26日,武漢市應(yīng)急管理局地震監(jiān)測(cè)中心報(bào)警稱,該中心發(fā)現(xiàn)部分地震速報(bào)數(shù)據(jù)前端臺(tái)站采集點(diǎn)網(wǎng)絡(luò)設(shè)備被植入后門程序�,武漢市公安局江漢分局隨即對(duì)此案立案?jìng)刹?,初步判定����,此事件為境外具有政府背景的黑客組織和不法分子發(fā)起的網(wǎng)絡(luò)攻擊行為。
此次網(wǎng)絡(luò)攻擊案件背后目的是什么�����,取得了哪些新進(jìn)展�?被攻擊單位從“被動(dòng)”到“主動(dòng)”式發(fā)布又釋放了怎樣的信息?對(duì)此�,《環(huán)球時(shí)報(bào)》獨(dú)家采訪360集團(tuán)創(chuàng)始人周鴻祎�,他表示�,無論是西工大還是武漢應(yīng)急管理局面對(duì)國(guó)家級(jí)黑客攻擊敢于正視的行動(dòng)都為發(fā)現(xiàn)��、阻止國(guó)家級(jí)大規(guī)模網(wǎng)絡(luò)攻擊創(chuàng)造了重要機(jī)會(huì)���,意義重大����,值得被肯定���。
環(huán)球時(shí)報(bào):針對(duì)武漢市應(yīng)急管理局地震監(jiān)測(cè)中心被攻擊事件����,國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心和360公司組成的聯(lián)合調(diào)查組是否有新的發(fā)現(xiàn)�?
(相關(guān)資料圖)
周鴻祎:目前,國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心和360公司組成的專家已赴武漢開展取證工作����,初步證據(jù)顯示,此次對(duì)武漢市地震監(jiān)測(cè)中心實(shí)施的網(wǎng)絡(luò)攻擊目的是竊取地質(zhì)數(shù)據(jù)�����。地質(zhì)信息與作戰(zhàn)地形息息相關(guān),一旦被竊取并與軍事活動(dòng)關(guān)聯(lián)后患無窮�。
環(huán)球時(shí)報(bào):我們注意到,無論是去年的西北工業(yè)大學(xué)還是武漢市應(yīng)急管理局地震監(jiān)測(cè)中心��,都主動(dòng)對(duì)外界發(fā)布了《公開聲明》稱其遭受境外網(wǎng)絡(luò)攻擊���,并向公安局報(bào)警�。對(duì)于被攻擊單位“主動(dòng)”式發(fā)布的處理方式�����,您如何評(píng)價(jià)���?
周鴻祎:毫無疑問��,這種行為值得高度肯定����。面對(duì)國(guó)家級(jí)APT組織攻擊�����,需要政府、企業(yè)���、安全廠商��、組織機(jī)構(gòu)等多方的協(xié)同參與�,形成強(qiáng)大的合力來共同應(yīng)對(duì)�����。但在實(shí)際工作中由于很多涉事單位因?yàn)椤昂ε聯(lián)?zé)”����,導(dǎo)致APT排查面臨巨大阻力�����,造成APT調(diào)查分析不全面��、不徹底�,對(duì)國(guó)家應(yīng)對(duì)APT攻擊極為不利。
因此無論是之前的西工大事件還是本次武漢應(yīng)急管理局事件��,面對(duì)國(guó)家級(jí)黑客攻擊敢于正視的行動(dòng)為我們發(fā)現(xiàn)�����、阻止國(guó)家級(jí)大規(guī)模網(wǎng)絡(luò)攻擊創(chuàng)造了重要機(jī)會(huì)。通過對(duì)境外網(wǎng)絡(luò)攻擊的全盤揭露�,無論對(duì)維護(hù)本國(guó)網(wǎng)絡(luò)空間國(guó)家利益,還是保障全球網(wǎng)絡(luò)空間和平與安全角度���,意義重大���,值得被肯定與借鑒。
環(huán)球時(shí)報(bào):這種“害怕?lián)?zé)”的涉事單位帶來哪些阻力��?
周鴻祎:首先是“門難進(jìn)”���。360利用全網(wǎng)安全大數(shù)據(jù)可以定位出受APT攻擊的具體受害單位��,但是在上門排查時(shí)經(jīng)常被以“無官方授權(quán)”的理由拒之門外��。其次是“不配合”�,受害單位以各種理由不提供排查所需要的安全日志�����、網(wǎng)絡(luò)數(shù)據(jù)����。第三是“不承認(rèn)”�,對(duì)受APT攻擊的事實(shí)拒不承認(rèn)��,甚至可能刪除相關(guān)日志記錄�,導(dǎo)致失去APT攻擊分析取證的重要線索。
環(huán)球時(shí)報(bào):當(dāng)下���,國(guó)家級(jí)APT組織針對(duì)我國(guó)關(guān)鍵基礎(chǔ)設(shè)施發(fā)起網(wǎng)絡(luò)攻擊呈現(xiàn)出哪些特點(diǎn)����?
周鴻祎:國(guó)家級(jí)APT組織往往針對(duì)我國(guó)政府��、行業(yè)龍頭企業(yè)���、大學(xué)、醫(yī)療機(jī)構(gòu)�����、科研單位等進(jìn)行網(wǎng)絡(luò)攻擊行動(dòng)�����,實(shí)現(xiàn)竊取數(shù)據(jù)、情報(bào)����、破壞等多種目的,其最大的挑戰(zhàn)是“看不見”�。
APT攻擊具有六大特點(diǎn):一、攻擊者通常是專業(yè)黑客組織或國(guó)家級(jí)網(wǎng)軍�����,具備國(guó)家級(jí)能力和資源����;二、普遍使用未知安全漏洞等攻擊手段����,難以設(shè)防;三�����、攻擊是一個(gè)持續(xù)不斷的過程�,通過網(wǎng)絡(luò)上多個(gè)節(jié)點(diǎn)作為跳板層層滲透,形成很長(zhǎng)的攻擊鏈條�����;四、長(zhǎng)期潛伏滲透����,潛伏時(shí)間或超過十余年,隱蔽性強(qiáng)����;五、攻擊工具武器化�����,360曾在調(diào)查西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊行動(dòng)中發(fā)現(xiàn)�,NSA先后使用了41種專用網(wǎng)絡(luò)攻擊武器裝備;六�����、網(wǎng)絡(luò)攻擊行為呈現(xiàn)自動(dòng)化�、體系化和智能化的特征���,各種攻擊手法前后呼應(yīng)���、環(huán)環(huán)相扣��。
環(huán)球時(shí)報(bào):網(wǎng)絡(luò)空間正在演變?yōu)閲?guó)際博弈主戰(zhàn)場(chǎng)���,尤其是在俄烏沖突中,網(wǎng)絡(luò)戰(zhàn)從暗處走向前臺(tái)�,俄烏雙方均遭受了持續(xù)、系統(tǒng)的網(wǎng)絡(luò)攻擊�。請(qǐng)問,網(wǎng)絡(luò)戰(zhàn)呈現(xiàn)出哪些特點(diǎn)���。
周鴻祎:當(dāng)前��,國(guó)際形勢(shì)復(fù)雜動(dòng)蕩�����,伴隨著大國(guó)博弈的加劇�,網(wǎng)絡(luò)空間的軍事化進(jìn)程也明顯加快�,網(wǎng)絡(luò)戰(zhàn)被越來越多的國(guó)家或力量當(dāng)作攻擊他國(guó)的“利器”,網(wǎng)絡(luò)空間的安全威脅更具殺傷性和破壞力�。在我們多年對(duì)網(wǎng)絡(luò)戰(zhàn)的跟蹤研究中可以發(fā)現(xiàn),與其他戰(zhàn)爭(zhēng)模式不同�,網(wǎng)絡(luò)戰(zhàn)不分戰(zhàn)時(shí)和平時(shí)�,隨時(shí)可以發(fā)動(dòng)攻擊�����,而其也已經(jīng)成為戰(zhàn)爭(zhēng)首選���,成本低�����,效果好��,烈度可控�����,連反擊都不知道找誰反擊����。
環(huán)球時(shí)報(bào):針對(duì)網(wǎng)絡(luò)戰(zhàn)呈現(xiàn)出的特點(diǎn)����,我國(guó)政企單位的自身防御能力是否足夠�?
周鴻祎:城市����、企業(yè)����、政府作為數(shù)字化的核心場(chǎng)景,面臨內(nèi)外部雙重挑戰(zhàn)���,風(fēng)險(xiǎn)遍布數(shù)字化所有場(chǎng)景���。由于APT攻擊難以被看見,傳統(tǒng)“產(chǎn)品堆砌�����、忽視運(yùn)營(yíng)和專家”的網(wǎng)絡(luò)安全防護(hù)手段無法做到有效攔截����,只能掩耳盜鈴,追求“零事故”自欺欺人��。造成事實(shí)上的“沒有攻不破的網(wǎng)絡(luò)”和“敵已在我”��,也看不見�����、防不住、管不了��。
環(huán)球時(shí)報(bào):面對(duì)強(qiáng)大的攻擊和當(dāng)下一些不夠有效的方法���,如何高效率構(gòu)建實(shí)戰(zhàn)化安全防御體系�����,快速獲得安全能力�����?
周鴻祎:首先���,我們需要建設(shè)安全大數(shù)據(jù),建立全網(wǎng)安全事件檔案����,幫助用戶對(duì)威脅攻擊有所防備。安全大數(shù)據(jù)����、情報(bào)、知識(shí)是尋找捕捉網(wǎng)絡(luò)攻擊蛛絲馬跡的基礎(chǔ)與關(guān)鍵���,政企單位需要建立全網(wǎng)動(dòng)態(tài)安全事件檔案庫�,以更高的全局視野“看見”行業(yè)威脅情報(bào)�����,掌握全網(wǎng)安全態(tài)勢(shì)�����。其中終端數(shù)據(jù)尤為重要����,80%的APT攻擊針對(duì)終端環(huán)境,終端是看見威脅的“眼睛”�。
其次,需要提前布防�����,快速��、及時(shí)發(fā)現(xiàn)安全線索,實(shí)現(xiàn)安全威脅早期發(fā)現(xiàn)���、早期處置�、早期止損�。
第三,需要有AI技術(shù)提升自動(dòng)化和智能化水平���。為了進(jìn)一步提升效率���,我們需要應(yīng)用人工智能技術(shù)提升自動(dòng)化分析水平,對(duì)海量安全事件實(shí)現(xiàn)自動(dòng)化分析�、篩選和關(guān)聯(lián),快速發(fā)現(xiàn)攻擊線索并采取自動(dòng)響應(yīng)���,提升安全防御效率����。
第四��,需要有具備豐富的安全實(shí)戰(zhàn)對(duì)抗經(jīng)驗(yàn)的專家�����。我們需要組建一支漏洞挖掘、威脅檢測(cè)����、情報(bào)分析等各相關(guān)專業(yè)組成的多層級(jí)專家團(tuán)隊(duì),具備與各國(guó)網(wǎng)軍�、黑產(chǎn)集團(tuán)常年作戰(zhàn)經(jīng)驗(yàn)�,進(jìn)行7X24小時(shí)不間斷的持續(xù)發(fā)現(xiàn)、分析����、響應(yīng)、處置�����。
第五���,要實(shí)現(xiàn)大數(shù)據(jù)分析��、指揮管控��、專家協(xié)同運(yùn)營(yíng)����,需要一個(gè)具備強(qiáng)大全局能力的安全運(yùn)營(yíng)平臺(tái),支撐安全運(yùn)營(yíng)生命周期的全過程��。通過自動(dòng)化響應(yīng)處置和安全專家判斷相結(jié)合���,建立快速響應(yīng)處置能力��、搭建響應(yīng)處置平臺(tái)�����、接入安全分析結(jié)果����、聯(lián)動(dòng)安全設(shè)備���,在安全事件發(fā)生后及時(shí)控制攻擊局勢(shì)�、恢復(fù)受損系統(tǒng)���,實(shí)現(xiàn)快速響應(yīng)�����。
環(huán)球時(shí)報(bào):一方面���,網(wǎng)絡(luò)空間已經(jīng)成為大國(guó)競(jìng)爭(zhēng)和地緣對(duì)抗的主戰(zhàn)場(chǎng)�����,網(wǎng)絡(luò)安全已經(jīng)從某個(gè)特定領(lǐng)域的問題演變成關(guān)乎全局的重大問題��。另一方面在我國(guó)的政企單位中有存在一些不符合時(shí)代發(fā)展的觀念����,比如您提及的“不配合”“不承認(rèn)”的做法�����。面對(duì)這種矛盾���,您有什么建議嗎?
周鴻祎:一是國(guó)家相關(guān)部門建立APT攻擊免責(zé)機(jī)制���,并對(duì)主動(dòng)報(bào)送重要線索的行為予以獎(jiǎng)勵(lì)���。APT攻擊不同于一般的網(wǎng)絡(luò)安全事件,已經(jīng)超出政企單位自身的安全防護(hù)能力�,因此政企單位不應(yīng)被視為責(zé)任方����,而是受害者��。建議有關(guān)部門明確規(guī)定����,在政企單位達(dá)到國(guó)家網(wǎng)絡(luò)安全法律法規(guī)相關(guān)要求的前提下,不予追究其受到APT攻擊的網(wǎng)絡(luò)安全責(zé)任���,同時(shí)獎(jiǎng)勵(lì)受攻擊單位及時(shí)報(bào)送APT攻擊線索��,變責(zé)任追究為正向引導(dǎo)��。
二是引導(dǎo)關(guān)鍵基礎(chǔ)設(shè)施單位���、重要敏感單位與有能力的網(wǎng)絡(luò)安全企業(yè)主動(dòng)合作開展APT排查工作。建議有關(guān)部門建立APT排查的工作機(jī)制��,引導(dǎo)關(guān)鍵基礎(chǔ)設(shè)施單位����、重要敏感單位(黨政、國(guó)防��、軍工、尖端科研單位等)與有能力的網(wǎng)絡(luò)安全企業(yè)主動(dòng)合作����,排查自身APT攻擊線索和安全隱患。對(duì)發(fā)現(xiàn)的APT攻擊線索及時(shí)報(bào)送主管部門開展分析研判��,并進(jìn)行全網(wǎng)清查�����,確保已潛伏在內(nèi)的APT得到及時(shí)���、全面、深度清除��,扭轉(zhuǎn)“敵已在我”的被動(dòng)形勢(shì)�����。
三是集中民間防御力量���,組建民間性質(zhì)的“白帽黑客”社區(qū)�,吸納安全人才�����。網(wǎng)絡(luò)安全的實(shí)質(zhì)是人與人的對(duì)抗,不是購買和部署一批網(wǎng)絡(luò)安全設(shè)備��、安裝一批軟件就能解決問題的�,對(duì)抗也不可能完全依賴自動(dòng)化完成,只有安全專家才能將攻擊知識(shí)系統(tǒng)化地吸收���、理解并轉(zhuǎn)化為針對(duì)性的對(duì)抗能力��。因此建議由相關(guān)機(jī)構(gòu)牽頭組建安全大社區(qū)���,號(hào)召具有實(shí)力的安全專家在平臺(tái)上交流技術(shù)心得、分享知識(shí)干貨��、開展實(shí)戰(zhàn)演習(xí)����、共同提高能力,為我國(guó)填補(bǔ)相關(guān)人才缺口���,以備“網(wǎng)絡(luò)空間熱戰(zhàn)”爆發(fā)時(shí)人才匱乏之需��。此外����,也建議國(guó)家相關(guān)部門支持安全企業(yè)拓展業(yè)務(wù)生態(tài),如安全服務(wù)�����,實(shí)現(xiàn)安全攻防行業(yè)就業(yè)規(guī)模的擴(kuò)大�,吸納和留住更多人才。
標(biāo)簽:
