努力让思考适配年代

在中国网络安全的发展中，2016年云集着众多的里程碑节点——习近平总书记在4.19网信工作会议上发表重要讲话；网络安全法正式通过，强调全面加强关键基础设施防御；十三五规划提出“自主先进”的全新要求…..一个未来清晰的地平线在远方展开。对中国网安从业者来说，如果说此前十余年的摸索前进，更像是一个为这个“大时代”而积蓄力量的过程的话，2016年则已经将新时代大幕正式开启。无论对“乐观坚持者”，抑或“悲观放弃者”，还是“临时转型者”来说，这个时代都真实的到来了。

在这个大背景下，安天一直坚持的年度规定动作“安天基础威胁年报”和“安天移动威胁年报”的正式发布日期被一推再推，移动威胁年报直至3月10日才发布。而基础威胁年报的发布距离我们在今年1月的安天第四届网络安全冬训营上，向营员分发预发布版已经过去了整整90天，如果说在其他年份，这种拖延和不断修改是因为我们对技术的敬畏和对威胁的警惕，而这一次我们的反复推敲，则是我们在自我反思和检验：我们的行动是否跟进了我们的思考，我们的思考是否适配了这个时代！

自2014年起，我们提出了“观点型年报”的自我要求，我们需要有自己的视角、立场和分析预测，我们放弃了传统的以后台恶意代码的数据输出来构筑模板式“统计型”年报，我们深知那些精确到行为和静态标签的“蔚为壮观”的统计数据，虽然看上去很美，但其并不具备足够的参考价值；而用扫描传播次数来作为威胁严重程度的度量衡，尽管对部分类型的风险依旧有效，但那确实是“蠕虫”和DDoS时代的产物，其掩盖了那些更为严重的、更为隐蔽的威胁。但仅仅有观点型年报这样的意识就足够么？我们回看此前几年安天自己的年报，在充满着“全面转向”、“日趋严重”、“不断浮现”、“接踵而至”这些成语的描述中，真的揭示了威胁的现状和趋势么？

在这份年报中，我们非常谨慎又沉重的提供了以下思考和观点：

APT行为的历史比APT这一名词的历史更为久远，今天我们看到的APT事件的“频发”，更多是曝光度的增加，而这种曝光度的增加是由于APT攻击聚焦了更多的安全资源和媒体关注导致的。我们认为对APT攻击的趋势最合理的表述是：APT攻击是网络空间的常态存在，而其增量更多的来自新兴目标场景的拉动和新玩家的不断入场。

APT的攻击重点“转移”到关键信息基础设施既是一种趋势，更是一种既定事实。对超级攻击者来说，关键信息基础设施一直是APT攻击的重点目标，这种攻击围绕持续的信息获取和战场预制展开，在这个过程中CNE（网络情报利用）的行为是CNA（网络攻击）的前提准备。

商用攻击平台、商用木马和漏洞利用工具等网络商业军火全面降低APT攻击成本，提升攻击追溯难度。商业军火的泛滥，首先带来的是金字塔的底层混乱，不受控的商业武器，更有利于巩固一个单级的世界。

将APT概念泛化到一些使用高级手段和技巧的攻击行为，是不负责任的，没有攻击意图和攻击意志的APT分析，不是可靠的APT分析判定。而恰恰相反的是，高级的网络攻击未必使用高级的技巧和装备，APT攻击者劫持普通恶意代码，包括全面伪装成普通的黑产犯罪可能会成为一种趋势。

IT基础设施的不完备、信息化建设的“小生产化”等原因导致在我国信息化建设中，架构安全和被动防御层面存在严重的先天基础不足，这是我国应对风险能力不足的根本原因之一。我们不仅需要守卫一条漫长的、充满弱点的边界，也拥有大量“防御孤岛”和散点。对此，没有更进一步的信息化与安全的同步建设，没有“安全与发展同步推进”，安全防御依然将无法有效展开。

跟随硅谷安全产业圈实践的亦步亦趋，不能有效全面应对中国所面对的APT风险。硅谷的安全探索更多是面对发达国家政企和行业客户基础安全投入已经在全面产生基础价值的情况下，进行积极防御和威胁情报的加强。但脱离了基础能力的高阶安全手段，是不能有效发挥作用的。从具体的风险对抗层面来看，超级攻击者在信道侧的物理优势，以及与传统人力和电磁能力结合的作业特点，导致C&C、文件HASH信标型威胁情报对其行动的检测价值被大大削弱了。

“物理隔离+好人假定+规定”推演，构成了一种安全假象和自我安慰，网络分区策略和隔离手段无疑是必备、必要的安全策略，但如果不能伴随更强有力的内网安全策略，其可能带来更大的安全风险。安全策略和安全投入，需要基于以内网已被穿透和“内鬼”已经存在作为前提假定来实行。

黑产大数据带来的个体悲剧案例，还只是这一问题的冰山一角，当前数据流失总量，已经构成了准全民化的画像能力，其带来的“威胁情报反用”已经构筑了高精度单点打击，从而带来了较大的国家安全风险。不受控的采集、信息资产的离散化、问责体制的不明确，构成了风险加速的主因。

传统Windows PC恶意代码增速开始下降，移动等新兴场景恶意代码继续加速发展，同时各种平台下高级恶意代码的隐蔽性和抗分析能力都在不断提升。

威胁情报不只是防御方资源，威胁情报也是情报威胁，是攻防双方的公共地带。同样的数据，对防御方来说是规则和线索，对攻击方来说则是攻击资源和痕迹。

“敲诈者”是当前值得关注的高发性恶意代码行为，其从最早的邮件恶意代码投放，开始和“僵尸网络”、“蠕虫传播”、“网站渗透”、“内网传播”、“手机病毒”等叠加，其影响范围已经全面从个人用户到达政企网络。其不再只是一种恶意代码类型，而成为典型的黑色经济模式。

大规模IoT设备的蠕虫感染事件，不能单纯作为DDoS攻击跳板来看。被入侵的这些设备本身具有更多的资源纵深价值，这比使用这些设备参与DDoS攻击所带来的危险更为严重。IoT大面积的脆弱性存在，有着更为隐蔽、危害更大的社会安全风险和国家安全风险。只是这种风险，更不容易被感知到罢了。

今天从供应链安全的视角上看，更多依然采用从上游抵达下游的“间接路线”来审视。供应链防御作为高价值场景防御的延展，逐渐为安全管理者所接受。但仅仅把供应链风险视为达到关键目标的外延风险是不够的，供应链不仅是攻击入口，其本身更是重要的目标，未来的网络空间攻防的主战场将围绕“供应链”和“大数据”展开。

阅读完整版报告：

http://www.antiy.cn/report/2016_Antiy_Annual_Security_Report.html

相关阅读

2016年移动安全年报：威胁的全面迁徙
网络战争的暴力美学：江海客的七个安全观点