网络高级威胁攻击的演变趋势及应对之道

近日,由国家信息中心《信息安全研究》杂志社组织,青藤云安全支持的“网信事业 强国有我·网络安全专家漫谈”第1期在京顺利召开。本期访谈以“网络高级威胁攻击的演变趋势及应对之道”为主题,邀请到北京邮电大学、中国电子技术标准化研究院、航天云网、青藤云安全的专家,围绕近年来我国面临的网络威胁总体态势,探讨网络高级威胁攻击的演变趋势及应对思路。

无论是2010年“震网”(Stuxnet)病毒对伊朗核设施的破坏,还是2015年乌克兰电网事件,或是2021年爆发的Wannacry勒索病毒,乃至2022年中国西北工业大学遭到网络攻击,以上种种有限案例和样本,似乎网络是有利于进攻的这一结论已成为一些人的共识。在《世界秩序》一书中,基辛格就认为:“实施网络攻击比网络防御更为容易,这也助长了新网络能力的进攻倾向,让情况更加复杂。”

据国家计算机网络应急技术处理协调中心2022年1月披露的数据,我国境内感染木马或僵尸网络恶意程序的终端达446万余个,较2021年12月增加40.0%。不法分子经常利用漏洞后门、木马软件、邮件钓鱼、DDoS软件等手段,达到盗窃数据、诈骗勒索、打击竞争对手的目的。似乎网络是“易攻难守”的,发起进攻的成本更低而防守成本更高。

那么是否存在一些应对之道——可以使网络变得更加安全?如果我们可以改变“易攻难守”的特征,让防守占据优势,它们可能是什么?本期专栏参与的专家们将从各自的研究或从事领域,提出自己的观点和建议。希望通过本期节目,让大家能有所收获。

以下为本期节目各位专家的精彩观点提炼:

1.jpg

中国电子技术标准化研究院网安中心技术咨询室主任 孙彦 博士

在国家标准方面,围绕安全风险、威胁检测目前已经开展了不少研究工作,包括态势感知、威胁信息等。在后续标准化研究方面,有两个研究方向值得关注:一是安全信息共享机制相关标准的研究,例如威胁信息格式、告警信息格式、资产信息格式,以及态势感知技术方面的相关标准,这些标准能够有效地支撑安全监测预警能力、态势感知能力的建设。二是高级安全威胁风险检测相关技术标准制定,目前正在开展的安全产品之间互联互通技术研究,主要用于解决安全产品存在的功能碎片化和信息不统一的问题,通过提供技术框架,为高级安全威胁检测工作从安全产品的实现层面提供标准支撑。

2.jpg

北京邮电大学副院长 彭海朋 教授

目前高级威胁检测大多是基于“墙”的方式,包括网络防火墙、主机防护等,静态防护居多,静态防护可以起到很好的作用,但它的缺陷是对于一些未知的威胁,检测起来就比较困难。主动防御的动态防御方式,是一个很好的趋势。从宏观来讲,网络安全防护体系里面涉及到很多设备、软硬件、数据,这些从安全能力来讲分布是不均衡的,这是当下的一个特点。这种不均衡性,就像木桶短板一样,容易在短处出现问题,那么怎么去补足?我们要清晰地把它勾画出来,企业的安全防护资源是有限的,既要均衡分布,更重点的是提升短板的防护能力。

从人才的角度来讲,尤其是高层次的安全人才在国内是及其匮乏的,国家这两年通过各种专项、网络安全周等各种形式也在推动提升网安实战人才能力的工作,建议大家更多的关注人才培育。近期在教育部教指委指导下,北邮正在组织中国研究生网络安全大赛,通过与产业界机构联动及合作,我们在其中增加了实战对抗的内容,也是希望通过竞赛挖掘人才、促进人才的培养。

3.jpg

航天云网科技发展有限责任公司副总经理 徐汕

数字经济时代数字产业化和产业数字化共同发展,工业互联网成为支撑我国数字化转型的重要载体。数字化转型涉及到工业企业数字化、网络化、智能化的整体提升。当前,网络威胁已经逐步渗透到工业企业的整个制造过程,不仅公共互联网会遭受攻击,针对物联网、工控网、企业内网、云平台的攻击都比较严重。

未来发展趋势方面,要在几个方面进一步加强:一是加强对新技术的安全防护研究。包括5G、边缘、区块链、虚拟化、容器化的运行环境等;二是加强体系化的总体防护,尤其是复杂业务环境下,多层次、多类型资产的体系化防护;三是加强企业间的协同,包括工业互联网平台企业、工业制造企业以及专业的网络安全企业协同,发挥各自优势,共同应对日益复杂的网络安全态势。

4.jpg

青藤云安全创始人兼CEO 张福

高级威胁有两个特点:第一,它使用的方式是未知的;第二,比较难检测。在于高级威胁会模拟正常行为,看起来跟正常业务行为或网络访问请求非常相似,如果对自己的业务观测不够深入,很难区别它是异常还是正常。但在整个安全领域,普遍对攻击的识别是基于已知特征(行为特征、特征码等特征),这就会导致安全的检测能力,受限于对已有攻击的认知程度,但往往攻击成功的都是认知外的攻击技术和手段,这两者之间本质是相悖的。

在对抗的时候,作为防守方是非常吃亏的,防守方用自己有限的资源、有限的时间以及有限的认知,去对抗数字世界无穷且不断变化的未知威胁,本身就处于不对等的状态。青藤高级未知威胁的应对理念有点类似中医的整体观念和辨证论治,与其时刻盯着未知威胁,不如将目光转移到对自身的细粒度认知上。实际上,不管什么样的攻击手段,它攻击你的时候一定会在你的系统内部产生一些数据的扰动和行为的变化,只要它引起自身体内的指标变化就会被发现。