久久99国产精品尤物-国产高清色播视频免费看-男生肌肌往女人桶爽视频-精品国产-91PORNY九色|www.jqdstudio.net

|  站內搜索:
網站首頁 > 國策建言 > 安全戰略 > 閱讀信息
牟承晉:?“太陽風”安全事件揭示了什么 ——牛年網信安全學習與思考之一
點擊:  作者:牟承晉    來源:昆侖策網【原創】  發布時間:2021-02-19 09:48:46

 

1.webp (3).jpg 

 
★ 美國深度審視“太陽風”安全事件

2021年2月8日,中國農歷辛丑牛年春節到來前夕,美國網信安全及基礎設施安全局(CISA)發布報告(AR21-039A),進一步深度審視“太陽風”(Solar Winds)網絡管理軟件和“獵戶座”(Orion)平臺,被植入后門和惡意軟件以及遠程控制木馬的詳細取證和技術分析。明確指出,“avsvmcloud.com”是“太陽風”安全事件中惡意注冊的“指揮與控制”(C2)域名,并進一步發現,在該惡意域名下,通過域名生成算法(DGA)設立的37,534 個子域名:
1)是用于誘導誤導客戶的虛假站點;

2)以域名“別名”(CNAME)的轉換,劫持“太陽風”軟件客戶用以推送已移植入后門的軟件;

3)由此,主要針對“太陽風”軟件的動態鏈接庫“Solar Winds.Orion.Core.BusinessLayer.dll”,遞進和持續地滲透目標客戶系統。

惡意域名“avsvmcloud.com”已交由微軟公司控制,以便其用于對受到入侵影響的“太陽風”軟件客戶,進一步關聯分析和監測觀察。

值得注意的是,當前發現對“太陽風”軟件的入侵行為和攻擊行動的時序時間到了2021年1月11日。至少說明,“太陽風”軟件入侵行為和攻擊行動的猖狂,并沒有因2020年12月美國官方公開發出的警報而有所收斂。要么是巨大的利益價值使然,要么是深厚的背景有恃無恐,因而入侵和攻擊毫無顧忌。

上述CISA的專項分析報告再一次警示:
 

★ 安全數據是產業鏈的發展基礎及供應鏈的生態環境


供應鏈與產業鏈,相互關聯、相互依存。

一般而言,產業鏈作為供給側,注重宏觀、戰略、定性等方面(趨向國際化)的研究、實踐和應用;而供應鏈作為運行側,則更注重微觀操作、運行管理、定量等方面(趨于全球化)的研究、實踐和應用。

在數字化時代,“數據”是連接產業鏈(宏觀)與供應鏈(微觀)之間的通道。

盡管在所見的安全事件警報、警示和報告中,主要是針對軟硬件中的后門或漏洞及其入侵攻擊的戰術、技術和過程(TTP),但是目前(大規模)安全事件的后果,是數據和情報被竊取。因而,美國、歐洲對信息和通信技術及服務(簡稱ICTS)供應鏈的安全風險管理,強調并實施兩個并行的層面:政府職能及作用(監管和監督),與行業義務及責任(創新和發展)。

例如,在“太陽風”安全事件中,由美國國家安全委員會統一指導和協調政府及社會資源,追蹤溯源、定損止損、監督整改。

【筆者注:對標這樣高度集中的權威的統一指導和協調體制,我國存在的缺位和短板,顯而易見。】

另一方面,美國、歐洲(以及俄羅斯)對敏感和重要數據的跨境流通及境外存儲,持續不斷地完善和制定相應的法律條款和政令規定,以及實行常態的嚴格監管。因而,在已知的安全事件中,數據的泄漏能夠被快速定位,且能夠最大限度地避免類似問題重復發生,提高了對攻擊者再次入侵的復雜性、難度和代價(即形成對入侵攻擊不斷增強的“威懾”力)。

例如,在“太陽風”安全事件中,美國商務部發現其電子郵箱被入侵,立即通報,并請求協查。

【筆者注:對應這樣的快速靈活反應與配合機制,我國存在的缺失和差距,知彼知己。】

從安全事件驅動的角度,在網信空間領域,涉及國家核心、敏感、重要的關鍵數據(統稱“安全數據”),是產業鏈的發展基礎和供應鏈的生態環境。

從參考和對標的觀點,美國從2010年開始對安全數據作了系統性頂層設計和體系性規劃,在10年中逐步落實了安全數據的總體建設和體系轉型。其中包括:
● 明確:安全數據是經濟發展的競爭環境,是保持優勢的斗爭戰場;

● 制定:數字產品和數據服務的供應鏈安全監管暫行規則以及具體措施;

● 實施:可信的安全數據(供應鏈)認證模型和評估模板以及準入審查和備案機制。

近10年中,俄羅斯在關鍵行業和領域陸續替換國外產品和數據服務,經過多次國內國際數據流量比例優化和“斷網”測試,使其國內數據流量和所必需跨境的數據流量分布更加合理化。

【筆者注:他山之石,可以攻玉。以史為鑒,可知興替。】

顯然,堅持統籌發展與安全,在重視產業鏈發展和加強供應鏈安全的同時,強化對“安全數據”的基本保障,非常必要,不可或缺。

【筆者注:堅持總體國家安全觀。我國在網信安全領域,亟需加強指揮和管理的體系建設,以指導高質量地提升攻防一體化能力。】
 
★ 供應鏈攻擊的新型方式

1)獲得重金獎勵的安全研究人員比爾桑(Alex Birsan),日前發表“一種新型的供應鏈攻擊”(a novel supplychain attack)重磅報告披露,其通過供應鏈入侵了微軟、蘋果等35 家知名的高科技公司,運用被稱為“替換”式攻擊(substitution attack),或利用供應鏈“依賴關系混亂”(dependency confusion)的網絡入侵攻擊,是威脅供應鏈安全(或供應鏈安全的“地基”)差異性或不均勻“沉降”的根源。

● 該報告指出:在一個系統構建或軟件開發的過程中,不同程度地從公共開源庫中獲取一些開放的協議棧和軟件程序包,形成某些關聯和依賴關系,不失一般性;同時,也為攻擊者提供了機會:將植入惡意代碼的軟件版本上載到公共下載源,從而導致客戶端自動下載偽造的“最新”軟件版本,而無需客戶端的開發人員采取任何措施。

● 該報告強調:從開發人員編程中存在的一次性錯誤,到構建內部或基于云服務器的不當配置,再到易受攻擊的系統開發流水線,其中,入侵攻擊一些頂級科技公司(和目標)網絡的常用基本方法和最為顯著的入侵手段是:竊取內部軟件包的有效文件名、獲取可以遠程執行權、在目標系統構建和軟件開發過程中植入后門。

● 該報告建議:
√ 從一個(而不是多個)專用的開放源引用軟件(源碼);

√ 設置可控的應用范圍和域名空間,以保護專用軟件包;

√ 啟用客戶端的驗證功能,例如,軟件的版本鎖定以及一致性驗證。

● 該報告舉例:在“內網”中,常規的網絡數據流,往往被防火墻和入侵檢測(IDS)等網關設備“隔離”,不在公共網絡傳輸。但是,域名系統DNS卻存在可以被利用的隱蔽隧道(Covert Tunnels), 并成為入侵指揮與控制(C2)的載體。

2)1月22日,微軟安全部門發布研究報告,深度分析對“太陽風”軟件攻擊者遞進持續性戰役行動的戰術、技術和過程(簡稱TTP);證明這是近十年來最復雜和持久的入侵攻擊;表明在安全事件背后的攻擊者是熟練的戰役策劃人員,他們精心策劃和實施攻擊,在保持持久性的同時持續遞進滲透;揭示供應鏈攻擊中的指揮與控制(C2),以及在線專業手動攻擊的能力和趨勢,在一定程度上顛覆了網信安全防御的傳統認知和方法。

【筆者注:安全的科學是證偽的過程;傳統認知和方法的顛覆,是開啟通天入地的自主創新道路。】

其中,DNS“信標”(Beacon)滲透方式被黑客所采用,用于通知被入侵的設備進入休眠狀態,或連接指揮與控制的域名服務器,下載任務以及獲取如何執行任務的指令;與其他入侵攻擊工具結合,形成對“太陽風”軟件及其關聯系統的遞進和持續性的供應鏈攻擊,竊取了大量數據(和情報)。

微軟的分析報告,印證了供應鏈攻擊的新型方式。但是,DNS“信標”僅僅是供應鏈攻擊的新型方式中“指揮與控制”的環節,而域名系統(DNS)本身的ICTS供應鏈,也存在“篩子型”漏洞,以及安全差異性“沉降”的潛在可能。

因此,重新全面、系統性地認識和梳理(或重塑)ICTS的供應鏈,對于加強國家網絡安全的風險管理,高質量地提升國家安全數據治理能力,至關重要,至關緊迫。

【筆者注:至關構建集政治安全、國土安全、軍事安全、經濟安全、文化安全、社會安全、科技安全、網絡安全、信息安全、生態安全、資源安全、生物安全、核安全等于一體的總體國家安全體系。】
 

★ 網絡強國必須不斷認識與堅決克制安全風險


網信產業已經成為社會發展以及數字經濟的主要動力。

但是,我國網信產業的發展基礎源于美國,對美制的數字產品以及數據服務的供應鏈,存在顯著的依賴性和思維慣性。

尤其,隨著大數據和人工智能的發展,ICTS 供應鏈形成為由物質(有形)和非物質(無形)組合的一個動態隱形、復雜關聯(包括被“政治化”)的全球化產業生態,由此導致安全數據的風險態勢更加日趨嚴峻。

安全數據,已被美國作為在網絡信息空間的斗爭手段(武器化及武器系統)。但是,我國對此風險意識明顯滯后,相關的法律銜接、相應的執行措施都存在明顯短板和差距。

在前所未有的斗爭態勢下,巨大的已知和未知風險,以及嚴重的安全威脅和潛在危機,或聚集或分散,或明或暗、或動態或靜態地潛藏隱匿和體現在我們所嚴重依賴的ICTS供應鏈、產業鏈的各個環節、各個方面。

堅定不移建設網絡強國,我們必須深刻、明確地認識到:

1)安全數據的保障,具體是風險管理、風險評估和風險應對的能力,表現為統一的指揮機構和體系以及對專業術語和概念的定義,以確保步調一致,增強凝聚力。

【筆者注:缺乏統一指揮和管理以及統一的術語定義,致使潛在問題被不同程度地經常性混淆或割裂,行動必然脫節、響應難免遲緩。】

2)隨著數字技術的發展,衍生形形色色的數據服務,以及由此形成的(隱性)供應鏈,被普遍地誤用或濫用。

由于缺失統一規范和監管,導致大量國家關鍵信息基礎設施安全數據被無類級、無差別地外包托管,不必要地跨境傳輸和境外存儲,致使安全數據大量泄露。

【筆者注:大量數據不斷被泄露、被交易,卻難以定位和溯源以及評估和恢復,根源當在于此,而本質是概念和理念自上而下地滯后。】

3)國家關鍵信息基礎設施的各行業(包括黨政機關),對安全數據偏重于應用,長期嚴重疏忽甚至放棄運籌的控制權和主導權,長期嚴重疏忽甚至放棄對數據服務供應鏈安全的風險監管;長期嚴重疏忽甚至放棄“事件驅動”明確的統一指導和引導,致使無法判斷被入侵攻擊的網絡目標、程度和范圍。

【筆者注:長期不能“吃一塹、長一智”,就不可能有“失敗是成功之母”,不可能有自主創新,只能持續地受制于人、作繭自縛、被動挨打。】

作者系昆侖策研究院高級研究員、中國移動通信聯合會國際戰略研究中心主任、浙江省北斗未來網際網絡空間研究院首席研究員。來源:昆侖策網【原創】

 

【本公眾號所編發文章歡迎轉載,為尊重和維護原創權利,請轉載時務必注明原創作者、來源網站和公眾號。閱讀更多文章,請點擊微信號最后左下角“閱讀原文”】

 

 

【昆侖策研究院】作為綜合性戰略研究和咨詢服務機構,遵循國家憲法和法律,秉持對國家、對社會、對客戶負責,講真話、講實話的信條,追崇研究價值的客觀性、公正性,旨在聚賢才、集民智、析實情、獻明策,為實現中華民族偉大復興的“中國夢”而奮斗。歡迎您積極參與和投稿。

電子郵箱:gy121302@163.com

更多文章請看《昆侖策網》,網址:

http://www.kunlunce.cn

http://www.jqdstudio.net

責任編輯:紅星
特別申明:

1、本文只代表作者個人觀點,不代表本站觀點,僅供大家學習參考;

2、本站屬于非營利性網站,如涉及版權和名譽問題,請及時與本站聯系,我們將及時做相應處理;

3、歡迎各位網友光臨閱覽,文明上網,依法守規,IP可查。

熱點排行
  • 一周
  • 一月
  • 半年

    • 建言點贊
  • 一周
  • 一月
  • 半年

    • 圖片新聞

    友情鏈接
  • 186導航
  • 紅旗文稿
  • 人大經濟論壇
  • 光明網
  • 宣講家網
  • 三沙新聞網
  • 西征網
  • 四月網
  • 法律知識大全
  • 法律法規文庫
  • 最高人民法院
  • 最高人民檢察院
  • 中央紀委監察部
  • 共產黨新聞網
  • 新華網
  • 央視網
  • 中國政府網
  • 中國新聞網
  • 全國政協網
  • 全國社科辦
  • 全國人大網
  • 中國軍網
  • 中國社會科學網
  • 人民日報
  • 求是理論網
  • 人民網
    • 備案/許可證編號:京ICP備15015626號-1 昆侖策研究院 版權所有 舉報郵箱:kunlunce@yeah.net
    攜趣HTTP代理服務器