中國網(wǎng)絡(luò)安全防護：四個自問

“網(wǎng)絡(luò)攻擊中大玩家的出現(xiàn)，針對具有重要戰(zhàn)略價值的防護目標，將逐漸區(qū)別于業(yè)余類的對抗，形成網(wǎng)絡(luò)安全對抗的兩個分支。這兩類分支的區(qū)別越來越大，對抗傳統(tǒng)黑客的方式，不適應(yīng)于對抗大玩家。網(wǎng)絡(luò)安全對抗進入全新的一頁，需要研究新的思路，建設(shè)新的能力?！?/p>

杜躍進

教授、博士，互聯(lián)網(wǎng)安全專家。曾任國家網(wǎng)絡(luò)信息安全技術(shù)研究所所長、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心副總工程師。主持或參與了2001年至2008年我國幾乎所有大規(guī)模網(wǎng)絡(luò)安全事件的數(shù)據(jù)監(jiān)測、技術(shù)分析和應(yīng)急協(xié)調(diào)等工作。

應(yīng)對APT的挑戰(zhàn)

震網(wǎng)出來之后的4年內(nèi)，圍繞其的分析主要有：它是如何攻擊位于Natanz的伊朗核設(shè)施的？它是如何隱藏自己的？它是如何違背開發(fā)者的期望并擴散到Natanz之外的？但是這些分析的主要內(nèi)容要么是錯誤的要么是不完整的。這些問題困擾著網(wǎng)絡(luò)安全專家、軍事戰(zhàn)略家、信息安全專家、政治決策者和廣大公眾。

與之前出現(xiàn)的病毒、木馬全然不同，類似于震網(wǎng)這樣的。APT（高級持續(xù)性感染）種類的攻擊是另外完全不同的一種,那么，如何有效應(yīng)對APT攻擊？

業(yè)內(nèi)專家分析說，在早期感染式病毒為主導(dǎo)的時代，我們面對的是對文件完整性的焦慮，因此，我們要進行人工分析，編寫清除病毒的參數(shù)、腳本或模塊，把文件恢復(fù)到感染前的狀態(tài)；而對于蠕蟲，我們面對的是及時性焦慮，類似Slammer在不到十分鐘的時間就感染了全球百萬臺SQL Server服務(wù)器的等情況，讓產(chǎn)業(yè)界更關(guān)注發(fā)現(xiàn)并遏制蠕蟲的及時性；而對于木馬，我們主要擔(dān)心其數(shù)量級數(shù)的膨脹，是一種數(shù)量級和處理能力焦慮，我們需要增強海量計算資源的自動分析和終端上的主動防御能力與之抗衡；而對于APT，我們卻是難以預(yù)見和防御的，我們對APT的恐懼是對其后果的焦慮，那么我們應(yīng)如何有效應(yīng)對APT？我們所能做的是如何更快速的感知和深度分析APT，以及對APT的回溯評估。

他進一步尖銳地指出，“面對類似APT等新興威脅，傳統(tǒng)查殺率統(tǒng)計已經(jīng)失去了意義，安全廠商能力表現(xiàn)的度量衡又是什么呢？”

在過去，大部分蠕蟲病毒雖然讓安全企業(yè)很困擾，但大部分病毒可以在24小時內(nèi)被捕獲，有的時間稍長但也是以天來計算。而APT時代，“我們對相關(guān)惡意代碼的感知時間則以年為單位來計算，比如，F(xiàn)lame是在初始活動近5年后才被發(fā)現(xiàn)的，這是由于投放的定向性、條件觸發(fā)、自毀等方法導(dǎo)致的攻守不平衡。而另一原因也是境內(nèi)外能力與信息的不對稱，無法得到國外工控等廠商的技術(shù)支持。”

不同的時代，由于威脅對象和方法的不同，引發(fā)了需求和焦慮感的不同，進而導(dǎo)致我們工作方法也隨之產(chǎn)生相應(yīng)地改變。

對抗方式的改變

攻擊方式的改變，攻擊思維的改變，意味著對抗方式必須改變。最初的安全對抗只是單純的加密與解密的對抗；之后的系統(tǒng)安全也相對簡單。但APT出現(xiàn)后的網(wǎng)絡(luò)攻防的復(fù)雜程度已經(jīng)超越以往。

那么，中國網(wǎng)絡(luò)安全防護的現(xiàn)狀如何？相關(guān)人士分析說，僅在漏洞發(fā)現(xiàn)方面，我們就遠遠落后于我們的對手。

就APT 攻擊而言，攻擊者通常會組合使用“零日漏洞”(0day)、用社會工程學(xué)攻擊方法、使用特征未知尚不能檢測的攻擊程序等。杜躍進認為，有三類漏洞影響著中國的網(wǎng)絡(luò)安全。一類是隱藏多年的“戰(zhàn)略級儲備漏洞”，它們具有重大利用價值、被攻擊者長期秘密掌握而不為外人所知。第二類是多如牛毛的“自主開發(fā)的漏洞”。這些漏洞是因為我們的軟件開發(fā)人員不懂得安全編程、所用的軟件也不經(jīng)過安全檢測和審計，最終導(dǎo)致大量的自主開發(fā)軟件存在多如牛毛的漏洞( 因為如今都是聯(lián)網(wǎng)環(huán)境，這些漏洞都比較容易被攻擊者探測和利用)。第三類是復(fù)雜關(guān)聯(lián)的“代碼共用漏洞”，指的是現(xiàn)在大量軟件互相共用代碼模塊，導(dǎo)致某個軟件的漏洞實際上會影響大量其他軟件，但是這種漏洞的關(guān)聯(lián)影響常常從用戶到開發(fā)者都沒注意到。

2012年，國外媒體刊登了一篇文章《玻璃龍》，玻璃，意味著透明。作者是一個技術(shù)人員，他花了一年半的時間每天花費7個小時探測和研究中國的網(wǎng)站。種種觀察之后，這篇文章最后得出觀點：“中國的網(wǎng)絡(luò)攻擊能力與其經(jīng)濟大國的地位不相稱，能力偏低；網(wǎng)站缺少基本的防護，數(shù)以萬計的網(wǎng)絡(luò)和數(shù)據(jù)庫難以抵擋遠程攻擊；中國黑客使用的工具質(zhì)量低下、隱蔽能力差、加密技術(shù)落后，代碼重復(fù)使用普遍；攻擊方式比較低級，似乎只在攻擊某一特定行業(yè)時比較在行。這名黑客還分析了之所以出現(xiàn)這種情況的原因，包括，人才培養(yǎng)不夠，缺乏有效的安全管理等等。

杜躍進認為，這個分析是比較客觀的。“值得關(guān)注的是，我們的很多軟件，系統(tǒng)，包括承載著許多敏感信息的系統(tǒng)都漏洞百出。因為我們不懂怎么做安全的設(shè)計和安全的開發(fā)與測試，但是今天互聯(lián)網(wǎng)與全球連接，有的是人對我們感興趣，如果不解決這些問題，未來的網(wǎng)絡(luò)安全狀況可想而知?！?/p>

拷問網(wǎng)絡(luò)安全防護能力

不得不提的是，斯諾登爆料之后，國內(nèi)議論紛紛，有一種極保守的觀點是，如果不接入互聯(lián)網(wǎng)就不存在這么多安全問題了。

就如同一個命題：向左走？向右走？“向左走退出互聯(lián)網(wǎng)意味著徹底認輸，等于徹底出局。而只有迎接挑戰(zhàn)才有一線生機。”杜躍進認為。Gartner在去年的一個論斷是，全世界所有的公司都是IT公司，無論何種公司未來都將采用IT的方式做財務(wù)，IT的方式做生意。 “IT意味著很多風(fēng)險，但是這是必須承受的?！?/p>

就此，杜躍進分析：“網(wǎng)絡(luò)攻擊中大玩家的出現(xiàn)，針對具有重要戰(zhàn)略價值的防護目標，將逐漸區(qū)別于業(yè)余類的對抗，形成網(wǎng)絡(luò)安全對抗的兩個分支。這兩類分支的區(qū)別越來越大，對抗傳統(tǒng)黑客的方式，不適應(yīng)于來對抗大玩家。網(wǎng)絡(luò)安全對抗進入全新的一頁，需要研究新的思路，建設(shè)新的能力?！?/p>

2014中國互聯(lián)網(wǎng)安全大會現(xiàn)場

但目前來看，中國急需從各種網(wǎng)絡(luò)安全事件中審視自身的安全應(yīng)對能力，并全面提升安全思路。“不得不說，在大玩家時代，我們面臨著殘酷的現(xiàn)實——能力不足。”杜躍進認為，“網(wǎng)絡(luò)安全講究知己知彼，但從Stuxnet到Duqu到Flame，我們的發(fā)現(xiàn)能力、分析能力、應(yīng)急能力如何？我們的知彼能力如何？ 2009暴風(fēng)影音事件、2013中國域名受攻擊事件中，我們的知己能力又如何？ 斯諾登事件、棱鏡事件中，我們的安全防護能力如何？”

針對這些問題，杜躍進對當(dāng)前網(wǎng)絡(luò)提出了幾個自問。

自問之一：

直到今天，誰能說得清整網(wǎng)的安全風(fēng)險？

自問之二：

Flame等攻擊，如果是針對我國的，我們能應(yīng)對嗎？除了Stuxnet系列的攻擊，別人的武器庫中還有別的我們目前想像不到的攻擊方法嗎？ 是不是已經(jīng)有針對我國的高級攻擊早已潛伏在我們的關(guān)鍵部位呢？ 為什么發(fā)現(xiàn)不了APT，哪怕不是那么高級的？ 為什么我們對事件、惡意代碼、漏洞的發(fā)現(xiàn)與分析能力屢屢失效？

自問之三：

所謂自主可控。過渡期有多長？這期間怎么辦？不僅僅是產(chǎn)品的問題，運行上的問題呢？（自己的產(chǎn)品，就能實現(xiàn)自主可控嗎？） 有一天這些自主可控的設(shè)備都會上線，在這種過渡時期，安全如何做？

自問之四：

BYOD，準備好了嗎？未來網(wǎng)絡(luò)環(huán)境更復(fù)雜，面對如此紛繁復(fù)雜的網(wǎng)絡(luò)環(huán)境，如何提升網(wǎng)絡(luò)安全能力？

杜認為，針對大玩家時代的網(wǎng)絡(luò)攻擊，人工的成分比以往更加重要，因此情報、資源和能力的整合將更加重要，現(xiàn)有的監(jiān)測、預(yù)警、響應(yīng)以及風(fēng)險管理，在應(yīng)用到新分支時，恐怕都需要進行針對性的升級。

（本文根據(jù)綜合資料整理而成，整理：王左利）