經(jīng)常發(fā)布關(guān)于由國家支持的APT黑客組織發(fā)動攻擊活動的報告，涉及朝鮮、越南、伊朗、俄羅斯等，中國也多次成為被曝光的對象，使中國處于極其被動的地位，并且成為美國制造并宣揚“中國網(wǎng)絡(luò)威脅論”的重要推手，這其實已經(jīng)形成了一種戰(zhàn)略威懾，對國家安全布局乃至國際關(guān)系和全球格局都產(chǎn)生了一定的影響。安全公司發(fā)布的報告之所以能夠起到這么大的影響力，歸根到底是其具有強大的技術(shù)支撐，能夠在技術(shù)層面形成證據(jù)鏈。一般情況下，網(wǎng)絡(luò)安全公司與國家情報部門主要通過被攻擊的目標主體、攻擊的范圍和強度來判斷攻擊是否屬于國家行為，甚至可以直接通過溯源追蹤找出黑客組織的身份證據(jù)。通常APT組織的國別判斷依據(jù)主要以發(fā)動攻擊的時間和程序執(zhí)行編譯的時間符合哪一時區(qū)、程序中的設(shè)置語言、受攻擊國的地緣政治利益、發(fā)動攻擊的時機是否與某一國際政治事件重合，以及通過與之前攻擊活動所用的惡意軟件等攻擊工具和攻擊方式進行對比等條件判斷，再結(jié)合對攻擊源頭的反向定位，從而得出APT組織的相關(guān)結(jié)論。

2.國外網(wǎng)絡(luò)安全公司曝光APT組織的主要特點

2.1 曝光的APT組織具有很明顯的選擇性

近年來，被曝光的APT組織主要包括有國家政府背景的黑客組織和無政府背景的網(wǎng)絡(luò)犯罪組織。其中無政府支持的APT組織發(fā)動攻擊多為謀求經(jīng)濟利益，通過竊取企業(yè)重要用戶信息、知識產(chǎn)權(quán)、商業(yè)機密等進行販賣和勒索，或通過竊取個人信息、個人數(shù)據(jù)進行身份欺詐等金融犯罪活動。由國家政府支持的APT組織則通常出于政治目的發(fā)動攻擊活動，竊取情報，開展間諜活動。從當(dāng)前網(wǎng)絡(luò)安全公司曝光APT黑客組織的情況看，其選擇披露對象具有明顯的針對性，突出了國家政府支持的APT組織信息。特別是美國，范圍集中在美國的競爭對手或無國際影響力的小國，而對于美國政府及其盟友所實施的黑客行為，他們則視而不見、避而不談。作為美國的網(wǎng)絡(luò)安全公司，其客戶大部分為歐美企業(yè)，所以曝光的集中點聚焦于中俄等具有競爭力的大國。美國強大的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)監(jiān)控能力世界皆知，其監(jiān)控的觸角遍布全球，因此美國網(wǎng)絡(luò)安全公司絕對有能力監(jiān)測到歐美的黑客攻擊活動，然而，歐美的黑客活動從未得到美國網(wǎng)絡(luò)安全公司的揭露，這就充分證明了這些網(wǎng)絡(luò)安全公司與政府之間的密切關(guān)系，具有很強的政治屬性。

2.2 網(wǎng)絡(luò)安全公司與國家部門政企聯(lián)動，擴大影響

在網(wǎng)絡(luò)安全公司或國家情報部門發(fā)布APT組織的報告后，其國家政府部門往往會緊接著采取后續(xù)跟進措施，以加強渲染、施加壓力，并最終達到某種政治目的或更高層面的國家企圖。其做法通常有三種：一是發(fā)布警告聲明，提高警戒水平，加強防范。例如，2017年6月，在多個網(wǎng)絡(luò)安全公司發(fā)布“WannaCry”勒索病毒與朝鮮黑客組織有關(guān)的證據(jù)后，美國國土安全部與聯(lián)邦調(diào)查局聯(lián)合發(fā)布了一份警告聲明，對朝鮮政府自2009年以來發(fā)起的一系列網(wǎng)絡(luò)攻擊提出指責(zé)并警告稱未來可能會出現(xiàn)更多的網(wǎng)絡(luò)攻擊事件。二是采取制裁措施進行報復(fù)。2016年12月，美國前總統(tǒng)奧巴馬宣布對俄羅斯進行制裁，以此作為對美國政府所稱的俄羅斯黑客組織干預(yù)美國大選所采取的報復(fù)措施。三是逮捕、起訴黑客人員。近年來，美國執(zhí)法部門陸續(xù)逮捕、起訴了多名涉嫌攻擊美國政府和企業(yè)的黑客，成為美國打擊國家支持的網(wǎng)絡(luò)攻擊的又一重要工具，并對國際關(guān)系造成了一定程度的影響。

2.3 被曝光國家“被動否認，消極應(yīng)對”

目前，針對網(wǎng)絡(luò)安全公司或國家情報機構(gòu)明確指出APT黑客攻擊活動來源于某一國政府的情況，被披露國家通常采取的態(tài)度主要包括三種。一是全面否認，并強調(diào)自身是網(wǎng)絡(luò)攻擊的受害國。目前，包括越南、俄羅斯、朝鮮、伊朗在內(nèi)的被披露涉及黑客攻擊活動的國家在報告發(fā)布的第一時間都采取全面否認的方式進行回應(yīng)，并強調(diào)自身長期受到網(wǎng)絡(luò)攻擊的事實。這種方式可以轉(zhuǎn)移事件的焦點，減少輿論壓力。此外，某些國家在否認的同時，也會用其他的可能原因從另一個角度來解讀事件，以模糊視聽。二是承認指控，但撇清與政府的關(guān)系。俄羅斯總統(tǒng)普京近期面對美國指責(zé)俄羅斯干擾美國大選時，承認“一些‘愛國’黑客可能令這段時間俄羅斯與西方的關(guān)系雪上加霜”，但否認俄羅斯在國家層面參與過此類活動。這種回應(yīng)方式從側(cè)面承認了攻擊活動，但撇清了政府的責(zé)任。三是承認指控，但用法律和國家安全當(dāng)擋箭牌。2013年“棱鏡門”事件曝光后，美國前總統(tǒng)奧巴馬雖然公開承認實施網(wǎng)絡(luò)監(jiān)控計劃，但卻極力維護該計劃的正當(dāng)性，以法律和國家安全為擋箭牌?！皣野踩焙汀胺纯帧笔敲绹回炇褂玫摹凹總z”，是其所有受到質(zhì)疑的網(wǎng)絡(luò)攻擊行動的“保護傘”。

3.幾點啟示

3.1 加強網(wǎng)絡(luò)安全態(tài)勢感知和防御能力

APT組織攻擊目標明確、危害大，甚至對國家安全構(gòu)成嚴重威脅，因此政府機構(gòu)成為世界各國對抗APT攻擊的最主要支持。只有政府建立強大的威脅監(jiān)測、防御、分析、溯源等安全技術(shù)能力，才能有效地發(fā)現(xiàn)威脅、阻斷攻擊以及反制對手，才能取得主動。在全球網(wǎng)絡(luò)安全形勢日趨嚴峻的形勢下，國家安全態(tài)勢感知和防御能力是抵御威脅的根本保障。而與歐美相比，我國安全防御技術(shù)總體落后，對高級別復(fù)雜性威脅應(yīng)對能力不足，這就需要政府機構(gòu)集中力量大力發(fā)展網(wǎng)絡(luò)安全技術(shù), 通過政、產(chǎn)、研、學(xué)合作提升整體網(wǎng)絡(luò)安全技術(shù)水平，從而為國家網(wǎng)絡(luò)安全態(tài)勢感知和防御提供支撐。一方面，以技術(shù)為基礎(chǔ)，在政府的政策支持和統(tǒng)籌管理下，整合黨政軍民多方資金、技術(shù)和科技資源，發(fā)揮政府機構(gòu)和網(wǎng)絡(luò)安全公司各自優(yōu)勢，形成取長補短的技術(shù)發(fā)展格局。另一方面，以人才為根本，著力培養(yǎng)頂尖網(wǎng)絡(luò)安全技術(shù)人才,為網(wǎng)絡(luò)安全技術(shù)的發(fā)展提供人才支撐，以此不斷健全國家空間安防力量，對APT組織網(wǎng)絡(luò)攻擊形成威懾，在國際網(wǎng)絡(luò)空間大環(huán)境中取得話語權(quán)。

3.2 重點培植網(wǎng)絡(luò)安全知名企業(yè)，充分發(fā)揮網(wǎng)絡(luò)安全公司在網(wǎng)絡(luò)空間國際治理中的支撐作用

目前我國的網(wǎng)絡(luò)安全產(chǎn)業(yè)雖然得到快速發(fā)展，但尚未形成完備的生態(tài)體系，缺乏能夠與國外企業(yè)抗衡的知名企業(yè)，這使得我國在網(wǎng)絡(luò)安全治理方面難以獲得有效的產(chǎn)業(yè)支撐，對待APT組織攻擊難以分析取證，難以掌握整個攻擊過程，并缺乏有效的反制措施,在整個網(wǎng)絡(luò)防護過程中處于被動的不利地位。培育頂尖的網(wǎng)絡(luò)安全公司，發(fā)展強大的網(wǎng)絡(luò)安全技術(shù)，不僅可以為我國網(wǎng)絡(luò)安全體系建立堅固的安全防線，保護我國關(guān)鍵信息基礎(chǔ)設(shè)施安全和數(shù)據(jù)安全，還可以利用民間企業(yè)的創(chuàng)新能力為國家在國際網(wǎng)絡(luò)空間博弈中提供有效的先進技術(shù)支撐。當(dāng)前，我國應(yīng)積極在國內(nèi)選取一批優(yōu)質(zhì)的網(wǎng)絡(luò)安全企業(yè)，主動培育發(fā)展技術(shù)實力強的網(wǎng)絡(luò)安全龍頭企業(yè)，使其成為國家間網(wǎng)絡(luò)空間防御體系的重要力量，為占據(jù)網(wǎng)絡(luò)空間制高點和提升國際話語權(quán)貢獻力量。

3.3 深入推進網(wǎng)絡(luò)空間國際合作戰(zhàn)略，強化網(wǎng)絡(luò)安全合作聯(lián)防

面對日益嚴峻的APT攻擊威脅，任何國家都難以獨善其身，國家政府應(yīng)以深入推進網(wǎng)絡(luò)空間國際合作戰(zhàn)略為依托，不斷拓展網(wǎng)絡(luò)空間伙伴關(guān)系，積極與其他各國開展對話與合作，實現(xiàn)威脅信息、安全技術(shù)共享，共同開展打擊惡意網(wǎng)絡(luò)攻擊活動。同時，面對全球性的網(wǎng)絡(luò)安全問題與挑戰(zhàn),國家政府應(yīng)積極推進建設(shè)性國際協(xié)商合作，積極樹立“負責(zé)任大國”的正面國際形象；針對他國的惡意指控，需借助國際合作平臺向世界各國表明國家政府希望網(wǎng)絡(luò)空間和平、各國共同繁榮發(fā)展的明確立場，向世界宣傳 “網(wǎng)絡(luò)空間共同體”的主張，消除西方國家營造“黑客威脅論”的土壤環(huán)境。