【文/观察者网 吕栋】
“发现一次可以说是瞎猫碰上死耗子,但是对NSA已经发现好几次了,在不同的地方都能够以不同的方式对它进行捕获,而且看西工大的报告,我们的证据是越总结越详实、越有说服力。”
近期,中国西北工业大学(下称:西工大)遭遇网络攻击一事引发国内外大量关注。作为对此案进行全面技术分析的参与方之一,360公司创始人周鸿祎9月13日在接受观察者网等媒体采访时做出上述表述。
据中国外交部等相关部门介绍,对西工大实施网络攻击的正是美国国家安全局(NSA)下属部门,有关事实清清楚楚,证据确凿充分。中方已通过多个渠道要求美方对恶意网络攻击作出解释,并立即停止不法行为,但是迄今尚未得到美方实质性回应。
近年来,美国对华发动网络攻击已不是一次两次,国家计算机病毒应急处理中心等机构也进行过曝光。
那么,我们是如何掌握确凿证据锁定背后“黑手”的?频繁发生的网络攻击事件能给我们带来哪些警示?普通老百姓会不会受到网络攻击的影响?美国如果改变网络攻击手段,我们还能发现和阻断吗?
这些问题或许能从此次对周鸿祎的采访中得到答案。
美国国家安全局(资料图)
NSA多次被抓,美对华“单向透明”被打破
“我们抓住NSA的手已经不是第一次了,过去两年已两次在其他攻击中都发现了NSA,”周鸿祎讲道,NSA下属的网络战部队叫“特定入侵行动办公室”(Office of Tailored Access Operation,后文简称TAO),它被公认成全球作战水平最高的网络战部队,手段非常厉害。
在此次网络攻击西工大的过程中,TAO使用了40余种不同的NSA专属网络攻击武器,持续对西工大开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。
“每一个武器针对不同的平台、针对不同的用途,甚至每一种武器都利用了不同的漏洞。”周鸿祎在采访中透露。
在这种情况下,如何通过确凿的证据揪出幕后“黑手”?
“面对最高水平的国家级网络攻击,我们最大的挑战是‘看不见’,不知道自己被攻击了。因此最重要的是能察觉,这样才能迅速阻断攻击。但在察觉后还要知道是谁发起了攻击,难度是最高的。”周鸿祎坦言。
他进一步讲述称,过去十年,360公司收集了全球300亿个网络攻击样本。而网络攻击样本有点类似病毒样本,对其进行分析后会发现各家的攻击武器的基因不一样,包括代码习惯、技战术等模块,就像新冠病毒不管怎么演化,都能把它的族系排列出来。
“我们捕获了最多的攻击样本,意味着所有攻击者是怎么攻击的,用什么手法攻击的,我们都是清楚的。”周鸿祎透露,该公司为了跟踪NSA网络战武器,专门对其历史上很多技战法、代码样本都进行了分析。
“所以这次通过代码习惯的验证,包括攻击模块的组成,还有内部一些代码命名的习惯,基本上能够比较准确地把这个证据链固定下来,证明是NSA。”他表示。
谈及公司被美国政府列入“实体清单”,周鸿祎坦言,360成为唯一被美国制裁的互联网公司和网络安全公司,就是因为该公司公布了CIA(美国中央情报局)的网络攻击,并且技术细节和证据链固化的比较详实。虽然此举暴露了该公司的检测和分析能力,但也打破了美国对华的所谓“单向透明”。
“就像今天人类为了对付新冠病毒,要建立各种生物样本基因库一样,将来也应该给国家建立一个国家级网络攻击基因库和样本库,有了这个东西之后,谁来打你时,你在发现攻击和溯源时,就会越来越精准。”周鸿祎建议道。
“敌已在我,不要谋求建立马奇诺防线”
西工大一案,并不是美国对华发动网络攻击的孤例。
据相关部门调查发现,近些年,美国NSA下属TAO对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备(网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等),窃取了超过140GB的高价值数据。
“2016年时,我就说已经进入网络战时代,有些人对我嗤之以鼻,觉得我好像是为了兜售安全产品,”周鸿祎在采访中提到,这些年不止NSA,该公司共协助国家发现50个境外国家级黑客组织对我国发动的数千次网络攻击。
“网络战不分平时和战时,”他坦言,传统战争可能要等到宣战时才会爆发战斗,但网络战是越是在双方友好与和平时,对方越会利用网络攻击的方法把一些攻击软件、间谍软件潜伏或渗透到我方的重要系统里,或者预留后门和木马。
这样做都有哪些考虑?
周鸿祎提到,一是现在获取情报的手段大多是通过在线攻击;二是将来如果对方希望通过网络攻击来瘫痪我方的基础设施时,不可能等到攻击发起时才去潜伏,而是会提前好几年去做准备工作,这也是我们遭到网络攻击后的最大警示。
以这次西工大遭网络攻击为例,周鸿祎透露,NSA之所以能神不知鬼不觉地进来,是因为它们利用了很多被称为“零日(Zero Day)”的隐秘漏洞。而在数字化时代,所有网络设备都离不开软件,软件漏洞又不可避免、无法穷尽,这意味着我们的系统一定会被人攻进来。
“我们甚至提了一个概念叫‘敌已在我’,就是别人不仅已经进入我们的很多系统,而且潜伏了一段时间,”他直言,不要谋求建立一个“马奇诺防线”,而是应该基于自身系统肯定会被人攻破的情况,想办法把系统里已经进来的“敌人”及时发现并清理出去。
“看得见的攻击都不是最大的威胁,”在周鸿祎看来,真正巨大的威胁是在岁月静好表面下的暗潮涌动,“敌人”会以一种非常隐秘的手法,对中国的关键单位进行看不见的渗透和潜伏。
城市基础设施是下一阶段防范重点
国家层面的网络攻击,除了针对核心单位,会给普通人的生活带来风险吗?
“很多人觉得国家级网络攻击可能跟我没有关系,实际上国外已经有例子证明,一旦基础设施遭到攻击,带来大面积停水、停电,导致交通枢纽、金融出现问题,会严重影响老百姓的生产生活。”周鸿祎称。
这并非危言耸听。2015年末,乌克兰电网曾发生世界首例因遭受黑客攻击而造成的大规模停电事故,约140万人受影响。2019年7月,委内瑞拉水电系统也曾遭网络(电磁)攻击,首都加拉加斯及全国23个州中一半以上受到停电影响。
周鸿祎认为,随着现在中国城市快速数字化,推行数字政府、智慧城市,越来越多的基础设施也逐步数字化,所以未来对于城市基础设施的网络攻击,会成为我们下一阶段预防的重点。
除此之外,随着大数据时代到来,很多企业的核心业务都架构在大数据上。如果一家医院的数据瘫痪、一家运输公司财务系统数据被破坏等,这些都会导致业务停摆。
“对数据做攻击的难度远远低于对工业设备的攻击,因为把数据抹掉是非常容易的,由此也出现了当前让企业非常头疼的勒索攻击,黑客把很多企业的数据加密之后,让企业无法使用数据,只有交赎金才能换回解密的密码,这也是下一个攻击延展的方向。”周鸿祎提到。
“另外数据偷窃对老百姓也有影响,”他认为,如今大量数据存储在云端,一旦某些公司处理不慎,造成用户数据丢失,将给老百姓的个人隐私带来极大风险,甚至被诈骗集团用来设计精准诈骗。
但从目前来看,典型的国家级网络攻击更多还是用来窃取情报。周鸿祎透露,当该公司发现CIA、NSA的网络攻击后,全网再普查时,发现他们不光是攻击了中国某一个单位,分布的行业非常广。
“数字化转型是一把双刃剑,在给我们带来更加美好和先进的工作生活方式的同时,也让国家治理、社会运转、老百姓的衣食住行都架构在网络、数据和软件之上,这个数字底座一旦遭到网络攻击,后果不堪设想。”周鸿祎坦言。
美国更新网络攻击手段怎么办?
虽然在多方支持下,此次西工大遭网络攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头被全面还原,揭露了美国NSA长期以来对华开展网络间谍活动的真相。但问题的关键是,对手可能会采用新的手段发起新的攻击,我们应该怎么应对?
周鸿祎提到,传统杀毒软件只是收集各种攻击样本的指纹,但攻击样本只要一更新换代,指纹就作废了,所以传统的病毒库越来越庞大,甚至把电脑卡得很慢,但其实并不解决问题。
“我们并不试图去建立指纹库,而是通过电脑软件的行为来发现异常的数据。”他介绍称,攻击软件通常没有窗口、没有界面,但是在后台偷偷地运行,或者是在后台悄无声息地偷偷连网,而且连的不是常见的网站,很可能是奇怪的IP地址或者从来不会有人使用的域名。
周鸿祎透露,该公司把全球十几亿终端上的可疑行为汇总到云端进行横向对比,可以实现对全网高危行为的态势感知,“无论软件和攻击手法如何变化,最后总要在某台电脑上运行,而且要把偷的东西传出去或接收远端的指令给自己升级,这就一定会被大数据分析找出来。”
“NSA再怎么变,有一些代码会重用原来旧的版本,有一些攻击手法、代码会变,但攻击的方法不会做改变。所以这是魔高一尺道高一丈,不断基于长时间的攻防去识别锁定它。”他表示。
周鸿祎重申,不要试图去做无法攻破的系统,这是徒劳无益的。攻击软件进来之后肯定要横向移动,肯定要从一台电脑上跳到另外一台服务器上,肯定要偷数据,肯定要接受总部遥控指令,只要这些行为能被我们快速的分析能力看到,快速进行处置,就一定能解决。
网络战是整体战
“攻击比防守要容易。”
周鸿祎坦言,在网络战中,防守是一个国家最大的软肋,特别是在和平时期,如果一个国家的网络被打的跟筛子一样,情报数据都被人偷走了,或者系统里预埋了很多攻击软件,将给国家安全带来极大的风险。
在他看来,数字化时代,最强的数字安全公司要具有两个特征,一个是消费者业务出身,二是要有大数据分析能力,而现在中国很多传统安全公司都不具备这些特征。
“有人说做消费者业务的安全公司对国家没有意义,其实不是这样的,网络战是整体战,当网络战在一个国家发生时,实际上经过了若干跳板、若干个人、若干不同单位,最后才能达到目的,所以只有某些单位的数据,没有全网、全历史的数据,无法捕获攻击。”周鸿祎称。
“为什么微软防御能力和发现能力最近两年有很大的提升,现在成了美国最强的网安公司了?”周鸿祎讲道,微软前几年借鉴了360免费安全模式,迅速积累了终端和安全大数据的优势,能把各种攻击事件看的清清楚楚,最后还可以把数据汇总起来。
但只汇总数据还不够,最重要的是要有大数据的分析能力。周鸿祎提到,微软和360都属于互联网公司,大数据规模并不逊色于BAT,“不是弄一套开源软件,装个开源大数据平台,就能把大数据分析做起来,还要投资建设计算中心,搭建大数据分析平台。”
“我们是2008年开始做免费杀毒,到现在做了十几年。如果当年安全是核心收入的话,可能这件事情反而做不了,因为安全赚的钱根本无法支撑做这么大规模的大数据分析平台,所以我们是一家互联网公司,通过互联网收入每年补贴20-30亿到安全上,通过十几年的投入,花了200多个亿,才把‘安全大脑’这套体系基本上打造出来,然后发挥了作用。”他表示。
面对当前企业存在的网络薄弱环节,提升网络安全防御的措施有哪些?
大势至电脑文件防泄密系统(下载地址:
www.dashizhi.com/products_technology/products/13.html" style="border: 0px; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-variant-numeric: normal; font-variant-east-asian: normal; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: 21px; font-family: "Microsoft YaHei"; vertical-align: baseline; color: rgb(0, 0, 238); text-decoration-line: underline; cursor: pointer; widows: 1; background-color: rgb(255, 255, 255);">https://
www.dashizhi.com/products_technology/products/13.html)是大势至软件公司经过多年在企业网络管理、局域网安全防护深耕细作、日积月累的技术结晶,一经推出便以各项优势先进国内同类产品。具体使用说明如下:
有鉴于此,大势至(北京)软件工程有限公司实时推出了可以有效控制电脑USB口使用、防止电脑随意使用优盘的“大势至电脑文件防泄密系统”。大势至电脑文件防泄密系统是一款适用于Windows操作系统的USB设备监控管理软件。该软件适用于企业、政府、军队、广告公司、设计单位等对信息安全性有特殊要求的机构,主要用于防止外部或内部人员有意或随意使用U盘、移动硬盘等USB移动存储设备拷贝内部机密信息而给单位带来的重大损失,达到有效保护单位商业机密的目的。如下图所示:
图:大势至电脑文件防泄密系统界面
系统功能
系统主要提供了以下核心功能:
a、全面监控USB存储设备的使用
》禁止电脑连接一切USB存储设备,包括:优盘、移动硬盘、手机、平板等,不影响USB鼠标、键盘、加密狗等。
》设置特定U盘,即电脑只能识别白名单列表中的U盘。同时还可以对特定U盘进行二次权限设置。
》只允许从U盘向电脑拷贝文件,禁止电脑向U盘拷贝文件,或只允许电脑向U盘拷贝文件,禁止U盘向电脑拷贝文件。
》 密码权限设置。设置从电脑向U盘、移动硬盘拷贝文件时需要输入管理员密码。
》禁用CD/DVD光驱、禁止光驱刻录功能,但是允许光驱读取、禁用软驱。
》监控USB存储设备拷贝记录。详细记录U盘拷贝电脑文件时的日志,包括拷贝时间、文件名称等。
b、全面防止网络途径泄密的行为
》禁止聊天软件泄密。设置特定QQ、允许QQ聊天但禁止传文件、禁止QQ群传文件、禁止微信传文件等。
》禁止邮箱外传文件。禁止登录一切邮箱、允许登录特定邮箱、只允许收邮件禁止发送邮件等。
》禁止网盘向外传文件。禁止使用一切网盘、云盘,也可以设置使用特定网盘、云盘等。
》程序黑白名单管理。设置禁止运行的程序列表,或者设置只允许运行的程序列表。
》网页黑白名单管理。设置禁止打开的网址名单,或者设置只允许打开的网址名单。
》禁止登录论坛、博客、贴吧、空间等,禁止使用FTP上传文件、禁止手机和电脑通过网络互传文件等。
c、操作系统底层防护
》禁用注册表、禁用设备管理器、禁用组策略、禁用计算机管理、禁用任务管理器、禁用Msconfig、禁用安全模式、禁用光盘启动电脑、禁用红外、禁用串口/并口、禁用1394、禁用PCMCIA、禁用调制解调器
》禁用U盘启动电脑、禁用DOS命令、禁用格式化和Ghost、禁止修改IP/Mac、屏蔽PrtScn、屏蔽Esc键、屏蔽剪贴板、禁止网络共享、禁止查看进程、屏蔽Win键、屏蔽Ctrl+Alt+A键、禁用Telnet、开机系统自动隐藏运行
》设置全局白名单、禁止局域网通讯、禁用虚拟机、禁止创建用户、禁用有线网卡、禁用无线网卡、禁止安装随身WIFI、禁用蓝牙、登录密码设置、软件唤出热键管理、安装目录权限管理、UAC管理、恢复管理
》禁止开机按F8进入安全模式、禁止光驱启动操作系统、禁止U盘启动操作系统、禁止PE盘启动电脑等,防止各种手段绕过系统监控的情况。
