• 网络空间攻击态势发生三大深刻变化:由少数黑客的肆意妄为转变为国家力量有组织的集体行动,由以单一简单目标为主转变为以关键基础设施和复杂系统机构目标的规模行动,由网络空间内独立行动转变为陆海空天网联合行动。

  • 网络空间攻击威胁可以归纳为五大类型:网络空间单点攻击、系统攻击、体系攻击、联合攻击和总体攻击,在目标、手段、特征、威胁程度等维度均有所不同。

  • 有效应对网络空间五大攻击威胁,需要从网络攻击威胁模型、网络攻击能力评估、网络目标风险评估三个方面进行科学分析评估。

  • 网络空间领域已进入国家力量主导的网络对抗时代,需要多方参与共同应对:从国家层面,要建设国家级防御体系;从企业层面,要部署企业级防御框架;从人才方面,要培养通用型安全人才。

本文通过对网络攻击案例的梳理,归纳整理当前面临的五大网络空间攻击威胁,并提出相关应对策略,以期在未来的网络空间攻防对抗中获得主动。

一、五大网络空间攻击威胁概述

网络空间攻击态势发生了深刻的变化。现在网络攻击不仅仅是黑客肆意妄为的个人行为,越来越多的国家级力量参与到网络攻击行动中,网络空间业已成为大国间政治角力的新战场。

通过对网络攻击案例进行分析梳理,可以将网络空间攻击威胁归纳为五大类型——网络空间单点攻击、系统攻击、体系攻击、联合攻击和总体攻击。(如图1所示)五大网络攻击威胁在攻击目标、攻击手段、攻击特征、威胁程度等维度均有所不同。

图1 网络空间五大攻击威胁

(一)网络空间单点攻击

网络空间单点攻击是一种对抗烈度较低的攻击形态。攻击目标聚焦单一目标或简单系统,攻击人员由个人或小团队组成,攻击装备主要由漏洞装备和控守装备构成,攻击成果往往体现为获取重要信息或数据。

1、主要特点

人员数量较少:一般由个人或小规模团队组成。

目标规模较小:一般针对个人账号(邮箱账号、论坛账号)、主机终端(windows终端、Linux终端、MAC终端)移动终端(Android、iPhone)、应用服务器(web服务器、邮件服务器)、网络设备(路由器、防火墙、安防设备)等有限目标实施攻击。

装备性能一般:一般使用公开漏洞或开源渗透工具作为主要实施作战。

攻击协同不多:攻击人员一般全程参与攻击全过程,较少配合。

支撑资源有限:一般通过VPN、邮箱、DNS等资源开展行动。

作战目标单一:以获取网络目标情报信息为主要目的。

2、对抗态势

网络空间单点攻击过程中,攻击方主要有少数人员组成,使用突破工具和控制工具通过多种攻击手法向特定具体目标实施攻击,具体行动包括目标探测、漏洞攻击、远程控制、安防绕过等。

防御方则由系统厂商、设备厂商、应用厂商对目标资产进行自我安全防护,以及安全厂商进行外部安全防护,具体行动有修补漏洞、安全加固、病毒查杀等。

攻防双方对抗的焦点聚焦于具体目标的突破与反突破、控制与反控制。具体对抗态势如图2所示。

图2 网络空间单点攻击对抗态势

3、典型案例

网络空间单点攻击由于实施条件要求不高、攻击流程相对简单,是绝大多数APT组织常用的攻击样式。攻击人员常通过社会工程学或已知远程漏洞攻击等方式获取目标控制权,达到获取敏感信息的目的。

(1)RSA SecurID窃取攻击

EMC公司下属的RSA公司遭到入侵,黑客通过钓鱼邮件攻击方式获取公司部分技术内容及客户资料被窃取。

攻击流程:

① 攻击者给RSA的母公司EMC的4名员工发送了2组恶意邮件,邮件附件为”2011 Recruitment Plan.xls“的文件。

② 其中一位员工将其从垃圾邮件中取出来阅读,被当时的Adobe Flash的0day漏洞(CVE-2011-0609)命中。

③ 该员工电脑被植入木马,开始从僵尸网络(BotNet)的C&C服务器下载指令执行。

④ 首批受害的使用者并非高地位的人,紧接着IT与非IT服务器管理员相继被黑。

⑤ RSA发现开发用服务器遭入侵,攻击者立即撤回并将所有资料加密以FTP的方式传送回远程主机,完成入侵。

(2)针对马拉维(Malawi)国民银行的网络攻击

在这一系列攻击事件中,有四家马拉维国民银行的地方分行,成为攻击者的重要目标,其中大南部区(southend)官方客服邮箱已经被攻击者盗用。攻击者利用事先从国民银行部分地区分行盗取的官方邮箱口令,向其他分行工作人员发送带有恶意文档附件的邮件,作为附件的恶意文档利用CVE-2014-6352漏洞发起攻击。此漏洞可以绕过“沙虫”漏洞(SandWorm)补丁MS14-060的安全保护。漏洞利用成功后,样本会执行名为“Target.scr”的可执行程序,该程序由攻击者基于开源代码修改编译生成,攻击者在重写了main函数代码,程序运行时并不会调用开源代码原有的功能函数,而是内存展开执行内嵌的DarkComet远控木马,进而向目标系统发起攻击。

图3 单点攻击流程图

通过以上案例可以看到,攻击主要利用漏洞和远程控制等主要攻击武器,针对终端、WEB服务器等攻击面,掌控目标控制权后实施获取相关情报。

(二)网络空间系统攻击

网络空间系统攻击是针对大型机构或组织的复杂网络开展的对抗烈度较高的攻击形态,其攻击成果体现在针对大型机构复杂网络系统进行长期隐蔽控制、获取重要情报和致瘫核心业务等。

1、主要特点

攻击力量协同更加频繁:参与攻击人员分工更加细致,除了渗透人员、情报分析人员、漏洞分析工具研发人员之外,还有行业机构专家参与其中,实施攻击前往往需要在模拟环境下进行演练。

目标环境更加复杂多样:大型机构一般采用跨网跨域网络环境,包含互联网、DMZ、办公内网、核心业务网等多种场景,在这些这些场景下网络资产类型、网络防护机制、网络组网方式都不尽相同,如图所示。

攻击装备品类全性能高:往往利用0Day漏洞利用工具突破大型机构的内部网络和核心系统资产,此外进入内网通过后横向移动和持久化工具完成后续操作。

图4 一般大型机构跨网跨域复杂场景示意图

2、对抗态势

网络空间系统攻击过程中,攻击方人员具有一定规模且分工协作,除了渗透人员还有漏洞挖掘、数据分析和行业专家人员。攻击装备方面往往储备了一批0Day漏洞工具和设备持久化后门等高等级工具。对攻击目标方面注重攻击面情况、社工情况以及内部未公开情况的收集。

防御方则除系统厂商、设备厂商、应用厂商外还有工控厂商;安全厂商除了传统安全厂商外,还有威胁分析厂商和安全审计厂商等。此外,还有一些重点机构和政府力量进行专门防护。

攻防双方对抗的焦点聚焦于复杂系统的整体控制权。具体对抗态势如图5所示。

图5 网络空间系统攻击对抗态势

3、典型案例

美军长期通过网络空间系统攻击实现其网络作战目标,美方在开展网络攻击遵循作战原则,非常注重规模效益、强调攻击效率、突出作战效果,在攻击目标选取上重点针对“电信运营商、关键基础设施、骨干网络设备、网络管理人员、应用服务器(邮件服务器、域名服务器、WEB服务器等)”等目标,在初次网络突破环节更多采用“中间人攻击、供应链攻击、网络设备攻击、摆渡攻击、网管人员攻击”等方式,在网络目标控制攻击环节常用“零日漏洞、控制平台、持久化后门、内网横向拓展”等手段。在安全隐蔽的前提下,实现对各种网络目标的规模化突破和持久隐蔽控制。

(1)奥林匹克(Olympic Game)行动

针对伊朗核设施的“奥运会”(Olympic Game)行动,最终通过“震网”(Stuxnet) 蠕虫,成功入侵并破坏伊朗核设施,严重迟滞了伊朗核计划,成为首个利用恶意代码对实体设施造成重大不可逆损坏的事件。

图6 震网病毒攻击示意图

NSA针对伊朗核设施关键基础设施目标采取多种手段综合运用进行攻击。

核设施目标信息收集,通过各种情报收集方式收集核设施设备型号、系统版本及网络结构等信息。

摆渡方式实施突破植入,通过人力方式将感染U盘带入内部网络,借助USB摆渡+基于漏洞的横向移动。染毒U盘利用快捷方式文件解析漏洞,传播到内部网络。

内网横向拓展攻击,在内网中,通过快捷方式解析漏洞、RPC远程执行漏洞、印机后台程序服务漏洞,实现联网主机之间的传播;最后抵达安装了WinCC软件的主机,展开攻击。

工控系统致瘫攻击,在内网环境中横向拓展过程中,扫描查找安装有Siemens Step7、WinCC/PCS 7 SCADA控制软件的主机并进行感染。通过修改管理西门子PLC参数工具载荷导致核设施转速不正常从而损毁。

(2)金色极光(AURORAGOLD)行动

NSA在针对全球手机监听的“金色极光”(AURORAGOLD)行动,通过收集关于全球移动通讯运营商内部系统的信息,以找到其漏洞,供随后的黑客攻击使用,该计划为美国 2011年对利比亚进行军事干预提供了利方重要人物的通信信息。

图7 金色极光行动计划报告

NSA针对运营商目标通常从内部员工作为突破口进行迂回攻击。根据曝光资料显示,美方曾对巴基斯坦国家电信公司(简称NTC)、黎巴嫩运营商(OGERO ISP)等运营商进行网络攻击。

内部员工目标信息收集,通过棱镜计划和关键得分计划等项目,使用被动定位方式识别到了NTC的员工,评估当前识别出其与NTCVIP部门的联系。由SIGDEV针对已知的被Selector(NSA精确识别系统)标记出来的目标,去定位其他有联系的目标。至此成功使用被动方式定位识别到了NTC VIP部门专门运营维护Green Exchange的员工。

内部员工中间人攻击,通过与R&T一起使用SECONDDATE 和QUANTUM项目,成功将4个新式CNE accesses植入到Green Exchange中。

核心骨干网络内网攻击,通过研制的CNE访问攻击载荷,成功控制VIP 部门和一个用于收集Green Exchange的基础线路。该部分是用来维护Green Exchange(绿区交换机,位于安全区域)。Green Exchange房间放置着ZXJ-10(程控交换机,用于电话网络)。这几台程控交换机是巴基斯坦 Green Line 通信网络的骨干(这个网络专门为巴基斯坦高级官员和军事领导提供服务),至此实现掌控核心骨干网的网络攻击目标。

(三)网络空间体系攻击

网络空间体系攻击是通过体系化建设提升网络攻击能力且对抗烈度很高的攻击形态,网络攻防体系不局限于某一类特定目标,而是面向整个网络空间保持持续性网络攻击能力,是一个国家网络空间综合能力的集中体现。

1、主要特点

投入巨大:体系建设需要投入大量人力、物力和财力,同时还要具有相当强的技术储备,以美国为例,其在网络空间体系建设方面投入了数百亿美元,才建立起相对完整的体系。

体系庞大:以美国为例,无论是攻击体系还是防御体系均由众多项目组成;其中最大的支撑架构称为“湍流”(TURBULENCE),由多个系统组成,包括主动情报采集系统 TUMULT、被动情报采集系统 TURMOIL、任务逻辑控制系统 TURBINE、进攻性网空行动系统“量 子”(QUANTUM)、主动防御系统 TUTELAGE(我们在之前介绍过,是带有积极防御的 CND主要实现)、密码服务 LONGHAUL、数据仓库 PRESSUREWAVE、网络流量分析系统 TRAFFICTHIEF 和信号情报分析系统CLUSTER WEALTH-2 等。这些系统各司其职,共同支撑信息收集、情报分析、积极防御、决策控制、网络作业等网空行动的攻击性行动环节,共同构成了美国强大的网络空间进攻性能力支撑体系。

目标多样:无论是个体目标还是关键基础设施目标,无论是单一场景还是复杂场景,均能体系中找到对应能力支撑。

2、对抗态势

网络空间系统攻击过程中,攻击方和防守方是体系与体系的对抗,除了配备大量攻防工具装备系统之外,还有各种支撑保障系统建设,此外投入力量方面需要各个环节企业和国家各部门共同参与。具体对抗态势如图所示,攻防双方对抗的焦点聚焦于整个网络空间的的整体控制权。

图8 网络空间体系攻击对抗态势

3、典型案例

美方网络空间中形成强大的体系化的监听、攻击和主动防御能力。长期以来,特别重视建设积极主动的网络空间安全架构,重点在网络空间安全主动防御体系、网络空间攻击支撑体系、网络空间攻击装备体系三大体系上进行技术与装备的变革和发展。

(1)网络主动防御体系

美军的网络空间安全主动防御体系借助商用技术和能力,将网络空间的威胁预警、入侵防御和安全响应能力相结合,创建跨领域的网络空间态势感知系统,为联邦政府网络基础设施提供安全保障。

由于密级不同,美国的“态势感知体系”的防护范围划分为两部分:联邦政府网络以及军事网络,所以自然地,“态势感知体系”也分为两个子系统:Einstein系统以及TUTELAGE 系统,并分别交由国土安全部的国家网络通信整合中心以及国家安全局(也即网络战司令部)的威胁作战中心进行运行、管理,为了保证两个领域的态势感知能力更加高效,美国国家标准化技术研究院开发了威胁情报交换标准(如STIX、TAXII等),保证了两个领域敏感数据交换的高效、实时。

图9 TUTELAGE项目架构图

(2)网络攻击支撑体系

美国国防部认为,计算机网络对抗(Computer Network Operations, CNO)即实质操纵计算机和网络,针对计算机或其他网络本身或他们它们之上的信息、信息系统,实施攻击和防御以及两者所需的支撑行动。按照网空行动目的,可以将 CNO 划分为计算机网络防御(Computer Network Defense, CND)、计算机网络刺探(Computer Network Exploitation, CNE)和计算机网络攻击(Computer Network Attack, CNA),分别对应网空积极防御、网空情报行动和网空军事行动。

斯诺登曝光的2009年8 月的绝密文件中也提到了TURBULENCE项目。文件中解释了将主动与被动方法结合起来以达到从目标网络中渗出数据的过程。TURBULENCE 项目包含传感器(Sensors)、基础设施(Infrastructure)及分析(Analysis)三个模块。

图10 湍流项目架构图

(3)网络攻击装备体系

美国自2008年以来实施了多次进攻性网空行动,并且具备相当大的破坏能力,这种进攻性能力不仅来自于完善的后端支撑体系,更来自于强大的网空攻击装备体系。美国的网络攻击装备体系以全平台、全功能为发展目标,并具有模块化特点,使得其能够适应于各种网络环境下的行动作业要求。

通过物流链劫持、运营商劫持、源代码污染等实现战场预制;通过大规模信息采集形成终端、设备、软件、用户身份的信息库,绘制网络地形、寻找关键目标;通过移动介质摆渡攻击、物流链劫持、近场作业等方式突破物理隔离防线;在内网横向移动,建立持久化据点,投递载荷;通过摆渡攻击、开辟侧信道、隐信道等方式实现远程控制,最终实现目标。

漏洞利用网络攻击装备。NSA 具有大量的零日漏洞(从未公开披露的漏洞)储备。2017年4 月14 日,影子经纪人组织曝光了一批NSA 的网空攻击装备与相关漏洞的资料。其中的Fuzzbunch 是针对Windows 操作系统的漏洞利用平台,能够向目标主机植入有效载荷,在植入的过程中可直接内存执行,不需要生成实体文件。平台中还包含数个针对特定类型目标,并且可以直接使用的漏洞,包括“永恒之蓝”(EternalBlue)、“永恒浪漫”(Eternalromance)等。

图11 量子计划中攻击装备

突破物理隔离网络攻击装备。为了配合美方军事力量抵近展开秘密行动,也需要能够突破物理隔离并渗透进入对手内网的作业能力,NSA 也开发了一系列着重于突破物理隔离防护机制的工具和技术,“水腹蛇-1”(COTTONMOUTH-1)是其中最具代表性的一个。

图12 水蝮蛇攻击装备

命令与控制网络攻击装备。在通常的网络入侵行动中,攻击者需要和已经进入目标网络/系统的恶意代码进行通信,发送指令并获取数据,因此需要使用用于命令与控制的工具,尽可能地以安全、隐蔽的方式实现攻击者与植入恶意代码之间的通信。以NSA、CIA为代表的美方情报部门开发了一系列具有命令与控制能力的攻击平台和武器装备,功能原子化、目标全覆盖,典型代表为DanderSpritz平台,该平台通过正向、反向、激活包三种方式与受害者建立连接,同时,通过分析发现,DS 平台在通讯过程中严格加密,使得安全分析人员即使捕获了载荷样本也很难破解通信内容。

图13 DanderSpritz平台攻击装备

利用无线信号通信网络攻击装备。美国国家安全局(NSA)网络攻击装备的传播、通信、控制除了依赖于目标原有的网络或常规的移动介质之外,还有一类不依赖目标网络,而是利用无线信号实现信息传递,进而绕过多数网络安全防护手段,实现信息窃取或内网渗透的网络攻击装备。

NSA 可用于对离线室内活动(如高密级会议、研讨等)进行信号采集的“愤怒的邻居”(Angry Neighbor) 装备, 能够主动收集视频、音频、无线信号,并转换为特定波段的射频信号,通过隐蔽通信通道回传;

NSA 利用物理隔离网络中Wi-Fi信号(物理隔离网络中常常因为管理不到位而存在违规私接的Wi-Fi 网络)的漏洞进行重定向并入侵的“床头柜”(NIGHTSTAND)装备;

图14 离线信号采集装备

持久化控制网络攻击装备。美国一直秉承“持久化一切可以持久化的节点”的理念,将其作为一种重要的战略资源储备,为长期的信息窃取和日后可能的网络战做准备。

NSA 的相关装备主要由特定入侵行动办公室(TAO)下属的先进网络技术组(ANT) 开发。比较有代表性的装备包括针对Juniper 不同系列防火墙的工具集“ 蛋奶酥槽”(SOUFFLETROUGH) 和“ 给水槽”(FEEDTROUGH)、针对思科Cisco 系列防火墙的“ 喷射犁”(JETPLOW)、针对华为路由器的“水源”(HEADWATER)、针对Dell 服务器的“神明弹跳”(DEITYBOUNCE)、针对桌面和笔记本电脑的“盛怒的僧侣”(IRATEMONK)等。

图15 针对华为防火墙持久化后门攻击装备

(四)网络空间联合攻击

网络空间联合攻击是指网络空间攻击行动对陆海空天等军种提供各种作战支持,这一阶段进行网络对抗作为军事对抗的组成部分,一定程度上可以体现一个国家的综合军事实力。

1、主要特点

军种联合协同:海陆空天网多军种联合作战,网络攻击作为军事作战行动的一部分,能够为其他军种提供行动配合、情报支持、舆论引导等作用。

突出军事效益:网络攻击目标往往是军事指挥系统或者能够对军事行动造成影响的各种目标。

攻击样式多样:网络联合作战主要开展对目标的致瘫、拒绝、扰乱、欺骗等软杀伤和硬损毁网络攻击。

2、对抗态势

网络空间联合攻击过程中,攻击方和防守方一般处于军事对抗阶段,网络攻击往往军事指挥机构统一指挥,和其他军种行动密切协同配合,因此联合攻击呈现出很强的军事对抗特征。具体对抗态势如图所示,攻防双方对抗的焦点聚焦于整个军事对抗的的控制权。

图16 网络空间联合攻击对抗态势

3、典型案例

美国、俄罗斯是最早在军事作战行动应用网络攻击的国家,网络攻击取得了一系列令人印象深刻战果,当前网络作战已然成为一种新型军事作战样式。

(1)海湾战争开启网络作战先河

1991年海湾战争中,美国最早将网络攻击引入军事战争,中央情报局通过特工对伊拉克从法国购买的防空系统注入病毒芯片,最终导致伊拉克指挥中心失灵。

第一次海湾战争期间,伊拉克从法国购得一批网络打印机,美国特工得知此事,将一块固化病毒程序的芯片与某打印机中的芯片调了包,并且在空袭发起前,以遥控手段激活了病毒,使得伊拉克防空指挥中心主计算机系统瘫痪,最后伊军只有挨打的份。

(2)“舒特”网电攻击显威力

2007年,为将叙利亚核计划扼杀于萌芽之中,以色列空军第69战斗机中队的18架F-16战机,悄无声息地突破叙利亚在叙以边境部署的先进俄制“道尔”-M1防空系统,对叙以边境以西约100千米、大马士革东北部约400千米的一处核设施实施精确轰炸,并从原路安全返回。

据披露,美军“舒特”攻击系统通过远程无线电入侵,瘫痪雷达、无线电通信系统,使叙防空系统处于失效状态。作为针对组网武器平台及网络化信息系统的新型网电攻击系统,“舒特”代表着军事技术和作战方式的发展趋势,势必将带来全新战争景观。

(3)“震网”网络物理战先驱

2010年8月,伊朗在俄罗斯帮助下建成布什尔核电站,但这座计划于当年10月正式发电运转的核电站,却多次推迟运行。一年后,据媒体揭秘,是因为遭到来源不明的计算机网络病毒攻击,超过3万台电脑“中招”,位于纳坦斯的千台离心机报废,刚封顶的布什尔核电站不得不取出核燃料并延期启动,伊朗核发展计划则被迫搁置。这种后来被冠名为“震网”的病毒,开创了通过网络控制并摧毁实体的先河。

(4)俄格冲突中网络战作用突显

2008年8月俄罗斯对格鲁吉亚发动的网络攻击是第一次与主要常规军事行动同时发生的大规模网络攻击。这些网络攻击削弱了格鲁吉亚人与外界沟通的能力,在信息和心理上对媒体、政府以及公众产生了重大影响。

开战后,俄罗斯对格鲁吉亚的网络攻击迅即全面展开,使得包括媒体、通信和交通运输系统在内的格鲁吉亚官方网站全部瘫痪,直接影响到了格鲁吉亚的战争动员与支援能力。

被称为“美国网络后果单元(US Cyber Consequence Unit)”的私人非营利性组织的一位安全专家将俄罗斯对格鲁吉亚的网络攻击分为两个阶段。

在第一阶段中,俄罗斯黑客发起的攻击类型主要是分布式拒绝服务(DDoS)攻击。俄罗斯的攻击组织利用僵尸网络针对格鲁吉亚政府和媒体网站采取攻击行动。

第二阶段的网络作战力求对更多目标进行破坏,其破坏目标名单上包括金融机构、教育机构、西方媒体以及格鲁吉亚黑客网站。对这些服务器的攻击不仅包括 DDoS 攻击,还包括篡改服务器的网站。此外,一些俄罗斯黑客利用格鲁吉亚政治人物公开可用的电子邮件地址,发起垃圾邮件攻击。

(五)网络空间总体攻击

网络空间总体攻击是针对政治、军事、外交、经济、心理、文化等领域实施全维攻击,这一阶段国家间进入全面对抗阶段,可以体现一个国家综合实力。

1、主要特点

战略驱动:网络攻击行动与各个国家战略目标相衔接,可以作为实现国家战略意图的一种新型手段。

全维对抗:和军事战、政治战、外交战、经济战、心理战、媒体战、文化战等多种斗争形态配合,在全方位对抗中发挥突出作用。

2、对抗态势

网络空间总体攻击过程中,攻击方和防守方一般为国家实体,网络攻击目标覆盖各个行业,攻击结果不仅仅是具体的,往往会产生外溢效应。具体对抗态势如图所示,攻防双方对抗的焦点聚焦于取得国家斗争主动权。

图17 网络空间总体攻击对抗态势

3、典型案例

(1)“邮件门”事件影响美大选走势

在网络黑客涉影响选举的系列事件中,“邮件门”最为舆论关注。在民主党内提名大会召开前夕,全球著名的泄密网站维基揭秘公开了美国民主党高层内部绝密的19252封邮件、8034个附件以及29段音频文件等,大量邮件显示希拉里勾结民主党高层、内定党内候选人以及参与“洗钱”和操控媒体等多项丑闻。美国联邦调查局宣布对“邮件门”的调查,引发舆论哗然,特朗普支持率迅速拉近与希拉里的差距。在距离大选不到一天的11月7日,美国联邦调查局宣布维持7月份调查结论。在整个选举过程中,两位总统候选人借机互揭黑幕。美国政府和主流媒体认为俄罗斯是近期美国总统大选遭黑客攻击的“幕后黑手”,黑客攻击引发的邮件泄密等是为帮助有亲俄政治倾向的特朗普当上总统。

(2)委内瑞拉大规模停电事件

2019年,委内瑞拉发生全国范围的大规模停电,首都加拉加斯以及其他大部分地区陷入黑暗中,全国18个州电力供应中断,仅有5个州幸免,此次突发的电力系统崩溃没有任何预兆。停电给委内瑞拉带来了重大损失,全国交通瘫痪,地铁系统关闭,医院手术中断,所有通讯线路中断,航班无法正常起降。委内瑞拉官方为代表的观点,认为本次事故是由于委内瑞拉最大的古里水电站受到反对派和美国网络攻击导致机组停机所致。

美国多次与哥伦比亚和委反对派合作,从国际互联网上对委内瑞拉使用类似的网络病毒武器,导致该国发电设施和供电设施停转。

二、网络空间攻击威胁分析评估

五大网络空间攻击威胁行为往往以目标为导向、以手段为支撑。有效应对这些攻击威胁,需要进行科学分析评估。

(一)网络攻击威胁模型

当前面临的五大网络空间攻击威胁不是相互割裂的,往往呈现相关交织融合态势,比如针对关键基础设施的网络空间系统攻击往往伴随着针对特定网络目标的网络空间单点攻击行为,网络空间联合攻击也需要网络空间体系攻击的配合,然而无论哪种攻击威胁必然有整体或部分行动发生于网络空间,因此在网络空间对攻击威胁进行建模分析十分必要。

当前网络攻击威胁模型往往以攻击行为溯源为主要目标,以攻击过程建模为主要方法,通过钻石模型和攻击杀伤链等模型分析描绘APT组织等攻击行为。但是,这些模型普遍缺乏对攻击能力的评价和目标风险的评估,导致在安全防护建设过程缺乏可以信赖的客观依据。

网络空间攻击威胁模型通过网络资产、攻击手法和攻击场景三个要素来进行刻画。

图18 三维网络空间攻击模型

网络资产主要包含网络设备、服务器、终端、主机、工控设备、业务系统等一切可以被攻击资产。

攻击场景主要包括互联网、DMZ、办公网、业务网等组网方式、防护手段、业务用途不同的网络环境。

攻击手法主要包括目标扫描、目标突破、目标控制、信息获取、目标瘫痪等各个攻击环节。

(二)网络攻击能力评估

网络攻击能力反映了达成网络攻击目标可能性量化评估标准,攻击能力量化评估主要分为二维攻击能力评估和三维攻击能力评估两种情形。

1、二维攻击能力评估

二维攻击能力评估主要反映在同一攻击场景下的攻击能力,主要通过给攻击手法赋予不同权重和场景内网络资产覆盖类型占比计算得出,具体公式如图所示。

图19 二维网络空间攻击能力评估

二维攻击能力评分计算公式:T=V1+V2+V3+V4+V5

二维攻击能力评估得分可以衡量攻击方网络资产类型攻击技术储备情况和攻击经验积累情况等。绝大多数APT组织均可通过二维攻击能力评分进行评估。

2、三维攻击能力评估

三维攻击能力评估主要反映在不同攻击场景下的攻击能力,主要在二维攻击能力评估的基础上,通过给不同攻击场景赋予不同权重计算得出,具体公式如图所示。

图20 三维网络空间攻击能力评估

三维攻击能力评分计算公式:

W=V1+V2+V3+V4

三维攻击能力评估得分可以衡量攻击方跨网跨域不同场景的攻击能力和攻击路径维持情况等。国家级攻击组织通过三维攻击能力评分进行评估。

3、攻击能力评估示例

(1)单场景攻击能力评估示例

以目标探测为例,作为网络攻击行动的第一阶段,主要目的是识别目标网络资产的型号版本及脆弱性信息,按照二维攻击能力评估计算,即便是针对所有目标网络资产均可以做到精准探测,在整个网络攻击行动中也仅能得到10分。

图21 单场景目标探测攻击能力评估示例

如果突破植入能力擅长,则二维网络攻击能力评估计算得分为40分。

图22 单场景突破植入攻击能力评估示例

从上述示例可以得出,单一领域技术强并不能代表整体网络攻击能力得分高,从另一侧面可以看到只有网络攻击各个环节技术能力都强才能确保整体网络攻击能力处于较高水准。

(2)多场景攻击能力评估示例

以典型关键基础设施为例,网络攻击场景有4个,按照每个场景权重和场景内攻击能力评估情况,按照三维攻击能力评估计算,在整个网络攻击行动中得到60分。

图23 多场景网络空间攻击能力评估示例

归纳总结,网络攻击能力评估需要把握好以下原则:

1、目标驱动:以是否完成网络攻击目标或距离网络攻击目标实现的程度来衡量网络攻击能力。

2、场景驱动:按照网络攻击行为发生的场景不同来衡量网络攻击能力,区分单场景评估与多场景情况,如果最终攻击目标局限在同一场景内,则按照二维攻击能力评估办法评估。如果存在跨场景情况,则按照二维攻击能力评估办法评估。

3、技术驱动:根据网络攻击各环节使用的技术不同来衡量网络攻击能力,探测技术、突破技术、控制技术、获取技术、致瘫技术等网络攻击技术的难度不同、其网络攻击能力权重也不同,在攻击过程中需要相互配合才能发挥作用实现最终网络攻击目标,网络攻击能力评估才能取得高分。

4、资产驱动:按照针对网络资产网络攻击覆盖范围来衡量网络攻击能力,网络资产的覆盖越广则网络攻击能力越高。

(三)网络目标风险评估

网络目标风险主要是指网络攻击行为造成的威胁程度。其风险评估的方法同样分为二维评估和三维评估。

1、目标风险二维评估

通过给探测、突破、控制三个要素赋予不同权重的方式衡量单场景下目标风险,具体计算公式如下:

图24 二维网络空间目标风险评估

风险二维评估模型得分:

T=V1+V2+V3

可以看到突破技术权重得分最高,这一点和现实世界中漏洞威胁占比情况相符。

2、目标风险三维评估

通过不同场景赋予不同权重方式衡量多场景下目标风险,具体计算公式如下:

图25 三维网络空间目标风险评估

风险三维评估模型得分:

W=V1+V2+V3+V4

可以看到,随着场景的深入,其权重越高,这也意味着该场景距离最终网络攻击目标越近。

3、目标风险评估示例

一般情况网络攻击能力得分越高意味着网络目标面临的风险越大,但在某些情况下,网络攻击能力得分很低也能给目标带来较大的风险。

如下图所示:

图26 网络空间目标风险评估示例

可以清楚看到,虽然网络攻击能力得分很低,由于掌握网络攻击相关技术完整且攻击路径贯通各个场景,导致目标风险得分很高,这也证实有些APT组织技术储备较少,只要选对网络资产和攻击路径,也可能对网络关键基础设施造成较大威胁。

三、网络空间攻击威胁应对策略

网络空间领域已经进入国家力量主导的网络对抗时代。在五大网络空间攻击威胁的笼罩下,无论个人、企业还是国家、地区都无法置身事外,需要多方参与共同应对。

(一)建设国家级防御体系

以美为例,其网络空间安全主动防御体系借助商用技术和能力,将网络空间的威胁预警、入侵防御和安全响应能力相结合,创建跨领域的网络空间态势感知系统,为联邦政府网络基础设施提供安全保障。

因此国家在网络防御中发挥主导作用,有利于整合力量资源,提升网络攻击难度,能够有效阻止大部分网络攻击行为。

(二)部署企业级防御框架

企业在网络防御领域具有技术优势、产品优势和服务优势。针对大型机构和关键系统都具有一些行之有效安全防护手段,特别是在企业级APT攻击溯源和攻击威胁分析等方面取得了较好的应用。

以奇安信为代表的网络安全公司着眼未来构建了新一代企业网络安全框架:从局部整改为主的外挂式建设模式走向深度融合的体系化建设模式;面向新基建建设、数字化业务,以系统工程方法论结合内生安全理念,形成新一代网络安全建设框架;以“十大工程、五大任务”指导网络安全体系的规划、建设与运行;新一代网络安全框架,来指导政企网络安全建设,输出体系化、全局化、实战化的网络安全架构,以“内生安全”理念建立数字化环境内部无处不在的“免疫力”,构建出动态综合的网络安全防御体系。

(三)培养通用型安全人才

当前,网络已渗透到工作生活的方方面面,网络安全防御也不能仅仅依靠少数专家型安全人才,需要全民参与。因此,需要在各级各类教育培训中教授网络安全相关内容,建立通用型网络安全人才库。

参考文章:

[1] APT攻击盘点及实战(上)

https://zhuanlan.zhihu.com/p/94212402

[2] 针对马拉维(MALAWI)国民银行的网络攻击样本分析报告

https://www.antiy.cn/report-download/20181127.pdf

[3] 斯诺登曝光相关资料

https://edwardsnowden.com/category/revealed-documents/

[4]《网络战:信息空间攻防历史、案例与未来》 保罗·沙克瑞恩(Paulo Shakarian),亚娜·沙克瑞恩(Jana Shakaria 著

[5] 三重门 | 美国大选网络黑客攻击的惊天真相

http://www.kunlunce.com/myfk/fl1111/2016-11-08/110072.html

[6] 从委内瑞拉大停电事件看电力系统安全防护

https://www.sohu.com/a/302645567_120020243

[7] 美国网络攻击与主动防御能力体系发展综述

https://mp.weixin.qq.com/s/_cmLFbNoj-Sh7gVtLi0YZw

[8] 专题解析 | 美国用于持久化控制的网空攻击装备解析

https://mp.weixin.qq.com/s/JKOpSs6g2jEasywZazWkWg

[9] 专题解析 | 美国网络空间攻击装备究竟怎么样?

https://mp.weixin.qq.com/s/o-0dB4VpISNWmeynKciLSA

[10] 美国(军)态势感知体系能力分析

https://mp.weixin.qq.com/s/3vkNssIE2X3z1UIatMmo6A

关于作者

陈波:虎符智库专家、奇安信集团高级网络安全专家 、高级工程师。从事网络安全相关工作20余年;荣获三等功一次;获得国家级二等奖1项、三等奖7项,部委成果奖10余项。具有数学、系统工程、通信、网络安全等专业知识背景,现从事网络攻防技术研究工作。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。