有效應(yīng)對(duì)網(wǎng)絡(luò)空間五大攻擊威脅，需要從網(wǎng)絡(luò)攻擊威脅模型、網(wǎng)絡(luò)攻擊能力評(píng)估、網(wǎng)絡(luò)目標(biāo)風(fēng)險(xiǎn)評(píng)估三個(gè)方面進(jìn)行科學(xué)分析評(píng)估。

　　網(wǎng)絡(luò)空間領(lǐng)域已進(jìn)入國家力量主導(dǎo)的網(wǎng)絡(luò)對(duì)抗時(shí)代，需要多方參與共同應(yīng)對(duì)：從國家層面，要建設(shè)國家級(jí)防御體系；從企業(yè)層面，要部署企業(yè)級(jí)防御框架；從人才方面，要培養(yǎng)通用型安全人才。

　　本文通過對(duì)網(wǎng)絡(luò)攻擊案例的梳理，歸納整理當(dāng)前面臨的五大網(wǎng)絡(luò)空間攻擊威脅，并提出相關(guān)應(yīng)對(duì)策略，以期在未來的網(wǎng)絡(luò)空間攻防對(duì)抗中獲得主動(dòng)。此前我們發(fā)布了文章的第一部分，本次主要分享文章第二部分網(wǎng)絡(luò)空間攻擊威脅分析評(píng)估和第三部分網(wǎng)絡(luò)空間攻擊威脅應(yīng)對(duì)策略。

　　二、網(wǎng)絡(luò)空間攻擊威脅分析評(píng)估

　　五大網(wǎng)絡(luò)空間攻擊威脅行為往往以目標(biāo)為導(dǎo)向、以手段為支撐。有效應(yīng)對(duì)這些攻擊威脅，需要進(jìn)行科學(xué)分析評(píng)估。

　?。ㄒ唬┚W(wǎng)絡(luò)攻擊威脅模型

　　當(dāng)前面臨的五大網(wǎng)絡(luò)空間攻擊威脅不是相互割裂的，往往呈現(xiàn)相關(guān)交織融合態(tài)勢(shì)，比如針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)空間系統(tǒng)攻擊往往伴隨著針對(duì)特定網(wǎng)絡(luò)目標(biāo)的網(wǎng)絡(luò)空間單點(diǎn)攻擊行為，網(wǎng)絡(luò)空間聯(lián)合攻擊也需要網(wǎng)絡(luò)空間體系攻擊的配合，然而無論哪種攻擊威脅必然有整體或部分行動(dòng)發(fā)生于網(wǎng)絡(luò)空間，因此在網(wǎng)絡(luò)空間對(duì)攻擊威脅進(jìn)行建模分析十分必要。

　　當(dāng)前網(wǎng)絡(luò)攻擊威脅模型往往以攻擊行為溯源為主要目標(biāo)，以攻擊過程建模為主要方法，通過鉆石模型和攻擊殺傷鏈等模型分析描繪APT組織等攻擊行為。但是，這些模型普遍缺乏對(duì)攻擊能力的評(píng)價(jià)和目標(biāo)風(fēng)險(xiǎn)的評(píng)估，導(dǎo)致在安全防護(hù)建設(shè)過程缺乏可以信賴的客觀依據(jù)。

　　網(wǎng)絡(luò)空間攻擊威脅模型通過網(wǎng)絡(luò)資產(chǎn)、攻擊手法和攻擊場(chǎng)景三個(gè)要素來進(jìn)行刻畫。

　　圖18 三維網(wǎng)絡(luò)空間攻擊模型

　　網(wǎng)絡(luò)資產(chǎn)主要包含網(wǎng)絡(luò)設(shè)備、服務(wù)器、終端、主機(jī)、工控設(shè)備、業(yè)務(wù)系統(tǒng)等一切可以被攻擊資產(chǎn)。

　　攻擊場(chǎng)景主要包括互聯(lián)網(wǎng)、DMZ、辦公網(wǎng)、業(yè)務(wù)網(wǎng)等組網(wǎng)方式、防護(hù)手段、業(yè)務(wù)用途不同的網(wǎng)絡(luò)環(huán)境。

　　攻擊手法主要包括目標(biāo)掃描、目標(biāo)突破、目標(biāo)控制、信息獲取、目標(biāo)癱瘓等各個(gè)攻擊環(huán)節(jié)。

　?。ǘ┚W(wǎng)絡(luò)攻擊能力評(píng)估

　　網(wǎng)絡(luò)攻擊能力反映了達(dá)成網(wǎng)絡(luò)攻擊目標(biāo)可能性量化評(píng)估標(biāo)準(zhǔn)，攻擊能力量化評(píng)估主要分為二維攻擊能力評(píng)估和三維攻擊能力評(píng)估兩種情形。

　　1、二維攻擊能力評(píng)估

　　二維攻擊能力評(píng)估主要反映在同一攻擊場(chǎng)景下的攻擊能力，主要通過給攻擊手法賦予不同權(quán)重和場(chǎng)景內(nèi)網(wǎng)絡(luò)資產(chǎn)覆蓋類型占比計(jì)算得出，具體公式如圖所示。

　　圖19 二維網(wǎng)絡(luò)空間攻擊能力評(píng)估

　　二維攻擊能力評(píng)分計(jì)算公式：

　　T=V1+V2+V3+V4+V5

　　二維攻擊能力評(píng)估得分可以衡量攻擊方網(wǎng)絡(luò)資產(chǎn)類型攻擊技術(shù)儲(chǔ)備情況和攻擊經(jīng)驗(yàn)積累情況等。絕大多數(shù)APT組織均可通過二維攻擊能力評(píng)分進(jìn)行評(píng)估。

　　2、三維攻擊能力評(píng)估

　　三維攻擊能力評(píng)估主要反映在不同攻擊場(chǎng)景下的攻擊能力，主要在二維攻擊能力評(píng)估的基礎(chǔ)上，通過給不同攻擊場(chǎng)景賦予不同權(quán)重計(jì)算得出，具體公式如圖所示。

　　圖20 三維網(wǎng)絡(luò)空間攻擊能力評(píng)估

　　三維攻擊能力評(píng)分計(jì)算公式：

　　W=V1+V2+V3+V4

　　三維攻擊能力評(píng)估得分可以衡量攻擊方跨網(wǎng)跨域不同場(chǎng)景的攻擊能力和攻擊路徑維持情況等。國家級(jí)攻擊組織通過三維攻擊能力評(píng)分進(jìn)行評(píng)估。

　　3、攻擊能力評(píng)估示例

　?。?）單場(chǎng)景攻擊能力評(píng)估示例

　　以目標(biāo)探測(cè)為例，作為網(wǎng)絡(luò)攻擊行動(dòng)的第一階段，主要目的是識(shí)別目標(biāo)網(wǎng)絡(luò)資產(chǎn)的型號(hào)版本及脆弱性信息，按照二維攻擊能力評(píng)估計(jì)算，即便是針對(duì)所有目標(biāo)網(wǎng)絡(luò)資產(chǎn)均可以做到精準(zhǔn)探測(cè)，在整個(gè)網(wǎng)絡(luò)攻擊行動(dòng)中也僅能得到10分。

　　圖21 單場(chǎng)景目標(biāo)探測(cè)攻擊能力評(píng)估示例

　　如果突破植入能力擅長(zhǎng)，則二維網(wǎng)絡(luò)攻擊能力評(píng)估計(jì)算得分為40分。

　　圖22 單場(chǎng)景突破植入攻擊能力評(píng)估示例

　　從上述示例可以得出，單一領(lǐng)域技術(shù)強(qiáng)并不能代表整體網(wǎng)絡(luò)攻擊能力得分高，從另一側(cè)面可以看到只有網(wǎng)絡(luò)攻擊各個(gè)環(huán)節(jié)技術(shù)能力都強(qiáng)才能確保整體網(wǎng)絡(luò)攻擊能力處于較高水準(zhǔn)。

　?。?）多場(chǎng)景攻擊能力評(píng)估示例

　　以典型關(guān)鍵基礎(chǔ)設(shè)施為例，網(wǎng)絡(luò)攻擊場(chǎng)景有4個(gè)，按照每個(gè)場(chǎng)景權(quán)重和場(chǎng)景內(nèi)攻擊能力評(píng)估情況，按照三維攻擊能力評(píng)估計(jì)算，在整個(gè)網(wǎng)絡(luò)攻擊行動(dòng)中得到60分。

　　圖23 多場(chǎng)景網(wǎng)絡(luò)空間攻擊能力評(píng)估示例

　　歸納總結(jié)，網(wǎng)絡(luò)攻擊能力評(píng)估需要把握好以下原則：

　　1、目標(biāo)驅(qū)動(dòng)：以是否完成網(wǎng)絡(luò)攻擊目標(biāo)或距離網(wǎng)絡(luò)攻擊目標(biāo)實(shí)現(xiàn)的程度來衡量網(wǎng)絡(luò)攻擊能力。

　　2、場(chǎng)景驅(qū)動(dòng)：按照網(wǎng)絡(luò)攻擊行為發(fā)生的場(chǎng)景不同來衡量網(wǎng)絡(luò)攻擊能力，區(qū)分單場(chǎng)景評(píng)估與多場(chǎng)景情況，如果最終攻擊目標(biāo)局限在同一場(chǎng)景內(nèi)，則按照二維攻擊能力評(píng)估辦法評(píng)估。如果存在跨場(chǎng)景情況，則按照二維攻擊能力評(píng)估辦法評(píng)估。

　　3、技術(shù)驅(qū)動(dòng)：根據(jù)網(wǎng)絡(luò)攻擊各環(huán)節(jié)使用的技術(shù)不同來衡量網(wǎng)絡(luò)攻擊能力，探測(cè)技術(shù)、突破技術(shù)、控制技術(shù)、獲取技術(shù)、致癱技術(shù)等網(wǎng)絡(luò)攻擊技術(shù)的難度不同、其網(wǎng)絡(luò)攻擊能力權(quán)重也不同，在攻擊過程中需要相互配合才能發(fā)揮作用實(shí)現(xiàn)最終網(wǎng)絡(luò)攻擊目標(biāo)，網(wǎng)絡(luò)攻擊能力評(píng)估才能取得高分。

　　4、資產(chǎn)驅(qū)動(dòng)：按照針對(duì)網(wǎng)絡(luò)資產(chǎn)網(wǎng)絡(luò)攻擊覆蓋范圍來衡量網(wǎng)絡(luò)攻擊能力，網(wǎng)絡(luò)資產(chǎn)的覆蓋越廣則網(wǎng)絡(luò)攻擊能力越高。

　　（三）網(wǎng)絡(luò)目標(biāo)風(fēng)險(xiǎn)評(píng)估

　　網(wǎng)絡(luò)目標(biāo)風(fēng)險(xiǎn)主要是指網(wǎng)絡(luò)攻擊行為造成的威脅程度。其風(fēng)險(xiǎn)評(píng)估的方法同樣分為二維評(píng)估和三維評(píng)估。

　　1、目標(biāo)風(fēng)險(xiǎn)二維評(píng)估

　　通過給探測(cè)、突破、控制三個(gè)要素賦予不同權(quán)重的方式衡量單場(chǎng)景下目標(biāo)風(fēng)險(xiǎn)，具體計(jì)算公式如下：

　　圖24 二維網(wǎng)絡(luò)空間目標(biāo)風(fēng)險(xiǎn)評(píng)估

　　風(fēng)險(xiǎn)二維評(píng)估模型得分：

　　T=V1+V2+V3

　　可以看到突破技術(shù)權(quán)重得分最高，這一點(diǎn)和現(xiàn)實(shí)世界中漏洞威脅占比情況相符。

　　2、目標(biāo)風(fēng)險(xiǎn)三維評(píng)估

　　通過不同場(chǎng)景賦予不同權(quán)重方式衡量多場(chǎng)景下目標(biāo)風(fēng)險(xiǎn)，具體計(jì)算公式如下：

　　圖25 三維網(wǎng)絡(luò)空間目標(biāo)風(fēng)險(xiǎn)評(píng)估

　　風(fēng)險(xiǎn)三維評(píng)估模型得分：

　　W=V1+V2+V3+V4

　　可以看到，隨著場(chǎng)景的深入，其權(quán)重越高，這也意味著該場(chǎng)景距離最終網(wǎng)絡(luò)攻擊目標(biāo)越近。

　　3、目標(biāo)風(fēng)險(xiǎn)評(píng)估示例

　　一般情況網(wǎng)絡(luò)攻擊能力得分越高意味著網(wǎng)絡(luò)目標(biāo)面臨的風(fēng)險(xiǎn)越大，但在某些情況下，網(wǎng)絡(luò)攻擊能力得分很低也能給目標(biāo)帶來較大的風(fēng)險(xiǎn)。

　　如下圖所示：

　　圖26 網(wǎng)絡(luò)空間目標(biāo)風(fēng)險(xiǎn)評(píng)估示例

　　可以清楚看到，雖然網(wǎng)絡(luò)攻擊能力得分很低，由于掌握網(wǎng)絡(luò)攻擊相關(guān)技術(shù)完整且攻擊路徑貫通各個(gè)場(chǎng)景，導(dǎo)致目標(biāo)風(fēng)險(xiǎn)得分很高，這也證實(shí)有些APT組織技術(shù)儲(chǔ)備較少，只要選對(duì)網(wǎng)絡(luò)資產(chǎn)和攻擊路徑，也可能對(duì)網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施造成較大威脅。

　　三、網(wǎng)絡(luò)空間攻擊威脅應(yīng)對(duì)策略

　　網(wǎng)絡(luò)空間領(lǐng)域已經(jīng)進(jìn)入國家力量主導(dǎo)的網(wǎng)絡(luò)對(duì)抗時(shí)代。在五大網(wǎng)絡(luò)空間攻擊威脅的籠罩下，無論個(gè)人、企業(yè)還是國家、地區(qū)都無法置身事外，需要多方參與共同應(yīng)對(duì)。

　?。ㄒ唬┙ㄔO(shè)國家級(jí)防御體系

　　以美為例，其網(wǎng)絡(luò)空間安全主動(dòng)防御體系借助商用技術(shù)和能力，將網(wǎng)絡(luò)空間的威脅預(yù)警、入侵防御和安全響應(yīng)能力相結(jié)合，創(chuàng)建跨領(lǐng)域的網(wǎng)絡(luò)空間態(tài)勢(shì)感知系統(tǒng)，為聯(lián)邦政府網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供安全保障。

　　因此國家在網(wǎng)絡(luò)防御中發(fā)揮主導(dǎo)作用，有利于整合力量資源，提升網(wǎng)絡(luò)攻擊難度，能夠有效阻止大部分網(wǎng)絡(luò)攻擊行為。

　?。ǘ┎渴鹌髽I(yè)級(jí)防御框架

　　企業(yè)在網(wǎng)絡(luò)防御領(lǐng)域具有技術(shù)優(yōu)勢(shì)、產(chǎn)品優(yōu)勢(shì)和服務(wù)優(yōu)勢(shì)。針對(duì)大型機(jī)構(gòu)和關(guān)鍵系統(tǒng)都具有一些行之有效安全防護(hù)手段，特別是在企業(yè)級(jí)APT攻擊溯源和攻擊威脅分析等方面取得了較好的應(yīng)用。

　　以奇安信為代表的網(wǎng)絡(luò)安全公司著眼未來構(gòu)建了新一代企業(yè)網(wǎng)絡(luò)安全框架：從局部整改為主的外掛式建設(shè)模式走向深度融合的體系化建設(shè)模式；面向新基建建設(shè)、數(shù)字化業(yè)務(wù)，以系統(tǒng)工程方法論結(jié)合內(nèi)生安全理念，形成新一代網(wǎng)絡(luò)安全建設(shè)框架；以“十大工程、五大任務(wù)”指導(dǎo)網(wǎng)絡(luò)安全體系的規(guī)劃、建設(shè)與運(yùn)行；新一代網(wǎng)絡(luò)安全框架，來指導(dǎo)政企網(wǎng)絡(luò)安全建設(shè)，輸出體系化、全局化、實(shí)戰(zhàn)化的網(wǎng)絡(luò)安全架構(gòu)，以“內(nèi)生安全”理念建立數(shù)字化環(huán)境內(nèi)部無處不在的“免疫力”，構(gòu)建出動(dòng)態(tài)綜合的網(wǎng)絡(luò)安全防御體系。

　　（三）培養(yǎng)通用型安全人才

　　當(dāng)前，網(wǎng)絡(luò)已滲透到工作生活的方方面面，網(wǎng)絡(luò)安全防御也不能僅僅依靠少數(shù)專家型安全人才，需要全民參與。因此，需要在各級(jí)各類教育培訓(xùn)中教授網(wǎng)絡(luò)安全相關(guān)內(nèi)容，建立通用型網(wǎng)絡(luò)安全人才庫。

　　參考文章：

　　[1] APT攻擊盤點(diǎn)及實(shí)戰(zhàn)（上）

　　https://zhuanlan.zhihu.com/p/94212402

　　[2] 針對(duì)馬拉維（MALAWI）國民銀行的網(wǎng)絡(luò)攻擊樣本分析報(bào)告

　　https://www.antiy.cn/report-download/20181127.pdf

　　[3] 斯諾登曝光相關(guān)資料

　　https://edwardsnowden.com/category/revealed-documents/

　　[4]《網(wǎng)絡(luò)戰(zhàn)：信息空間攻防歷史、案例與未來》 保羅·沙克瑞恩（Paulo Shakarian），亞娜·沙克瑞恩（Jana Shakaria 著

　　[5] 三重門 | 美國大選網(wǎng)絡(luò)黑客攻擊的驚天真相

　　http://www.kunlunce.com/myfk/fl1111/2016-11-08/110072.html

　　[6] 從委內(nèi)瑞拉大停電事件看電力系統(tǒng)安全防護(hù)

　　https://www.sohu.com/a/302645567_120020243

　　[7] 美國網(wǎng)絡(luò)攻擊與主動(dòng)防御能力體系發(fā)展綜述

　　https://mp.weixin.qq.com/s/_cmLFbNoj-Sh7gVtLi0YZw

　　[8] 專題解析 | 美國用于持久化控制的網(wǎng)空攻擊裝備解析

　　https://mp.weixin.qq.com/s/JKOpSs6g2jEasywZazWkWg

　　[9] 專題解析 | 美國網(wǎng)絡(luò)空間攻擊裝備究竟怎么樣？

　　https://mp.weixin.qq.com/s/o-0dB4VpISNWmeynKciLSA

　　[10] 美國（軍）態(tài)勢(shì)感知體系能力分析

　　https://mp.weixin.qq.com/s/3vkNssIE2X3z1UIatMmo6A

　　關(guān)于作者

　　陳波：虎符智庫專家、奇安信集團(tuán)高級(jí)網(wǎng)絡(luò)安全專家 、高級(jí)工程師。從事網(wǎng)絡(luò)安全相關(guān)工作20余年；榮獲三等功一次；獲得國家級(jí)二等獎(jiǎng)1項(xiàng)、三等獎(jiǎng)7項(xiàng)，部委成果獎(jiǎng)10余項(xiàng)。具有數(shù)學(xué)、系統(tǒng)工程、通信、網(wǎng)絡(luò)安全等專業(yè)知識(shí)背景，現(xiàn)從事網(wǎng)絡(luò)攻防技術(shù)研究工作。