1.3 网络安全多样视角
1.3.1 四方视角
安全圈的从业者都需要思考如何保障网络安全吗?显然,攻击团伙是以破坏网络空间的安全性为己任的。即使是合法的漏洞挖掘者、渗透测试团队,他们的工作虽然在客观上有助于巩固网络空间的安全性,但在具体工作中却只需要研究如何去破坏CIA(保密性、完整性、可用性)。在某些技术人员看来,网络安全就是“挖洞”“搞站”。甚至专业的安全厂商也不需要思考CIA保障问题。厂商提供的日志采集、威胁情报、网络测绘等服务,并不能直接实现CIA保障,只是起到间接赋能作用。此外,合规认证机构或行业监管单位在具体工作时一般只需对照条款判断企业的安全措施是否符合预定条件即可,并不需要时刻考虑合规性与安全性之间的精确关联。实际上,只有那些作为责任主体的网络运营者需要以CIA保障为直接工作目标。必须认识到,不同视角下,人们对网络安全的理解存在巨大差异。国家互联网应急中心(CNCERT)的研究人员提出了“四方视角”模型,包括“组织视角”“厂商视角”“监管视角”和“威胁视角”,对网络安全行业中的各类角色进行概括,并用统一的模型叙述庞大的网络生态体系中的各类任务,这一认知模型被称作“网络安全大体系”。
组织视角也可称甲方视角或企业视角。在该视角下,企业需要通过引入安全能力,保障自身网络资产的CIA目标。厂商视角也可称作乙方视角。在该视角下,厂商针对其客户单位的CIA目标从事局部性的能力构建,从而输出特定产品或服务,如网络测绘数据、流量采集设备等。监管视角也可称作社会视角或社区视角,不局限于单一企业的安全保障,而是立足全局高度,涉及政策讨论、市场分析、行业协调、合规监管、调查执法等中观、宏观层面的任务。威胁视角也可称攻击视角或红队视角,是红队、骇客团伙、网络间谍所采用的视角,通过各类渗透攻击手段破坏他人的CIA目标。
网络安全语境下的企业一般特指网络运营者。《网络安全法》将网络运营者定义为“网络的所有者、管理者和网络服务提供者”,这里的网络服务多是指对广大用户提供的2C服务(虽然2B企业也受该法约束)。网络运营者一般是对网络资产负责的甲方角色,不包括对外提供安全保障能力的乙方厂商角色,尽管现实中的企业可以同时扮演多个角色。某些英文文献会把政府内一个归口系统下的各级分支部门合称为一个“企业”(enterprise),例如美国的政府文件经常提到“国防企业”“国土安全企业”“情报企业”等称呼。这里的“企业”实际上是“机关事业单位”的集合,反倒不是常规意义上的营利性企业,若改译为“国防部门”“国土安全序列”“情报口”之类或更为达意。这些部门所建设的全国性政务信息系统常被直译为“企业级系统”,此处“企业级”强调的是跨越部门墙的集约化建设,该翻译易被误解为某类服务质量等级,或可译作“集团级”。相比于各地区、各分支机构自主建设信息系统的工程方式,集约化建设的好处在于资源使用效率更高、信息互通性更强、协同联动性更好。
1.3.2 黑帽、白帽和其他帽
黑客(hacker)被用于称呼网络安全领域的技术人员,尤其是掌握了攻击类技术的人。黑客之“黑”只是音译,从道德伦理角度可将黑客分为黑帽和白帽,有时还会出现灰帽的说法。黑、白帽子标签的根源来自西方电影,其中主人公戴着白帽子,而反对者戴着黑帽子。美剧《西部世界》中的游戏玩家也可以选择戴黑帽还是白帽,代表自己是否扮演好人。白帽黑客也叫道德黑客或伦理黑客,一般从事漏洞挖掘、渗透测试等建设性工作,动机是改善网络安全,通常是合法的。黑帽就是骇客(cracker),从事破坏性或窃取性的活动,一般是违法的,虽然也有国家的法律允许这类行为。灰帽黑客则介于两者之间,他们的行为可能会违反某些伦理标准,但并非出于典型的恶意。例如,黑帽在发现漏洞后会进行非法利用,或售到黑市;白帽在发现漏洞后会向相关方报告,绝不非法利用;灰帽在发现漏洞后,可能既不非法利用,也不报告。白帽在从事渗透测试时,只有在获得属主同意的前提下才会攻入一个系统;黑帽则会蓄意入侵一个系统,以谋私利;灰帽会在未经授权时即对系统进行渗透,但并无恶意。
大众传媒倾向把为非作歹的黑帽看作典型的黑客形象,而白帽群体多主张黑客应该是高尚的,黑帽不符合黑客精神,所以不算黑客。著名程序员埃里克·雷蒙德(Eric Raymond)认为,黑客是有建设性的,而骇客则专门搞破坏。国家推荐标准《信息安全技术 术语》(GB/T 25069)所定义的黑客更接近灰帽:对网络或联网系统进行未授权访问,但无意窃取信息或造成损坏的个人。中国黑客界制定的《COG黑客自律公约》用“黑客精神”形容那些热衷于解决问题、克服限制的人,公约认为黑客精神的特质在于好奇、怀疑、独立思考、开放、共享,因此黑客精神并不限于电子、计算机或网络领域,而可以是其他任何领域,如音乐或艺术等方面。
如今,黑客群体逐渐产生了其他一些色系,如红、蓝、绿等。红帽是一款操作系统的名字,它的另一个含义是指不择手段地对黑帽进行打击的人。典型的红帽行为包括侵入黑帽团伙的计算机资源进行破坏,或者对黑帽投放恶意程序。中国的一些黑客也曾自称红客,强调自己的一颗红心。蓝帽也有多个含义。蓝帽有时是指报复心重的黑客,他们成为黑客的目的就是报复他人,而不强调学习技术。蓝帽的另一个含义是独立的安全研究员,偶尔被企业作为编外专家进行邀请。微软的“蓝帽大会”活动就会邀请这类黑客,但也有人认为蓝代表微软,这个会议的名称是为了区别于知名的黑帽大会。绿帽黑客是指求知欲旺盛的新手黑客,常因大量发问而被其他黑客恶语相向,但他们不屈不挠,继续热衷学习。很少会听说中国的黑客自称绿帽。英文中的绿代表缺乏经验,比如绿手就是生手的意识。网络黑话中绿帽的同义词是菜鸟(newbie),简写为newb、noob、n00b或nub。有些低水平黑客被称为脚本小子(script kiddie),他们缺乏对技术的深刻理解,只会对脚本代码进行复制粘贴,四处尝试。
1.3.3 红队、蓝队和紫队
网络攻防演练可以帮助组织提前发现网络弱点。在演练中,通常把安全技术人员分为红队和蓝队。红队负责模拟网络威胁执行攻击行动,蓝队负责防御。于是红和蓝这两种颜色有了特殊的含义,分别指代攻和防。单就技术而言,合法的红队和非法的攻击团伙使用的手段几乎一致,因此网络攻击技术也叫红队技术。也有人分别用红和蓝代表假想我方和假想敌方[7],这种赋色方式在网络演练中比较少见。
在欧洲中央银行的TIBER-EU(欧洲基于威胁情报的道德红队框架)中,存在一类“白队”角色。TIBER-EU要求被测组织的大部分人都不知道红队的存在,但仍有一小部分工作人员对演练活动知情,以便对活动进行管理,如创建演练场景及充当裁判。这些人被称作白队。
在一些新型攻防演练活动中,还出现了紫队。红蓝得紫,紫队兼具红队和蓝队的角色,全面地理解安全控制和流程。相比于传统的红蓝对抗,紫队代表着更具协作性的方法,旨在帮助组织更有效地改善安全措施。例如,红队可能会片面追求取胜,而紫队则可以结合威胁情报,仅模拟那些组织可能真实面临的威胁,并在模拟威胁的过程中同步建设防御机制,在演练结束后,组织的防御效果能切实改善。在一些不太常见的场合,还有绿队、黄队、灰队等说法;绿队负责模拟普通用户,通过有线或无线网络将其通信终端连接到蓝队管理的网络基础设施上,此处再次体现出英文中用绿色代表小白的习惯;黄队负责监控和报告网络安全态势信息;灰队负责维护正常的网络流量和服务请求。
1.3.4 定向攻击与机会攻击
网络攻击者可分为定向攻击者(targeted threat)和机会攻击者(opportunistic threat)。定向攻击者有明确的攻击目标,不会轻易知难而退,而机会攻击者多采用广泛撒网战术,喜欢软柿子,厌恶硬骨头。典型的机会攻击者不需要有很高超的技术,他们可以利用Shodan这种网络资产搜索引擎,轻易找到大量带有特定漏洞的网络资产,然后用Metasploit这类开源的攻击框架发起无差别攻击,这是一种通过锤子找钉子的过程。定向攻击者则需要对单个目标持续尝试,通过给定目标的弱点确定合适的入侵渗透路径,相当于通过钉子找锤子。
某些定向攻击者对单个目标表现出百折不挠的耐心,可长达数月或数年之久,它们被称作持续性威胁(Persistent Threat,PT),其中具有先进(advanced)手段的PT就是APT。APT通常肩负情报目的,背后有外国政府支持,因此又名“国家支持的网络威胁”(State Sponsored Cyber Threat,SSCT)。近年来,APT的“帽子”有滥用趋势,防守方会将武功平平的PT捧成APT,从而体现出工作不易;同时PT也渴求“认可”,于是攻防双方建立了一种滥发APT头衔的默契。有一些连PT都不算的攻击团伙也自封APT,他们一般会通过战绩吹水吸引关注度。除了PT以外,黑客运动主义者(hacktivist)也是一类定向威胁,他们的工作是通过黑掉政企网站表达政治威慑。PT大都从事网络间谍工作,必须“低调奢华”,而黑客运动则追求曝光度,当上网红才算赢。
企业面对的威胁不仅来自外部,内部威胁(insider threat)更为致命。他们可能是心存怨气的员工、马马虎虎的承包商或者受雇于人的卧底,可谓“家贼难防”。美国政府在屡遭重大泄密案后承认,当内部人士执意窃取资料时,得手只是时间问题。威胁甚至不全然来自主观的恶意,网络会在无人破坏的情况下自我瘫痪,造成可用性目标的失守。不良的设计、错误的配置、缺位的运维都会产生这类问题。这些威胁都是广义上的网络安全工作所应考虑的问题。