2017網安全局態勢報告

編者按：網路空間安全近年來日漸成為公眾關注的焦點，中科院之聲特意邀請業內專家「大東」開設「大東話安全」專欄，為大家介紹網路空間安全的方方面面。

一、報告長啥樣？

大東：今年我們來聊《2017網安全局態勢報告》。每年年底，各家安全公司或研究機構都要對這一年的得失進行一定程度的總結。就好比對弈，要有收官的過程。

小白：對弈我知道，就是下圍棋嘛。

大東：……這麼理解也行。這種報告需要分門別類、條分縷析，多是基於本公司業務的，如果公司規模較大，在業內有比較高的話語權，還會針對整個安全行業的某個領域乃至全局做出行業業態報告。

小白：那麼科研院所呢？

大東：這正是我要說的，一些科研院所和智庫也會參與年度報告的制定和發布，只不過科研院所一般是非盈利性質的，所以在某種程度上會更客觀些，也會更偏重於戰略角度、側重於預測功能。

小白：明白了，那麼報告到底長啥樣呢？

大東：現在就給你看一張報告的圖。這個圖對2017年捕獲的 DDoS 攻擊情報進行了統計分析，顯示了2017年度全球 DDoS 攻擊情報的分布情況。

小白：暈暈的

大東：暈了嗎？再看下面這個圖。3月份爆出 Fastjson 的反序列化特性導致的遠程代碼執行，4月份則是 Jackson、Log4j2、Jenkins 的反序列化造成的遠程代碼執行，接著6月份流出了 Weblogic CVE-2017-3248 的利用代碼。稍微消停了一會，Struts2 又被安全研究人員盯上，爆出 Struts2-052，又是一個遠程代碼執行。在11月份，由於 Jackson 官方對漏洞不敏感，接著又被曝 CVE-2017-15095，又一個繞過。進入12月份，Fastjson 和 Jackson 相繼發布了幾個補丁修復那些黑名單的繞過；Weblogic XMLDecoder（CVE-2017-10352）的漏洞被廣泛應用於挖坑。由於很多漏洞都是遠程代碼執行，有的一個 HTTP POST 請求就能 getshell，所以備受黑客親睞。

二、黑客的段位

大東：說到黑客，我們來聊聊黑客的段位。黑客雖然不存在什麼評價標準，卻有特定的發展時期。這個基於時間的評價很大程度上反映了一個黑客的咖位。

小白：哦？

大東：網路上的壞人根據動機分為4個階段，依次為「白開心」、「淘黑金」、「純小偷」和「大玩家」。黑客的初階，叫做「白開心」。

小白：不錯，還跟我一個姓氏的。

大東：「白開心」就是一群狂歡型黑客，他們策劃實施攻擊行為，單純為了取悅自己的技術宅心靈，或者慰藉孤獨的靈魂。

小白：不錯，孤單是一個人的狂歡。

大東：如果攻擊成功，他們的內心就會得到極大的滿足，覺得學以致用就是在形容他自己。比如熊貓燒香的李俊，燒了一根火遍了大江南北的香，引無數英雄競燒香。當然，最後被繩之以法，身陷囹圄。

熊貓燒香

小白：趕快說說什麼叫「淘黑金」吧。

大東：你知道香菇病毒嗎？2017年5月，360互聯網安全中心發現全球多個國家和地區的機構及個人電腦遭受到了一款新型勒索軟體攻擊，並於國內率先發布緊急預警，外媒和多家安全公司將該病毒命名為「WanaCrypt0r」（直譯：「想哭勒索蠕蟲」）。常規的勒索病毒是一種趨利明顯的惡意程序，它會使用加密演算法加密受害者電腦內的重要文件，向受害者勒索贖金，除非受害者交出勒索贖金，否則加密文件無法被恢復，而新的「想哭勒索蠕蟲」尤其致命，它利用了竊取自美國國家安全局的黑客工具「 EternalBlue」（直譯：「永恆之藍」），實現了全球範圍內的快速傳播，在短時間內造成了巨大損失。

小白：嗯嗯，略知一二，貌似在「索」那期講過。

大東：類似勒索病毒這種攻擊形式，便是「淘黑金」們的最愛。「淘黑金」們就是一群網路的碰瓷客，喜歡到處敲詐勒索，擾亂社會治安。屢禁不止的電信詐騙、信用卡被盜、擼羊毛等也屬於這類範疇。他們每天的工作就是絞盡腦汁利用各種物理的、程序的漏洞找到些破綻，然後盯著這些紕漏制定攻擊策略，再由一些技術「淘黑金」編製程序運行實施碰瓷行為。

釣魚網站淘黑金

小白：哦哦，還真的是蠻邪惡的。

大東：不僅邪惡，而且令人頭疼，可以說是一個永遠有不法分子躍躍欲試的領域，他們覬覦著這些程序漏洞背後能夠給他們帶來收益的每一個機會，每一個漏洞在他們眼裡，似乎都是赤裸裸的金錢。你想啊，積沙成塔，縱使是小打小鬧地碰瓷，最後通過黑產牟利的數額也是蠻巨大的。

小白：那什麼叫做「純小偷」？

大東：「純小偷」和「淘黑金」在目的上有本質區別。「淘黑金」我們已經說過了，主要是企業行為，然後目標的肉雞主要是個人和企業，誰有錢就盯上誰。而「純小偷」們，玩得更大一些，自然也在違法犯罪的道路上走得更遠。

小白：怕怕~~

大東：「純小偷」玩得更大，這是指他們主要的攻擊目標是政府機密和商業機密，買家自然要出更高的價格去僱傭他們，而需要這些機密的買家們往往都是財大氣粗，一般成交一單就會抵得上「淘黑金」淘好幾百次的收入。殭屍網路，就是「純小偷」經常涉足的一種攻擊形式。

殭屍網路

小白：哇~~~植物大戰殭屍~~

大東：別羨慕，這可是犯罪行為。其實我們以前講的一期內容屬於「純小偷」，你猜猜是哪一篇？

小白：商業軍火，對不？

大東：猜對了。最後我來說一下「大玩家」。這個「大玩家」，就是舊時代網路安全最終發展階段。

小白：聽起來好酷。

大東：前面說過，很長一段時間內，最受關注的只有前三種壞人。而「震網」事件等陸續發生後，「大玩家」終於浮出水面。

小白：還能浮出水面？

大東：所謂的「大玩家」，就是國家級玩家。「大玩家」的攻擊能力是空前的，遠非那些小打小鬧的商業玩家可以望其項背，他們的動機、掌握的資源、選擇的目標等也和其他攻擊不同。那我考考你，赫赫有名的斯諾登稜鏡門事件，是否屬於「大玩家」範疇？

小白：你這麼問，肯定屬於啊！

大東：Bingo！

三、新階段，新安全

大東：當上面四個時代都已循環完畢，就開啟了網安的新階段——網安運輸。

小白：什麼叫做網安運輸？

大東：聽我娓娓道來。你說網路安全的載體是什麼？

小白：主要是互聯網，另外還有乙太網、物聯網等。

大東：對，網路安全的載體——互聯網正在發生著翻天覆地的變化，互聯網這幾年的發展勢頭離不開一個快字。

小白：那確實，我家的 WiFi 也提速了呢。

大東：除了快，目前的網路安全態勢正在向日趨複雜的方向轉化，伴隨著其他各行各業的飛速發展，互聯網這個平台正在凸顯其日趨重要的整合效應，他在聯動著其他行業發展的同時，也與其他行業越來越密不可分、融為一體。比如互聯網農業、互聯網醫療、互聯網教育等等，這些新興產業如雨後春筍般湧現，發展勢頭迅猛，儼然成為產業新銳。

小白：明白，互聯網農業，就是開著手機種地，對嗎？

大東：錯，是將農業生產的環節、渠道以互聯網為依託，打開農業流量入口，以網路帶動農業生產，以流量紅利彌補農業生產先天劣勢。互聯網和各行各業一起發展，網路安全就變得越來越複雜了，「互聯網+」融入了工業、農業等傳統行業，本來工業、農業沒有的問題，現在 plus 以後就有了新的問題。

小白：曉得了，買一送一。

大東：所以，現在需要複合型人才和新的專家系統，我國目前也在開展這個人才培養計劃，叫做金石計劃 GS （Gold Stone）。

小白：聽起來蠻不錯。

大東：這些新興產業出現了以後，攻擊形式也發生了轉變。傳統黑客用技術手段攻擊，現在社會工程學、刑事偵查學、運籌學等人文社會統計科學也擴充進了網路安全的攻防手段中，網路安全本身的內涵更加豐滿。於是網路安全的頂層設計也要重新進行規劃和部署，在這個頂層設計之下才能研製出來持續先進的網安系統。

小白：高大上啊~~

大東：但是網路安全光靠頂層設計和部署還是遠遠不夠的，技術人員焚膏繼晷的研究和管理人員宵衣旰食的設計更為重要。為了讓基層網安工作者更加直觀地認識和了解新的威脅和防護手段，網路攻防演練秀橫空出世。同時也需要匹配一些網路安全有關的類似軟體脆弱性分析等的安全服務。

小白：棒棒噠。

大東：新的安全理念和安全威脅引起了新一輪的攻防升級，需要新的解決方案，這種方案被稱之為嵌入式解決方案 IS（Inside Solution），類似於 Intel 提出的 Inside 模式。

小白：剛才您提的這些網路安全新舉措確實已經不僅限於以人為對象描述，那這些一股腦的東西感覺好複雜啊？

大東：是的，這些新的網安發展挑戰及解決方法其實是一個有機整體，為了更好地滿足各行業、各地區所面臨的前所未有的安全新挑戰，網安領域目前首要的事情是將這些安全理念傳播運輸給大家，把新的安全意識向大家進行傳播，讓大家真切體會到網路安全的重要性，因此對於這一理念網安領域專門把運輸這一關鍵階段具象定義為網安運輸機進行表述。

小白：哇，這個名字取得好棒，網安運輸機一說就能夠清楚明白目的，太牛啦。我知道，咱們國家的運輸機叫運20，咱們這個網安運輸機有名字嗎？

大東：當然有啦，這款新型網安運輸機叫做 insplane，簡稱 IPX 。