解析网络空间武器威胁
打印
2017年5月,一场网络风暴席卷全球,一种名为Wannacry的“蠕虫式”勒索病毒迅速感染了不同国家的多家机构。勒索病毒在过去的一段时间里出现过很多种类,但大多是个别事件,很少出现这样的大规模爆发。然而此次,传统的勒索病毒被绑上了一颗“核弹”——“永恒之蓝”,使得其威力呈几何倍数增长,这将我们的目光引向了类似于“永恒之蓝”的网络攻击武器。
近年来,网络空间技术发展迅猛,其战略地位逐步受到重视,“网络安全就是国家安全”得到诸方共识。为应对网络恐怖主义和维护国家网络安全,世界诸国纷纷成立了各自的网络空间武装力量,构筑了网络空间安全保障体系。但网络武器军备竞赛和黑客组织的攻击武器研发极大地加剧了网络空间的不稳定性,为更好应对未来网络空间威胁,本文讨论了网络空间武器发展的趋势并从安全意识角度解析了当前的网络空间安全形势,阐述了启示。
一、当前网络空间攻击武器特点
以高级持续威胁(APT)攻击为代表的网络攻击武器,呈现出以下鲜明特点。
(一)攻击范围广
网络攻击武器库中,计算机病毒的库存量毫无疑问占据了绝对优势,涵盖了“逻辑炸弹”“软件嗅探”“蠕虫”等多种破坏性病毒。病毒破坏方式多种多样,有的阻塞通道,有的删除文件,有的强加密文件等等,但这些病毒往往有着共同的特点,那就是普适性强,可在广域范围内感染计算机。最直观的描述,莫过于本次全球勒索病毒事件了。
(二)攻击目的明确
当前网络攻击组织化日趋明显,已不仅仅为了窃取个人信息和实施经济诈骗,而更多的是为国家利益服务,网络监控、搜集情报、破坏目标工业生产、制造社会混乱,甚至直接攻击军事设施等,危害性远远大于熟悉的“熊猫烧香”等病毒。
“震网”是首个专门针对工业控制系统编写的破坏性病毒,其中含有Fanny蠕虫病毒的漏洞入侵技术,能够利用Windows系统和西门子SIMATICWinCC系统的7个漏洞进行攻击。
此外,“方程式组织”曾被发现利用恶意PHP入侵代码攻击Oracle的JAVA软件框架或IE浏览器的漏洞,这种入侵又被业内称作“外科手术式入侵”,其精准性可保证仅有一个特定目标遭到感染,但是其可攻击范围却涉及各类网站。
(三)攻击效果强悍
对NSA泄露的武器库分析指出,疑似网络武器的文件名超过50个,其中安装在被劫设备上的恶意软件植入程序28个,允许劫持设备、提取数据或植入程序的有15个,为部署植入程序而利用漏洞的软件数据包13个。这些工具可对不同型号的防火墙实施攻击,对防火墙远端控制设备存在的漏洞实施攻击可以获取防火墙权限。
(四)协同化、立体化作战
过去的网络攻击,传统的病毒攻击手段单一,传播途径有限。而近几年的网络攻击明显发生了变化,通常是多种病毒或工具协同配合作战,甚至采用了立体化作战思想。
间谍软件Regin使用多项隐形技术,可躲避常规反病毒软件检测,允许黑客发起一系列的远程木马攻击,包括窃取用户信息,捕捉截图,监控网络流量、分析电子邮件等,用于信息窃取。NSA研发的情报侦察武器,可通过声光电磁等多种手段突破物理隔离的网络,将窃取的数据回传。恶意软件能够改写硬盘固件,只要硬盘通电就能激活病毒,改写后的固件创建了秘密信息存储库,能有效防止军队级别的磁盘擦除和格式化,即使在格式化、重装操作系统后仍然可用。
二、网络空间武器发展趋势
NSA泄露的武器库带给人们巨大震惊的同时,更令人恐慌的是,根据维基揭秘的说法,这一批武器早在3年前就已经生产完毕。那么这3年间,黑客组织利用这批网络武器到底发动了多少次攻击,又有多少数据泄露令人深思。这3年,网络武器库又更新换代到一个怎样的程度更值得深究。根据各国公开的网络空间战略和当前的网络武器库分析表明,在继承现有的网络武器特征的同时,新型网络武器还具备以下发展趋势。
(一)创新驱动网络武器的研发
所谓创新,就是要打破传统思维,利用新概念、新原理、新技术等生产高效的网络武器。未来的网络武器也不仅仅是对网络、系统的攻击,而是可能直接作用于人。
网络攻击的路径不再局限于互联网,向跨网渗透迈进,诸如“微波炸弹”“电磁脉冲”等。
未来的发展很难在今天做出绝对的预测,但是发展趋势却很明显,未来的网络武器将涵盖更多的创新元素。
(二)智能化成为网络武器作战效用的倍增器
随着机器学习、人工智能等技术的应用,网络武器将具备“反侦查、智能感知与决策、工具变异”等特点。反侦查能增强武器的隐蔽性,使得网络管理人员和网络安全专家难以发现和了解其攻击行为。智能感知与决策是指网络武器具备环境感知能力,可以根据环境自适应地选择或预先定义决策路径来完善模式和行为,通过学习成功经验以提高攻击的成功率和有效性,不再以单一、确定的顺序执行攻击步骤。工具变异是指网络武器已经发展到可以通过升级或更换工具的一部分迅速改变自身,进而发动迅速变化的攻击,且在每一次攻击中会出现多种不同变体的攻击工具。
(三)攻击目标向移动终端和物联网转移
智能手机、物联网等逐渐成为了人类生活不可或缺的一部分,甚至产生了依赖性,正因其如此重要,也会逐渐成为网络武器攻击的目标。臭名昭著的Mirai僵尸网络对网络摄像头和家庭路由器等不安全物联网设备中的登录漏洞进行攻击利用,并且发起了迄今为止已知的规模最大的DDoS攻击。除了被用于拒绝服务攻击,被攻破的物联网设备还可用于窥探他人隐私、勒索所劫持设备,或者被利用作为攻击该物联网设备所连接网络的渗透窗口。缺乏必要安全防护措施,存在大量设计与实现缺陷的移动设备和物联网,已成为网络攻击者的武器弹药,有朝一日,无人驾驶汽车、智能微波炉等在攻击控制下都有可能成为远程遥控炸弹。
三、网络安全意识不足是网络空间的最大威胁
网络技术发展日新月异,人与人、人与物、物与物在网络空间中也联系得愈加紧密,在促进经济发展,方便人民生活的同时,网络空间面临的安全威胁却与日俱增。近年来,互联网公司安全事故频繁发生,针对个人数据的网络犯罪呈现组织化和产业化,网络黑产从半公开化的纯攻击模式转化为敛财工具和商业竞争手段,形成跨平台、跨行业的集团犯罪链条。《网络空间安全蓝皮书:中国网络空间安全发展报告(2016)》指出,我国网络空间安全面临着四大威胁:一是国家级重要信息系统和关键基础设施成为跨国网络攻击的主要目标,二是大型互联网平台安全事故频发且影响重大,三是数据泄露事件频发,四是新技术发展推动网络攻击方式的创新和升级。
此次全球勒索病毒事件,揭示出我国网络空间面临的安全威胁远不止以上四点,国民的网络空间安全意识低下是最严峻的威胁。
有效及时的威胁情报分析和应急响应是降低风险的法宝,如果能在NSA武器泄露的初期引起重视,研究对策、弥补漏洞、制定预案,就能将损失降到最小,甚至可以避免此次危机。微软公司早在今年3月份就已经紧急发布了包括本次攻击所利用的漏洞补丁,全球各大机构却依然陷入泥沼,毫无疑问这是网络安全管理人员缺乏应有安全意识的表现。事件发酵后,多家网络安全机构纷纷提出防护举措,却仍有大批计算机接二连三中招,国民的网络安全意识令人堪忧。
四、应对之策
网络武器的特点和发展趋势增加了网络空间的不稳定性,面对越来越多的网络安全威胁,客观要求身处网络空间的全体人员必须要具备足够的网络安全意识。
1.网络武器威慑力大。安理会五大常任理事国都有核武器,因此能形成平衡,相互构成核威慑。但网络攻击不一样,此次NSA泄露的武器库仅“永恒之蓝”就造成如此巨大影响,可以想像没有泄露的武器造成的危害。网络空间要形成新的战略平衡,必须重视对网络防御武器的研发。
2.没有攻不破的系统,也不存在没有漏洞的系统。Windows操作系统源码属于千万行级别,在这个量级下的零漏洞是不现实的。Android手机的底层是Linux,iOS的底层是Unix,Linux是Unix的一个变种。它们都有漏洞,否则苹果就无法越狱,Android就无法获得最高权限。加强自主可控信息系统的研发和部署,加快对软、
硬件漏洞分析技术的研究,建立快速弥补漏洞的应急响应机制,可有效降低网络武器攻击造成的危害。
3.网络物理隔离并不保险。当前大家普遍认为物理隔离能有效应对网络攻击,因此在内网贯彻安全策略、及时升级系统,加强风险管控的防范意识十分欠缺。物理隔离虽然有效减少了攻击面,但是攻击者可通过供应链预置、基于声光电的侧信道攻击、摆渡攻击等各种方式将攻击载荷植入内网,因此内网的防护措施需要同步升级,甚至要高于外网的安全等级。
4.构建更加安全的防护体系,是有效减少损失的必要方法。在网络防护、检测、响应的不同阶段引入网络威胁情报,在各联网终端上建立更加快速地检测攻击与隔离响应机制,基于终端侧和网络侧采集的数据进行大数据关联安全分析,基于机器学习等人工智能技术开展自动化的攻击检测与响应等,可构建一个能持续进行威胁响应、智能化、协同化的自适应安全防护体系,以改变攻防不对称的局面,从而将网络攻击的损失降到最低。
5.密码学先驱布鲁斯·施奈尔曾经表示:“安全不是一件产品,它是一个过程。”进一步说明,安全不仅是技术问题,更是人和管理的问题。多个事件表明,其实网络空间安全最大的漏洞是人,人才是确保网络空间安全最重要的因素。当前越来越多的攻击采用了社会工程学,利用人性的欲望等弱点穿越人这道防火墙,以更低的成本、更高的成功率突破网络防线。因此,提高人员的网络安全意识,是构建网络空间保障体系的基石。网络安全意识必须从战略高度进行把握,从政治意识、法律意识、保密意识、责任意识等角度提升认知。网络可信不仅仅要靠可信计算等技术来提升可信度,更需要通过提升人员的安全意识来提升可信度。
五、结语
网络安全为人民,网络安全靠人民,维护网络安全是全社会共同责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线。只有网络安全意识深入人心,提升广大网民的风险意识和防护技能,才能聚指成拳,凝聚起维护网络空间安全的磅礴力量。
(原载于《保密科学技术》杂志2017年6月刊)
