“没有网络安全就没有国家安全,没有信息化就没有现代化”。网络安全问题随着技术发展变得越来越突出,已经成为事关国家政治安全、关乎经济发展、影响社会稳定、决定战争胜负的重要问题。在网络空间中将漏洞作为新型武器进行的战争,将对全域造成威胁,隐蔽性更强、变化性更多、摧毁性更大、破坏性更广。世界各国纷纷组建“网军”,明的暗的一起上,进行攻防演练,开展网络靶场试验,强化风险防控,控制关键产品和技术出口,目的就只有一个,就是打赢这场网络空间战争。
一、新技术发展加剧网络安全风险
“网络安全和信息化对一个国家很多领域都是牵一发而动全身的”、“网络安全和信息化是一体之两翼、驱动之双轮”。我们必须充分认清技术发展与安全的辩证关系。
2019版《美国国防部军事术语词典》指出,网络空间(cyberspace)是指由相互依赖的信息基础设施(包括互联网、通信网、计算机系统以及嵌入式处理器和控制器)和驻留数据组成的全球信息环境。【我们观察到,无论是网络空间、还是大数据、人工智能等,这些新的技术概念,基本上是美国最早提出,并被全世界所接受,充分印证了美国在技术上前瞻性和自信,也时刻体现了美国的不断超越意识、挑战意识和风险意识】网络空间这一概念拓展了原有对网络和信息系统的认识,丰富了全域信息环境下安全的内涵。
当前,已经进入到一个新技术创新发展的爆发阶段,技术迭代周期不断缩短,多种技术不断融合、跨域发展,给经济、军事带来巨大技术进步的同时,也带来前所未有突出的风险。
随着云计算、大数据、工业互联网、物联网、人工智能等新兴技术领域快速发展,安全风险随着应用扩展而与日俱增,既有认为意识方面原因,也有技术发展方面的原因,漏洞攻击正逐步由传统信息系统扩展到网络空间全域。
国外安全机构也预测指出,“互联设备的流通日益增加,安全漏洞暴露只是时间问题。基于人工智能的攻击将更加狡猾,模仿特定用户的行为,甚至会有意愚弄熟练的安全人员。这可能包括设计复杂的定制网络钓鱼活动的能力,甚至将成功愚弄最有威胁意识的人”。
为此,世界各国纷纷出台战略性文件,规划并积极开展网络空间安全防御。欧洲发布《工业4.0与工业控制系统(ICS)行业的网络空间安全》报告,指导工业互联网完全防护;美国国防部发布《国防部云战略》提出主动应对网络挑战的战略目标,指出要保持抵御环境变化的“常青”能力,成立“国家人工智能安全委员会”,对人工智能安全进行战略谋划。
【我们认为,面对新技术不断涌现发展,最好的安全防范就是要确保核心技术可控。美国之所以有这种自信和风险意识,主要原因就是它是互联网发源地,也是众多高端技术掌控最多的国家,门儿清!相比我国,从操作系统、到高端芯片,再到工业软件,很多核心技术都还不掌控,底数不清,这种情况下,新技术应用越多、新产业发展越快,存在的风险就越大,往往容易积重难返。】
二、漏洞无处不在,避无可避
2006年,美国国家标准与技术研究所(NIST)给出漏洞的定义是:存在于信息系统、系统安全过程、内部控制或实现中的、可被威胁源攻击或触发的弱点。任何系统都做不到无懈可击,总会存在漏洞,只是能否发现的问题。
360公司周鸿祎则指出:漏洞无处不在、不可避免!每1000行代码就会有4-6个漏洞。像Windows这样的操作系统,至少5000万行源程序,其可能存在的漏洞数量可想而知。我国国家信息安全漏洞库(CNNVD)2018年公布的漏洞数量为14866个,2017年为12443个,年增长率约为19.6%。从这些数据我们不难看出网络安全漏洞数量正以较快速度增长,与此同时,网络安全漏洞的类型也日趋多样化。
上述提到的漏洞主要是网络、信息系统中发现的漏洞,而赛博物理系统、物联网、作战指挥控制系统、武器系统等方面,由于特定的使用场景限制,使得这些方面的漏洞的数量更加难以统计。
美国国防部有130万现役军人、74.2万文职人员和82.6万国民警卫队和预备役部队,管辖3000多万英亩土地的5000多个不同地点的几十万栋独立建筑,运营着世界上最大和最复杂的网络之一,2019年国防部信息技术预算超过464亿美元,大约一万个操作系统、数千个数据中心、数万台服务器、数百万台计算机和信息技术设备以及数十万台商用移动设备。对比我国,截至2019年6月,我国网民规模达8.54亿,智能手机数量达3.54亿,用户量世界第一;2018年,移动支付规模全球第一,达277.4万亿元,数字经济规模超过30万亿元。在这种庞大复杂的网络环境和庞大的应用中,漏洞威胁愈发多发且会产生更加严重的影响。
2018年,美国政府问责局(GAO)首次对美军武器系统进行审计,发布《武器系统安全报告》,称大多数武器系统存在安全漏洞,攻击者可以控制这些武器系统,甚至破坏其功能,主要原因是长期忽视武器系统安全的问题。以F-35战机为例。F-35机载软件系统代码量超过 800 万行,2018年有报道称其存在着重大漏洞,一旦被黑客攻克,就可以直接操控导弹发射。
【我们认为,面对防不胜防的漏洞,主要还是要从管理入手,形成技管结合的立体防御体系,规避风险,这样当威胁真正来临时才能做到损失最小。目前,通过ISO27000安全管理体系、等保、CMMI、供应链管理等一定程度提升了我国各行业的安全管理水平,但很多流于形式,走过场,当面对有组织大规模攻击时,将会漏洞百出,不堪一击。】
三、漏洞成新型网络武器装备
漏洞存在的不可避免,以及其具有的物理空间伤害性,使漏洞成为新型网络武器装备。
据媒体报道,零日漏洞(0day漏洞)是代码中的漏洞或瑕疵,可以让攻击者访问或控制系统。很多国家大量储备零日漏洞,用于网络间谍活动或作为复杂网络武器的一部分。
正如震网(Stuxnet)闻名,是因为它是第一种网络武器。利用漏洞武器进行攻击政府、社会服务、基础设施的案例层出不穷。据《华盛顿邮报》报道,在揭露俄罗斯插手2016年美国总统选举之前,奥巴马总统授权在俄罗斯基础设施中种植网络武器。该报告称:“植入装置由美国国家安全局开发,目的是在面对俄罗斯侵略时,作为报复性网络攻击的一部分,无论是对电网的攻击还是对未来总统竞选的干涉,都可以远程触发”。
美国网络战司令部积极发掘储备关键漏洞,截至2019年9月3日至9月18日,来自世界各地的81名黑客参加美国国防部第8次bug奖励计划,提交了31个有效漏洞,9个被视为“高严重性”,1个被视为“严重”,其余21个被视为“中/低严重性”。国防部提供了33,750美元奖励,最高单“赏金”为5000美元。黑客代理挑战发起于2016年,从那以后,政府系统中已经发现并解决了10000多个漏洞,包括黑客攻击五角大楼、黑客攻击陆军、黑客攻击空军、黑客攻击空军2.0、黑客攻击国防旅行系统、黑客攻击空军3.0和黑客攻击海军陆战队。
然而,世界上都有哪些国家拥有这些漏洞攻击武器,没有人能够给出准确答案,当涉及到传统武器,如核导弹时,有措施跟踪它们的发射来源,或者测量一个国家储存了多少浓缩铀,但对于网络武器来说,很难给出确切数量和描述。尽管《关于常规武器和两用物品及技术出口控制的瓦森纳安排》规定了某些“入侵”软件工具(“间谍软件”)的出口限制,但仍有不少国家,放宽网络武器的出口限制,更加导致这些网络武器难以被管理和控制。
此外像合法的软件市场一样,网络犯罪现在本身就是一个巨大的经济市场,通过非法黑客计划、恶意软件等赚钱,本质上说,这是“现实世界”犯罪向网络空间的延伸,而漏洞武器就像“黑市”上买卖的枪支一样,随着这类群体变得越来越大、越来越组织化、越来越专业化,网络漏洞武器的买卖更加便捷、频繁,导致的网络犯罪不断呈现高发态势。
【我们认为,美国的做法充分体现了政府对民间机构的信任和依赖,双方都从密切的合作中受益,既规避风险又储备弹药,关键还是小投入大产出、多份产出,这得益于市场经济的国情决定了美国政府与市场主体的平等性,相比我国,这方面,则需要进一步借鉴学习完善。】
四、有组织漏洞攻击威力巨大
APT攻击(高级持续性威胁)采取精确的信息收集、使用各种复杂的网络基础设施、应用程序漏洞对对目标进行的精准打击,是网络空间领域最高级别的安全对抗。
一方面,攻击者变得更大胆,更商业化,更难觅踪。黑客将会变得更有组织、更商业化,组织更加严密,训练有素、装备精良,形成一个庞大的组织体系,甚至有他们自己的呼叫中心,这一点已经在欺诈性约会网站上得以证实。他们往往寻找那些对网络犯罪不够重视的国家,从而逃脱制裁;
另一方面,这种组织也上升为国家化,带有政治目的,由国家及军方专门成立、背后进行指挥控制,实施专门的网络攻击。
360公司研究指出,美国APT组织,如方程式和索伦之眼最为著名,其后台据信为NSA(美国国家安全局);俄罗斯APT28背后是军事情报机构(GRU),专门收集国防和地缘政治相关的情报;APT38 是一个由朝鲜政权支持的金融组织,负责对金融机构进行破坏性攻击,以及实施网络抢劫。这些组织带有明确的政治目的,强烈的战略意图,强大的资金保障,已成为秘密的网络军队,威胁世界各国的安全。
【我们认为,应对有组织的攻击,同样也要有组织。美国这方面也有经验,既有平台网络靶场的红蓝对抗,又积极参加攻防训练演习,同时还专门编制教材指南,强化人才培养,这方面,我国在民间的网络对抗比赛方面刚刚起步不久,既要热热闹闹,又要真刀真枪,见实效,千万不能雷声大雨点小,同时,政府部门也应积极引导,及时固化成果,形成指导教材,供各行业使用,提升整体效能。】
五、体系对抗才是致胜之道
在有国力支持的网络攻击面前,传统网络安全工具根本就是螳臂当车。只有构建一体化战略体系和能力,才能在大国博弈中占据先机。
《全球军力报告2019》指出:无论采取何种战略,武装部队在制定计划时,都需要考虑网络。网络将成为对手的目标,网络干扰、网络欺骗将成为常规手法。需要习惯在信息对抗环境下作战,一对手会试图突破战争底线来实现战略意图,在和平时期发动的攻击可能不亚于战争时期。因此,更有弹性的武器和网络可以帮助部队在恶化的电磁环境中作战,进行更有效训练。
世界各国已经进入于网络战军备竞赛早期阶段,纷纷制定网络战战略,增加支出并开始储存漏洞攻击武器。拥有网络武器储备的国家可能意味着网络冲突会更快升级,而且这些项目往往是秘密开发的,几乎没有监督和问责。美国采取一些列举措,来提高其网络作战能力,2018年年底,其网络作战部队人数增加到近6200人,所有133支队伍全面投入作战准备。美国国防部利用民间安全平台HackerOne,发现超过13万个漏洞,向50万黑客奖励超过6700万美元的漏洞奖金,有效提升了美军的漏洞发掘能力。与此同时,欧洲、俄罗斯等也积极推进网军建设,大力开展漏洞挖掘,开展军备竞赛,网络战一触即发。
我国不少产业行业抗风险能力极低,一旦断供、不给上游数据、停止服务,将会带了巨大风险,甚至灭顶之灾。这种情况下,我们能做的,就是要统筹“党政军民学,东西南北中”各方作用,集中资源办网络空间大事,是我国举国体制的优势。
在国家积极开展漏洞信息共享平台建设的同时,国内各大互联网公司、安全公司也纷纷贡献力量,就像美国的HackerOne一样,近日360公司推出的“360BugCloud开源漏洞响应平台”也发挥了重要的漏洞信息共享作用。一是聚焦开源通用型高危漏洞,二是大额奖金的激励机制,三是公平公正的自主议价模式,四是面向全球的大协作方式,非常具有借鉴价值。应对未来网络安全威胁,我们也要集中各方优势力量、优势资源,坚持国家主导、市场运作原则,调动各方积极性,才能打赢这场网络战争。
民用安全技术领先于军方,要确保我国新时代网络空间安全,实施军民融合国家战略是必由之路。例如360公司正在推进的“安全大脑”计划,汇集了230亿恶意样本、22万亿安全日志、80亿域名信息、2EB以上安全大数据,拥有超3800人安全专家团队、17支攻防专家团队、12个安全研究中心,类似这些民用技术力量,可以作为优势补充,纳入国家网络空间安全防御体系统筹考虑。【我们认为,国家主导是打赢这场网络空间战争的关键,只有站在国家层面,才能做好统筹,才能协调调动资源,才能集中最强优势,同时也只有站在国家层面才能更好的进行顶层设计、体系性设计,才能更好的排兵布阵,形成组织优势。同时,要积极调动民营技术力量,走军民协同式创新发展道路,加紧突破核心技术,加强人才培养建设,强化网络对抗训练,这样才能在大国竞争对抗中处于不败之地。】
