袁宏

近一個月以來，360集團公司連續(xù)發(fā)布美國國家安全局（NSA）對全球以及我國進行網(wǎng)絡(luò)攻擊的相關(guān)報告，展示出美國網(wǎng)絡(luò)攻擊活動常態(tài)化，也表明其潛在威脅越來越大。對此，360政企安全集,團追曰實驗室負責(zé)人邊亮在接受《環(huán)球時報》獨家專訪時表示，這些威脅一旦被引爆，危害將超越虛擬世界，給現(xiàn)實世界造成重大安全事件，各部門必須意識到網(wǎng)絡(luò)安全的緊迫性并立即采取措施防范潛在威脅。

NSA與CIA的攻擊區(qū)別

環(huán)球時報：請問360公司是如何最終確定發(fā)現(xiàn)攻擊方來自NSA?

邊亮：根據(jù)維基百科記錄，NSA下設(shè)一個名為接入技術(shù)行動處的絕密部門TAO（Tailored Access Operation也稱“特定入侵行動辦公室”）,主要負責(zé)對其他國家互聯(lián)網(wǎng)設(shè)施進行網(wǎng)絡(luò)監(jiān)控、情報獲取，甚至遠程破壞等活動。這個部門至少在拶98年時就開始活躍。從2008年開始，360通過安全大腦整合海量的安全大數(shù)據(jù)，捕獲發(fā)現(xiàn)大量異常復(fù)雜的網(wǎng)絡(luò)黑客攻擊程序樣本，經(jīng)過長期分析跟蹤并從多個受害單位實地取證，確認其中一大批黑客攻擊程序樣本屬于NSA.

環(huán)球時報：NSA實施的網(wǎng)絡(luò)攻擊是否有其特有屬性？

邊亮：與常規(guī)的黑客攻擊破壞活動不同，NSA的黑客攻擊更為精細化,　能針對正常網(wǎng)絡(luò)流量中的任意網(wǎng)絡(luò)通信和文件傳輸進行操控、分析和破壞，特定情況下可以遠程關(guān)閉或破壞遭攻擊目標的關(guān)鍵信息基礎(chǔ)設(shè)施和水、電、氣等民生設(shè)施。

環(huán)球時報：2020年，360公司曾經(jīng)公開披露過CIA（美國中央情報局）對全球的攻擊,與NSA相比較，這兩者之間有何不同？

邊亮:從攻擊工具看，美國CIA是利用核心網(wǎng)絡(luò)武器“Vault7（穹窿7）”進行的一系列攻擊活動。而此次所披露的NSA網(wǎng)絡(luò)武器數(shù)量更多，攻擊能力更強，并且這些網(wǎng)絡(luò)武器相互之間已經(jīng)實現(xiàn)自動化、工業(yè)化和人工智能化利用。

在攻擊目標方面，此前披露的CIA組織主要針對我國航空航天、科研機構(gòu)、石油行業(yè)、大型互聯(lián)網(wǎng)公司以及政府機構(gòu)等多個單位，其中較為突出的是以航空航天與科研機構(gòu)的系統(tǒng)開發(fā)人員為目標進行定向打擊。而此次NSA組織的網(wǎng)絡(luò)攻擊屬于無差別攻擊，目標是全球范圍，甚至包括美國盟友。其針對各類電子郵箱、社交網(wǎng)絡(luò)、搜索引擎、視頻網(wǎng)站等幾乎所有互聯(lián)網(wǎng)用戶發(fā)起無差別的網(wǎng)絡(luò)攻擊。

秘密黑客攻擊長達十余年

環(huán)球時報：在360的長期跟蹤研究中，美國對我國的網(wǎng)絡(luò)攻擊是否出現(xiàn)一些新特點？

邊亮：的確出現(xiàn)一些變化，有一些新特點，我們總結(jié)為“六大變化”。首先，對手變大了：從以前的個體性黑客發(fā)展成為NSA和CIA牽頭的有規(guī)模有組織的網(wǎng)軍；其次，實施攻擊的領(lǐng)域越來越大，戰(zhàn)場變大：從上網(wǎng)計算機、信息網(wǎng)絡(luò)，到軍用、民用等各種關(guān)鍵信息基礎(chǔ)設(shè)施；第三，手段變多，呈現(xiàn)多樣化：從木馬、病毒到漏洞、后門、仿冒服務(wù)器等；第四，對手攻擊目標變大：從此前炫技、黑產(chǎn)發(fā)展到國家關(guān)鍵信息基礎(chǔ)設(shè)施，重大國家秘密;第五，相應(yīng)的挑戰(zhàn)變大:威脅難以事先防范，無孔不入；第六，危害變大：平時竊取對手國家秘密，戰(zhàn)時成為首選戰(zhàn)爭形態(tài)、重要情報來源、制造動亂等。

環(huán)球時報：您剛剛提到NSA實施的網(wǎng)絡(luò)攻擊特點之一是危害變大，那么對我國帶來怎樣的危害？

邊亮：根據(jù)360掌握的數(shù)據(jù)，NSA針對我國各行業(yè)龍頭企業(yè)、政府、大學(xué)、醫(yī)療機構(gòu)、科研機構(gòu)甚至關(guān)乎國計民生的重要信息基礎(chǔ)設(shè)施運維單位等機構(gòu)進行長達十余年時間的秘密黑客攻擊活動，竊取海量重要數(shù)據(jù)，包括人口數(shù)據(jù)、醫(yī)療衛(wèi)生數(shù)據(jù)、教育科研數(shù)據(jù)、軍事國防數(shù)據(jù)、航空航天數(shù)據(jù)、社會管理數(shù)據(jù)、交通管理數(shù)據(jù)、基礎(chǔ)設(shè)施數(shù)據(jù)等，在我國眾多的信息系統(tǒng)中植入后門，造成的現(xiàn)實危害和潛在威脅難以評估。這些威脅，一旦被引爆，危害將超越虛擬世界，給現(xiàn)實世界造成重大安全事件。

環(huán)球時報：實際上在近期爆發(fā)的俄烏戰(zhàn)爭中，網(wǎng)絡(luò)戰(zhàn)已經(jīng)超越虛擬華界走入現(xiàn)實。請您描述一下網(wǎng)絡(luò)戰(zhàn)究竟會以何種形式進行？

邊亮-毫無疑問，數(shù)字時代下網(wǎng)絡(luò)戰(zhàn)將成首選。隨著未來數(shù)字城市萬物互聯(lián)，智能終端和網(wǎng)絡(luò)用戶數(shù)量的增加、數(shù)據(jù)來源的廣泛以及數(shù)據(jù)的多樣化和數(shù)據(jù)結(jié)構(gòu)的復(fù)雜化，使得各種承載城市運行數(shù)據(jù)的關(guān)鍵信息基礎(chǔ)設(shè)施難以有效維護，進而產(chǎn)生網(wǎng)絡(luò)安全建設(shè)及運營風(fēng)險。同時，關(guān)鍵信息基礎(chǔ)設(shè)施各種軟硬件系統(tǒng)的漏洞也難以避免被用于攻擊。

這也就意味著網(wǎng)絡(luò)戰(zhàn)攻擊不僅僅是為了竊取情報，還可以對交通、能源等基礎(chǔ)設(shè)施造成破壞，任何一個節(jié)點都可能成為攻擊跳板，牽一發(fā)而動全身引發(fā)嚴重后果，為此必須要意識到網(wǎng)絡(luò)戰(zhàn)的嚴峻形勢，正視網(wǎng)絡(luò)戰(zhàn)。

中方如何防范

環(huán)球時報：對于這種現(xiàn)狀：我們該如何防范？

邊亮：我們建議將網(wǎng)絡(luò)安全升級為數(shù)字安全，打造覆蓋所有數(shù)字化場景的數(shù)字安全防范應(yīng)急體系，鼓勵相關(guān)機構(gòu)主動上報風(fēng)險。這要求建立區(qū)域、行業(yè)級安全大腦，打造國家級防御體系一國家級分布式安全大腦，為“看見”網(wǎng)絡(luò)攻擊提供能力基礎(chǔ)。

此外，城市是未來網(wǎng)絡(luò)戰(zhàn)的主要打擊對象。應(yīng)該建立城市的應(yīng)急響應(yīng)體系，建立類似城市級“防空反導(dǎo)”系統(tǒng)的安全基礎(chǔ)設(shè)施。同時，要加強實網(wǎng)實兵實戰(zhàn)演練，在實戰(zhàn)中提升各單位的攻防能力。

第四，全網(wǎng)測繪、摸清家底，要定期針對關(guān)鍵基礎(chǔ)設(shè)施展開APT（高級可持續(xù)威脅攻擊）排查。要假定敵已在我，實時動態(tài)推進重要信息系統(tǒng)排查，摸清家底，實現(xiàn)自動化威脅識別、風(fēng)險阻斷和攻擊溯源。

環(huán)球時報：當前我們網(wǎng)絡(luò)防御體系建設(shè)已經(jīng)有了長足進步，您認為哪些方面仍需要進一步加強？

邊亮：首先，提升網(wǎng)絡(luò)安全和保密意識。建立信息系統(tǒng)的單位無論規(guī)模大小，都要確保單位領(lǐng)導(dǎo)充分意識到網(wǎng)絡(luò)安全的緊迫性并立即采取措施防范潛在威脅。同時要提升本單位網(wǎng)絡(luò)安全防護能力。此外，降低破壞性網(wǎng)絡(luò)入侵的可能性，比如對組織機構(gòu)網(wǎng)絡(luò)的所有遠程訪問和特權(quán)或管理訪問需要多因素身份驗證。

最后是要確保企業(yè)或組織在被入侵時及時響應(yīng)。比如測試備份程序，確保本單位受到勒索軟件或其他網(wǎng)絡(luò)攻擊時，能夠迅速恢復(fù)關(guān)鍵數(shù)據(jù)。遭到勒索軟件或其他網(wǎng)絡(luò)攻擊時，確保備份與網(wǎng)絡(luò)隔離等?！?/p>