第五空间战场的核心:数据、专家、情报与知识库
作者:星期五, 八月 30, 20190

上周举办的第七届 ISC 大会的主题之一就是应对网络战。而在网络空间这个第五战区,其作战的方式、形式都和传统的海陆空战争大为不同。首先,不同于传统战争的 “宣而后战”,部队往往在宣战后才进行进发作战,网络战争往往是 “不宣而战”——任何的战斗行为往往在宣战前就已经准备好,包括后门、病毒的植入等等。另一方面,网络战又是全民参与的战争,不仅体现在黑客的攻击目标往往包括了电力、交通等直接影响平民的重要基础设施,同时每一个爱国的技术青年也都几乎有能力参加到保卫祖国网络的战场上。在这个环境下,各个国家都在加紧步伐,加强自己在网络空间中的战斗能力。

360集团首席安全技术官郑文彬

第五战区的中美环境

从美国的情况来看,他们很早就在网络空间的攻防中投入了大量的财力和精力。每年,NSA 花费了 100 亿美元进行全球的网络作战布局,甚至曾以 1,000 万美元收买 RSA 公司植入算法后门。在这次 ISC 会上,360 集团首席安全技术官郑文彬对震网病毒、FOXACID、VALIDATOR 等多个 NSA 攻击武器进行了披露,这些武器直指国家的关键设施、网络、系统,并且攻击手段多样。但是,郑文彬同时指出,NSA 武器存量如巨型冰山,毁灭力堪比 “核爆炸”,但为外界所知的只有冰山上的一小部分,未被外界发现的部分就像水下巨型冰山一样。其中,NSA 中的 TAO 部门是从 2007 年成长起来的绝密黑客部门,对全球各地的电脑进行渗透。

然而,在斯诺登泄露的文件中,TAO 却将 360 视为全球中唯一困扰自己的安全公司。这是为什么呢?事实上,360 已经追踪各个国家对中国的网络攻击多年,如在 2013 年的震网攻击中发现国内也受到影响,2015 年对方程式攻击进行追踪。另一方面,360 目前已经发现境外针对我国的 APT 组织达 40 个,从而能知道敌人的情况下应对网络安全。在过去的几年中,高等院校/教育、金融/贸易、航天/航空/天文是我国遭受 APT攻击最多的三个领域。

我们需要什么来应对网络战?

郑文彬在采访中表示,360 公司的四大核心能力是:大数据、网络安全专家、以及知识库和情报方面的能力。从大数据角度来看,360 拥有着大量的流量数据以及各类行为数据,并且通过机器学习的方式建立精确、有价值的行为模型。同时,360 今年有 10 人进入微软 MSRC 全球最有价值安全精英榜单,其中 7 人进入榜单前 50,第一名更是来自 360 Vulcan Team 的古河。360 在网络安全专家方面的积累可见一斑。

在正规战争当中,情报往往是极为重要的一环;在网络战中亦然。作为追踪 NSA 武器多年的企业,甚至是获得对方最为肯定的企业,360 在对于应对 APT 方面的实战经验积累是远远超出其他企业的。在网络战当中,仅仅知道自己遭受攻击是远远不够的;我们还需要了解对方是谁、在哪、用了什么样的武器?360 的高级威胁分析团队,在多年的对抗中,分析、追踪、溯源的多个 APT 组织,成为了当下与未来在网络空间进行对抗的重要情报;在这基础之上,360 建立了完备的 APT 追踪发现流程以及迭代方案,从而更快速地追踪最新的 APT 攻击模式。

郑文彬在采访中也将 APT 攻击和普通的黑客攻击进行了对比,他表示这两者之间的技术差异比较大,但是 APT 组织往往有更多的资源,并且目标明确。对于军队、政府、能源、基础设施而言,能够识别出普通黑客攻击还是 APT 攻击相当重要—— APT 攻击者往往会比普通的个人攻击者,甚至脚本小子,投入更大量的资源,甚至不计成本地进行目标的攻击,往往有一定的攻击连续性。360 能力的独特价值,正是基于自身长久累积的知识库和情报,在安全大脑的帮助下能够分析识别是源于 APT 组织的攻击,还是只是普通的黑客行为;对于 APT 攻击,则能通过特征、指纹等进一步识别出攻击的归属。这一能力,是衡量对抗 APT 威胁的核心标准之一。

另一方面,如今的攻击经常会伴随着 0day 漏洞的使用,对 0day 漏洞的挖掘和修复能力也尤其重要。其核心是 360 独创的漏洞探针技术,能在漏洞初始化、漏洞触发、漏洞代码执行等多个攻击阶段都进行监控和防御。在发现 0day 漏洞的基础上,能够对未补丁的漏洞实施了 0day 热补丁技术,从而在没有补丁的情况下抵御 0day 攻击

第五战区路在何方?

在采访中,郑文彬也表达了,对未来我国企业能对自己遭受攻击这件事变得更开放的期望。在网络战的环境下,很多的攻击事件往往并非孤立的,而是有着关联性。如果企业能更为开明地将自己遭受攻击的情况相互公开,那么对于其他企业而言也能更快采取行动,控制潜在因 APT 攻击造成的影响。网络战尽管是国家层面的对决,但是依然是一场全民都需要注意的斗争。

另一方面,郑文彬认为,当下我国网络安全人才的数量和能力都不输于其他任何一个国家——这其实也从今年的微软MSRC全球最有价值安全精英榜单得以证明。在未来,我们可以参考、学习一些其他国家的网络安全人才培养制度,从高校开始专业培训网络安全人才,进一步提升我国在未来第五战区的战斗力。

安全牛评

周鸿祎能在 ISC 大会上提出 “应对网络战” 的主题显然是有了极为充分的准备与深厚的积累。郑文彬着重强调的在网络战以及对抗 APT 中的四大核心——数据、专家、情报、知识库,恰恰是 360 在国内,甚至全球的三大主要优势:对各类数据的收集和分析、获得全球认可的专家团队、多年追踪并对抗的经验和情报积累,这些都必将在网络战环境中帮助潜在的受攻击政企目标带来极大的保护。另一方面,360 的网络安全学院也在孜孜不倦地为我国的安全领域输送着新的网络安全专家,建立持续的网络安全人才防线。

相关阅读

 

ISC 2019 主论坛完整精华篇

 


相关文章

没有相关文章!

写一条评论

 

 

0条评论