360安全專家：美國(guó)網(wǎng)絡(luò)攻擊將超越虛擬世界，給現(xiàn)實(shí)世界造成巨大威脅

【環(huán)球時(shí)報(bào)-環(huán)球網(wǎng)報(bào)道 記者 袁宏】近一個(gè)月以來(lái)，360集團(tuán)連續(xù)發(fā)布美國(guó)國(guó)家安全局（NSA）對(duì)全球以及我國(guó)進(jìn)行網(wǎng)絡(luò)攻擊的相關(guān)報(bào)告，展示出美國(guó)網(wǎng)絡(luò)攻擊活動(dòng)常態(tài)化，也表明其潛在威脅越來(lái)越大。對(duì)此，360政企安全集團(tuán)追日實(shí)驗(yàn)室負(fù)責(zé)人邊亮在接受《環(huán)球時(shí)報(bào)》記者獨(dú)家專訪時(shí)表示，這些威脅一旦被引爆，危害將超越虛擬世界，給現(xiàn)實(shí)世界造成重大安全事件，各部門必須意識(shí)到網(wǎng)絡(luò)安全的緊迫性并立即采取措施防范潛在威脅。

環(huán)球時(shí)報(bào)：近一段時(shí)期以來(lái)，360公司連續(xù)發(fā)布NSA對(duì)全球以及我國(guó)進(jìn)行網(wǎng)絡(luò)攻擊的相關(guān)報(bào)告。請(qǐng)問(wèn)我們是如何最終確定發(fā)現(xiàn)攻擊方來(lái)自NSA的？

邊亮：根據(jù)維基百科記錄，NSA下設(shè)一個(gè)名為接入技術(shù)行動(dòng)處的絕密部門TAO (Tailored Access Operations，也稱特定入侵行動(dòng)辦公室)，主要負(fù)責(zé)對(duì)其他國(guó)家互聯(lián)網(wǎng)設(shè)施進(jìn)行網(wǎng)絡(luò)監(jiān)控、情報(bào)獲取、甚至遠(yuǎn)程破壞等活動(dòng)。這個(gè)部門至少在1998年時(shí)就開始活躍。從2008年開始，360通過(guò)安全大腦整合了海量的安全大數(shù)據(jù)，捕獲發(fā)現(xiàn)了大量異常復(fù)雜的網(wǎng)絡(luò)黑客攻擊程序樣本，經(jīng)過(guò)長(zhǎng)期分析跟蹤并從多個(gè)受害單位實(shí)地取證，確認(rèn)其中一大批黑客攻擊程序樣本屬于NSA。

環(huán)球時(shí)報(bào)：NSA實(shí)施的網(wǎng)絡(luò)攻擊是否有其特有屬性？

邊亮：與常規(guī)的黑客攻擊破壞活動(dòng)不同，NSA的黑客攻擊更為精細(xì)化，能針對(duì)正常網(wǎng)絡(luò)流量中的任意網(wǎng)絡(luò)通訊和文件傳輸進(jìn)行操控、分析和破壞，特定情況下可以遠(yuǎn)程關(guān)閉或破壞遭攻擊目標(biāo)的關(guān)鍵信息基礎(chǔ)設(shè)施和水、電、氣等民生設(shè)施。

環(huán)球時(shí)報(bào)：2020年，360公司曾經(jīng)也公開披露過(guò)美國(guó)CIA機(jī)構(gòu)對(duì)全球的攻擊，與NSA相比較，這兩者之間有何不同？

邊亮：從攻擊工具看，美國(guó)CIA是利用核心網(wǎng)絡(luò)武器“Vault7（穹窿7）”進(jìn)行的一系列攻擊活動(dòng)。而此次所披露的NSA網(wǎng)絡(luò)武器數(shù)量更多，攻擊能力更強(qiáng)，并且這些網(wǎng)絡(luò)武器相互之間已經(jīng)實(shí)現(xiàn)了自動(dòng)化，工業(yè)化和人工智能化利用。

在攻擊目標(biāo)方面，此前披露的CIA組織主要針對(duì)我國(guó)航空航天、科研機(jī)構(gòu)、石油行業(yè)、大型互聯(lián)網(wǎng)公司以及政府機(jī)構(gòu)等多個(gè)單位，其中較為突出的是以航空航天與科研機(jī)構(gòu)的系統(tǒng)開發(fā)人員進(jìn)行定向打擊為目標(biāo)。而此次NSA組織的網(wǎng)絡(luò)攻擊屬于無(wú)差別攻擊，目標(biāo)是全球范圍，甚至包括美國(guó)盟友。其針對(duì)各類電子郵箱、社交網(wǎng)絡(luò)、搜索引擎、視頻網(wǎng)站等幾乎所有互聯(lián)網(wǎng)用戶發(fā)起無(wú)差別的網(wǎng)絡(luò)攻擊。

環(huán)球時(shí)報(bào)：在長(zhǎng)期跟蹤研究中，美國(guó)對(duì)我國(guó)的網(wǎng)絡(luò)攻擊是否出現(xiàn)一些新特點(diǎn)？

邊亮：的確出現(xiàn)了一些變化，有一些新特點(diǎn)，我們總結(jié)為“六大變化”。首先，對(duì)手變大了：從以前的個(gè)體性黑客發(fā)展成為NSA和CIA牽頭的有規(guī)模有組織的網(wǎng)軍。其次，實(shí)施攻擊的領(lǐng)域越來(lái)越大，戰(zhàn)場(chǎng)變大：從上網(wǎng)計(jì)算機(jī)、信息網(wǎng)絡(luò)，到軍用、民用等各種關(guān)鍵信息基礎(chǔ)設(shè)施。第三，手段變大，呈現(xiàn)多樣化：從木馬、病毒到漏洞、后門、仿冒服務(wù)器等。第四，對(duì)手攻擊目標(biāo)變大：從此前炫技、黑產(chǎn)發(fā)展到國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施，重大國(guó)家秘密。第五，挑戰(zhàn)變大：威脅難以事先防范，無(wú)孔不入。第六，危害變大：平時(shí)竊取國(guó)家秘密，戰(zhàn)時(shí)成為首選戰(zhàn)爭(zhēng)形態(tài)，重要情報(bào)來(lái)源，制造動(dòng)亂等。

環(huán)球時(shí)報(bào)：您剛剛提到NSA實(shí)施的網(wǎng)絡(luò)攻擊特點(diǎn)之一是危害變大，那么對(duì)我國(guó)帶來(lái)怎樣的危害？

邊亮：根據(jù)360掌握的數(shù)據(jù)，NSA針對(duì)我國(guó)各行業(yè)龍頭企業(yè)、政府、大學(xué)、醫(yī)療機(jī)構(gòu)、科研機(jī)構(gòu)甚至關(guān)乎國(guó)計(jì)民生的重要信息基礎(chǔ)設(shè)施運(yùn)維單位等機(jī)構(gòu)進(jìn)行了長(zhǎng)達(dá)十余年時(shí)間的秘密黑客攻擊活動(dòng)，竊取了海量重要數(shù)據(jù)，包括人口數(shù)據(jù)、醫(yī)療衛(wèi)生數(shù)據(jù)、教育科研數(shù)據(jù)、軍事國(guó)防數(shù)據(jù)、航空航天數(shù)據(jù)、社會(huì)管理數(shù)據(jù)、交通管理數(shù)據(jù)、基礎(chǔ)設(shè)施數(shù)據(jù)等，在我國(guó)眾多的信息系統(tǒng)中植入后門，造成的現(xiàn)實(shí)危害和潛在威脅難以評(píng)估。NSA的網(wǎng)絡(luò)攻擊涉及領(lǐng)域多關(guān)乎國(guó)家生計(jì)和命脈，意在影響國(guó)家安全、公共安全以及公民個(gè)人信息安全，對(duì)我國(guó)每個(gè)組織機(jī)構(gòu)來(lái)說(shuō)，都可能面臨著網(wǎng)絡(luò)威脅的風(fēng)險(xiǎn)，這些威脅可能會(huì)破壞關(guān)鍵基礎(chǔ)設(shè)施，影響基礎(chǔ)服務(wù)，對(duì)公共安全造成影響。這些威脅，一旦被引爆，危害將超越虛擬世界，給現(xiàn)實(shí)世界造成重大安全事件。

環(huán)球時(shí)報(bào)：實(shí)際上在近期爆發(fā)的俄烏戰(zhàn)爭(zhēng)中，網(wǎng)絡(luò)戰(zhàn)已經(jīng)超越虛擬世界走入現(xiàn)實(shí)。請(qǐng)您描述一下網(wǎng)絡(luò)戰(zhàn)究竟會(huì)以何種形式進(jìn)行？

邊亮：毫無(wú)疑問(wèn)數(shù)字時(shí)代下網(wǎng)絡(luò)戰(zhàn)將成首選。隨著未來(lái)數(shù)字城市萬(wàn)物互聯(lián)，智能終端和網(wǎng)絡(luò)用戶數(shù)量的增加、數(shù)據(jù)來(lái)源的廣泛以及數(shù)據(jù)的多樣化和數(shù)據(jù)結(jié)構(gòu)的復(fù)雜化，使得各種承載城市運(yùn)行數(shù)據(jù)的關(guān)鍵信息基礎(chǔ)設(shè)施難于維護(hù)，進(jìn)而產(chǎn)生網(wǎng)絡(luò)安全建設(shè)及運(yùn)營(yíng)風(fēng)險(xiǎn)。同時(shí)，關(guān)鍵信息基礎(chǔ)設(shè)施各種軟硬件系統(tǒng)的漏洞也難以避免被利用攻擊。

這也就意味著網(wǎng)絡(luò)戰(zhàn)攻擊不僅僅是為了竊取情報(bào)，還可以對(duì)交通、能源、金融等基礎(chǔ)設(shè)施造成破壞，任何一個(gè)節(jié)點(diǎn)都可能成為攻擊跳板，牽一發(fā)而動(dòng)全身引發(fā)嚴(yán)重后果，為此必須要意識(shí)到網(wǎng)絡(luò)戰(zhàn)的嚴(yán)峻形勢(shì)，正視網(wǎng)絡(luò)戰(zhàn)。

環(huán)球時(shí)報(bào)：對(duì)于這種現(xiàn)狀，我們?cè)撊绾畏婪叮?/strong>

邊亮：我們建議將網(wǎng)絡(luò)安全升級(jí)為數(shù)字安全，打造覆蓋所有數(shù)字化場(chǎng)景的數(shù)字安全防范應(yīng)急體系，鼓勵(lì)相關(guān)機(jī)構(gòu)主動(dòng)上報(bào)風(fēng)險(xiǎn)。這要求建立區(qū)域、行業(yè)級(jí)安全大腦，打造國(guó)家級(jí)的防御體系——國(guó)家級(jí)的分布式安全大腦，為“看見”網(wǎng)絡(luò)攻擊提供能力基礎(chǔ)。大數(shù)據(jù)分析是目前唯一證明有效看見攻擊的方法，可以從大數(shù)據(jù)中建立攻擊行為的全局視角，看到網(wǎng)絡(luò)攻擊行為的全貌。

此外，城市是未來(lái)網(wǎng)絡(luò)戰(zhàn)的主要打擊對(duì)象。以前針對(duì)某個(gè)企業(yè)、某個(gè)政府部門的攻擊，變成針對(duì)一個(gè)城市的政府服務(wù)、關(guān)鍵基礎(chǔ)設(shè)施群的打擊，讓城市癱瘓、社會(huì)不穩(wěn)定。因此應(yīng)該建立城市的應(yīng)急響應(yīng)體系，建立類似城市級(jí)“防空反導(dǎo)”系統(tǒng)的安全基礎(chǔ)設(shè)施。

同時(shí)，要加強(qiáng)實(shí)網(wǎng)、實(shí)兵、實(shí)戰(zhàn)演練，在實(shí)戰(zhàn)中提升各單位的攻防能力。沒(méi)有攻不破的網(wǎng)絡(luò)，利用漏洞，每一個(gè)系統(tǒng)都可能被攻擊。要進(jìn)行實(shí)戰(zhàn)攻防演練，提升網(wǎng)絡(luò)空間、關(guān)鍵基礎(chǔ)設(shè)施的攻防能力。

第四，全網(wǎng)測(cè)繪、摸清家底，要定期針對(duì)關(guān)鍵基礎(chǔ)設(shè)施展開APT（高級(jí)可持續(xù)威脅攻擊）排查。要假定敵已在我，實(shí)時(shí)動(dòng)態(tài)推進(jìn)重要信息系統(tǒng)排查，摸清家底，實(shí)現(xiàn)自動(dòng)化威脅識(shí)別、風(fēng)險(xiǎn)阻斷和攻擊溯源，從源頭上提升國(guó)內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施的安全防御水平。

環(huán)球時(shí)報(bào)：當(dāng)前我們網(wǎng)絡(luò)防御體系建設(shè)已經(jīng)有了長(zhǎng)足進(jìn)步，您認(rèn)為哪些方面仍需要進(jìn)一步加強(qiáng)？

邊亮：首先，提升網(wǎng)絡(luò)安全和保密意識(shí)。建立信息系統(tǒng)的單位無(wú)論規(guī)模大小，都要確保單位領(lǐng)導(dǎo)充分意識(shí)到網(wǎng)絡(luò)安全的緊迫性并立即采取措施防范潛在威脅。

同時(shí)要提升本單位網(wǎng)絡(luò)安全防護(hù)能力。由于全球數(shù)字化進(jìn)程的加速，本單位業(yè)務(wù)環(huán)節(jié)變得更加復(fù)雜，網(wǎng)絡(luò)攻擊隨時(shí)有可能發(fā)生，因此，各單位需要不斷提升自身的網(wǎng)絡(luò)安全能力，增強(qiáng)應(yīng)急反應(yīng)能力、快速恢復(fù)能力，平時(shí)積極進(jìn)行攻防演練，并制定預(yù)案措施。

此外，降低破壞性網(wǎng)絡(luò)入侵的可能性，比如對(duì)組織機(jī)構(gòu)網(wǎng)絡(luò)的所有遠(yuǎn)程訪問(wèn)和特權(quán)或管理訪問(wèn)需要多因素身份驗(yàn)證；采用多項(xiàng)網(wǎng)絡(luò)安全服務(wù)，包括漏洞掃描等，幫助減少攻擊暴露面等等各種措施。

第四點(diǎn)要確保企業(yè)或組織在被入侵事件時(shí)及時(shí)響應(yīng)。比如測(cè)試備份程序，確保本單位受到勒索軟件或其他網(wǎng)絡(luò)攻擊時(shí)，能夠迅速恢復(fù)關(guān)鍵數(shù)據(jù)；遭到勒索軟件或其他網(wǎng)絡(luò)攻擊時(shí)，確保備份與網(wǎng)絡(luò)隔離等。