网络战争暴力美学的七个安全观点

2017-02-12 Martin 安全牛 信息与电子前沿

本文转载自微信公众号：安全牛

（作者：Martin）

1. 防御和分析能力决定了你能看清对手的程度

APT攻击是高度定向和具象的。从2013年出现的初级APT攻击白象I代，再到2015年的白象II代以及支持商业军火的APT攻击(APT-TOCS)，虽然不及震网、火焰、方程式等A²PT（高维度APT）攻击在成本上的投入之大，但是其行动能力却也在不断提升。虽然通过威胁轨迹的回溯，以及攻击组织的画像，中国已经有能力完全借助样本分析和开放式的网络检索，将部分APT攻击的实施黑客定位到自然人。

但必须意识到的是，目前国内安全厂商只能有效分析低维度的APT攻击，对高维度攻击的分析还停留在样本分析层面，而这与美国等网络安全超级大国在APT攻击的发现和分析能力上仍存在巨大差异。而利用这种能力差异，以“商用攻击平台+恶意代码”为核心的网络军火的扩散，也已经严重影响了地缘政治的格局和这其中的平衡。

2. 网络空间的防御能力最终是由攻击者和窥探者检验

许多国家都在执行网络安全检查方面的相关评估制度和合规手段，但现实是，即使是能力不强的攻击者，也能对IT系统带来较大的安全威胁。在对白象I代 APT攻击的研究中发现，白象I代的恶意代码编写粗糙并缺少有效rootkit手段，仅仅是在投放前经过了免杀处理；而之后的白象II代才在攻击能力上有所提升。

虽然在2013年挪威安全厂商Norman首次曝光时，“白象”的主要攻击目标是巴基斯坦，但因为其背后国家战略目标的转变，最近两年攻击目标已经转移为中国。这也代表着来自地缘利益竞合的国家与地区的网络攻击，虽然技术层面略显粗糙，但却更加频繁和直接。尤其是对于基础感知、检测和防御能力不足的社会肌体，这种具有定向性的远程攻击是高度有效的，且会淹没在其它非定向安全事件中，使其更加不易察觉。

3. 网络战争的暴力美学攻击的等效性与更高的效费比

庞大且工程化的恶意代码体系，全平台的覆盖能力以及精致的加密远程控制指令体系，都使得A²PT攻击更具有战争艺术。

传统战争通过前期的多次侦查与情报收集工作，再到之后的空袭与火力打击，才能实现攻击目标；而美国与以色列联手对伊朗的奥林匹斯行动（即震网病毒等网络攻击），以更低的成本完成了更为精准、隐蔽的打击，并达成了近乎相同的攻击效果，这使得网络攻击具有更高的效费比。同时，随着其它关联设施被陆续攻陷，对关键基础设施进行攻击的成本也将不断降低。

没有炫酷的作业过程，没有零日，甚至没有使用漏洞，更没有脚本小子的花哨技巧，我们从乌克兰停电事件中（僵尸网络、后门预置、钓鱼邮件、宏病毒），只看到了最为简单粗暴的恶意代码。

4. 塑造战场基于已经被持久化的事实

与传统战争手段不同，网络战中因为信息的不对称性（攻击方可以以低成本获得防御方的资源或相关情报），使得防御方的战场优势尽失。而基础的防御能力，也即变成了清理己方侧那些已经持久化隐蔽通讯的埋伏，以及成功埋伏到对侧的能力。这个场景不仅是如何防御对方的“持久化”，而是基于已经被“持久化”的既定事实，从研发、生产、物流等环节，进行有效的防御。而这其中，对基础供应链的穿透，并以应对未来战争为前提进行关键基础设施的防御，是战场塑造的先决条件。

5. 对抗思路的历史惯性

网络安全的本质是对抗，安全技术是否过时，应该倒回过去，重回技术的出发之地，分析其产生的初衷，才能判断是否已经偏离了方向。而安全创新的关键是满足当时差异化的安全需求，以应对当时的主流威胁场景。这些概念从产品形态上也是立得住的。

信息对抗的基础场景是不断发展的，从重视密码的“信道对抗“（包括今天的量子通信），到重视端点安全的“节点系统对抗”，再到今天需要借助纵深防御以应对供应链安全甚至APT攻击的“综合体系对抗”，后续的威胁场景不断变化。而不再是当下威胁焦点的对抗场景，又因为其“历史惯性”影响着当下主流对抗场景的防御思路。如认为信道安全能力的增强就可以保证节点系统的安全，使其免受恶意代码、DDoS等攻击的入侵；如过度看重操作系统层面的安全性，而忽略了系统与应用的平权，而针对应用的攻击满足攻击等效性的同时，还更具隐蔽性；再如单点单流程的防御观点固化，而不能发挥安全体系和架构的优势进行对抗，整体的安全策略不经过由真实大数据支撑的沙盘演练和对抗思考。

这种历史惯性

甚至可以看作是一种懒政的表现。

6. 反病毒与白名单的局限

反病毒的局限，在于虽然通过引入加权标志位而具有一定模型修正，即对未知恶意代码的检测能力，但是反病毒引擎，甚至包括企业安全设备采购列表以及部署拓扑等信息，作为一种可以低成本获得的安全资源，可以帮助攻击者基于防御方高度可预测的防御能力，进行模拟攻击并在投放前修改恶意代码直到低检出率为止。在当前APT攻击的场景下，所有的安全产品都面临着和反病毒产品一样的问题，即在攻击投放前被用于恶意代码的能否成功绕过的测试。

而白名单的局限则在于其对商用软件环境收集的成本不收敛，同时对应的哈希值数量庞大，系统资源消耗高，因此白名单相对更适用于IT场景收敛的部分情况下，如工控环境，银行ATM机，执行重要操作的柜员机等。

每一种安全技术都有其适用范围和独特的价值，需要组合使用各尽所能。网络安全的创新是叠加式创新，而非迭代式创新。

7. 没有胜利终点只有蔓延开来的地平线

安全行业不是江湖。肖新光对目前中国网络安全行业的担心，很大程度在于其仿佛已经被所谓的“江湖规则”所腐蚀，而这样的体系是不能很好的发展起来的，更不要提在短时间内超越国际对手。

对APT防御能力的汇总，几乎是所有安全防护方法的综合。这也意味着，对于之后更广泛的攻防，目前我们所看到的最复杂的APT攻击，也只会是局部。通过供应链和信息流的视角所引出的大安全的概念（包括安全开发、工具链和基础环境、物流配送、运营商与信道、产品服务商以及个人用户安全的保障），必然要求体系化的防守与对抗，并为用户提供差异化的安全服务以及定制化的知识分享。