齐向东:网络安全行业变局正在开启

　　以往的病毒传播拼的是技术，谁用的技术新，漏洞厉害，传播就广，病毒制作者获利就大。但勒索病毒用的是成熟的老技术，例如已经有几十年历史的非对称加密技术、十几年历史的匿名网络技术等。攻击者把这些技术重新组合，形成了一个新的技术模式，只要一次运行，把文件加密了就能开始勒索。因此，未来类似的网络攻击有可能会成为常态。

　　这次的事件充分证明，在大数据时代，数据远比金钱重要。在互联网时代，安全问题带来的更多是经济利益上的损失，而在大数据与物联网时代，对数据的攻击和破坏，不仅带来经济利益上的损失，还会严重影响到我们的日常生活，甚至影响到城市的运转和人的生命安全。随着大数据时代网络攻防技术的变化，网络安全行业的变局正在开启，传统的安全防护思路和技术已经失效，网络安全体系建设将进入的新阶段。

　　5月12日，“永恒之蓝”勒索病毒席卷了全球，这是“冲击波”病毒发生以来，14年一遇的严重网络安全攻击事件，其传播速度之快，后果之严重，防范之难，均为历史罕见。

　　5月23日，又发现了一种比“永恒之蓝”更厉害的病毒――“永恒之石”，它利用了NSA泄露的7个漏洞利用工具。根据360威胁情报中心的监控，目前“永恒之石”在国内已经有少量感染，但是还未出现大规模爆发的情况。

　　这些事件给全球敲响了警钟，随着大数据时代网络攻防技术的变化，网络安全行业的变局正在开启，传统的安全防护思路和技术已经失效，网络安全体系建设将进入新的阶段。

　　“永恒之蓝”攻击150余个国家

　　本月12日，“永恒之蓝”勒索病毒在短短数小时之内，攻击了150多个国家，被攻击的用户硬盘中的重要数据被加密锁定，并索要价值300美元比特币的赎金。

　　据360威胁情报中心监测，我国至少有29372个机构IP遭到攻击，覆盖了我国几乎所有地区。

　　在两天时间内，西班牙电信巨头Telefonica、电力公司、能源供应商的网络系统瘫痪；法国雷诺汽车、德国的联邦铁路系统、俄罗斯内政部先后有系统被攻陷，重要数据被锁定，造成部分业务中断或无法正常运行；美国联邦快递、葡萄牙电信、瑞典某当地政府、俄罗斯第二大移动通信运营商都被曝出相关攻击事件；英国的大量病患诊断被延误，有病人因此事件无法及时进行心脏手术；我国很多学校毕业生的论文被加密，部分公共服务系统暂停服务，无法正常使用，部分工业设施等行业也“中招”了。

　　这次事件中攻击者所用的攻击方法与此前被泄露的美国NSA网络攻击武器“永恒之蓝”有关，我们第一时间将其锁定为网络军火民用化。“永恒之蓝”是被黑客组织“影子经纪人”曝光的第四批NSA的网络武器。去年8月13日，“影子经纪人”声称攻破了NSA御用黑客团队“方程式”的系统，获取了他们的网络武器库，并公布了第一批黑客工具。此后，相继在今年的1月13日、4月9日、4月14日又公布了第二批、第三批和第四批相关工具。

　　这些被泄露的网络武器，使用的漏洞范围广泛，从网络设备到操作系统，从桌面终端到移动平台。攻击操作方法简单易用，可以看到，这些工具将漏洞利用已经编制成完整的攻击程序，攻击者不需要任何技术功底，只需要执行攻击命令，就能完成对目标的攻击。并且，攻击成功率极高，这主要源于他们储备的漏洞多、质量高。例如为Windows准备的一个工具里就包含十几个高质量漏洞，确保不论目标处于什么环境，使用的什么系统，攻击框架一旦执行就能获得成功。

　　360的天眼实验室对这些武器进行了分析：第一批公布的黑客工具主要是针对边界设备，也就是我们经常说的防火墙的漏洞利用工具；第二批公布的工具主要是NSA黑客组织使用的一些样本；第三批公布的工具主要是针对Linux等系统的远程漏洞利用工具及后门模块；第四批也就是包含“永恒之蓝”的这一批工具，主要针对Windows系统，包含了一套远程漏洞攻击的通用技术框架，通过这套框架可以对一台Windows主机进行远程攻击。

　　目前能看到的这些被泄露的网络武器，都是2000年到2010年之间的，最新的距离现在也有7年，但即便是十几年前的武器，仍然能影响现在的很多设施，很多漏洞还可以用，很多木马、后门还是存活状态，攻击的成功率仍然很高。

　　因此，未来将呈现“网络武器民用化、民间攻击武器化”双向融合的趋势，以后类似的网络攻击有可能会成为常态，一年一遇、一月一遇，甚至一日一遇。

　　这次的事件充分证明，在大数据时代，数据远比金钱重要。在互联网时代，安全问题带来的更多是经济利益上的损失，而在大数据与物联网时代，对数据的攻击和破坏，不仅带来经济利益上的损失，还会严重影响到我们的日常生活，甚至影响到城市的运转和人的生命安全。也就是说，以前的网络安全问题是伤财，现在的网络安全出问题是要命。

　　网络安全体系建设的八个反思

　　在网络攻击全球化、常态化、组织化的今天，像“永恒之蓝”勒索病毒这样突发性强、波及面广、危害性大的安全事件，已经成为能影响国家关键信息基础设施单位安全、社会秩序稳定的公共安全事件。网络安全作为国家整体安全体系的重要组成部分，在这次事件里暴露出许多值得我们反思和警诫的地方。

　　第一，尽管我国已经建立了网络安全应急管理机制和管理体系，但仍旧缺乏有效的应急技术手段。根据360公司一线应急响应处置的100余家机构抽样统计表明，即便是大型的机构建设的终端管控体系，也存在明显的安全死角，导致应急措施无法有效执行。在发生类似“永恒之蓝”大型攻击事件时，国家应急机构由于不具备统一的网络终端安全管理能力，对于已知的病毒样本无法查杀，在国家整个应急安全管理体系的最高端，情况无法及时汇集，无法对安全事件进行集中的应急管理和响应处置。

　　第二，本次事件再次表明，终端是网络攻击的发起点和落脚点，终端安全在网络安全体系中处于核心地位，终端安全软件的国产化应上升为国家战略。此次中国的中招用户，几乎都是企业和机构用户，普通网民中招的比例极低，企业终端用户占比非常高。一个重要原因是，在普通网民的终端，国产安全软件覆盖率超过90%，客观上形成了一道安全屏障，避免了这次攻击事件在民间大面积爆发。而企业和机构被迅速感染，则正是因为不具备有效的终端防护措施。此外，网络终端是建立国家安全大数据的基本单元，在操作系统等基础技术体系长期被欧美垄断的情况下，应优先发展容易突破和产生效果的国产终端安全软件。

　　第三，网络安全建设资金投入严重不足，是造成此次攻击肆虐的根源之一。一直以来，我国在网络建设上存在着重业务应用、轻网络安全的现象。我国网络安全投资占整体信息化建设经费的比例不足1%，与美国的15%、欧洲的10%相比存在巨大差距。从100余家机构的抽样统计数据看，对安全的投入几近“吝啬”。部分单位几年前采购的安全软件已经形同虚设，但因为产品服务期未满，为避免浪费而不更新，此现象在多个行业普遍存在。

　　第四，云平台的安全隐患需要高度重视。近年来云计算已经在政务、企业、金融、电信、能源等各大行业广泛应用，云计算除具有传统的安全风险外，也带来了新的安全威胁。国外的部分云平台提供商不愿意对中国的安全公司开放底层接口，迄今为止仍有歧视性政策。在智慧城市、政务云等项目建设中，经常出现云平台服务商既做建设又管安全。这种模式由于缺少对云安全的监管，将造成安全“黑洞”，带来巨大隐患。

　　第五，政府等行业的采购机制存在不足，导致网络安全建设陷入低价、低质的怪圈。按照现行制度，往往是出最低价的企业中标，而安全技术优、防护效果好的企业反而出局，导致很多行业机构购买了大量的低价、低质、无效的安全产品和服务。这样的中标结果，不可避免地会在项目实施过程中出现偷工减料、降低服务质量等问题，安全体系在遭遇网络攻击时将不堪一击，这种安全隐患值得我们高度警惕。

　　第六，内网隔离不能一隔了之，隔离网不是安全自留地。多年来，我们强调内外网隔离的建设思路，认为网络隔离是解决安全问题最有效的方式，以至于有些安全人员简单地认为，只要采取了隔离方案就可以高枕无忧。但现实中网络边界越来越模糊，业务应用场景越来越复杂，无数的方式都可能突破隔离网的边界。内网隔离本应是安全岛，但内网如果没有任何安全措施，一旦被突破，瞬间全部沦陷。

　　第七，网络安全防护观念落后。本次事件反映出，部分行业单位网络安全防护缺乏体系化的安全规划，建设不成体系，导致安全产品堆砌、安全防护失衡；传统的安全防护观念无法解决新技术带来的安全风险，有必要改变网络安全防护观念，与专业化的网络安全公司合作建立新型的安全体系。

　　第八，日常建设和运营存在安全能力不足、安全意识淡薄、安全管理要求无法落实等多方面问题。对100家单位的统计表明，超过一半的单位在近一年内未对系统进行过全面风险评估及定期补丁更新的工作；部分行业单位的业务部门与安全部门沟通不够顺畅，网络安全管理措施落实不到位，安全工作有盲区，为大规模网络安全事件的爆发提供了可乘之机。

　　对大数据的窃取将成为网络攻击常态

　　最近十年，互联网经济飞速发展，创造了一个又一个神话，几乎所有世界级的互联网企业，都得益于大数据的应用，得益于用大数据的方法颠覆传统产业。

　　近几年互联网流行的精准营销、用户画像，都是通过大数据实现的。很多人认为大数据是指大数据技术，这是一个误区，技术只是手段，核心是数据。互联网公司的产品连接每个用户的鼠标和手指，能完整地把用户所思所为变成数据。将海量的数据“提纯”并迅速处理成有用信息，就像掌握了一把能打开另一个世界的钥匙。

　　所以我认为，大数据是新经济的石油，它对新经济的驱动力可以用“加减乘除”来概括。加法就是要更精细的质量、更高的效率、更多的扩展业务；减法就是要降低成本、降低消耗减少次品；乘法就是要通过大数据驱动人工智能，让产品的性能和价值实现几倍甚至百倍的蹿升；除法就是通过网络化让供应链精准分工，实现轻资产的运营。

　　现在，全球都在讨论工业互联网，我的总结是，工业互联网的主题有四个：一是智能工厂；二是智能生产；三是智能物流；四是智能产品。并且工业互联网还将实现“四化”：设计个性化、生产无人化、产品智能化、销售网络化。对大数据的收集、存储、处理造就了对传统工业的颠覆，大数据是工业互联网的大脑，通过对大数据的机器深度学习，使工业互联网拥有了智慧和意识，拥有了对事物进行识别、决策、判断和行动的执行能力。

　　同时，大数据还是国有企业供给侧改革的驱动力。当前，我国经济仍面临严重的供给约束和供给抑制，是中央在深化改革中必须解决的主要矛盾。中央提出加强供给侧改革的要求，本质上是希望通过改革来构建“新动力”，通过创新来提供新供给。

　　大数据时代的到来，让“数据驱动创新”成为全球趋势。大数据必将驱动企业通过创新提供新供给，以更少的能源消耗、更低的制造成本、更高的产品质量、更快的生产速度、更智能的使用价值，去面对市场、面对客户、面对消费者。

　　但是大数据在给我们带来智慧和便利的同时，也带来了新的网络威胁。在互联网时代，网民是被攻击的对象，网民要社交，要购物，要玩游戏，要网络生活，所以隐私和支付是软肋，网络攻击者就以偷和骗为主要攻击方法。但在大数据时代，企业是黄金，软肋是大数据，网络攻击者如果还延续偷和骗，就赚不到钱，因为企业的软肋并不是隐私和网上支付。于是，网络攻击者找到了勒索的路子，把数据加密上锁，等于让一个人大脑昏迷、断血、肌无力，这时候，勒索基本会得逞。所以，“永恒之蓝”事件是一个标志，以后，这种攻击会变着花样常态化，可能会持续10年乃至更长的时间。

　　去年9月，我在国际反病毒大会上就做过预测，警告类似勒索病毒或将泛滥成灾。因为以往的病毒传播拼的是技术，谁用的技术新，漏洞厉害，传播就广，病毒制作者获利就大。但勒索病毒用的是成熟的老技术，例如已经有几十年历史的非对称加密技术、十几年历史的匿名网络技术，七、八年历史的比特币等。攻击者把这些技术重新组合，形成了一个新的技术模式，只要一次运行，把文件加密了就能开始勒索。由于加密在这一次运行的时候就完成了，所以不需要修改系统来让自己长期存活，也不用想办法隐藏自己，不用和远端建立连接。就算杀毒软件把它删除了，用户还是得乖乖交钱才能解密文件。

　　重要的是，这个新的技术模式构造了新的盈利模式。以前的病毒、木马是把感染终端当作“肉鸡”，刷流量、装软件，一个终端赚十几块钱，想盈利需要感染大量的终端，并且要想办法在这些终端上持久存活。而勒索病毒只要感染几个重要的用户，就能直接从终端用户上至少赚到几个比特币，按照5月24日一个比特币2400美元的价格计算就是几万元人民币，而这笔钱以前需要感染几千个终端才能赚到。

　　正因为这个商业模式很创新，技术门槛也不高，匿名互联网技术又保证了自己不会暴露，大量的黑客开始学习勒索病毒的攻击思路和技术手段，大量应用于黑产。这次的“永恒之蓝”事件，攻击者正是利用美国NSA泄露的武器级攻击工具投放了勒索病毒，从而实现最大规模的直接变现。“永恒之蓝”只是NSA网络武器库中的一个，同样的武器还包括“永恒王者”、“永恒浪漫”、“永恒协作”、“翡翠纤维”等二十余个。

　　“影子经纪人”近日宣称还将继续曝光相关武器。哪一个会被不法分子用于下一次大范围攻击？我们能提前做些什么？这些问题需要每一个监管单位、政府部门、行业机构与大型企业认真思考并提前做好准备。

　　解决安全问题的五个思路

　　去年4月19日，习近平总书记在全国网信工作座谈会上明确指出，要加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力。这是我国确立“网络强国”战略之后，首次在国内提出应用态势感知、大数据这样的非对称技术、撒手锏技术，来解决我们面临的网络安全威胁的问题。

　　“态势感知”最早被用在军事领域，20世纪80年代，美国空军开始态势感知的研究，用来分析空战环境信息，快速判断当前及未来形势并做出正确反应，90年代开始进入信息安全领域。我们所说的“网络安全态势感知”，是结合大数据技术，在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行感知获取、理解分析，并根据发展的趋势进行预测，最终目的是全面掌握情况，在应对突发安全事件时帮助进行快速决策与行动，将安全风险控制在尽可能小的范围内。要达到这个目的，一些关键技术必不可少，包括流量监测、网站监测、资源探测、多元异构数据的采集与存储、大数据分析技术、威胁情报、可视化分析技术，还有漏洞分析技术、病毒样本分析技术、网络攻击技术、追踪溯源技术等。

　　我认为，在大数据时代，解决安全问题有五个思路。

　　第一，建立国家、行业、企业三级网络安全态势感知与应急指挥系统。“永恒之蓝”勒索病毒事件再次证明，没有攻不破的网络，甚至隔离网络也不能成为避风港。这次事件也证明，安全应急响应的速度和质量，对保障网络安全至关重要。这次360的“永恒之蓝”专项态势感知系统发挥了重要作用，大数据和地图结合，可以精确到街道和具体单位，通过无极缩放能看到全国任何一个单位感染数量与趋势，再针对性地提出具体防灾方案，大大提高了相关机构排查的效率。

　　第二，建设协同联动的应急响应技术手段。不论信息系统，还是大数据系统，基本由三个部分组成：终端、网络、服务器。如果组成联动的防护体系最好，如果不能，至少三条线能分别自动响应。比如在云端“一键执行”统一安全策略，这能为响应赢得宝贵时间。多数企业距离这个标准都有很大差距，有的舍不得为安全花钱，没有总控平台；有的花了钱，却是“八国联军”式的各种安全设备的拼凑，没有形成大数据，也没有集中下发自动执行策略的技术系统，还是不能快速响应。

　　第三，建立严格的数据分级分类管理机制。数据的存储和使用安全一旦受到威胁，关系到党政军、能源、金融、交通、制造业等所有行业的发展，是我国国家安全整体战略的重要环节。需要依据数据安全生命周期，在数据的产生、存储、使用、共享、归档、销毁等各个环节形成完整的安全运营体系，对不同类型、不同级别的数据，采取不同的加密级别和数据的使用权限。

　　第四，构建既懂大数据，又懂安全的技术运营队伍。传统的安全思路和技术无法解决大数据的安全问题，必须运用、创新大数据来保证大数据的安全，这就需要我们的技术运营队伍不仅懂得大数据挖掘与分析，还需要懂得网络攻防和对抗威胁的安全技术手段，将大数据的方法与现代网络安全技术相结合，通过对海量大数据的记录、存储和分析，对网络安全威胁进行检测、分析响应、预测和防御，才能有效地保护大数据的安全。

　　第五，与外部安全服务公司建立长期合作关系。安全的本质是基于人的对抗，安全运营离不开人的参与。目前很多企事业单位，即便采购了态势感知等最先进的全套网络安全产品，并且建立了完善的安全防护体系，也未必能胜任企业的网络安全日常运维与管理工作。这是因为安全的专业性太强，对网络对抗及实战经验要求极高，任何一家非安全行业的机构都不可能配备一支具备完整安全能力，尤其是身经百战、具有实战能力的队伍。最有效的办法是和外部安全服务公司长期合作，充分利用他们体系化的能力和服务，与自身的安全运维能力结合，建立起完整有效的安全能力。

　　(作者系360企业安全集团董事长）