2023年7月26日,武汉市应急管理局地震监测中心报警称,该中心发现部分地震速报数据前端台站采集点网络设备被植入后门程序,武汉市公安局江汉分局随即对此案立案侦查,初步判定,此事件为境外具有政府背景的黑客组织和不法分子发起的网络攻击行为。
此次网络攻击案件背后目的是什么,取得了哪些新进展?被攻击单位从“被动”到“主动”式发布又释放了怎样的信息?对此,《环球时报》独家采访360集团创始人周鸿祎,他表示,无论是西工大还是武汉应急管理局面对国家级黑客攻击敢于正视的行动都为发现、阻止国家级大规模网络攻击创造了重要机会,意义重大,值得被肯定。
环球时报:针对武汉市应急管理局地震监测中心被攻击事件,国家计算机病毒应急处理中心和360公司组成的联合调查组是否有新的发现?
周鸿祎:目前,国家计算机病毒应急处理中心和360公司组成的专家已赴武汉开展取证工作,初步证据显示,此次对武汉市地震监测中心实施的网络攻击目的是窃取地质数据。地质信息与作战地形息息相关,一旦被窃取并与军事活动关联后患无穷。
环球时报:我们注意到,无论是去年的西北工业大学还是武汉市应急管理局地震监测中心,都主动对外界发布了《公开声明》称其遭受境外网络攻击,并向公安局报警。对于被攻击单位“主动”式发布的处理方式,您如何评价?
周鸿祎:毫无疑问,这种行为值得高度肯定。面对国家级APT组织攻击,需要政府、企业、安全厂商、组织机构等多方的协同参与,形成强大的合力来共同应对。但在实际工作中由于很多涉事单位因为“害怕担责”,导致APT排查面临巨大阻力,造成APT调查分析不全面、不彻底,对国家应对APT攻击极为不利。
因此无论是之前的西工大事件还是本次武汉应急管理局事件,面对国家级黑客攻击敢于正视的行动为我们发现、阻止国家级大规模网络攻击创造了重要机会。通过对境外网络攻击的全盘揭露,无论对维护本国网络空间国家利益,还是保障全球网络空间和平与安全角度,意义重大,值得被肯定与借鉴。
环球时报:这种“害怕担责”的涉事单位带来哪些阻力?
周鸿祎:首先是“门难进”。360利用全网安全大数据可以定位出受APT攻击的具体受害单位,但是在上门排查时经常被以“无官方授权”的理由拒之门外。其次是“不配合”,受害单位以各种理由不提供排查所需要的安全日志、网络数据。第三是“不承认”,对受APT攻击的事实拒不承认,甚至可能删除相关日志记录,导致失去APT攻击分析取证的重要线索。
环球时报:当下,国家级APT组织针对我国关键基础设施发起网络攻击呈现出哪些特点?
周鸿祎:国家级APT组织往往针对我国政府、行业龙头企业、大学、医疗机构、科研单位等进行网络攻击行动,实现窃取数据、情报、破坏等多种目的,其最大的挑战是“看不见”。
APT攻击具有六大特点:一、攻击者通常是专业黑客组织或国家级网军,具备国家级能力和资源;二、普遍使用未知安全漏洞等攻击手段,难以设防;三、攻击是一个持续不断的过程,通过网络上多个节点作为跳板层层渗透,形成很长的攻击链条;四、长期潜伏渗透,潜伏时间或超过十余年,隐蔽性强;五、攻击工具武器化,360曾在调查西北工业大学的网络攻击行动中发现,NSA先后使用了41种专用网络攻击武器装备;六、网络攻击行为呈现自动化、体系化和智能化的特征,各种攻击手法前后呼应、环环相扣。
环球时报:网络空间正在演变为国际博弈主战场,尤其是在俄乌冲突中,网络战从暗处走向前台,俄乌双方均遭受了持续、系统的网络攻击。请问,网络战呈现出哪些特点。
周鸿祎:当前,国际形势复杂动荡,伴随着大国博弈的加剧,网络空间的军事化进程也明显加快,网络战被越来越多的国家或力量当作攻击他国的“利器”,网络空间的安全威胁更具杀伤性和破坏力。在我们多年对网络战的跟踪研究中可以发现,与其他战争模式不同,网络战不分战时和平时,随时可以发动攻击,而其也已经成为战争首选,成本低,效果好,烈度可控,连反击都不知道找谁反击。
环球时报:针对网络战呈现出的特点,我国政企单位的自身防御能力是否足够?
周鸿祎:城市、企业、政府作为数字化的核心场景,面临内外部双重挑战,风险遍布数字化所有场景。由于APT攻击难以被看见,传统“产品堆砌、忽视运营和专家”的网络安全防护手段无法做到有效拦截,只能掩耳盗铃,追求“零事故”自欺欺人。造成事实上的“没有攻不破的网络”和“敌已在我”,也看不见、防不住、管不了。
环球时报:面对强大的攻击和当下一些不够有效的方法,如何高效率构建实战化安全防御体系,快速获得安全能力?
周鸿祎:首先,我们需要建设安全大数据,建立全网安全事件档案,帮助用户对威胁攻击有所防备。安全大数据、情报、知识是寻找捕捉网络攻击蛛丝马迹的基础与关键,政企单位需要建立全网动态安全事件档案库,以更高的全局视野“看见”行业威胁情报,掌握全网安全态势。其中终端数据尤为重要,80%的APT攻击针对终端环境,终端是看见威胁的“眼睛”。
其次,需要提前布防,快速、及时发现安全线索,实现安全威胁早期发现、早期处置、早期止损。
第三,需要有AI技术提升自动化和智能化水平。为了进一步提升效率,我们需要应用人工智能技术提升自动化分析水平,对海量安全事件实现自动化分析、筛选和关联,快速发现攻击线索并采取自动响应,提升安全防御效率。
第四,需要有具备丰富的安全实战对抗经验的专家。我们需要组建一支漏洞挖掘、威胁检测、情报分析等各相关专业组成的多层级专家团队,具备与各国网军、黑产集团常年作战经验,进行7X24小时不间断的持续发现、分析、响应、处置。
第五,要实现大数据分析、指挥管控、专家协同运营,需要一个具备强大全局能力的安全运营平台,支撑安全运营生命周期的全过程。通过自动化响应处置和安全专家判断相结合,建立快速响应处置能力、搭建响应处置平台、接入安全分析结果、联动安全设备,在安全事件发生后及时控制攻击局势、恢复受损系统,实现快速响应。
环球时报:一方面,网络空间已经成为大国竞争和地缘对抗的主战场,网络安全已经从某个特定领域的问题演变成关乎全局的重大问题。另一方面在我国的政企单位中有存在一些不符合时代发展的观念,比如您提及的“不配合”“不承认”的做法。面对这种矛盾,您有什么建议吗?
周鸿祎:一是国家相关部门建立APT攻击免责机制,并对主动报送重要线索的行为予以奖励。APT攻击不同于一般的网络安全事件,已经超出政企单位自身的安全防护能力,因此政企单位不应被视为责任方,而是受害者。建议有关部门明确规定,在政企单位达到国家网络安全法律法规相关要求的前提下,不予追究其受到APT攻击的网络安全责任,同时奖励受攻击单位及时报送APT攻击线索,变责任追究为正向引导。
二是引导关键基础设施单位、重要敏感单位与有能力的网络安全企业主动合作开展APT排查工作。建议有关部门建立APT排查的工作机制,引导关键基础设施单位、重要敏感单位(党政、国防、军工、尖端科研单位等)与有能力的网络安全企业主动合作,排查自身APT攻击线索和安全隐患。对发现的APT攻击线索及时报送主管部门开展分析研判,并进行全网清查,确保已潜伏在内的APT得到及时、全面、深度清除,扭转“敌已在我”的被动形势。
三是集中民间防御力量,组建民间性质的“白帽黑客”社区,吸纳安全人才。网络安全的实质是人与人的对抗,不是购买和部署一批网络安全设备、安装一批软件就能解决问题的,对抗也不可能完全依赖自动化完成,只有安全专家才能将攻击知识系统化地吸收、理解并转化为针对性的对抗能力。因此建议由相关机构牵头组建安全大社区,号召具有实力的安全专家在平台上交流技术心得、分享知识干货、开展实战演习、共同提高能力,为我国填补相关人才缺口,以备“网络空间热战”爆发时人才匮乏之需。此外,也建议国家相关部门支持安全企业拓展业务生态,如安全服务,实现安全攻防行业就业规模的扩大,吸纳和留住更多人才。