CSO进阶之路:从安全工程师到首席安全官
上QQ阅读APP看书,第一时间看更新

第2章
网络空间安全的挑战

2.1 网络安全关系国计民生

40年的信息化和数字化使中国成为全球网络大国,截至2019年6月,中国网民规模达8.54亿人,中国固定宽带用户数累计超过4.6亿户,覆盖全国所有城市、乡镇和93.5%的行政村。8Mbit/s以上接入速率的宽带用户占比达到53.4%,20Mbit/s及以上接入速率的用户占比达到19.6%。但一轮轮的高速信息化,并没有把我们建设成一个网络强国,随着组织对信息技术的依赖越来越重,网络安全风险日益成为组织下一步发展的重大挑战,尤其是关系到国家安危的关键领域。

2.1.1 网络虚假消息会重创实体经济

2013年4月23日,美联社推特账号被黑(推特账号类似于中国的新浪微博账号)。一个叫做叙利亚电子军的黑客组织声称对此负责,这个黑客组织控制了美联社的推特账号之后,只做了一个操作,就是利用这个推特账号发布了一条消息。这条消息如图2-1所示,一共有12个单词。

000

图2-1 黑客组织控制了美联社的推特账号

这是一则典型的假消息,也就是所谓的谣言,但是请不要小看这条谣言,这条谣言后续对美国实体经济造成了巨大的影响。这条假消息发布后,道琼斯工业平均指数在三分钟内重挫140点,瞬间造成将近1365亿美元的损失。这个事件发生之后,很多人反思,为什么一条很明显的假消息会对道琼斯指数造成这么重大的影响?研究后发现,当时很多华尔街投资机构的交易操作已经不是靠人工操盘手去处理了,而是由人工智能或机器人来完成的,他们希望通过这样的信息化技术来缩短交易指令下达的时间,以实现更快速的市场反应。华尔街的各大交易机构在2010年左右都上线了交易自动决策系统,这样的系统会从全球互联网实时爬取各种权威消息,并通过人工智能对爬取来的消息进行自动分析:这些消息是对市场有正面的影响,还是有负面的影响?随后通过算法自动得出决策,确定是买入还是卖出,并实施。美联社的推特消息被发出以后,这些系统实时采集到了这样的消息,之后自动分析这条消息是对市场有负面影响的消息,于是在第一时间自动决策抛出所有持有的股票,而这个过程中人工根本来不及纠错。如此一传十,十传百,导致整个华尔街各个机构的连锁反应,最终造成了严重损失。

传统上我们认为,网络事件无非就是病毒木马、恶意攻击,这样的攻击方式最多只会造成单个设备或者单一组织的损失,但通过这个事件我们可看到网络安全事件对社会实体经济和社会稳定造成了巨大影响。

在当时,这样的问题对全世界各个国家和组织来说都猝不及防。为了应对类似的问题,甚至出现了一些很多普通人不能理解的政策,如对于国内微信或者微博,假如你传播或转发虚假消息或谣言后,有超过500人阅读,便要进行行政处罚。如何去发现和统计?在当时来说都是不可能的。而如今我们再反观这样的一条政策,就能够理解了:由于互联网的发展,假消息和谣言能很快造成民众恐慌,或对实体经济造成重大打击。

2.1.2 棱镜门事件

2013年的棱镜门事件反映出了全世界国家和组织面临的另一项典型威胁,即信息设备的可信问题。

2013年德国《明镜周刊》披露的美国国家安全局棱镜门事件中泄露的工具集显示(见图2-2),斯诺登披露的美国国家安全局工作人员常规使用的每一款软件工具,都是利用已知的美国企业生产的信息设备或软件系统的底层后门进行远程控制、远程抓包的监听工具。

000

图2-2 德国《明镜周刊》披露的美国国安局入侵手段

如图2-2中第28、29、30项软件工具,分别指向Juniper防火墙永久入侵软件。也就是说,通过这几款软件,可以远程连接到全球任意一个部署了Juniper防火墙的企业或组织的网络,可以抓取通过这个防火墙的所有流量进行分析,监听通过这个防火墙的所有数据包。对任何一个国家或组织来说,这就会泄露很多秘密。

而图2-2中编号7是一款iPhone的远程入侵软件,也就是在当年全球闹得沸沸扬扬的“iPhone关机窃听工具”。利用这一款工具,美国国家安全局的工作人员可以远程连接到全球任意一台苹果手机。即使你的苹果手机已经关机,通过这款工具,还是可以连接到这台手机,窃听这台手机周边发出的声音,获取这台手机的GPS定位,同时还可以调用这台手机的摄像头,采集摄像头正对位置的图像和影像。

为什么iPhone手机关机了,还是可以通过这款工具采集到这些信息呢?关机又分软关机和硬关机,那么,什么叫硬关机呢?拔下手机的电池,就叫做硬关机。软关机指的是手机虽然看上去已经关闭,但其实它的主板是持续带电的,所以主板上的一些模块,还是可以运转,并没有真正地关闭。而只有在拔除电池之后,主板上才会没有电流,所有模块才真的处于关闭状态。手机在早期发展的时候,是允许用户更换电池的。以前,很多用户出门时往往会带上一块备用电池,以防手机没电的时候及时替换。那么你知道从什么时候开始,我们的手机电池被封装在了手机内部,不再提供给用户进行拆卸更换了吗?

自棱镜门事件之后,很多企业即启动了信息设备可信保障的工作,也就是所谓的“去IOE”,即将原来无法获取代码的封装软件替换成可验证代码安全的软件,但可信保障工作推进困难。2014年,某企业内部定了个目标,为摆脱依赖,要求集团内部的信息网络和系统到2019年年底完成安全可信产品替换,即将内部信息网络和系统中使用到的信息设备和软件系统尽最大可能替换为安全可信产品,要求最终达到所有IT产品的80%是安全可信产品。然而当2019年来临,这家企业却发现企业中很多IT设备和系统已经不可被替换。

举例来说,该企业原来计划对员工办公网络中计算机的操作系统进行替换。原有的操作系统是由微软提供的Windows系列,他们希望替换成基于Linux内核的开源操作系统。在对所有国内品牌的Linux操作系统进行了长达一年的测试后,该企业发现这样的替换根本就无法实施!原因是虽然办公计算机的操作系统重装非常容易,但是由于该企业在从20世纪80年代开始的信息化过程中自建了大量的业务系统,多达数百套,而这些自建的系统正是基于Windows平台的。一旦桌面终端的操作系统更换成Linux,数百套的业务系统将无法与操作系统有效兼容。如果在这样的情况下贸然进行替换,将会导致严重的业务中断问题。

棱镜门事件显示出从国家层面,目前很多信息网络的基础设施天然就存在不安全性,面临着严重的被监听风险,而且短期内这种风险不可能被根除,这已经成为高悬在世界各国头顶上的达摩克利斯之剑。

2.1.3 社交网络与信息茧房

2018年3月,英国剑桥分析公司利用Facebook数据控制用户的事件持续发酵。《纽约时报》披露,在2016年美国总统大选期间,在未经允许的情况下,英国剑桥分析公司从5000万Facebook用户那里收集数据,并将它们用到了政治广告的推广中,最终影响了Facebook用户最终的投票选择。

剑桥分析公司的手法很简单,就是在获取用户信息后进行数据分析,通过使用用户喜好的方式渗透其社交网络,从而达到改变用户心理的目的。这一操作在商业上是很好的营销手段,但要运用在政治活动中就非常可怕了。

这些运作要以强大的用户数据作为支撑。首先,剑桥分析公司利用Facebook的第三方服务,建立小游戏和小测试,入驻Facebook体系。他们推出了一款性格测试的App,声称是心理学家用于做研究的App,在2014年前后,大众对数据保护的意识还不强,27万Facebook用户参与了其中的测试,他们将自己的姓名、年龄、籍贯、兴趣爱好、业余活动等信息统统报告给了这款App。通过这款测试软件,剑桥分析公司拿到了用户的第一手数据,并构成了用户的政治倾向画像。这款App利用滚雪球的方式,将原本只有27万人的小样本迅速扩展至5000万人。他们对5000万用户在Facebook上的日常行为进行分析,采集他们对哪些观点的文章感兴趣、喜欢发表哪些类型的言论等数据,从而判断用户的政治倾向。随后将不同政治倾向的用户进行分类,通过定向推送广告来影响用户的政治观点。

如今,全球互联网公司热衷于通过社交网络来打造信息茧房[1],从而实现用户对互联网产品的“黏性”,他们设计算法或机制向用户不断推送用户最感兴趣的新闻资讯或内容,用户则乐此不疲地将大量时间消耗在这类产品上,一段时间以后,用户就会被桎梏在由自己阅读倾向所构建的信息茧房中。扩展到整个社会,全社会群体每日最关注的信息内容可能是通过百度指数或热搜排行来体现的。而在热搜排行当中,大多数时候娱乐新闻已成为主要用户关注的信息资讯种类。这就是信息茧房形成之后对用户认知的影响体现。这样的认知改变方式一旦被别有用心之人所利用,其影响及后果将会非常可怕。

剑桥分析公司通过互联网来干预用户的政治选择,就是利用了茧房攻击[2]的原理。利用信息茧房在潜移默化中影响对象的观点,就如同电影《盗梦空间》中所描述的:改变人的一个念头。在网络世界,改变一个人乃至一群人的念头已经成为可能。

这种新型攻击并不是空穴来风,我们看到2010年以后的重大国际地缘政治事件中都有它的身影,通过社交网络向政治领域进行渗透攻击,也已经成为世界各国网络安全面临的主要威胁之一。

2.1.4 工控系统成为网络攻击练兵场

2012年伊朗爆发了震网病毒事件。震网病毒是一种只攻击工业控制系统的独特病毒,病毒暴发之后,在伊朗核电站内疯狂传播,造成1/5的伊朗离心机报废,伊朗核设施内基于核电技术的研究也就此终止。

这个事件在当时引起了全球各国的高度关注。震网病毒的特点表明它并不是一个普通的病毒,它是经过特定的设计,只针对特定工业控制系统发起针对性攻击的致命病毒。伊朗的敌对势力将震网病毒代码拆分成一个个片段,并将这些代码片段分发出去,感染核电站的供应商或者核电站系统建设的零部件厂商,在各个不同的供应商内部传播震网病毒的不同片段。单独的片段在特定供应商组织内部传播时是不具备破坏性的,并且由于病毒片段的代码量较小,因此供应商在设备出厂的安全检测或核电站验收时的模块检测中并不能发现该问题。单一被拆分成片段的代码并不具备危害性,而当不同的供应商所生产的设备在伊朗的核电站内进行组装并集成上线时,来自震网病毒不同片段的代码在运行过程当中就会聚合,并发起对指定传感设备的攻击,篡改检测设备的反馈数据,致使离心机过热而报废。

这样的攻击手段暴露了全球工业控制网络的薄弱环节,对各个国家的关键信息基础设施都造成了非常大的威胁,因为在各个国家,包括电力、水务、天然气、石油化工等领域所用到的工业控制系统都面临着大同小异的问题。在这些领域中,早期的信息系统建设阶段往往只关注系统的功能和可靠性,对系统安全性的考虑总显得不足。这些系统被设计成全年7×24(小时)×365(天)不中断地运转。时至今日,很多系统已经这样全年无休地运转了几年、十几年甚至几十年。在缺乏安全机制的前提下,这类系统很难被保护:一方面,不同于互联网或移动互联网的异构协议少有人能看懂;另一方面,由于其全年无休,导致即使设备厂商发现了漏洞,发布了补丁,为保障系统的持续运转,也没有人敢停机进行维护。因为很多时候,这些长期运转的设备一旦停机,往往积劳成疾,出现莫名的故障而无法重启。

在这样的状态下,目前大部分的工业控制系统网络采用网络物理隔离的方式来限制风险的流入,然而随着工业互联网、工业4.0时代的来临,工业控制系统网络已经不能独善其身,它们越来越多地接触互联网、移动互联网以及物联网,这些网络的互联互通是大势所趋,在这样的背景下,工业控制系统的薄弱问题就凸显出来了,成为网络攻击技术的练兵场。

2019年3月和7月,由于遭受网络攻击,委内瑞拉发生全国性大停电。停电的直接原因是装机1006万千瓦、发电量达510亿千瓦时的古里水电站遭到破坏,导致几乎整个委内瑞拉电网瓦解。据委内瑞拉政府方面披露,电力系统前后遭遇了三阶段攻击。第一阶段是网络攻击,主要是对古里水电站的计算机系统中枢,以及连接到加拉加斯(首都)的控制中枢发动网络攻击。第二阶段是电磁攻击,通过移动设备中断和逆转恢复过程。第三阶段是通过燃烧和爆炸对一系列变电站进行破坏,进一步使委内瑞拉的所有电力系统瘫痪。此攻击导致数百万人没有自来水,无法进行通信。这次停电加剧了委内瑞拉的经济危机。

2.1.5 网络攻击工具泛滥

2017年WannaCry(想哭)病毒暴发,该病毒在极短的时间内快速攻占了全球各类组织的核心网络。其中很多甚至都是人们通常认为非常安全的机构,如公安机关、道路交通电子屏、列车调度中心等,这些网络通常被认为隔离在互联网之外。

另外一些让人意想不到的设备也受到了攻击,比如超市的收银计算机、户外的大屏幕等,这些设备往往被认为是不联网的单机设备,但真实情况是它们仍无法阻止病毒的渗透,如图2-3所示。

000

图2-3 泰国某商业中心的大屏幕被攻击

WannaCry病毒之所以穿透力那么强,主要是因为黑客利用了一款美国国安局泄露的网络攻击工具“永恒之蓝”,黑客将“永恒之蓝”与勒索病毒进行捆绑,利用“永恒之蓝”的穿透能力,结合勒索病毒的破坏能力,就造出了WannaCry这一杀伤力巨大的“网络导弹”。

WannaCry病毒标志着全球网络攻击工具大泛滥的开始,未来会有更多机会让初出茅庐的黑客可以轻易获取各国军事级别的网络工具,随着这些工具被滥用,会造成全球网络攻击的大爆发,这将对国家和社会稳定造成重大影响。

2.1.6 物联网安全引人忧

2014年8月1日晚上7点,在浙江温州,很多正在家中看电视的居民都被眼前的一幕惊呆了,此时在电视屏幕上出现大量反动宣传图文,其传播范围涉及温州市鹿城区、龙湾区、瓯海区以及洞头县的15.98万户人家,一共46.5万台电视机顶盒遭受黑客攻击。黑客将反动信息通过技术手段直接植入用户的机顶盒。这种前所未有的攻击方式展现了物联网设备的巨大安全隐患。由于此事件的影响,2015年前后全国各地主要城市的有线电视企业陆续推出一些为用户免费更换高清机顶盒的活动。他们希望通过更换高清机顶盒来修补原有机顶盒上存在的固有漏洞,以降低类似情况发生的可能性。

2016年10月21日,一场始于美国东部的大规模互联网瘫痪突然袭来,半个美国的网络陷入瘫痪。当天,在毫无征兆的情况下,为全美大部分地区提供基本上网保证的域名解析服务商Dyn的服务器的各个入口被涌来的垃圾流量占满。Dyn本身拥有一套完整的应急预案,但是就在预案启动后的几分钟内,他们意识到这次攻击之猛烈,已经超出了预案的“想象力”。像泰坦尼克号一样,各个船舱一个接一个地灌满水,几分钟内Dyn悄无声息地沉入“大西洋”。在美国东岸各大城市,人们齐刷刷地抬起头看向彼此,因为他们面前的计算机、手中的手机都陷入了空白,一系列服务都相继瘫痪。

这次大断网缘于黑客的DDoS攻击[3],峰值流量超过了惊人的1TB/s,在此之前,从来没有见过有谁制造如此之大的流量来攻击主干网络。更让人不解的是,这么大的流量到底是从哪制造出来的?从理论上来说,就算把全球所有的计算机和手机集中起来,也无法造成瞬时这么大的流量。那么,黑客是怎么做到的?通过随后的调查人们才发现,原来巨大流量的来源并不仅仅是家用计算机和智能手机,黑客通过僵尸网络[4]控制了全球众多的物联网设备,包括摄像头、路由器、电视机、智能门锁等,并通过这些设备发起了攻击,最终造成全网的大瘫痪。

如今设备设施的智能化是大势所趋,每一台智能设备,小到音箱、手表、手环,大到冰箱、空调、汽车,都可以看作独立的信息处理单元,它们都有自己独立的存储、运算、传输结构,与计算机无异。这些智能设备除了完成其智慧化的功能以外,也有可能被非法滥用,而未来物联网设备的大量部署将使这种风险越来越高。

2.1.7 我国网络安全战略危机

通过以上分析,我们发现如今网络安全是一个影响国计民生的重要战略问题,而我国目前在这方面还相对比较薄弱,具体主要体现在三个方面,如图2-4所示。

000

图2-4 我国网络安全战略危机

(1)核心技术受制于人

这些年来,中国信息产业发展迅速,信息设备芯片自给率不断提升。华为的麒麟芯片不断追赶世界先进水平,龙芯可以与北斗一起飞上太空,而蓝牙音箱、机顶盒等日用品也在大量使用国产芯片。但我们也要看到,在稳定性和可靠性要求更高的通信、军事等领域,与国外相比,国产芯片还有较大差距。数据显示,2016年中国进口芯片金额高达2300亿美元,花费几乎是排在第二名的原油进口金额的两倍。互联网核心技术是我们最大的“命门”,核心技术受制于人是我们最大的隐患。对互联网和信息产业来说,商业模式的创新固然能够带来流量和财富,但最终比拼的还是核心技术实力;只有将核心技术掌握在自己手中,才能真正掌握竞争和发展的主动权,才能从根本上保障国家经济安全、国防安全和网络安全。

(2)供应链不受控

近年来中国IT供应链市场发展迅速,并呈现出巨大潜力。但随着中国IT供应链市场的繁荣发展,第三方供应商的服务连续性已直接影响到企业的发展。一方面网络犯罪分子非常了解企业间供应链的这些连接,会利用它们来访问那些保护不佳的网络,而供应链中涉及的组织之所以被攻击者锁定,是因为他们通常无法预知潜在威胁,也缺少足够的资源来实施高规格安全管理,这就使得供应链发展成为网络中最薄弱的环节。网络犯罪分子会优先渗透供应链合作方,然后再寻找机会攻击企业。另一方面,如华为等中国高科技企业也面临核心IT供应链不受控导致的风险,一旦供应链被截断,服务中断,将导致业务发展受阻,且会影响企业的业务连续性。核心供应链的不受控是企业面临的紧迫风险。

(3)民族产业有待加强

在信息设备及软件系统领域,国内产品研发投入不够,技术实力有待加强;同时缺少顶层设计方案及整体解决方案,持续迭代能力差,这些都是制约中国网络安全行业发展的因素。目前我国网络安全技术的一大明显短板在集成电路制造、工艺和设计工具等方面。对此,国家已设立了上千亿的集成电路发展基金,还有很多民间基金加入,希望在未来一段时间内能有所弥补。除集成电路外,大型软件方面也是一个短板,在软件国产化方面Windows、Office、Oracle、EMC等是国人永远的痛。近年来在实施国产自主可控替代计划中,在各个软硬件之间的适配问题耗费了大量人力物力之后,我们才发现,要想打破现有网络领域软硬件产品的垄断,靠单项技术的突破是不够的,必须在信息技术体系及其生态系统的竞争中取胜。为此,要强调的是构建安全可控的信息技术体系,从根本上予以解决。

基于上述我国网络环境的现状,才有了习近平总书记所说的“没有网络安全,就没有国家安全”这句话,对国家来说,网络安全已经成为牵一发而动全身的重要问题,当然我们所说的网络安全是指网络空间安全,这里不是指一个国家的网络安全,而是指一个国家在网络空间的安全。网络空间安全的对立面不是一个国家的网络不安全,而是一个国家不安全,是网络空间给整个国家造成不安全的局面。因此新时期为网络安全赋予了更加深刻与广泛的内涵,当前我们关注的网络安全,包括意识形态安全、数据安全、技术安全、应用安全、资本安全、渠道安全等方面,其中既涉及网络安全防护的目标对象,也反映维护网络安全的手段途径。我们要认清面临的形势和任务,充分认识网络安全工作的重要性和紧迫性,因势而谋,因势而动,顺势而为,才能化解这场新时代的战略危机。


[1] 信息茧房是指人们的信息领域会习惯性地被自己的兴趣引导,从而将自己的生活桎梏于像蚕茧一般的茧房中的现象。生活在信息茧房里,公众就不可能考虑周全,因为他们自身的先入之见将逐渐根深蒂固。

[2] 茧房攻击就是指利用信息茧房的原理,将目标对象桎梏在特定的信息环境中,通过反复、持续强调特定信息来改变对象的观点、认知。

[3] DDoS攻击也称为分布式拒绝服务攻击,即攻击者想方设法让目标机器停止提供服务,这是黑客常用的攻击手段之一。其实对网络带宽进行消耗性攻击只是该攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于该类攻击。该类攻击问题一直得不到合理的解决,究其原因是网络协议本身存在安全缺陷,因此DDoS攻击也成为攻击者的终极手法。攻击者进行DDoS攻击,实际上是让服务器实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把非法用户的连接复位,从而影响合法用户的连接。

[4] 僵尸网络(Botnet)是指采用一种或多种传播手段,使大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间形成一个可一对多控制的网络。