安天實驗室首席技術架構師肖新光：網絡防禦，考驗大國能力

【環球時報記者 郭媛丹】6日，就萬豪國際5億客戶資訊洩露事件，英國路透社援引匿名人士的話，一方面稱找出真凶異常困難，另一方面卻將中國稱作主嫌疑人。近年來，一些西方國家常常毫無根據地指責中國的個人或團隊進行特定網絡攻擊，意圖竊取他國商業和軍工機密。實際上，中國一直是網絡攻擊的受害者。《環球時報》記者近日專訪安天實驗室首席技術架構師肖新光，他以一些案例為模板闡述了中國面臨的網絡攻擊情況。安天為網信主管部門、軍隊、保密、部委行業和關鍵資訊基礎設施等高安全需求客戶，提供整體解決方案。肖新光說，依靠在重大安全災難中付出慘痛代價來推動網絡安全能力進步，是一種非常被動的模式，也是我們不希望看到的。

我們所面臨的高級網空威脅行為體，其往往具有境外情報部門背景

環球時報：進入21世紀以來，網絡應用發展如火如荼，對中國造成安全威脅的網絡攻擊是否存在階段性特點？

肖新光：從2000年到2005年前後，網絡蠕蟲傳播、DDoS等對互聯網使用體驗有較大影響的攻擊容易為人們關注。2005年後，隨著互聯網應用的豐富，用戶財產和隱私與網絡的關係愈加密切，以獲利為目的的木馬和攻擊開始爆炸式增長。

伴隨著資訊化高速發展，資訊資產的價值發生巨大變化，與互聯網連接或不連接的各種資訊系統，成為關係國家安全、國計民生、社會運行的關鍵樞紐。網絡威脅的主要後果，已經不是對公共互聯網效率和上網體驗的影響，而是進一步影響到政治、經濟、軍事、科技、生態等領域，而相關攻擊更多來自高級網空威脅行為體。

當然，並不是說高級網空威脅行為體最近幾年才出現，從目前公開的資訊看，至少從2000年起，NSA(美國國家安全局)下屬的“方程式”組織就已經針對全球互聯網重要目標進行入侵。由於具有高度隱蔽性，其威脅是逐漸暴露顯現出來的。

環球時報：中國的哪些領域受到的網絡攻擊比較集中？

肖新光：中國遭遇高級網絡威脅，主要集中在政治、經濟、軍事、科技等領域的高價值目標。“白象”主要針對政府、軍工、大專院校等目標;“綠斑”主要針對政府、航空、軍事、科研等目標;“海蓮花”針對海事機構、科研院所和航運企業等。需要指出的是，這種攻擊“集中”在某個領域，體現的是對特定目標的定向性，其目的是獲取機密資訊、形成持久的控制和作業能力，造成目標毀癱等，其表現形式並不是攻擊流量密集的“集中”，恰恰相反，其行為次數通常較少，隱蔽而難以發現。

環球時報：能否舉例說明高級網空威脅行為體是如何進行網絡攻擊的？

肖新光：以“白象”為例，該攻擊組織向我方科研人員發送偽裝成熱點資訊的電子郵件，郵件中有惡意鏈接，點擊後就會下載打開含漏洞攻擊代碼的OFFICE檔案，釋放木馬控制電腦。

不只是郵件，包括郵件伺服器，甚至網絡防火牆等安全設備，都是高級網空威脅行為體攻擊的首選目標。例如NSA攻擊中東最大的金融服務機構，就是通過未公開漏洞，先後取得兩層防火牆的控制權，滲透到內網當中。

攻擊者還會通過劫持配送中的設備，買通內部人員，派駐人員到被攻擊方臥底等方式，將木馬和攻擊裝備帶入被攻擊場景中，從而突破物理隔離防線。一旦攻擊者進入內網，就通過漏洞進行“橫向移動”，投放木馬，獲取更多節點的控制權，以接近更高價值節點，獲取高價值敏感資訊。同時，攻擊者還會通過隱藏到系統韌體中等方法，實現在被攻擊網絡中持久存在的目的。高級網空威脅行為體的攻擊體系非常複雜，我這裡隻列舉了一些容易理解的例子。

環球時報：像“海蓮花”等高度組織化、專業化的境外國家級黑客組織，對中國的攻擊是否在逐年增多？

肖新光：隨著中國的高速發展，資訊化程度不斷提高，資訊資產價值也不斷提升。在複雜的大國博弈和地緣競合形勢下，中國面臨的網絡安全挑戰注定會日趨嚴峻。我們所面臨的高級網空威脅行為體，其往往具有境外情報部門背景。它們有堅定的攻擊意志，能夠承受高昂攻擊成本和代價，是在工程體系支撐下，由高水準的人員團隊從攻擊武器庫中選擇合適的裝備進行組合攻擊。

網絡攻擊，“投入產出比極高”？

環球時報：從潛入到被發現，很多網絡攻擊是一個長期過程，隱蔽性極高，這是否意味著網絡攻擊的“投入產出比極高”？

肖新光：網絡攻擊既有定向性的，也有非定向性的，既有快速爆發的，也有長期潛伏的。在定向攻擊中，帶有國家地區背景的高級網空威脅行為體發動的攻擊，具有長期、隱蔽的特點，防禦處置難度較高，在威脅被獵殺處置後，還會不斷繼續尋找新的攻擊點。相比於傳統的信號情報手段及人力情報，網絡入侵在很多場景下有更高“效費比”，而且可以和其他手段組合使用。

烏克蘭電網遭攻擊事件(2015年末，烏克蘭電網發生世界首例因遭黑客攻擊而造成的大規模停電事故——編者注)也說明，網絡攻擊可以達成與傳統軍事打擊相當的局部效果，而且其成本更低。網絡作業能力能全面提升傳統軍事能力，美國網絡司令部認為，美軍“物理領域的優勢在很大程度上依賴於網絡空間中的優勢”。

環球時報：能否以“白象”攻擊組織為例，說明一下是如何發現、分析和溯源APT(高級持續性威脅)攻擊的？

肖新光：首先是要依靠部署在用戶側的態勢感知平台體系和高級威脅防護產品，協助用戶發現攻擊線索，攔截攻擊行為。同時，安天部署了大量監測環節，進行主動的威脅捕獲和自動化分析，並與業內廠商及機構進行威脅情報共享。安天分析團隊通過監測分析結果與公開情報結合，對“白象”攻擊組織進行了畫像，並鎖定了一名自然人。

我們要看到，高級網空威脅行為體的能力越強，攻擊就越隱蔽，難發現。僅靠安全廠商自己的曝光披露，不足以威懾攻擊者。讓每一個重要資訊系統和關鍵資訊基礎設施形成能夠應對敵情的有效防護能力，才能及時發現攻擊，最大程度減少損失。

環球時報：維護網絡安全如同醫生治病救人，目前能否說“醫術”趕不上“病魔”的腳步？

肖新光：“網絡安全的本質在對抗，對抗的本質在攻防兩端能力較量。”防禦工作的主角是用戶側的安全運維防護人員，我們研發中的戰術型態勢感知平台體系是圍繞用戶側的網空防禦人員展開設計的。這個較量必然是長期、動態的，對抗中的主動權取決於很多因素。在各種博弈中，攻擊方都有一定主動權，但防禦方同樣可以以體系化的防禦來應對體系化的攻擊。收縮攻擊面，消耗攻擊方資源，削弱、阻斷和呈現攻擊鏈。

網絡強國的偉大戰略目標，需要網絡安全能力來支撐。依靠在重大安全災難中付出慘痛代價來推動網絡安全能力進步，是一種非常被動的模式，也是我們不希望看到的。

“敵已在內、敵將在 內”——最基礎的敵情想定

環球時報：網絡安全成為大國博弈和地緣政治中的常態化對抗，中國的薄弱環節有哪些？

肖新光：根據我們在網絡監測和處置工作中看到的情況，重要資訊系統和關鍵資訊基礎設施態勢感知能力匱乏及防護能力缺失，是當前我們面臨的非常迫切的問題。面對勒索軟體等低水準攻擊，依然頻繁失陷，更不足以應對高級網空威脅行為體的攻擊。網絡防禦能力已經成為大國能力的關鍵支撐。

開展能力導向的規劃和建設，全面提升我國資訊基礎設施安全防護能力和水準是當前的發力點，需要在每一個重要資訊系統和關鍵資訊基礎設施都實現“全天候全方位感知和有效防護”。

要做好網絡安全防禦工作，需要先建立客觀的敵情想定，這是對網空威脅行為體的意圖、體系、能力、資源、預案的全面分析和設定。對於高資訊價值、高防護等級、高威脅對抗的場景，物理隔離禦敵於城門之外已經是不切實際的幻想，“敵已在內、敵將在內”是最基礎的想定。

環球時報：您對美國的網絡攻擊和防護能力有什麽樣的評估？中國與美國的差距大嗎？網絡安全領域是否需要國際合作？

肖新光：美方擁有全球各國中支撐從信號情報到網絡攻擊作業的最為龐大的工程體系，有著最龐大複雜的機構和人員規模。美國擁有全球最龐大的網絡空間攻擊武器庫，包括覆蓋全系統平台的高級惡意代碼、大量未公開漏洞利用工具、攻擊平台以及運載、植入、傳輸中繼設備等。

美方不僅建設了大量情報和攻擊作業工程體系，還不遺余力地進行各種戰場預製。從防護能力上看，美國在本世紀初，逐步從威脅導向建設模式走向能力導向建設模式，進行了系統、全面的安全投入。在網絡安全規劃建設運維方面，美方積累了大量方法、框架、標準等，有非常多成功的實踐經驗。

應對高級網空威脅行為體攻擊對我國重要資訊系統和關鍵資訊基礎設施來說，是一個非常嚴峻的挑戰。我國的重要資訊系統和關鍵基礎設施，需要針對這一量級的攻擊實現有效防護、快速發現、及時止損、全面量損，這需要系統扎實的建設與投入。可以說，重要資訊系統和關鍵基礎設施的防禦水準高低會在關鍵時刻決定國家戰略的主動程度。

儘管各國間有不同的國情，有不同的利益訴求，但也面臨著共同的威脅和挑戰，例如應對重大網絡病毒疫情和危害關鍵資訊基礎設施的嚴重漏洞等，都需要相應的應急聯動機制，共同維護網絡空間安全。