安天發佈年度報告:2016網路安全威脅的回顧與展望
努力讓思考適配年代
在中國網路安全的發展中,
在這個大背景下,安天一直堅持的年度規定動作“安天基礎威脅年報”和“安天移動威脅年報”的正式發佈日期被一推再推,移動威脅年報直至3月10日才發佈。而基礎威脅年報的發佈距離我們在今年1月的安天第四屆網路安全冬訓營上,向營員分發預發佈版已經過去了整整90天,如果說在其他年份,這種拖延和不斷修改是因為我們對技術的敬畏和對威脅的警惕,
自2014年起,我們提出了“觀點型年報”的自我要求,我們需要有自己的視角、立場和分析預測,我們放棄了傳統的以後臺惡意程式碼的資料輸出來構築範本式“統計型”年報,我們深知那些精確到行為和靜態標籤的“蔚為壯觀”的統計資料,
在這份年報中,我們非常謹慎又沉重的提供了以下思考和觀點:
APT行為的歷史比APT這一名詞的歷史更為久遠,今天我們看到的APT事件的“頻發”,更多是曝光度的增加,而這種曝光度的增加是由於APT攻擊聚焦了更多的安全資源和媒體關注導致的。我們認為對APT攻擊的趨勢最合理的表述是:APT攻擊是網路空間的常態存在,
APT的攻擊重點“轉移”到關鍵資訊基礎設施既是一種趨勢,更是一種既定事實。對超級攻擊者來說,關鍵資訊基礎設施一直是APT攻擊的重點目標,這種攻擊圍繞持續的資訊獲取和戰場預製展開,在這個過程中CNE(網路情報利用)的行為是CNA(網路攻擊)的前提準備。
商用攻擊平臺、商用木馬和漏洞利用工具等網路商業軍火全面降低APT攻擊成本,提升攻擊追溯難度。商業軍火的氾濫,首先帶來的是金字塔的底層混亂,不受控的商業武器,更有利於鞏固一個單級的世界。
將APT概念泛化到一些使用高級手段和技巧的攻擊行為,是不負責任的,沒有攻擊意圖和攻擊意志的APT分析,不是可靠的APT分析判定。而恰恰相反的是,高級的網路攻擊未必使用高級的技巧和裝備,APT攻擊者劫持普通惡意程式碼,包括全面偽裝成普通的黑產犯罪可能會成為一種趨勢。
IT基礎設施的不完備、資訊化建設的“小生產化”等原因導致在我國資訊化建設中,架構安全和被動防禦層面存在嚴重的先天基礎不足,這是我國應對風險能力不足的根本原因之一。我們不僅需要守衛一條漫長的、充滿弱點的邊界,也擁有大量“防禦孤島”和散點。對此,沒有更進一步的資訊化與安全的同步建設,沒有“安全與發展同步推進”,安全防禦依然將無法有效展開。
跟隨矽谷安全產業圈實踐的亦步亦趨,不能有效全面應對中國所面對的APT風險。矽谷的安全探索更多是面對發達國家政企和行業客戶基礎安全投入已經在全面產生基礎價值的情況下,進行積極防禦和威脅情報的加強。但脫離了基礎能力的高階安全手段,是不能有效發揮作用的。從具體的風險對抗層面來看,超級攻擊者在通道側的物理優勢,以及與傳統人力和電磁能力結合的作業特點,導致C&C、檔HASH信標型威脅情報對其行動的檢測價值被大大削弱了。
“物理隔離+好人假定+規定”推演,構成了一種安全假像和自我安慰,網路磁碟分割策略和隔離手段無疑是必備、必要的安全性原則,但如果不能伴隨更強有力的內網安全性原則,其可能帶來更大的安全風險。安全性原則和安全投入,需要基於以內網已被穿透和“內鬼”已經存在作為前提假定來實行。
黑產大資料帶來的個體悲劇案例,還只是這一問題的冰山一角,當前資料流程失總量,已經構成了准全民化的畫像能力,其帶來的“威脅情報反用”已經構築了高精度單點打擊,從而帶來了較大的國家安全風險。不受控的採集、資訊資產的離散化、問責體制的不明確,構成了風險加速的主因。
傳統Windows PC惡意程式碼增速開始下降,移動等新興場景惡意程式碼繼續加速發展,同時各種平臺下高級惡意程式碼的隱蔽性和抗分析能力都在不斷提升。
威脅情報不只是防禦方資源,威脅情報也是情報威脅,是攻防雙方的公共地帶。同樣的資料,對防禦方來說是規則和線索,對攻擊方來說則是攻擊資源和痕跡。
“敲詐者”是當前值得關注的高發性惡意程式碼行為,其從最早的郵件惡意程式碼投放,開始和“僵屍網路”、“蠕蟲傳播”、“網站滲透”、“內網傳播”、“手機病毒”等疊加,其影響範圍已經全面從個人使用者到達政企網路。其不再只是一種惡意程式碼類型,而成為典型的黑色經濟模式。
大規模IoT設備的蠕蟲感染事件,不能單純作為DDoS攻擊跳板來看。被入侵的這些設備本身具有更多的資源縱深價值,這比使用這些設備參與DDoS攻擊所帶來的危險更為嚴重。IoT大面積的脆弱性存在,有著更為隱蔽、危害更大的社會安全風險和國家安全風險。只是這種風險,更不容易被感知到罷了。
今天從供應鏈安全的視角上看,更多依然採用從上游抵達下游的“間接路線”來審視。供應鏈防禦作為高價值場景防禦的延展,逐漸為安全管理者所接受。但僅僅把供應鏈風險視為達到關鍵目標的外延風險是不夠的,供應鏈不僅是攻擊入口,其本身更是重要的目標,未來的網路空間攻防的主戰場將圍繞“供應鏈”和“大數據”展開。
閱讀完整版報告:
http://www.antiy.cn/report/2016_Antiy_Annual_Security_Report.html
提升攻擊追溯難度。商業軍火的氾濫,首先帶來的是金字塔的底層混亂,不受控的商業武器,更有利於鞏固一個單級的世界。將APT概念泛化到一些使用高級手段和技巧的攻擊行為,是不負責任的,沒有攻擊意圖和攻擊意志的APT分析,不是可靠的APT分析判定。而恰恰相反的是,高級的網路攻擊未必使用高級的技巧和裝備,APT攻擊者劫持普通惡意程式碼,包括全面偽裝成普通的黑產犯罪可能會成為一種趨勢。
IT基礎設施的不完備、資訊化建設的“小生產化”等原因導致在我國資訊化建設中,架構安全和被動防禦層面存在嚴重的先天基礎不足,這是我國應對風險能力不足的根本原因之一。我們不僅需要守衛一條漫長的、充滿弱點的邊界,也擁有大量“防禦孤島”和散點。對此,沒有更進一步的資訊化與安全的同步建設,沒有“安全與發展同步推進”,安全防禦依然將無法有效展開。
跟隨矽谷安全產業圈實踐的亦步亦趨,不能有效全面應對中國所面對的APT風險。矽谷的安全探索更多是面對發達國家政企和行業客戶基礎安全投入已經在全面產生基礎價值的情況下,進行積極防禦和威脅情報的加強。但脫離了基礎能力的高階安全手段,是不能有效發揮作用的。從具體的風險對抗層面來看,超級攻擊者在通道側的物理優勢,以及與傳統人力和電磁能力結合的作業特點,導致C&C、檔HASH信標型威脅情報對其行動的檢測價值被大大削弱了。
“物理隔離+好人假定+規定”推演,構成了一種安全假像和自我安慰,網路磁碟分割策略和隔離手段無疑是必備、必要的安全性原則,但如果不能伴隨更強有力的內網安全性原則,其可能帶來更大的安全風險。安全性原則和安全投入,需要基於以內網已被穿透和“內鬼”已經存在作為前提假定來實行。
黑產大資料帶來的個體悲劇案例,還只是這一問題的冰山一角,當前資料流程失總量,已經構成了准全民化的畫像能力,其帶來的“威脅情報反用”已經構築了高精度單點打擊,從而帶來了較大的國家安全風險。不受控的採集、資訊資產的離散化、問責體制的不明確,構成了風險加速的主因。
傳統Windows PC惡意程式碼增速開始下降,移動等新興場景惡意程式碼繼續加速發展,同時各種平臺下高級惡意程式碼的隱蔽性和抗分析能力都在不斷提升。
威脅情報不只是防禦方資源,威脅情報也是情報威脅,是攻防雙方的公共地帶。同樣的資料,對防禦方來說是規則和線索,對攻擊方來說則是攻擊資源和痕跡。
“敲詐者”是當前值得關注的高發性惡意程式碼行為,其從最早的郵件惡意程式碼投放,開始和“僵屍網路”、“蠕蟲傳播”、“網站滲透”、“內網傳播”、“手機病毒”等疊加,其影響範圍已經全面從個人使用者到達政企網路。其不再只是一種惡意程式碼類型,而成為典型的黑色經濟模式。
大規模IoT設備的蠕蟲感染事件,不能單純作為DDoS攻擊跳板來看。被入侵的這些設備本身具有更多的資源縱深價值,這比使用這些設備參與DDoS攻擊所帶來的危險更為嚴重。IoT大面積的脆弱性存在,有著更為隱蔽、危害更大的社會安全風險和國家安全風險。只是這種風險,更不容易被感知到罷了。
今天從供應鏈安全的視角上看,更多依然採用從上游抵達下游的“間接路線”來審視。供應鏈防禦作為高價值場景防禦的延展,逐漸為安全管理者所接受。但僅僅把供應鏈風險視為達到關鍵目標的外延風險是不夠的,供應鏈不僅是攻擊入口,其本身更是重要的目標,未來的網路空間攻防的主戰場將圍繞“供應鏈”和“大數據”展開。
閱讀完整版報告:
http://www.antiy.cn/report/2016_Antiy_Annual_Security_Report.html