亚博全站APP登录

网络安全领域军民融合能力流动方向与路径思考

时间: 2017年7月5日 作者:肖新光 来源:安天

一、 引子:思考传统领域的能力流动

1.1 军民融合——传统军力的前瞻性逐渐向民力释放

我们先(xian)思考一下,在传(chuan)统(tong)领(ling)域(yu)(yu)中,军(jun)力(li)(li)和(he)民(min)力(li)(li)之间的(de)(de)能(neng)(neng)力(li)(li)流动(dong)。如今非常发达的(de)(de)移动(dong)通讯(xun),实际上是从上世(shi)纪作为军(jun)事装备的(de)(de)一系(xi)列先(xian)进技术(shu)的(de)(de)小型(xing)化、持续民(min)用化发展(zhan)而(er)来(lai)的(de)(de)。在当(dang)时,扮演着传(chuan)统(tong)军(jun)工角色的(de)(de)厂商,像(xiang)摩托罗拉通讯(xun)厂商,实际上在推动(dong)整个(ge)革(ge)命过(guo)程中起到了(le)重要的(de)(de)作用。在这种传(chuan)统(tong)领(ling)域(yu)(yu)的(de)(de)军(jun)力(li)(li)向民(min)力(li)(li)流动(dong)的(de)(de)过(guo)程中,传(chuan)统(tong)军(jun)事的(de)(de)研制,因要做好面(mian)向较强对(dui)手、面(mian)向未来(lai)战争的(de)(de)准(zhun)备,将(jiang)能(neng)(neng)承担民(min)间不可(ke)承担的(de)(de)成(cheng)本能(neng)(neng)力(li)(li),往往在一些领(ling)域(yu)(yu)可(ke)以开创相(xiang)应(ying)的(de)(de)技术(shu)先(xian)河(he),而(er)这种技术(shu)一旦取(qu)得基础(chu),就逐渐可(ke)以和(he)民(min)间的(de)(de)应(ying)用需求相(xiang)结合,并推动(dong)产业的(de)(de)发展(zhan)。

1.2 军民融合——传统的转换路径

与(yu)此相(xiang)类似(si)的(de)(de)(de)是(shi)穿戴(dai)(dai)式计(ji)算(suan)领域。今天的(de)(de)(de)与(yu)人工智能或者其他(ta)很多方式相(xiang)结合(he)的(de)(de)(de)穿戴(dai)(dai)计(ji)算(suan)装备(bei),是(shi)从上世纪60年代开始,由(you)头盔瞄准等一(yi)系列技术发(fa)展推动(dong)起(qi)来的(de)(de)(de),之后随着整个民(min)用化的(de)(de)(de)可能性提升(sheng),以及相(xiang)应需求的(de)(de)(de)逐(zhu)渐(jian)产生(sheng),渐(jian)进(jin)地产生(sheng)了类似(si)于(yu)谷歌眼镜的(de)(de)(de)装备(bei)。

这是一种传统的能力路径,反映出技术发展的两个本质的驱动力是,国家的战略能力和人性需求,正像比尔•盖茨在《未来之路》中所讲的“先进技术通常被使用到两个领域,即军事与色情”。

1.3 信息系统特殊性——民力有效向军力回馈

在互联(lian)网模式出(chu)现(xian)之后(hou),开始出(chu)现(xian)了(le)一(yi)些新的(de)现(xian)象(xiang)(xiang),这种现(xian)象(xiang)(xiang)使(shi)得能(neng)力(li)(li)不再简(jian)单的(de)从军事力(li)(li)量(liang)向(xiang)民(min)间力(li)(li)量(liang)流动,而(er)是产生了(le)民(min)力(li)(li)向(xiang)军力(li)(li)的(de)有(you)效回馈(kui),这不仅仅是简(jian)简(jian)单单的(de)技(ji)术力(li)(li)的(de)流动,很大程度上其实是模式的(de)破局(ju)。

以(yi)密码(ma)破解(jie)为(wei)例,传统的(de)密码(ma)破解(jie),除了算法分析(xi)和相(xiang)应的(de)资源之外,其(qi)实需(xu)要(yao)投(tou)入大(da)量的(de)计算资源,比(bi)如,大(da)量GPU的(de)并(bing)行计算;投(tou)入大(da)量的(de)存(cun)储资源,比(bi)如,承载一个更大(da)体(ti)系的(de)彩虹表;同(tong)时,在面临局部网(wang)络的(de)破解(jie)作业(ye)中,可能(neng)还需(xu)要(yao)相(xiang)应的(de)抵近(jin)作业(ye)的(de)能(neng)力(li)。

很久之前,安天在一份关于隐私的技术报告中写过相关内容——在安卓4.0版本之后,谷歌全面开通了把用户的SSID和密码备份到谷歌云中的默认策略,而由于谷歌本身又提供相应的地图服务,Wi-Fi作为辅助定位设备,这就意味着在谷歌中已经存储了全球无线热点的用户名和相应的密码信息。之后再结合“谷歌街景车由于具有无线sniffer的行为,在多个国家被罚款”的情况,我们可以看到,其已经构成了一个监听全球无线网的事实能力(注意,我们所讲的是事实能力,而非事实)。在此过程中,由于“棱镜”的存在,将这种客观能力转化成了一种需要评价的威胁。

同时,需要看(kan)到(dao),所有的密码(ma)并不是(shi)通(tong)过破(po)解获取的,而(er)(er)是(shi)用(yong)户为了(le)更方便(bian)的操作,在接受了(le)这种以个人隐私置换免费服(fu)务的互联网(wang)模式之后,主动提交给厂商(shang)的,从而(er)(er)转化为影响大(da)国平(ping)衡的能力(li)(li)。因此,这不仅仅是(shi)一(yi)种技术的流动,还是(shi)一(yi)种能力(li)(li)的变化。

1.4 新关注点——生活习惯即战斗力

传统(tong)军事领域的(de)(de)大量装(zhuang)备(bei)都(dou)是(shi)定(ding)(ding)制化(hua)(hua)的(de)(de),是(shi)基(ji)于(yu)前瞻性(xing)的(de)(de)设(she)计、高标号的(de)(de)原件进行的(de)(de)相应定(ding)(ding)制化(hua)(hua)设(she)计。但在今(jin)天我们可(ke)以(yi)看到,美国狙击手使用的(de)(de)计算封片(pian)的(de)(de)软件实际上是(shi)运行在iPhone或者(zhe)iTouch上的(de)(de);之前iPhone7和(he)三星某型号的(de)(de)手机(ji)被美军定(ding)(ding)性(xing)为标准的(de)(de)型号手机(ji);在阿(a)富汗或者(zhe)其他一些实战(zhan)的(de)(de)战(zhan)场中,用来控制无(wu)人机(ji)和(he)无(wu)人车(che)的(de)(de)并不是(shi)专用设(she)备(bei),而是(shi)XBOX的(de)(de)游戏方(fang)向舵。从(cong)美军的(de)(de)思(si)路上来看,这是(shi)把日常的(de)(de)用户操作习(xi)惯直接转化(hua)(hua)成战(zhan)斗力,最小化(hua)(hua)地承担(dan)了培训成本。同时(shi),现代民品在经历大规模的(de)(de)批量生产和(he)严格的(de)(de)用户体验(yan)考(kao)验(yan)之后,其质(zhi)量在一定(ding)(ding)程度上是(shi)可(ke)以(yi)和(he)传统(tong)定(ding)(ding)制化(hua)(hua)军品相匹配的(de)(de),甚(shen)至在软件系统(tong)上更为可(ke)靠和(he)稳定(ding)(ding)。

1.5 精确目标模拟——从“乌干达人质事件”到电脑游戏《战地四》

在(zai)(zai)之前著名(ming)的(de)“以(yi)色列(lie)特(te)种兵营(ying)救乌干(gan)达(da)人质事件(jian)”中,以(yi)色列(lie)在(zai)(zai)沙漠中搭建了(le)相(xiang)关机(ji)场(chang)的(de)1:1模(mo)型,基(ji)本(ben)上还是要(yao)付出传统的(de)建设(she)成(cheng)(cheng)本(ben)和相(xiang)应的(de)测绘成(cheng)(cheng)本(ben)。之前被我(wo)国封禁的(de)游(you)戏《战地四(si)》中已经精细(xi)地模(mo)拟了(le)上海的(de)部分街区(qu)场(chang)景(jing),包括东方(fang)明(ming)珠电视塔、百货大(da)楼和地铁车(che)站的(de)内部建筑细(xi)节(jie)。如(ru)果单价大(da)概在(zai)(zai)一万元人民币左右(you)的(de)、基(ji)于虚拟现实(shi)技(ji)术的(de)体(ti)感式装备和前面所提(ti)及的(de)游(you)戏中的(de)模(mo)拟场(chang)景(jing)相(xiang)结合(he),就可以(yi)基(ji)于卫星地图、街景(jing)、室内定位、VR结合(he),实(shi)现超低成(cheng)(cheng)本(ben)的(de)实(shi)景(jing)模(mo)拟演练能力,从而辅(fu)助特(te)种兵突袭。

1.6 GTA5——大场景模拟到城域级战场成型

另外一个(ge)被我国禁止的(de)游(you)(you)戏《GTA5》(侠(xia)盗猎(lie)车(che)手)实际(ji)上已经实现了从大场景(jing)模拟(ni),到城域级战场模拟(ni),再到地域级战场模拟(ni)的(de)升级。游(you)(you)戏主(zhu)人公(gong)可(ke)(ke)以(yi)在一个(ge)超(chao)过100平方(fang)公(gong)里的(de)地图中进行多种载具(ju)的(de)驾驶,完成包括爆炸(zha)、潜(qian)入、监听、狙击在内等相应的(de)任务,可(ke)(ke)以(yi)进入多所内部结构(gou)复杂的(de)建筑,而(er)全(quan)部场景(jing)都(dou)可(ke)(ke)以(yi)通过无缝(feng)连接(jie)完成。

广(guang)泛(fan)被当前(qian)西方大型战争(zheng)游戏所使(shi)用的最(zui)新版寒霜引擎,可(ke)(ke)以(yi)实(shi)现“一切皆可(ke)(ke)炸毁”的效果(guo),如果(guo)和谷歌地图(tu)、街(jie)景等进行(xing)相应的结合,不仅可(ke)(ke)以(yi)辅(fu)助特种(zhong)作战行(xing)动,也(ye)可(ke)(ke)以(yi)在大规(gui)模(mo)(mo)的战争(zheng)沙盘推(tui)演中达到精细(xi)的模(mo)(mo)拟毁伤和推(tui)演构造的效果(guo)。

从(cong)中可以看到,西方游(you)戏公司(si)所具(ju)备(bei)的(de)商业技术能(neng)力,是一种可循环的(de)、持续发(fa)展的(de)能(neng)力,已经领先于全球其他大国的(de)军(jun)事能(neng)力,而且(qie)其差距有进一步扩大的(de)趋势。

随着网络空间计算、存储、处理能力的增强,对于现实空间的仿真效果,可以达到非常逼近的程度。在我们设计“赛博超脑”这一网络靶场时,就面临着如何使其更逼近一个实体攻防过程的问题。相应的检验标准是原载荷打靶,比如,在“乌克兰停电事件”中,我们详细地剖析了整个攻击作业链,但如果能够把相应攻击作业链中的原载荷投放于靶场模拟目标,并完成靶场作业,则说明靶场比较好地仿真了整个大规模关键基础设施。在网络空间具备着非常强的模拟传统空间靶场作业能力的同时,网络靶场自身也会有突飞猛进的发展。

二、 网络领域大国平衡的新支点

2.1 网络安全企业如何影响大国平衡

下图是分析APT1报告对于全球大国战略平衡的影响,从中可以看到,这不简单的是一篇安全厂商所发布的报告,其所引发的是整个中国在全球网络空间中争夺道德制高点方面的颓势,以及整个中国产业体系在美国和其所支撑的朋友圈中的产业回撤,这种产业回撤追杀到了澳大利亚和韩国。在这个过程中,利用炒作,以FireEye为代表的美国网络安全厂商在这一轮的产业推手中持续兴起。一方面,美国获得了大国博弈在网络安全领域中的道德制高点;另一方面,收获了产业果实,并使我方吞下了相应的产业苦果。可以说这既起到了四两拨千斤的效果,也影响到了大国平衡,这在传统领域中是非常难以达成的。

图 1 APT1报告对于全球大(da)国战(zhan)略平(ping)衡的(de)影响

2.2 非国家因素影响大国平衡

如果把过去美国安全厂商所发布的一些典型报告进行叠加,会发现其中涉及到了世界上的多个其他国家,参与发布报告的厂商包括被FireEye收购的Mandiant、最为活跃的FireEye、传统安全厂商Symantec、Trend Micro等。从中可以看到,由于网络空间本身是一个复合域,导致了民间的产业力量、非传统的国家力量对大国平衡具有高度的参与能力。在传统的对抗式博弈中,无论是传统的国家队,还是民间队,更多只是作为装备体系的供应商,而非直接的博弈方;而在网络空间领域,我们可以看到像FireEye这种厂商,不仅在美国本土的网络防御中起到非常活跃的作用,在菲律宾、印度、日本等都可以看到,其已经成为整个美国国家能力前出的一部分。

2.3 曝光即威慑与吓阻战术

为了对(dui)抗(kang)这种曝光式的(de)(de)吓阻方式,需要(yao)“以彼之道(dao),还之彼身”的(de)(de)相(xiang)应操作,而大国之间的(de)(de)操作取决于相(xiang)互之间“伤害”的(de)(de)能(neng)力。自2014年10月起,安天(tian)陆续发(fa)布了一系列针(zhen)对(dui)美、印、越(yue)等各(ge)方的(de)(de)报(bao)告,来披露各(ge)方对(dui)我方所进行的(de)(de)相(xiang)应攻击(ji)。

2.4 APT博弈中的民间要素

在围绕APT概念的要素博弈中,以美国为例,除了国土安全部这种统筹机构,FBI、CIA这种情报机关,以及US-CERT这种政府背景的安全组织外,还活跃着大量的独立安全厂商,以及西方所调度的看不见手的相关媒体,其有效地支撑了美国的一系列组合动作,包括阻断、止损、反控、曝光、惩戒、报复、欺骗等。因此在网络安全博弈中,民间力量起到了非常微妙和关键性的作用。

2.5 APT背后的旋转门

APT一(yi)词的(de)(de)创(chuang)造者是美国(guo)空军信(xin)息站中(zhong)心业务(wu)组主指挥官Greg。Greg本身的(de)(de)任职经(jing)历(li)是从军队到相应(ying)的(de)(de)政府(fu)机构(gou)(gou)再到咨询机构(gou)(gou)、创(chuang)业公(gong)司,一(yi)直到今天成为(wei)摩(mo)根大通的(de)(de)总经(jing)理,这(zhei)(zhei)个典型的(de)(de)轨迹就是一(yi)个旋转(zhuan)(zhuan)门。实际(ji)上,从美方的(de)(de)视(shi)角(jiao)来看,这(zhei)(zhei)种(zhong)旋转(zhuan)(zhuan)门既是军民之(zhi)间的(de)(de)人才(cai)流动,同(tong)时也是一(yi)种(zhong)利益输送和相应(ying)的(de)(de)流动,这(zhei)(zhei)就构(gou)(gou)成了美国(guo)国(guo)家能力和产业体(ti)系发展的(de)(de)重要动力。

2.6 信息军工复合体

当(dang)年艾森豪(hao)威尔提醒美(mei)国(guo)人(ren)民要(yao)警惕军工复(fu)合体,这(zhei)种军工复(fu)合体在美(mei)国(guo)整(zheng)个政治生(sheng)态和国(guo)家能力(li)中(zhong),所(suo)扮演的(de)(de)是国(guo)家队的(de)(de)角色(se),这(zhei)与我国(guo)的(de)(de)十一(yi)大军工集团是非(fei)常(chang)契合的(de)(de)。

从当前来看,在信息能力和军工能力方面呈现出几个倾向,一方面,传统的军工复合体正在强化信息攻防能力,比如,我们今天经常使用的著名的关于攻击链的模型是洛克希德•马丁公司提出的;爱国者导弹的出品商雷神公司兼并了著名的Web安全厂商Websence。从中可以看出传统的军工复合体正在强化信息侧的攻防能力,从而更有效地承担起美国国家安全体系中的业务安全、数据安全和情报安全工作。另一方面,以谷歌为代表的信息复合体正在向信息军工复合体成长,典型的大狗载具很明显是一种战场载具,如果和谷歌的街景地图能力、人工智能方向相结合,将成为美国未来无人战争的一个阻力。

2.7 网络安全企业正在向网络装备供应商成长

同时也可以看(kan)到,美(mei)国(guo)的部分网(wang)络安全(quan)企业正在全(quan)速向网(wang)络装(zhuang)备供应(ying)商(shang)(shang)成长。从2013年开始(shi),根据美(mei)国(guo)国(guo)防(fang)预算(suan)法案932.b,美(mei)国(guo)五角大楼要求与美(mei)国(guo)国(guo)防(fang)系统连接的军工集团(tuan)和厂(chang)商(shang)(shang)要叠加为FireEye等厂(chang)商(shang)(shang)量身定做的动态检测能(neng)力。事实上,这赋予了这些厂(chang)商(shang)(shang)军火(huo)装(zhuang)备供应(ying)商(shang)(shang)的位(wei)置,当然这种装(zhuang)备是防(fang)御装(zhuang)备。此外,2016年,FireEye首家通(tong)过(guo)了网(wang)络安全(quan)领域(yu)的反(fan)恐认(ren)证。

2.8 国家背景网络攻击中的商业军火

安天(tian)在(zai)2015年5月(yue)27日发布了一篇分析报(bao)告(gao) ,主(zhu)要披露了中南(nan)半岛某(mou)国借(jie)助美(mei)方所生(sheng)产(chan)的(de)(de)(de)商用攻击平台Cobalt Strike对(dui)我方部委进(jin)(jin)行(xing)相关的(de)(de)(de)APT攻击。Cobalt Strike的(de)(de)(de)始作(zuo)俑者曾是(shi)(shi)美(mei)军(jun)(jun)Red Team的(de)(de)(de)成(cheng)员,也就是(shi)(shi)美(mei)军(jun)(jun)在(zai)网(wang)络空间(jian)中的(de)(de)(de)外军(jun)(jun)模拟(ni)部队成(cheng)员。其所领导研发的(de)(de)(de)Cobalt Strike实(shi)际上已经(jing)超(chao)出(chu)了传统(tong)的(de)(de)(de)进(jin)(jin)行(xing)漏洞(dong)扫(sao)描(miao)测(ce)试的(de)(de)(de)测(ce)试平台的(de)(de)(de)特点,具备(bei)不落(luo)地的(de)(de)(de)载(zai)(zai)荷,即无(wu)文件载(zai)(zai)体(ti)的(de)(de)(de)内(nei)存载(zai)(zai)荷打入能(neng)力,可进(jin)(jin)行(xing)加(jia)密的(de)(de)(de)远程控制回联,而且(qie)基本上覆盖了大(da)部分的(de)(de)(de)操作(zuo)系(xi)统(tong)场(chang)景(jing)和文件载(zai)(zai)体(ti)系(xi)统(tong)。因此,这不是(shi)(shi)一枚靶弹,不是(shi)(shi)一枚教练弹,而是(shi)(shi)真(zhen)实(shi)的(de)(de)(de)具有战(zhan)斗部的(de)(de)(de)导弹。

2.9 以商用攻击平台+恶意代码为核心的军火扩散影响地区平衡

在具备这种(zhong)商(shang)(shang)业(ye)军(jun)火的情(qing)况下(xia),包括商(shang)(shang)用的攻击平(ping)台、商(shang)(shang)用的恶意(yi)代码(ma)、商(shang)(shang)用的漏(lou)洞(dong)买卖,传(chuan)统的基于大量(liang)成本(ben)投(tou)入(ru)才能支(zhi)撑(cheng)高(gao)水准行(xing)动能力(li)的局面有所改变,类似越(yue)南、印度等国家(jia)不(bu)需要(yao)进(jin)行(xing)大量(liang)成本(ben)投(tou)入(ru),就可以形(xing)成高(gao)级(ji)的行(xing)动能力(li),这影响到了相应(ying)的地区(qu)平(ping)衡。

2.10 复合民间行为体

2.10.1 “素人”式攻击

同时,我们(men)也要警惕(ti)复合(he)民(min)间行(xing)为(wei)体(ti)的(de)(de)“素人”式(shi)攻(gong)(gong)击。从安天(tian)关于“乌(wu)克兰(lan)停(ting)电事(shi)(shi)件”的(de)(de)报告(gao) 中可(ke)以(yi)看到(dao),相关攻(gong)(gong)击方在几乎没有使用(yong)任何0day漏洞(dong)的(de)(de)情(qing)况下,仅(jin)仅(jin)依靠恶意(yi)代码的(de)(de)组合(he)作(zuo)业,就(jiu)达成了乌(wu)克兰(lan)大(da)面(mian)积停(ting)电的(de)(de)效果(guo)。2017年6月27日(ri)发(fa)生了主(zhu)要针对乌(wu)克兰(lan)的(de)(de)“必(bi)加”(Petya)病毒(du)攻(gong)(gong)击事(shi)(shi)件,6月28日(ri),安天(tian)在凌晨五时所发(fa)布的(de)(de)报告(gao) 中,特别提出了“这种攻(gong)(gong)击如(ru)果(guo)作(zuo)为(wei)破坏载荷使用(yong),其实(shi)可(ke)以(yi)达成和‘乌(wu)克兰(lan)停(ting)电事(shi)(shi)件’、‘索尼(ni)事(shi)(shi)件’同样的(de)(de)导致大(da)规模系统(tong)停(ting)止响应的(de)(de)效果(guo),因此,不能得(de)出这次事(shi)(shi)件是以(yi)勒索为(wei)目的(de)(de)的(de)(de)结论”。这个猜测也被后(hou)续卡巴斯基等(deng)厂商(shang)发(fa)布的(de)(de)报告(gao)所证实(shi)。

对于“美国大选遭遇攻击事件”,如果根据美方目前所公布的报告进行判断,从技术手段上来看,这并非一次高水平的攻击,当然也许是更高水平的攻击伪装成不够高水平的攻击。但正如力的要素是方向、大小和作用点,同样大小的力施加于不同的作用点上,可能会带来不同的效果。一般性的网络攻击如果用于环境预制或者情报获取,往往只能达成战术效果,但是这种看似并不是最顶级的网络攻击行为获取了美国大选中相关政党的活动信息,并进行单边爆料,却达到了动摇美方之前认为根本不存在政权安全风险的观点的效果(美方之前一直认为其所面临是高度的国家安全风险,但是不面临政权安全风险),这就可以动摇美国的基本盘。

2.10.2 国家背景组织和国际黑产的交互

当前,还有(you)很多(duo)(duo)难(nan)以(yi)(yi)识别的(de)(de)(de)(de)复(fu)合(he)行(xing)为(wei)体,比(bi)(bi)如,在针(zhen)对WannaCry(魔窟(ku))蠕虫(chong)的(de)(de)(de)(de)响应(ying)过程(cheng)中(zhong),尽管(guan)很多(duo)(duo)方(fang)(fang)提(ti)供了(le)关于相(xiang)(xiang)应(ying)来源的(de)(de)(de)(de)猜(cai)测(ce),但最后(hou)(hou)并没(mei)有(you)达成有(you)效(xiao)的(de)(de)(de)(de)实(shi)证,而(er)安(an)天(tian)在这(zhei)方(fang)(fang)面取得了(le)相(xiang)(xiang)应(ying)的(de)(de)(de)(de)进展。从(cong)中(zhong)可以(yi)(yi)看到,我们很难(nan)用一(yi)个(ge)非常传统的(de)(de)(de)(de)视角(jiao)去解(jie)读相(xiang)(xiang)应(ying)的(de)(de)(de)(de)事件,很多(duo)(duo)内容经过实(shi)际分(fen)析后(hou)(hou)被证实(shi)只是(shi)猜(cai)测(ce),比(bi)(bi)如,有(you)人认为(wei)“魔窟(ku)”蠕虫(chong)并不是(shi)以(yi)(yi)经济为(wei)目的(de)(de)(de)(de)的(de)(de)(de)(de),因为(wei)攻(gong)击(ji)者锁死了(le)相(xiang)(xiang)应(ying)的(de)(de)(de)(de)比(bi)(bi)特币地址(zhi),但实(shi)际上这(zhei)个(ge)结论是(shi)错误的(de)(de)(de)(de),因为(wei)其在之后(hou)(hou)会为(wei)每一(yi)个(ge)新(xin)用户分(fen)配一(yi)个(ge)新(xin)的(de)(de)(de)(de)比(bi)(bi)特币地址(zhi),而(er)后(hou)(hou)续的(de)(de)(de)(de)这(zhei)个(ge)地址(zhi)是(shi)难(nan)以(yi)(yi)监控的(de)(de)(de)(de)。同时,从(cong)“魔窟(ku)”蠕虫(chong)的(de)(de)(de)(de)一(yi)些相(xiang)(xiang)应(ying)行(xing)为(wei)和特点(dian)来看,又可以(yi)(yi)非常明确(que)地与(yu)此前的(de)(de)(de)(de)攻(gong)击(ji)建立关系,那么是(shi)否存在国家背(bei)景的(de)(de)(de)(de)网络组织,在与(yu)国际黑(hei)产间产生耦合(he)度之后(hou)(hou),在相(xiang)(xiang)应(ying)的(de)(de)(de)(de)攻(gong)击(ji)中(zhong),可能会承载非常复(fu)杂的(de)(de)(de)(de)多(duo)(duo)方(fang)(fang)攻(gong)击(ji)意图(tu)和相(xiang)(xiang)应(ying)行(xing)为(wei)?

2.11 我国同时面临国家行为体和复合民间行为体的攻击

因此对于我(wo)方而言(yan),我(wo)们(men)既(ji)面(mian)(mian)临着国家(jia)行为体的安全威胁,其实也(ye)面(mian)(mian)临着复合(he)民间行为体的综(zong)合(he)压力。很大程度上,我(wo)们(men)要(yao)更加警惕这种非常(chang)不受(shou)控的“乌克(ke)兰式”的攻击样板。

三、 信息战武器、战场与战争规律的思考

我希望(wang)就信息战(zhan)中的武器、战(zhan)场与战(zhan)争规律(lv)分享(xiang)一些不(bu)成熟(shu)的思考(kao)。

3.1 战略引导行动 基础决定水平 投入支撑能力

在网络空间的作业能力中,毫无疑问,商业军火在一定程度上打破了高成本投入才能有高行动能力的局面,但总体来看,相应的网络行动能力,其实是一个战略引导行动,基础决定水平,投入支撑能力的过程。

3.2 网络装备也呈现传统装备能力和断代特点

不(bu)(bu)同(tong)国家具有不(bu)(bu)同(tong)的(de)研(yan)发能力,通过(guo)不(bu)(bu)同(tong)的(de)装备支(zhi)撑(cheng)不(bu)(bu)同(tong)的(de)意图,这使得网络装备也(ye)呈(cheng)现出类(lei)似在航空领域中一代机(ji)、二代机(ji)、三(san)代机(ji)、四代机(ji)的(de)特点。

3.3 网络装备也是一个冰山体系

尽管安天发布(bu)了大量(liang)的(de)(de)(de)(de)(de)分析(xi)报告,我们称之(zhi)为(wei)(wei)弹头分析(xi)报告,但其(qi)主(zhu)要是针对恶意(yi)(yi)代码(ma)和(he)(he)把恶意(yi)(yi)代码(ma)打(da)上(shang)来(lai)的(de)(de)(de)(de)(de)相关漏(lou)洞的(de)(de)(de)(de)(de)分析(xi),我们应(ying)该(gai)(gai)深入地认识到,网络装备其(qi)实(shi)是一(yi)个冰山体系(xi)。对于整个体系(xi)化(hua)建设(she)而言,如果以美(mei)方(fang)的(de)(de)(de)(de)(de)能(neng)力为(wei)(wei)例,其(qi)核(he)心能(neng)力体系(xi)其(qi)实(shi)是在后端,我们所看到的(de)(de)(de)(de)(de)非常精(jing)妙的(de)(de)(de)(de)(de)恶意(yi)(yi)代码(ma)和(he)(he)相应(ying)的(de)(de)(de)(de)(de)间谍设(she)备是在一(yi)系(xi)列综(zong)合工程体系(xi)的(de)(de)(de)(de)(de)支撑下运行的(de)(de)(de)(de)(de)。类似“棱镜”等系(xi)统应(ying)该(gai)(gai)是更值得我们关注的(de)(de)(de)(de)(de),也是美(mei)方(fang)付出更大成本的(de)(de)(de)(de)(de)支点

3.4 恶意代码水平成为评价APT攻击者能力的标尺

当(dang)前(qian),我(wo)(wo)们对其具有分析(xi)能(neng)力(li)(li)的(de)恶意(yi)代码在(zai)一定程(cheng)度(du)上(shang)成为了评(ping)价(jia)APT攻击的(de)能(neng)力(li)(li)标尺。之(zhi)前(qian),我(wo)(wo)们曾(ceng)讲过一个观点——我(wo)(wo)们称类似(si)美方(fang)的(de)攻击为A2PT,即高级的(de)APT。从投放(fang)方(fang)式、0day储备、载荷质量、抗分析(xi)特性、模块化(hua)、指令体系(xi)、多平台、持(chi)久化(hua)等角度(du)出(chu)发,可以看(kan)到不同作业方(fang)具有鲜明的(de)能(neng)力(li)(li)层次的(de)差异。

3.5 资源储备

下图(tu)为安(an)天在(zai)2017年5月22日发布的(de)(de)《安(an)天关于系统化应对(dui)NSA网络(luo)军火(huo)装备(bei)的(de)(de)操作手册》 中对(dui)4月14日泄露(lu)的(de)(de)NSA网络(luo)军火(huo)装备(bei)与漏洞利用(yong)程(cheng)序(xu)梳理的(de)(de)一个关系图(tu),而(er)这个关系图(tu)所(suo)反映(ying)的(de)(de)只是(shi)(shi)美(mei)方(fang)能(neng)力(li)储备(bei)中很小的(de)(de)一部(bu)分。从图(tu)中可以看(kan)出,美(mei)方(fang)的(de)(de)整个能(neng)力(li)储备(bei)是(shi)(shi)非常系统的(de)(de),这部(bu)分工(gong)具显然是(shi)(shi)美(mei)方(fang)用(yong)于远(yuan)程(cheng)打点(dian)和突(tu)破(po)物理隔离之后进行横向移动的(de)(de)。同时我们(men)预计,后续将更(geng)多的(de)(de)看(kan)到针对(dui)浏(liu)览器漏洞利用(yong)的(de)(de)能(neng)力(li)储备(bei)集合。正如(ru)传统美(mei)军最大(da)化地使用(yong)弹药(yao)基数(shu)一样,美(mei)方(fang)也会最大(da)化地进行相应的(de)(de)资源储备(bei),而(er)在(zai)关键性的(de)(de)作业中,也会最大(da)化地使用(yong)相应的(de)(de)漏洞装备(bei)。

图 2 2017年4月14日泄露的NSA网络军火装备的漏洞(dong)利(li)用关系图

3.6 模块化与复合作业

需要注意的(de)(de)(de)(de)一点是(shi)(shi)(shi),我们不能从非常(chang)传统的(de)(de)(de)(de)“网络(luo)(luo)进入、网络(luo)(luo)传出(chu)”的(de)(de)(de)(de)角度来理解(jie)美方的(de)(de)(de)(de)作(zuo)业。从美方的(de)(de)(de)(de)体系来看,其(qi)中大量(liang)起到中间桥梁作(zuo)用的(de)(de)(de)(de),无论是(shi)(shi)(shi)投放器(qi),还是(shi)(shi)(shi)支撑(cheng)传播的(de)(de)(de)(de),实际上是(shi)(shi)(shi)其(qi)电(dian)磁(ci)空间设备(bei)。对于美方而言,并没(mei)有(you)绝对的(de)(de)(de)(de)网络(luo)(luo)作(zuo)业和非网络(luo)(luo)作(zuo)业的(de)(de)(de)(de)概念(nian),而是(shi)(shi)(shi)在由人力、电(dian)磁(ci)、装(zhuang)备(bei)等构成的(de)(de)(de)(de)武(wu)器(qi)系统中选(xuan)择攻(gong)击组合。

3.7 网络威胁符合传统威胁的基本规律

同(tong)时,我们也认为(wei)网(wang)络(luo)(luo)空(kong)间(jian)的(de)(de)(de)威胁(xie)是符合传统威胁(xie)的(de)(de)(de)基(ji)本规律(lv)的(de)(de)(de),我们反对(dui)刻意地(di)把网(wang)络(luo)(luo)空(kong)间(jian)夸大成一个(ge)差异性(xing)的(de)(de)(de)空(kong)间(jian)、异化其(qi)规律(lv),而漠视其(qi)与(yu)基(ji)础规律(lv)的(de)(de)(de)相同(tong)性(xing)。对(dui)APT而言,其(qi)同(tong)样(yang)符合我们传统对(dui)于威胁(xie)的(de)(de)(de)认知。正(zheng)(zheng)如我们所知,“威胁(xie)是能力(li)和意图的(de)(de)(de)乘积”,在APT中,“A”所代表的(de)(de)(de)高(gao)级性(xing)毫无(wu)疑(yi)问就是APT攻击的(de)(de)(de)能力(li),而“P”所代表的(de)(de)(de)持(chi)续性(xing)正(zheng)(zheng)是攻击意图的(de)(de)(de)体现,因(yin)此, “A”、“P”、“T”的(de)(de)(de)本质关系是“A×P=T”。

3.8 传统手段和网络手段的攻击效费比对

在(zai)整个网(wang)络空间(jian)中(zhong),之所以会形成(cheng)我(wo)们(men)如今必然重视的(de)(de)威胁,其(qi)中(zhong)的(de)(de)标(biao)志性(xing)事(shi)件(jian)一定包括“震(zhen)(zhen)网(wang)”事(shi)件(jian)。“震(zhen)(zhen)网(wang)”事(shi)件(jian)说明(ming)网(wang)络空间(jian)中(zhong)的(de)(de)攻(gong)击具(ju)备与传统(tong)攻(gong)击作(zuo)业的(de)(de)等效性(xing)。如果把(ba)“震(zhen)(zhen)网(wang)”事(shi)件(jian)与在(zai)1977~1981年间(jian)所发生的(de)(de)美(mei)以联合轰炸伊拉(la)克(ke)核(he)反应堆的(de)(de)巴比伦行动从时(shi)间(jian)周期、人员投入、作(zuo)业准备、训练成(cheng)本、消耗毁(hui)伤效果和(he)效费比等方面进行对比,可(ke)以验证(zheng)美(mei)国陆军参(can)谋长高级顾问曾指出的(de)(de)——“网(wang)络武器(qi)可(ke)以有许多适应环境的(de)(de)属性(xing)。从生命周期成(cheng)本的(de)(de)角(jiao)度来(lai)看,它们(men)比其(qi)他武器(qi)系统(tong)更优越(yue)。”

3.9 攻击关键基础设施的成本不断下降

如(ru)果再把“震网”事(shi)(shi)件和(he)“乌(wu)克兰停电事(shi)(shi)件”以(yi)(yi)及最近发生的(de)“必加(Petya)”事(shi)(shi)件进行对比,可以(yi)(yi)看到,这种达成(cheng)实际(ji)物理空间效果的(de)攻(gong)击关键(jian)基础设施(shi)的(de)成(cheng)本是在不断下降的(de)。

3.10 信息战的规律与特殊性——从CNE到CNA

我们需要认知到信息战的规律和特殊性。与传统战争从宣战之日起,人员、载具、军火越过边境线和实际控制线进入到对方场景中不同,网络战争是“先埋后打”的,网络战争中攻击方具有塑造整个战场的无与伦比的先天优势,在信息战争中,“打”的主动性取决于“埋”的主动性。西方的研究者把网络攻击划分成CNE(Cyber Network Exploitation)和CNA(Cyber Network Attack)两种类型,即网络情报利用和网络攻击,毫无疑问,CNE是CNA的基础,没有对对方环境的大规模预制,没有对对方整个基础环境的持续渗透,就不可能在信息战争中占据主动,这与传统战争中储备核武器就可以形成威慑是完全不同的。

3.11 对手的脆弱性发现和脆弱性预制覆盖一切环节

从美(mei)方(fang)的(de)作(zuo)业思路(lu)来(lai)(lai)看,其(qi)(qi)对(dui)于(yu)脆弱(ruo)性(xing)的(de)发(fa)现和脆弱(ruo)性(xing)的(de)预制是(shi)覆(fu)盖(gai)一切环(huan)节(jie)的(de),前(qian)美(mei)国(guo)陆军参谋长高级顾(gu)问曾指出“网络(luo)武器具有无与(yu)伦比的(de)多(duo)(duo)功(gong)能(neng)性(xing),可以在多(duo)(duo)个时(shi)点发(fa)起攻击(ji),包(bao)括针对(dui)早期开发(fa)过(guo)程(cheng)(cheng)”。在我们幻想(xiang)通(tong)过(guo)国(guo)产(chan)自(zi)闭合的(de)供应(ying)链来(lai)(lai)解决网络(luo)安全问题之(zhi)前(qian),美(mei)方(fang)就(jiu)早已认识到各(ge)国(guo)自(zi)主(zhu)的(de)工业过(guo)程(cheng)(cheng)和信息(xi)过(guo)程(cheng)(cheng)是(shi)在其(qi)(qi)远程(cheng)(cheng)作(zuo)业和环(huan)境预制场景(jing)之(zhi)内的(de)。这时(shi),如果(guo)我们没有相应(ying)的(de)措施,只是(shi)认为这种自(zi)主(zhu)先(xian)天(tian)具备可控(kong)属性(xing),就(jiu)必(bi)然会带来(lai)(lai)一个更不可控(kong)的(de)系统(tong)。

在(zai)我们将目光(guang)仅仅关注(zhu)于(yu)所谓(wei)的(de)特种木马之时,美方(fang)已经多次进行了劫持传统僵尸网络(luo)和(he)(he)恶意代码用(yong)于(yu)情报作业的(de)相关研究(jiu)和(he)(he)实际行动。也就(jiu)是说,在(zai)攻击时,原则(ze)上会选择成本更(geng)低、隐蔽性(xing)更(geng)强的(de)通路,而不必然使用(yong)己方(fang)的(de)高级装备。

3.12 塑造战场:基础供应链的穿透

如(ru)果对“震网”事件发生之前所进行(xing)的(de)(de)连锁行(xing)动(dong)进行(xing)梳理,就会发现,美方(fang)在此前已(yi)经击穿了整个伊朗的(de)(de)自(zi)主(zhu)工(gong)业体系(xi)(xi)。一套自(zi)主(zhu)的(de)(de)工(gong)业体系(xi)(xi)本身都(dou)可以(yi)被用来进行(xing)长期的(de)(de)攻击渗透和(he)环(huan)境(jing)预制,从而获取未来战争的(de)(de)主(zhu)动(dong)权(quan),更何况信(xin)息系(xi)(xi)统?

3.13 国防供应链的网络安全要素分析

因此,未来的战争将从传统的军事网络延展到整个国防供应链中。对手试图进行相应的情报分析、借鉴模仿、弱化干扰、专项反制等,而我方将通过对对手攻击的捕获防御,达成感知对手的作业意图、限制对手获得信息、切断对手的意志能力,以及实现情报反用的效果。

3.14 从两个案例说起

从之前的美方作业方式来看,比如,在我方援越抗美期间,美方通过“长子行动”派特种人员替换掉我方援越的弹药和枪械,导致越方降低对我方所供应武器安全性的信任度,从而挑拨中越之间的矛盾;美方在F-16战机出口中通过相关的后门预制达成对以色列飞行员视角的获取,实现美方对以色列飞行员的“所见即所得”。在未来网络空间的对抗中,对于国防供应链的预制,一方面可以影响到战争的进程;另一方面可以影响一个国家军报产品的质量。

四、 防御——布防、支撑与全域融合

4.1 防御是战略能力的基本盘

首先,我们认为防御是战略能力的基本盘,虽然当前有很多声音都在强调“进攻是最好的防守”,毫无疑问这是一个正确的观点,但是不能将其庸俗化。进攻是最好的防守,但并不意味着要放弃防守,因为防御能够提升对手的攻击成本、制约对手的能力展开、干扰对手的攻击决策、削弱对手的攻击效果。在世界各大国大面积进行信息化的情况下,在这种信息化本身就是一个漫长的攻击正面的情况下,已经形成了非常强的相互毁伤的能力,在攻击能力上,具有的已经不是本质性的差异。相关之间的博弈主动权渐进地转化为了防御能力,转化为了对对手攻击的削弱程度。

当(dang)前(qian),由于我(wo)们(men)过(guo)多(duo)地(di)强(qiang)调(diao)了“操作(zuo)(zuo)系(xi)统不(bu)是(shi)自(zi)(zi)己(ji)的(de)(de),CPU不(bu)是(shi)自(zi)(zi)己(ji)的(de)(de),所以没有办法防(fang)(fang)御(yu)(yu),也没有办法打仗”,这实(shi)际上(shang)导致了防(fang)(fang)御(yu)(yu)上(shang)的(de)(de)虚无(wu)主(zhu)义(yi)。我(wo)们(men)认为这种庸俗化(hua)的(de)(de)“进攻(gong)是(shi)最好(hao)的(de)(de)防(fang)(fang)守”的(de)(de)观点,是(shi)基(ji)于我(wo)们(men)一(yi)定防(fang)(fang)不(bu)住的(de)(de)假设而(er)言(yan)的(de)(de),而(er)根据上(shang)述对(dui)(dui)于美方作(zuo)(zuo)业的(de)(de)介绍(shao),可以明(ming)显地(di)看到,美方在作(zuo)(zuo)业过(guo)程(cheng)中,也是(shi)需要(yao)(yao)“撬(qiao)门压锁”的(de)(de),既然是(shi)要(yao)(yao)“撬(qiao)门压锁”,那就不(bu)是(shi)完全不(bu)可防(fang)(fang)御(yu)(yu)、不(bu)可追溯的(de)(de)。因此(ci),要(yao)(yao)避免防(fang)(fang)御(yu)(yu)上(shang)的(de)(de)虚无(wu)主(zhu)义(yi),避免神化(hua)对(dui)(dui)手(shou),避免寻找“永动机”和“银弹”。

如果从军事力量上进行对比,从NMD到萨德,可以发现,有效的防御实际上构成了一种战略威慑能力,这个规律是适用于网络空间的。

对于军事组(zu)织(zhi)而言(yan),攻(gong)防的(de)基础设(she)施是一体的(de),是由架构(gou)安全、被动防御、积极防御、情(qing)报和进攻(gong)五个层(ceng)次构(gou)成的(de)。

4.2 缺少“敌情想定”是当前的重大问题

当前,基于(yu)“物(wu)理隔离(li)+好人假定+规定推演”构成了(le)(le)我们的防(fang)御想定,但这已经构成了(le)(le)最大的自我安全麻痹。因此,习(xi)总书记在4.19讲(jiang)话中,也明确地指(zhi)出了(le)(le)“物(wu)理隔离(li)防(fang)线可被跨网入(ru)侵”。

一个军事指挥系统必然是一个重点目标和高烈度对抗的场景,需要立足于内网已经被渗透,供应链被上游控制、运营商网络的关键路由节点被控制、物流仓储被渗透劫持、关键人员和周边人员被从互联网进行定位摸底、内部人员中有敌特人员派驻或被发展等。总体来看,我们要立足于网络空间对抗是战时的高烈度对抗、平时的持续性对抗、平战皆为无底线对抗和高成本对抗的思路来理解我们当前攻防两侧的需求。

4.3 界定未来战场的时间和空间

在未来网络空间的战场中,不再是简单地围绕着传统指挥网络或IT网络而展开的,从对手的攻击目标来看,一定会延展到相关的民用领域,包括工控领域、云、智能设备等。这些都会成为对手在平时持久化、进行信息获取的目标和在战时打击的目标,同时也是我方系统化的防御目标。对手既会不断增强传统的攻击手段,包括节点攻防、信道监听和数据获取的单点能力;也会进一步强化其高阶攻击手段,包括开源环境的污染、向研发环境的渗透、向供应链的预制和大数据干扰。总体上来看,未来的信息战场是围绕着对供应链的控制和数据价值的争夺而展开的,将是一个全时域的攻防过程。

4.4 通过滑动标尺模型理解攻击、防御与叠加创新

在此攻防体系中,应确立一个整体系统的安全观念,避免寻找“一招鲜吃遍天”的安全“永动机”和“银弹”。当前,安天、360企业安全等能力型安全厂商共同在推动滑动标尺模型——从架构安全来形成强身健体的自身安全能力,落实总书记“安全与发展同步进行”的三同步要求;通过传统的被动防御手段收窄攻击者的作业能力和作业边界,之后在其上叠加积极防御和威胁情报,从而形成一个稳固的防御基本盘。从部队的角度来看,在具有稳固的防御基本盘,建立起对国家关键基础设施和整个体系的防御和感知能力的基础上,才能够有效支撑自身的国家使命。

4.5 体系化防御对决体系化进攻

总体上来(lai)看(kan),我们是以(yi)体系(xi)(xi)化的(de)(de)(de)防御对决体系(xi)(xi)化的(de)(de)(de)进(jin)攻(gong)。在网(wang)络攻(gong)击中形成(cheng)(cheng)了(le)隐藏(zang)、导入(ru)、业务(wu)加载、回联(lian)、持久(jiu)化、获利、退出整个攻(gong)击链的(de)(de)(de)情况(kuang)下(xia),我们需要通过体系(xi)(xi)化的(de)(de)(de)防御来(lai)达(da)成(cheng)(cheng)相应的(de)(de)(de)层次纵(zong)深(shen)(shen)(shen)、网(wang)络纵(zong)深(shen)(shen)(shen)、业务(wu)纵(zong)深(shen)(shen)(shen)、模块纵(zong)深(shen)(shen)(shen)、防护手(shou)段“纵(zong)深(shen)(shen)(shen)”、攻(gong)击阶(jie)段“纵(zong)深(shen)(shen)(shen)”和时间“纵(zong)深(shen)(shen)(shen)”。

4.6 网络空间防御从营门到国门

从(cong)军(jun)(jun)队的(de)角度来(lai)看(kan),我们(men)认为人民军(jun)(jun)队也会(hui)逐渐从(cong)营门走出到(dao)(dao)国门,从(cong)原来(lai)的(de)军(jun)(jun)网(wang)防(fang)御到(dao)(dao)达国土防(fang)御。可(ke)以看(kan)到(dao)(dao),以信(xin)息安全(quan)保障局(IAD)和国防(fang)信(xin)息系统局(DISA)为代(dai)表的(de)美国网(wang)络空(kong)间的(de)相(xiang)关部门也同样经历过(guo)从(cong)营门到(dao)(dao)国门的(de)过(guo)程。

4.7 以战略目标和工程体系引领整体产业能力成长

由于(yu)只有军队才能(neng)用装(zhuang)备(bei)的效费比去(qu)看待攻防两端(duan)的技术(shu)和产品(pin),因(yin)此(ci)当前也只有人民军队才能(neng)改变(bian)中国网络安全(quan)产业(ye)的困局(ju),并可以成为破(po)局(ju)的最(zui)大获益者(zhe)。

在网络空间中招募民间黑客、采集漏洞只是一种表象的浅层次的能力流动,我们要看到的是,美国的网络安全企业并不代表着美国网络空间的顶级能力,其顶级能力是美国大的工程体系。利用我国集中力量办大事的优势和特点,就可以建立由部队为主导的对接大国使命的支撑工程体系,从而全面拉动国家能力和产业体系的发展。

五、 结束语——不负重托 携手前行

安天是习总书(shu)记视察的唯(wei)一(yi)一(yi)家网络(luo)安全(quan)企(qi)业(ye),我们以“成长为国家企(qi)业(ye)”为使命。军民融(rong)合(he)是当前的大(da)势所趋(qu),我们希(xi)望不(bu)负重(zhong)托,与部队携手前行(xing)。

我(wo)向在座的(de)专(zhuan)家、首(shou)长致敬,我(wo)相信,军民团(tuan)结如一人,试看天下谁能敌!