文 | 奇安信威胁情报中心 崔婷婷 汪列军
《关键信息基础设施安全保护条例》(以下简称《条例》)从保护对象、职责划分到相对具体的工作方法都提出了明确的要求。面对复杂多变的网络安全环境,《条例》的发布对关键信息基础设施行业的高级威胁对抗,有着非常积极的影响。
一、APT 攻击日益加剧
网络空间是物理空间的延续,而关键信息基础设施是物理空间的核心载体,关基系统的可用性、完整性、保密性对国家安全至关重要。当前,境外具有国家背景的高级威胁行为体(APT 组织)高度活跃,持续针对我国开展网络攻击,主要目标就是包括金融、通信、交通、能源、政务网络在内的关键信息基础设施。这些高级威胁行为体持续侵入控制我方重要系统,窃取敏感信息,甚至在某些时刻进行破坏行为。
近年来,全球多个国家的关键信息基础设施都遭遇了严重的网络攻击事件,如英国电网重要管理机构 Elexon 遭到网络攻击,内部 IT 网络受到影响、关键通信功能丧失;印度孟买遭遇大范围断电,导致铁路、股票交易所、医疗设施以及其他大部分关键基础设施“瘫痪”;2021 年,美国最大的燃油管道运营商、全球最大的肉类加工企业均因黑客攻击在相当一段时间内运作冻结。这都给我国的关键信息基础设施安全保护工作敲响警钟。
二、《条例》多措并举做好高级威胁对抗
境外高级威胁行为体的攻击目标覆盖了连接互联网的各类设备乃至整个网络空间,总体上形成从单机到网络、从硬件到软件、从外网到内网的全网覆盖,并且攻击技术先进、手法复杂,广泛运用人工智能、大数据等先进技术,同时采取漏洞攻击、诱骗攻击、“中间人”攻击等多种技术方式和手法,防护十分困难。对此,《条例》在第四章提出了相当具体的要求。
建立网络安全信息共享机制。《条例》第二十三条指出:国家网信部门统筹协调有关部门建立网络安全信息共享机制,及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息,促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享。
威胁情报已经被证明是发现威胁活动并触发应急响应的核心手段之一,对威胁战略情报、作战层面的习惯模型以及战术层面的数据进行有效共享,对于提升整体防护水平非常关键。所以,应大力推进主管部门、大型企业、互联网企业、信息安全企业、科研院所、专家团队之间的情报共享,进而协同联动。国内网络安全相关主管部门也一直在完善相关标准,搭建平台,推动各相关方的威胁情报共享,但信息共享的深度和广度还有很大的发展空间。
建立关键信息基础设施预警制度。《条例》第二十四条指出:保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度,及时掌握本行业、本领域关键信息基础设施运行状况、安全态势,预警通报网络安全威胁和隐患,指导做好安全防范工作。
高级威胁攻击往往经过长期的准备与策划,攻击者通常在目标网络中潜伏几个月甚至几年。为此,相关部门应为态势感知做好制度保障,明确通报响应机制,责任到人,落实技术手段,积极实施全天候高级威胁攻击监控,实现对关键信息基础设施进行网络安全事件实时监测、及时通报预警、即时指挥调度进行处置。
协助和指导运营者做好网络安全事件应急演练。《条例》第二十五条指出:保护工作部门应当按照国家网络安全事件应急预案的要求,建立健全本行业、本领域的网络安全事件应急预案,定期组织应急演练。
高级攻击具有危害大、难以防御的特点,一旦关键信息基础设施被入侵,很可能会危害国家安全和社会稳定,及时的应急响应对于降低网络攻击的危害就显得极为重要。
安全事件发生后的应急响应工作大致分为 6 个阶段:准备、监测、遏制、根除、恢复、总结复盘,对每个阶段不仅要有预案,更重要的是验证预案有效性、发现问题并持续优化。一个优秀的方案应从积极防御的立足点出发,事前通过主动地多方演练发现安全隐患,对过程进行深入复盘,不仅可以找到自己的薄弱点,同时也为应急预案的制订提供关键素材。
指导运营者完善常态化执行安全措施。《条例》第二十六条指出:保护工作部门应当定期组织开展本行业、本领域关键信息基础设施网络安全检查检测,指导监督运营者及时整改安全隐患、完善安全措施。
由于高级威胁攻击手法隐秘且多变,一旦入侵运营者很难及时发现,而且新安全漏洞和攻击手法层出不穷,网络攻防是一个永远止境的过程,因此,保护工作部门应定期开关键信息基础设施建设的网络安全检查工作。并针对发现的问题组织专家组制定合理的解决方案,指导并监督运营者及时整改完善。
国家有关部门提供技术支持和协调。《条例》第二十九条指出,在关键信息基础设施安全保护工作中,国家网信部门和国务院电信主管部门、国务院公安部门等应当根据保护工作部门的需要,及时提供技术支持和协助。
对于高级威胁的检测、分析和取证往往需要多维度的数据和技术能力支持,任何一方都无法仅通过自有的数据、专家团队和软硬件能力对威胁的全貌进行高精度的画像,所以需要国家网信部门、公安部门动用行政资源进行协调,从各包括政府机构、网络运营商及各类拥有大数据的公司在内的组织获取数据,整合民间安全厂商在内的技术能力,实现对威胁的全面分析与遏制。
加强军民融合。《条例》第三十八条指出:国家加强网络安全军民融合,军地协同保护关键信息基础设施安全。
军民融合是国家发展国防科技工业的重要策略,军队是保障国家安全的基石,长期以来积累了大量的技术,执行能力强,一直都是关基设施防护的核心力量之一。民间安全厂商的日常攻防对抗的涉及面广,机制灵活并有相当的经验和数据技术储备。军民融合,可以实现强强联合,在高级威胁对抗领域实现一加一大于二的效果。
三、基于威胁情报建设高级威胁对抗体系
根据奇安信威胁情报中心的统计,2020 年针对我国重点单位的 APT 攻击频率明显上升。其中,我国政府、医疗以及国防机构是国外 APT 组织窃密攻击的重要目标。面对上述严峻情况,各单位(企业)的威胁情报中心可以在以下几方面发挥更大的作用。
首先,积极响应投入威胁情报共享。支持国家建立威胁情报共享平台,利用现有威胁情报检测平台,与政府机构、核心基础设施单位、友商部门积极配合,充分运用云计算、大数据、人工智能、物联网等新一代信息技术,加强威胁情报共享,为网络安全威胁动态感知、预警分析、智能处置提供支持,实现从被动防御到主动防御的转变,逐步建成关键信息基础设施大安全生态。
例如,2020 年奇安信推出了“TI INSIDE” 计划,将奇安信积累的威胁情报能力以软件开发工具包(SDK)的方式向生态合作伙伴和客户开放,推动威胁情报共享,降低威胁情报应用的门槛。
其次,提升 APT 监测能力。积极参与国家关键信息基础设施全网、全流量的流量实时监控,做好全网、全主机的系统监控。加强对高隐匿性攻击行动的发现能力,完善自身和协助有关部门建立多维数据采集能力,为安全事件检测、事件捕猎、调查分析,并发现、定位、溯源安全事件创造条件。
最后,加强 APT 分析能力。建设威胁分析团队,针对全网 APT 威胁情报系统并结合现有经验,全面地分析攻击者的攻击意图、技术与过程,实现对网络攻击的诱捕、溯源、干扰和阻断等多方面防御。
(本文刊登于《中国信息安全》杂志2021年第9期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。