【环球时报-环球网报道特约记者 袁红】26日,武汉市应急管理局地震监测中心向警方通报,该中心发现地震速报前端采集点部分网络设备数据被植入后门程序。 该局江汉分局立即立案调查,初步认定该事件系境外黑客组织和具有政府背景的不法分子发起的网络攻击。
这起网络攻击案件的目的是什么,有哪些新进展? 被攻击单位从“被动”释放到“主动”释放了什么样的信息? 对此,《环球时报》独家采访了360集团创始人周鸿祎。 他表示,西部理工大学和武汉应急管理局都敢于正视国家级黑客攻击,这为发现和防范大规模国家级网络攻击创造了重要机遇。 机遇意义重大,值得肯定。
环球时报记者:关于武汉市应急管理局地震监测中心遇袭事件,国家计算机病毒应急中心与360公司组成的联合调查组是否有新发现?
周鸿祎:目前,国家计算机病毒应急中心和360的专家已前往武汉取证。 初步证据显示,针对武汉地震监测中心的网络攻击目的是窃取地质数据。 地质信息与作战地形密切相关,一旦被窃取并与军事活动联系起来,就会后患无穷。
环球时报记者:我们注意到,去年西北工业大学和武汉市应急管理局地震监测中心均向外界发布“公开声明”称遭受境外网络攻击,并向公安局报案。 您如何评价受攻击单位“主动”释放的处理方式?
周鸿祎:毫无疑问,这种行为值得高度认可。 面对国家级APT组织的攻击,政府、企业、安全厂商、组织等各方需要合作参与,形成强大的应对合力。 但在实际工作中,由于不少涉及单位“害怕承担责任”,APT调查面临巨大阻力,导致APT调查分析不全面、不全面,这对国家应对APT攻击极为不利。
因此,无论是此前的西工大学事件,还是武汉应急管理局事件,敢于正视国家级黑客攻击的行动,都为我们发现和防范大规模国家级网络攻击创造了重要机遇。 。 通过全面披露境外网络攻击事件,无论是维护国家网络空间的国家利益,还是确保全球网络空间的和平与安全,都具有重要意义,都值得肯定和借鉴。
环球时报:这种“害怕承担责任”带来了什么样的阻力?
周鸿祎:首先是“门难入”。 奇虎360可以利用全网的安全大数据来定位受到APT攻击的具体受害单位,但在挨家挨户排查时往往会以“没有官方授权”为由将其拒之门外。 二是“不合作”。 受害单位因各种原因未提供调查所需的安全日志和网络数据。 三是“不承认”,拒绝承认被APT攻击的事实,甚至可能删除相关日志记录,导致APT攻击分析取证的重要线索丢失。
环球时报:目前国家级APT组织针对我国关键基础设施发起网络攻击有哪些特点?
周鸿祎:国家级APT组织经常对中国政府、行业龙头、高校、医疗机构、科研单位等实施网络攻击,以达到窃取数据、情报、破坏等多重目的。 最大的挑战是“隐形”。
APT攻击有六个特点: 1、攻击者通常是专业黑客组织或拥有国家级能力和资源的国家级网络力量; 2、未知安全漏洞等攻击手段普遍使用,难以防御; 3、攻击是一个连续的过程,以网络上的多个节点为跳板,逐层渗透,形成很长的攻击链; 4、潜伏渗透时间长,潜伏时间长达十年以上,隐蔽性强; 5、攻击工具武器化,360在对西北工业大学网络攻击行动的调查过程中发现,NSA先后使用了41种特种网络攻击武器装备; 6、网络攻击行为呈现自动化、系统化、智能化特点,多种攻击手段相互呼应、环环相扣。
环球时报记者:网络空间正在演变为国际博弈的主战场,特别是在俄乌冲突中,网络战已从暗处走向前台,俄罗斯和乌克兰都遭受了持续、系统性的网络攻击。 请问网络战有什么特点?
周鸿祎:当前,国际形势复杂动荡。 随着大国博弈的加剧,网络空间军事化进程也显着加速。 网络战正在被越来越多的国家或势力作为攻击别国的“武器”。 威胁更具致命性和破坏性。 在我们多年对网络战的跟踪研究中我们可以发现,与其他战争方式不同,网络战无论战时还是平时都可以随时发动攻击,成为战争的首选,成本低廉。 ,效果好,强度可控,我都不知道找谁来反击了。
环球时报:针对网络战的特点,我国政企单位的自卫能力是否充足?
周鸿祎:城市、企业、政府作为数字化的核心场景,面临着内部和外部的挑战,风险遍及所有数字化场景。 由于APT攻击难以发现,传统的“产品堆砌、无视运营和专家”的网络安全防护方式无法有效拦截。 他们只能靠追求“零事故”来欺骗自己和他人。 于是,“没有不可攻击的网络”、“敌人已在我们身边”的事实就无法被看到、无法防范、无法管理。
环球时报:面对强大的攻击和目前一些无效的方法,如何高效构建实用的安全防御体系并快速获得安全能力?
周鸿祎:首先我们需要构建安全大数据,建立全网安全事件档案,帮助用户做好威胁和攻击的准备。 安全大数据、情报和知识是寻找网络攻击线索的基础和关键。 政企单位需要建立全网动态安全事件档案,以更高的全局视角“看”行业威胁情报,掌握全网安全态势。 其中,终端数据尤为重要。 80%的APT攻击针对终端环境,终端是发现威胁的“眼睛”。
其次,要提前部署防御,快速及时发现安全线索,实现安全威胁早发现、早处置、早止损。
第三,需要人工智能技术提高自动化、智能化水平。 为了进一步提高效率,需要应用人工智能技术提高自动化分析水平,实现海量安全事件的自动化分析、筛查、关联,快速发现攻击线索并采取自动响应,提高安全防御效率。
四是需要具有丰富安全作战对抗经验的专家。 我们需要组建一支由漏洞挖掘、威胁检测、情报分析等各个相关专业组成的多层次专家团队。 处理。
第五,实现大数据分析、指挥控制和专家协同作业,需要具有较强整体能力的安全运营平台来支撑安全运营生命周期的全过程。 通过自动化响应处置与安全专家判断相结合,建立快速响应处置能力,搭建响应处置平台,接入安全分析结果,联动安全设备,在安全事件发生后及时掌控攻击态势、恢复受损系统,实现快速响应。
环球时报记者:一方面,网络空间已成为大国竞争和地缘政治对抗的主战场,网络安全已从特定领域问题演变为事关全局的重大问题。 另一方面,我国政企单位也存在一些不符合时代发展的理念,比如你提到的“不合作”、“不承认”做法。 面对这样的矛盾,您有什么建议吗?
周鸿祎:一是国家有关部门建立了APT攻击豁免机制生活网报道,对积极提交重要线索的人员进行了奖励。 APT攻击不同于一般的网络安全事件,已经超出了政企单位的安全防护能力。 因此,政府和企业单位不应被视为责任方,而应被视为受害者。 建议有关部门明确规定,政企单位在符合国家网络安全法律法规相关要求的前提下,遭受APT攻击时,其网络安全不承担责任。 积极引导。
二是引导重点基础设施单位、重要敏感单位和有能力的网络安全企业积极配合开展APT调查。 建议有关部门建立APT排查工作机制,引导重点基础设施单位、重要敏感单位(党政、国防、军工、前沿科研单位等)积极与有能力的网络配合安全企业要排查自身的APT攻击线索和安全风险。 将发现的APT攻击线索及时报告主管部门进行分析研判,并进行全网清查,确保隐藏的APT被及时、全面、深入清除,扭转“恶意攻击”的被动局面。敌人已经和我们在一起了”。
三是集中民防力量,形成民间“白帽黑客”群体,吸纳安全人才。 网络安全的本质是人与人的对抗。 购买和部署一批网络安全设备、安装一批软件并不能解决问题。 对抗不可能完全自动化。 只有安全专家才能将攻击知识系统化。 消化、理解并转化为有针对性的对策。 因此,建议相关组织牵头组建大的安全社区,召集有能力的安全专家在平台上交流技术经验、分享知识和干货,开展实战演练,共同提升能力,为填补我国相关人才缺口,备战“网络空间热战”疫情期间人才短缺的需要。 此外,还建议国家相关部门支持安全企业拓展安全服务等业务生态,扩大安全攻防产业就业规模,吸纳和留住更多人才。
本网站转载其他媒体之作品,意在为公众提供免费服务。如权利所有人拒绝在本网站发布其作品,可与本网站联系,本网站将视情况予以撤除。
Copyright © 2017-2018