瞭望东方周刊高海博2016-03-17

  

  随着威胁情报被日益频繁地提及,如今,应对黑客攻击的思路正在发生变化:建立事前预警机制比仅仅弥补缺漏更关键。

  这一趋势,使得网络安全的悖论更加凸显:一个国家的网络安防水平,与其黑客的技术水平密切相关。美国、俄罗斯等在网络安全技术领域领先的国家,亦是世界知名黑客的聚集地。

  正如360安全系统的员工几乎每个人都会对记者说的那句:“未知攻,焉知防?”


  事前预警更关键

  林伟,这个不是很善言辞的技术男,大学只读了两年,如今却统领着国内最大的网络安全公司奇虎360的网络安防团队。

  360自身也需要一个可靠的安全系统支撑。林伟带着他的团队每天要对公司的8万~10万台服务器“过一遍”,及时应对可能出现的威胁。

  这个工作不仅包括寻找系统的既有安全漏洞,还要对黑客们的动态信息进行实时追踪,力求做到对安全威胁的即时反馈。

  业内曾经认为,只要弥补缺漏,即可规避被黑客攻击,但这样的设想往往是一厢情愿。

  中国信息安全评测中心首席信息安全咨询师蒋鲁宁告诉《瞭望东方周刊》,而今谈论信息安全领域的问题,都绕不开威胁情报。

  人们可以从安全服务厂商、防病毒厂商、政府机构和安全组织那里看到的安全预警通告、漏洞通告、威胁通告等,这些都属于典型的安全威胁情报。

  在以往的网络攻防中,安防员希望缩短发现高级威胁的时间,并摸清攻击的来龙去脉与背后的信息,增加攻击者的成本。在威胁情报被足够重视之前,攻击方利用漏洞攻击,被攻击方只能发现一个漏洞,补一个漏洞,或是发现一个恶意软件,处理一个,面对高级持续威胁时非常被动。

  但是,有了大数据驱动的威胁情报,只要攻击被发现一次,马上就会被全网数据进行关联推演。攻击者的所有手法、工具、跳板都会曝光,被攻击者的防御周期从原来的几周几个月缩短到天、小时甚至实时。

  威胁情报中心就是要时刻发现攻击来源,并帮助用户立即响应处理,避免损失。同时,威胁情报中心还可以通过对流量与安全舆情的监控,对大规模网络攻击进行监控与预测。


    人是核心

  人是威胁情报系统的核心。

  在网络安全的攻防之战中,作为防御的一方,安全员们不但要有极强的搜素引擎排除能力,还要掌握黑客名单,而这些能力,都需要在行业里的长期浸润。因此,不少情报分析人员都是黑客出身。

  国外把黑客分为“黑帽子”和“白帽子”,对网络安全漏洞的研究是双方的共同兴趣,不同的是,“白帽子”并不想借此进入黑产赚钱。因此,他们成为情报分析员,也是水到渠成。

  林伟的职业生涯就是起自黑客。最早,像几乎业内所有人一样,他做了个网站,然后“受攻击、反击,持续往复”,直至自己功夫练成。这是顶级黑客的必修课,如今也成为网络安防人员的必修课。

  事实上,一方面是因为黑客们对威胁情报分析有着先天优势,另一方面,随着各国在网络安全方面的法律建设日益完善,以及各大公司的重金招揽,黑客们转身成为网络安防员,这在近几年已经成为常见的现象。

  具备良好威胁情报分析能力的人却并不好找。360副总裁谭晓生告诉《瞭望东方周刊》,筛选这些人员是一项极难的工作——安全人员的思维方式与程序员不同,他们的思维要有跳跃和突破,当然,还有悟性。

  他们也需要经常参加业内大赛,积累经验,也积累名次与名气。不过,价值观仍然是最重要的标准:“对底线怎么看?对获得钱的手段怎么考虑?”

  360目前有中国最大的该系统的数据库,网络安全从业者们的数据资料被收纳其中,林伟们则负责监控黑客们的公开讨论,并从这些公开信息中发现黑客们的行动脉络,以便实现提前预警功能,也就是掌握威胁情报。


  美国的领先将被强化

  目前,美国已经成立了专门做政府和企业威胁信息共享的机构——网络安全和通信整合中心,进而又成立了网络威胁与情报整合中心,归属国家情报总监办公室,专门为美国政府和企业收集信息和分析信息。

  新的网络威胁情报集成中心旨在协调政府各机构之间的情报,以更好的对网络攻击作出回应。他们会系统地分析黑客团体,收集黑客们的数字“签名”,并与执法部门和情报机构共享威胁信息。

  而在以威胁情报引领网络安全的时代,美国因其黑客技术优势,将拥有更高的网络安全水平。

  黑客的鼻祖是美国人。在美国,黑客技术最初并不带有被批判的色彩。

  2011年,五角大楼将针对美国的一切“网络入侵行为”进行分级,将最高等级的网络入侵定义为“战争行为”。在此之前,美国很少对黑客“下重手”。曾多次入侵美国人造卫星控制系统的20岁黑客杰森.德克曼,在2002年2月仅被判入狱21个月外加罚金8.8万美元。

  本世纪初期,美国已经有专门培养黑客的学校。不过,在几乎所有的公开报道中,这些学校主要负责教会学生与黑客斗法,防范黑客攻击。学生们毕业后,通过极其严格的考试,会获得一份资格证书,进而进军安全行业。

  美国的强力机构也十分注重对信息安全领域人才的吸纳。此外,一些政府和私人安保机构甚至开始面向高中学生开放实习机会,着眼于向他们灌输兴趣并展示网络安全的就业前景与机会。

  此外,一些面向大学学历以下学生的网络安全培训活动,也在美国民间发展迅速。在信息安全领域的行业集会上,培训机构也向有意向的与会者提供信息安全培训。

  美国国家安全局更公开称“当涉及国家安全,没有什么可以替代一个专业的、才华横溢的网络团队,我们需要最好、最聪明的人,来帮助我们战胜对手。”

  因为美国黑客群体的基数大,技术先进,因此,某种程度上,美国网络威胁和情报整合中心进一步强化了美国在信息情报威胁领域的地位。


  联合防御

  不过,业内对于威胁情报的应用,始终存在一些争议。

  目前,企业和政府的配合走向常态化,行业内上下游的联合走向常态化,这些都成为推动网络安全升级的共识。

  但在现实中,不乏有用户要求其公司保留这些威胁情报作为公司的私有“财产”,以致于这些情报不能被供应商用于更广泛的商业用途。

  正是因此,威胁情报的信息共享机制在目前的条件下很难建立。

  且不说个人用户,即便是企业防护,在理论上都可能被攻破。一般来说,黑客获得攻击权限后,“分分钟”就可以取得企业的高价值数据,最快不超过一天,但受害企业站发现被攻击后,需要逐级汇报,响应非常缓慢,几天甚至几周时间才能发现数据泄漏。“盾和矛处于严重不平衡状态。”安全威胁情报推进联盟发起人金湘宇告诉《瞭望东方周刊》。

  “再牛的技术一样有漏洞,微软很牛、思科很牛,但一样有漏洞,无论是什么程序,一定会被入侵。”金湘宇说。

  因此,联合防御将是构建网络生态的主要趋势。

  而在没有国界的虚拟世界,这一点尤为重要。

  据腾讯研究院安全研究中心发布的《中国网络安全生态报告(2015)》显示:跨境联合犯罪、假设境外服务器、注册海外网站和针对境内目标是中国当前互联网安全领域面临的挑战,而境内90%以上的诈骗网站、钓鱼网站、赌博网站的服务器位于境外,通过境外服务器vpn跳转中国。

瞭望东方周刊 总第 707 期