努力讓思考適配年代
在中國網(wǎng)絡(luò)安全的發(fā)展中,2016年云集著眾多的里程碑節(jié)點——習(xí)近平總書記在4.19網(wǎng)信工作會議上發(fā)表重要講話;網(wǎng)絡(luò)安全法正式通過,強調(diào)全面加強關(guān)鍵基礎(chǔ)設(shè)施防御;十三五規(guī)劃提出“自主先進”的全新要求…..一個未來清晰的地平線在遠方展開。對中國網(wǎng)安從業(yè)者來說,如果說此前十余年的摸索前進,更像是一個為這個“大時代”而積蓄力量的過程的話,2016年則已經(jīng)將新時代大幕正式開啟。無論對“樂觀堅持者”,抑或“悲觀放棄者”,還是“臨時轉(zhuǎn)型者”來說,這個時代都真實的到來了。
在這個大背景下,安天一直堅持的年度規(guī)定動作“安天基礎(chǔ)威脅年報”和“安天移動威脅年報”的正式發(fā)布日期被一推再推,移動威脅年報直至3月10日才發(fā)布。而基礎(chǔ)威脅年報的發(fā)布距離我們在今年1月的安天第四屆網(wǎng)絡(luò)安全冬訓(xùn)營上,向營員分發(fā)預(yù)發(fā)布版已經(jīng)過去了整整90天,如果說在其他年份,這種拖延和不斷修改是因為我們對技術(shù)的敬畏和對威脅的警惕,而這一次我們的反復(fù)推敲,則是我們在自我反思和檢驗:我們的行動是否跟進了我們的思考,我們的思考是否適配了這個時代!
自2014年起,我們提出了“觀點型年報”的自我要求,我們需要有自己的視角、立場和分析預(yù)測,我們放棄了傳統(tǒng)的以后臺惡意代碼的數(shù)據(jù)輸出來構(gòu)筑模板式“統(tǒng)計型”年報,我們深知那些精確到行為和靜態(tài)標(biāo)簽的“蔚為壯觀”的統(tǒng)計數(shù)據(jù),雖然看上去很美,但其并不具備足夠的參考價值;而用掃描傳播次數(shù)來作為威脅嚴(yán)重程度的度量衡,盡管對部分類型的風(fēng)險依舊有效,但那確實是“蠕蟲”和DDoS時代的產(chǎn)物,其掩蓋了那些更為嚴(yán)重的、更為隱蔽的威脅。但僅僅有觀點型年報這樣的意識就足夠么?我們回看此前幾年安天自己的年報,在充滿著“全面轉(zhuǎn)向”、“日趨嚴(yán)重”、“不斷浮現(xiàn)”、“接踵而至”這些成語的描述中,真的揭示了威脅的現(xiàn)狀和趨勢么?
在這份年報中,我們非常謹慎又沉重的提供了以下思考和觀點:
APT行為的歷史比APT這一名詞的歷史更為久遠,今天我們看到的APT事件的“頻發(fā)”,更多是曝光度的增加,而這種曝光度的增加是由于APT攻擊聚焦了更多的安全資源和媒體關(guān)注導(dǎo)致的。我們認為對APT攻擊的趨勢最合理的表述是:APT攻擊是網(wǎng)絡(luò)空間的常態(tài)存在,而其增量更多的來自新興目標(biāo)場景的拉動和新玩家的不斷入場。
APT的攻擊重點“轉(zhuǎn)移”到關(guān)鍵信息基礎(chǔ)設(shè)施既是一種趨勢,更是一種既定事實。對超級攻擊者來說,關(guān)鍵信息基礎(chǔ)設(shè)施一直是APT攻擊的重點目標(biāo),這種攻擊圍繞持續(xù)的信息獲取和戰(zhàn)場預(yù)制展開,在這個過程中CNE(網(wǎng)絡(luò)情報利用)的行為是CNA(網(wǎng)絡(luò)攻擊)的前提準(zhǔn)備。
商用攻擊平臺、商用木馬和漏洞利用工具等網(wǎng)絡(luò)商業(yè)軍火全面降低APT攻擊成本,提升攻擊追溯難度。商業(yè)軍火的泛濫,首先帶來的是金字塔的底層混亂,不受控的商業(yè)武器,更有利于鞏固一個單級的世界。
將APT概念泛化到一些使用高級手段和技巧的攻擊行為,是不負責(zé)任的,沒有攻擊意圖和攻擊意志的APT分析,不是可靠的APT分析判定。而恰恰相反的是,高級的網(wǎng)絡(luò)攻擊未必使用高級的技巧和裝備,APT攻擊者劫持普通惡意代碼,包括全面?zhèn)窝b成普通的黑產(chǎn)犯罪可能會成為一種趨勢。
IT基礎(chǔ)設(shè)施的不完備、信息化建設(shè)的“小生產(chǎn)化”等原因?qū)е略谖覈畔⒒ㄔO(shè)中,架構(gòu)安全和被動防御層面存在嚴(yán)重的先天基礎(chǔ)不足,這是我國應(yīng)對風(fēng)險能力不足的根本原因之一。我們不僅需要守衛(wèi)一條漫長的、充滿弱點的邊界,也擁有大量“防御孤島”和散點。對此,沒有更進一步的信息化與安全的同步建設(shè),沒有“安全與發(fā)展同步推進”,安全防御依然將無法有效展開。
跟隨硅谷安全產(chǎn)業(yè)圈實踐的亦步亦趨,不能有效全面應(yīng)對中國所面對的APT風(fēng)險。硅谷的安全探索更多是面對發(fā)達國家政企和行業(yè)客戶基礎(chǔ)安全投入已經(jīng)在全面產(chǎn)生基礎(chǔ)價值的情況下,進行積極防御和威脅情報的加強。但脫離了基礎(chǔ)能力的高階安全手段,是不能有效發(fā)揮作用的。從具體的風(fēng)險對抗層面來看,超級攻擊者在信道側(cè)的物理優(yōu)勢,以及與傳統(tǒng)人力和電磁能力結(jié)合的作業(yè)特點,導(dǎo)致C&C、文件HASH信標(biāo)型威脅情報對其行動的檢測價值被大大削弱了。
“物理隔離+好人假定+規(guī)定”推演,構(gòu)成了一種安全假象和自我安慰,網(wǎng)絡(luò)分區(qū)策略和隔離手段無疑是必備、必要的安全策略,但如果不能伴隨更強有力的內(nèi)網(wǎng)安全策略,其可能帶來更大的安全風(fēng)險。安全策略和安全投入,需要基于以內(nèi)網(wǎng)已被穿透和“內(nèi)鬼”已經(jīng)存在作為前提假定來實行。
黑產(chǎn)大數(shù)據(jù)帶來的個體悲劇案例,還只是這一問題的冰山一角,當(dāng)前數(shù)據(jù)流失總量,已經(jīng)構(gòu)成了準(zhǔn)全民化的畫像能力,其帶來的“威脅情報反用”已經(jīng)構(gòu)筑了高精度單點打擊,從而帶來了較大的國家安全風(fēng)險。不受控的采集、信息資產(chǎn)的離散化、問責(zé)體制的不明確,構(gòu)成了風(fēng)險加速的主因。
傳統(tǒng)Windows PC惡意代碼增速開始下降,移動等新興場景惡意代碼繼續(xù)加速發(fā)展,同時各種平臺下高級惡意代碼的隱蔽性和抗分析能力都在不斷提升。
威脅情報不只是防御方資源,威脅情報也是情報威脅,是攻防雙方的公共地帶。同樣的數(shù)據(jù),對防御方來說是規(guī)則和線索,對攻擊方來說則是攻擊資源和痕跡。
“敲詐者”是當(dāng)前值得關(guān)注的高發(fā)性惡意代碼行為,其從最早的郵件惡意代碼投放,開始和“僵尸網(wǎng)絡(luò)”、“蠕蟲傳播”、“網(wǎng)站滲透”、“內(nèi)網(wǎng)傳播”、“手機病毒”等疊加,其影響范圍已經(jīng)全面從個人用戶到達政企網(wǎng)絡(luò)。其不再只是一種惡意代碼類型,而成為典型的黑色經(jīng)濟模式。
大規(guī)模IoT設(shè)備的蠕蟲感染事件,不能單純作為DDoS攻擊跳板來看。被入侵的這些設(shè)備本身具有更多的資源縱深價值,這比使用這些設(shè)備參與DDoS攻擊所帶來的危險更為嚴(yán)重。IoT大面積的脆弱性存在,有著更為隱蔽、危害更大的社會安全風(fēng)險和國家安全風(fēng)險。只是這種風(fēng)險,更不容易被感知到罷了。
今天從供應(yīng)鏈安全的視角上看,更多依然采用從上游抵達下游的“間接路線”來審視。供應(yīng)鏈防御作為高價值場景防御的延展,逐漸為安全管理者所接受。但僅僅把供應(yīng)鏈風(fēng)險視為達到關(guān)鍵目標(biāo)的外延風(fēng)險是不夠的,供應(yīng)鏈不僅是攻擊入口,其本身更是重要的目標(biāo),未來的網(wǎng)絡(luò)空間攻防的主戰(zhàn)場將圍繞“供應(yīng)鏈”和“大數(shù)據(jù)”展開。
閱讀完整版報告:
京公網(wǎng)安備 11010502049343號