網路威脅攻守博弈縱橫二十年

綠盟科技成立之初，國內資訊科技剛剛起步，各大高校還沒有設立安全專業，2001年的中美駭客大戰如火如荼，白宮網站上飄揚的紅色旗幟使“網路攻擊”這個名詞進入國內大眾視野。隨後，2003年出現的衝擊波（Worm.Blaster）病毒透過一個最新的RPC漏洞進行傳播，病毒席捲全球，讓無數電腦反覆重啟，並同時對微軟一個升級網站進行拒絕服務攻擊，導致網站堵塞，使用者無法透過該網站升級系統。此次網路攻擊讓正在進行資訊化建設的企業和個人使用者真正意識到網路安全防禦的重要性。

“威脅”這個概念可以追溯到20世紀80年代，Adenrson用了“威脅”這一概念術語，其定義與入侵相同，將入侵企圖或威脅定義為未經授權蓄意嘗試訪問資訊、篡改資訊、使系統不可靠或不能使用。Heady給出另外的入侵定義，入侵是指有關試圖破壞資源的完整性、機密性及可用性的活動集合。Smaba從分類角度指出入侵包括嘗試性闖入、偽裝攻擊、安全控制系統滲透、洩露、拒絕服務、惡意使用6種型別。早期網路駭客與安全專家正是圍繞這些入侵的方法及使用的技術手段進行攻守博弈。

防火牆、入侵檢測系統向入侵防禦系統的轉變

最早的網路安全防禦系統是防火牆，其在本地網路與外界網路之間執行控制策略，對網路間傳輸的資料包依照制定的安全策略進行檢測，以決定通訊是否被允許。防火牆存在侷限性和不足，其通常作用於已知協議的訪問控制，如攻擊者將惡意程式碼或攻擊指令進行協議隱藏就可能逃逸防禦。

同期出現的網路威脅檢測系統是入侵檢測系統，它通常位於防火牆之後，被認為是第二道安全閘門。入侵檢測技術主要分為兩大類：異常入侵檢測和誤用入侵檢測，其提供了對內、外部攻擊的實時檢測，包含在網路受到威脅之初的攔截和響應入侵。入侵檢測系統的不足在於，它只能檢測攻擊，而不能阻止攻擊。

隨著技術的發展，結合上述兩種系統的聯動技術應運而生，防火牆可以透過入侵檢測系統及時發現策略之外的攻擊行為，入侵檢測也可以透過防火牆對來自外部的網路攻擊行為進行阻斷。

而完成這兩種系統的融合、實現1+1>2的是迅速嶄露頭角的網路入侵防護系統。綠盟科技推出的“冰之眼”網路入侵防護系統，能提供從網路層、應用層到內容層的深度安全防護，具備實時、主動的防護能力，精確識別各種駭客攻擊，並有效阻斷攻擊而不影響正常業務流量。

漏洞挖掘技術促進安全防禦

安全專家在博弈過程中嘗試主動出擊，去挖掘存在的威脅隱患，鼓勵釋出、共享這些威脅隱患的資訊，促使從業人員能更好地保護使用者。漏洞挖掘是一個多種漏洞挖掘分析技術相結合、共同使用和優勢互補的過程。常用的漏洞挖掘技術包括手工測試技術、Fuzzing技術、對比和二進位制對比技術、靜態分析技術、動態分析技術等。

隨著越來越多專家投入其中，為大眾所知的漏洞資料逐年增加，從2000年的1243條增長到2019年的20827條，為網路防禦技術提供了堅實的知識儲備。

漏洞庫

早期做網路安全產品，安全研究員發現漏洞後對其進行命名，隨著漏洞研究的深入，一些漏洞已經很難依靠名稱區分，早期的安全研究機構和大型廠商開始使用漏洞庫管理眾多漏洞。漏洞庫是進行網路安全隱患分析的基礎，建設漏洞庫有十分重要的意義。綠盟科技早在2000年就推出了漏洞庫，歷經20年的歲月，仍持續維護著漏洞庫的更新，至今已收錄45689條漏洞，包含主流漏洞資訊以及公司研究員自主發現的漏洞資訊。

漏洞庫對安全防護產品也非常重要，在各個廠商的安全防護產品展示自身防護能力的時候，使用同一漏洞庫的描述將直觀地讓使用者瞭解防護效果。綠盟科技漏洞庫相容國家資訊保安漏洞庫（ChinaNationalVulnerabilityDatabaseofInformationSecurity，簡稱CNNVD）以及國家資訊保安漏洞共享平臺（ChinaNationalVulnerabilityDatabase，簡稱CNVD），此外還相容國外的通用漏洞披露CVE，為國內外使用者使用提供了便利。

Web安全的興起

隨著Internet技術的興起，便捷的跨區域事務處理顯得尤為重要，為了實現使用者脫離程式的複雜安裝而使用WWW瀏覽器進行跨地域的應用操作，相關的應用開發逐步從Client/Server架構轉向了Browser/Server架構，使用者端僅需要實現少量的事務邏輯，而主要的事務邏輯在伺服器端進行實現。Browser/Server架構可以大大簡化客戶端電腦負載，減輕系統維護和升級的成本和工作量，從而降低總成本。解釋型語言的不安全使用（對使用者輸入的內容沒有做嚴格檢查）催生了基於Web的攻擊技術，例如SQL隱碼攻擊、跨站指令碼攻擊（XSS）、遠端命令注入、跨站點請求偽造（CSRF）、CC攻擊等，這些攻擊導致企業或者個人敏感資料洩漏、伺服器拒絕服務或者業務被接管，甚至有可能由於受到的攻擊而背上法律責任。

針對Web攻擊技術對網站安全威脅越來越嚴重，安全公司相應推出了WAF網站安全防護工具和Web安全評估工具。

工控安全引起大家關注

2010年的震網蠕蟲病毒（又名Stuxnet病毒），一個席捲全球工業界的病毒，是一種精心構造的惡意程式碼，其中包含了多個可利用的漏洞，透過一套完美的入侵和傳播流程，突破工業專用區域網的物理限制，針對現實世界中的工業基礎設施展開攻擊。透過週期性修改PLC的工作頻率，造成PLC控制的離心機轉速突然升高和降低，導致離心機發生異常震動和應力畸變，最終破壞離心機。

針對關鍵基礎設施的攻擊造成的損失給整個工業界敲響了警鐘，各國開始明確指出工業控制系統資訊保安面臨著嚴峻的形勢，並要求切實加強工業控制系統的資訊保安管理。安全公司紛紛主動肩負起守衛之責，將工控安全定位為戰略發展方向，利用傳統攻防優勢，立足“未知攻、焉知防”的思維，調研歷史事件，分析網路攻擊方式，以脆弱性為入口點，紛紛釋出了針對工業控制系統的遠端安全評估系統，先於攻擊者發現工控業務系統存在的脆弱性，並提供緩解方案，其中綠盟工控漏洞掃描系統ICSScan是亞太地區第一個進入Gartner視野的工控安全專用檢測產品。在已知威脅的基礎上，為了更好地實現系統防護，切實保障工控業務的順暢執行，安全防護產品如雨後春筍般浮現於工控業務市場，例如工業防火牆、工業安全閘道器、工業安全隔離裝置以及縱向加密裝置等。

隨著攻擊日益多樣化、複雜化和攻擊目標明確化，安全公司需要構建從平臺到裝置的分層安全架構，覆蓋評估、防護、檢測、相應的安全體系，提供全生命週期的安全防護。

工控安全防禦體系的建設需要消除IT、OT、工程、財務、管理和執行領導的界限，聯合多方力量才可以完成，綠盟科技作為發起單位，率先加入工業控制系統資訊保安產業聯盟，希望能聚集多家之長，共同抵禦針對工業控制環境的網路攻擊，為工業網路安全保駕護航。

物聯網

當今社會物聯網裝置已經逐步滲透到人們生產、生活的方方面面，為人們及時瞭解自己周圍環境以及輔助日常工作帶來便利。但隨著互聯緊密度的增高，物聯網裝置的安全性問題也逐漸影響到人們的正常生活，甚至生命安全。

當前物聯網中存在的威脅是顯而易見的，從2014年曝光的Netcore路由器後門到2016年大規模爆發的Mirai惡意程式碼事件，從2017年的無人機多次入侵機場到2019年酒店偷拍攝像頭引發全民恐慌，不但“物聯網成為網路攻擊中的重要環節”從預言變現實，而且物聯網安全事件數量呈現出迅猛增長的趨勢。超過百Gbps源於物聯網的攻擊已經成為現實，物聯網場景下的安全對抗已經出現在這次變革的浪潮中，影響著千萬企業或者普通個人。無論我們是否意識到，這場戰役已經打響。

物聯網應用中涉及多個參與方：物聯網裝置提供商、物聯網平臺提供商、物聯網網路提供商、物聯網應用提供商、普通使用者、物聯網安全提供商，每個參與方在考慮安全問題時側重點也會有所不同，一個設計合理的物聯網安全防護方案需抓住各需求點，才能切實將物聯網安全落實到位。

隨著環境和威脅的變化，安全防護思路也在逐漸變化。物聯網的碎片化、動態性特點，造成單純的依靠安全廠商進行常規的防護已然不夠，只有融合多方力量，才能真正解決物聯網安全問題，防護數以百億計的物聯網裝置安全，保護廣大人民群眾的人身財產安全。

APT攻擊

2009年高階可持續威脅（APT：AdvancedPersistentThreat）進入人們的視野，特別是“極光（Aurora）”攻擊、“震網（Stuxnet）”病毒、“夜龍”攻擊，讓APT高階持續性威脅成為資訊保安行業矚目的焦點。APT作為一種精準、高效的新型網路攻擊方式，被頻繁用於各種重要網路攻擊事件之中，在政治安全、國防安全、企業安全等多個重要領域被高度關注，並迅速成為資訊保安最大的威脅之一。由於駭客普遍使用0Day、未知木馬進行遠端控制，木馬攻擊行為特徵難以提取，給傳統的入侵檢測技術帶來了巨大的挑戰。如何準確地檢測面向未知木馬的APT攻擊，提高APT的檢測能力，及時發現網路中可能存在的APT攻擊威脅，是網路安全公司維護網路秩序，保障社會安全的使命所在。對APT的研究分析發現，APT攻擊主要體現在三個方面：

•以時間換空間。以長期潛伏的攻擊過程為代價，隱匿攻擊行為的異常，同時不斷擦除攻擊痕跡，使得攻擊效果顯著提升。一些APT攻擊潛伏期長達3個月之久，在此期間，攻擊者有足夠的時間竊取重要價值情報。

•攻擊方案精心定製，絕不雷同。從多個APT案例中獲知，APT攻擊和普通攻擊表現迥異，即使各個APT攻擊之間選擇的攻擊技術手段都具有獨特性，即便攻擊的整體階段或思路上存在相似性，但在具體的攻擊行為或資料中差異巨大。

•先入為主，掌握攻擊主導權。掌握攻防博弈先機，透過長期的前期準備，使用多種手段收集資訊，拉開攻擊和防禦的資訊不對稱性，獲得主導權。攻擊者往往擁有較強的駭客能力和網路攻擊技術，掌握著高超的漏洞挖掘和利用技術，瞭解攻防心理，運用社會工程學獲得有效資訊。

APT攻擊目的非常明確——竊取特定目標核心機密資料。攻擊者通常會綜合利用釣魚郵件（被90％的活躍APT組在初始訪問階段使用）、水坑站點、社會工程學，利用文件型漏洞製作誘餌文件，隱蔽隧道等多種技術手段繞過目標網路的層層防線，從外圍到核心區域逐步攻克目標。在攻擊工具和攻擊技術上著重實用性，有的利用合法工具（大約一半的APT組織使用合法的管理工具和商業滲透測試軟體）逃避檢測，也有的自研發程式且實現攻擊工具的語言多樣，程式實現不講究複用性。

隨著安全公司對APT攻擊的總結和深入分析，APT檢測系統也隨之進入市場。預計APT保護解決方案的全球市場收入將從2019年的超過43億美元增長到2023年的超過94億美元。現有APT檢測系統建設還處於初級階段。APT防護解決方案是一套整合的解決方案，用於檢測、預防、對抗永續性惡意攻擊。它可能包括但不限於：沙箱、EDR、CASB（CloudAccessSecurityBroker）、信譽網路，威脅情報管理和報告、取證分析等。因此，對於安全產品供應商來說，至關重要的是提供能夠智慧地識別和關聯跨多個來源和渠道的潛在攻擊資訊的解決方案。

應急響應體系和威脅情報的出現

威脅情報的誕生源於攻防的不對等。隨著駭客攻擊的規模化、自動化、多樣化、靈活化，傳統的基於簽名和規則的攻擊檢測和防禦體系顯得捉襟見肘。由於無法提前獲取簽名和規則資訊，傳統的基於“已知”規則的檢測在遇到0Day、APT等“未知”威脅時，完全無法感知和防禦。

2013年，Gartner釋出《Defifinition:ThreatIntelligence》，其中給出了威脅情報的定義：威脅情報是關於資產所面臨的現有或潛在威脅的循證知識，包括情境（上下文）、機制、指標、推論與可行性建議，這些知識可為威脅響應提供決策依據。

隨後，2015年，SANS提出“網路安全的滑動標尺模型”，為企業安全建設提供了宏觀上的指導和建議。滑動標尺模型從左到右，是企業逐步應對更高階網路威脅的過程，其中情報是繼架構安全、被動防禦、主動防禦之後的進階階段。

圖片來源於SANS

威脅情報的出現驅動了應急響應體系甚至是網路安全防禦體系的轉型，即從靜態的、基於規則被動防禦，轉變為動態的、自適應的主動防護體系，為下一代安全奠定了基礎。孫子曰“知己知彼，百戰不殆”，威脅情報正是網路攻防戰場上“知己知彼”的關鍵。威脅情報最大的價值在於幫助防守方瞭解他們的對手（攻擊者），包括攻擊者的背景、思維方式、能力、動機、使用的攻擊工具、攻擊手法、攻擊模式等。對攻擊者瞭解越多，就能越好地識別威脅以便快速地做出響應。準確全面的威脅情報能夠極大地擴充套件威脅防禦的時空邊界，是實施主動防禦策略的關鍵。基於對“對手”的瞭解，威脅情報構建了威脅預警、攻擊檢測、響應處置、溯源取證、目標研判、情報擴充的防禦方“生環”。在應急響應中，威脅情報透過為安全防禦裝置進行賦能，可以大大縮短安全裝置對最新威脅的響應和處置時間，達到“單點感知，全網防禦”的效果。

綠盟科技於2015年組建了威脅情報中心，並推出了綠盟威脅情報分析與共享平臺（NTI）。依託綠盟科技在安全領域的長期積累，綠盟科技的情報來源不僅包含原創漏洞庫、樣本庫、安全分析資料、產品運營反饋資料等綠盟科技特有的資料來源，同時也涵蓋了全面的網際網路情報採集和廣泛的第三方情報合作機構。基於綠盟大資料分析平臺，結合安全情報專家對情報資料進行深度挖掘分析，獲得高質量的多維度威脅情報，覆蓋網路資產基礎資訊、指紋、漏洞、TTP、高階威脅分析結果等不同層面；透過NTIportal介面、API介面、訂閱推送等不同輸出方式將威脅情報與安全裝置、客戶和安全廠商進行共享，有效保護了客戶的安全。