《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)從保護對象、職責劃分到相對具體的工作方法都提出了明確的要求。面對復雜多變的網絡安全環境,《條例》的發布對關鍵信息基礎設施行業的高級威脅對抗,有著非常積極的影響。
一、APT 攻擊日益加劇
網絡空間是物理空間的延續,而關鍵信息基礎設施是物理空間的核心載體,關基系統的可用性、完整性、保密性對國家安全至關重要。當前,境外具有國家背景的高級威脅行為體(APT 組織)高度活躍,持續針對我國開展網絡攻擊,主要目標就是包括金融、通信、交通、能源、政務網絡在內的關鍵信息基礎設施。這些高級威脅行為體持續侵入控制我方重要系統,竊取敏感信息,甚至在某些時刻進行破壞行為。
近年來,全球多個國家的關鍵信息基礎設施都遭遇了嚴重的網絡攻擊事件,如英國電網重要管理機構 Elexon 遭到網絡攻擊,內部 IT 網絡受到影響、關鍵通信功能喪失;印度孟買遭遇大范圍斷電,導致鐵路、股票交易所、醫療設施以及其他大部分關鍵基礎設施“癱瘓”;2021 年,美國最大的燃油管道運營商、全球最大的肉類加工企業均因黑客攻擊在相當一段時間內運作凍結。這都給我國的關鍵信息基礎設施安全保護工作敲響警鐘。
二、《條例》多措并舉做好高級威脅對抗
境外高級威脅行為體的攻擊目標覆蓋了連接互聯網的各類設備乃至整個網絡空間,總體上形成從單機到網絡、從硬件到軟件、從外網到內網的全網覆蓋,并且攻擊技術先進、手法復雜,廣泛運用人工智能、大數據等先進技術,同時采取漏洞攻擊、誘騙攻擊、“中間人”攻擊等多種技術方式和手法,防護十分困難。對此,《條例》在第四章提出了相當具體的要求。
建立網絡安全信息共享機制。《條例》第二十三條指出:國家網信部門統籌協調有關部門建立網絡安全信息共享機制,及時匯總、研判、共享、發布網絡安全威脅、漏洞、事件等信息,促進有關部門、保護工作部門、運營者以及網絡安全服務機構等之間的網絡安全信息共享。
威脅情報已經被證明是發現威脅活動并觸發應急響應的核心手段之一,對威脅戰略情報、作戰層面的習慣模型以及戰術層面的數據進行有效共享,對于提升整體防護水平非常關鍵。所以,應大力推進主管部門、大型企業、互聯網企業、信息安全企業、科研院所、專家團隊之間的情報共享,進而協同聯動。國內網絡安全相關主管部門也一直在完善相關標準,搭建平臺,推動各相關方的威脅情報共享,但信息共享的深度和廣度還有很大的發展空間。
建立關鍵信息基礎設施預警制度。《條例》第二十四條指出:保護工作部門應當建立健全本行業、本領域的關鍵信息基礎設施網絡安全監測預警制度,及時掌握本行業、本領域關鍵信息基礎設施運行狀況、安全態勢,預警通報網絡安全威脅和隱患,指導做好安全防范工作。
高級威脅攻擊往往經過長期的準備與策劃,攻擊者通常在目標網絡中潛伏幾個月甚至幾年。為此,相關部門應為態勢感知做好制度保障,明確通報響應機制,責任到人,落實技術手段,積極實施全天候高級威脅攻擊監控,實現對關鍵信息基礎設施進行網絡安全事件實時監測、及時通報預警、即時指揮調度進行處置。
協助和指導運營者做好網絡安全事件應急演練。《條例》第二十五條指出:保護工作部門應當按照國家網絡安全事件應急預案的要求,建立健全本行業、本領域的網絡安全事件應急預案,定期組織應急演練。
高級攻擊具有危害大、難以防御的特點,一旦關鍵信息基礎設施被入侵,很可能會危害國家安全和社會穩定,及時的應急響應對于降低網絡攻擊的危害就顯得極為重要。
安全事件發生后的應急響應工作大致分為 6 個階段:準備、監測、遏制、根除、恢復、總結復盤,對每個階段不僅要有預案,更重要的是驗證預案有效性、發現問題并持續優化。一個優秀的方案應從積極防御的立足點出發,事前通過主動地多方演練發現安全隱患,對過程進行深入復盤,不僅可以找到自己的薄弱點,同時也為應急預案的制訂提供關鍵素材。
指導運營者完善常態化執行安全措施。《條例》第二十六條指出:保護工作部門應當定期組織開展本行業、本領域關鍵信息基礎設施網絡安全檢查檢測,指導監督運營者及時整改安全隱患、完善安全措施。
由于高級威脅攻擊手法隱秘且多變,一旦入侵運營者很難及時發現,而且新安全漏洞和攻擊手法層出不窮,網絡攻防是一個永遠止境的過程,因此,保護工作部門應定期開關鍵信息基礎設施建設的網絡安全檢查工作。并針對發現的問題組織專家組制定合理的解決方案,指導并監督運營者及時整改完善。
國家有關部門提供技術支持和協調。《條例》第二十九條指出,在關鍵信息基礎設施安全保護工作中,國家網信部門和國務院電信主管部門、國務院公安部門等應當根據保護工作部門的需要,及時提供技術支持和協助。
對于高級威脅的檢測、分析和取證往往需要多維度的數據和技術能力支持,任何一方都無法僅通過自有的數據、專家團隊和軟硬件能力對威脅的全貌進行高精度的畫像,所以需要國家網信部門、公安部門動用行政資源進行協調,從各包括政府機構、網絡運營商及各類擁有大數據的公司在內的組織獲取數據,整合民間安全廠商在內的技術能力,實現對威脅的全面分析與遏制。
加強軍民融合。《條例》第三十八條指出:國家加強網絡安全軍民融合,軍地協同保護關鍵信息基礎設施安全。
軍民融合是國家發展國防科技工業的重要策略,軍隊是保障國家安全的基石,長期以來積累了大量的技術,執行能力強,一直都是關基設施防護的核心力量之一。民間安全廠商的日常攻防對抗的涉及面廣,機制靈活并有相當的經驗和數據技術儲備。軍民融合,可以實現強強聯合,在高級威脅對抗領域實現一加一大于二的效果。
三、基于威脅情報建設高級威脅對抗體系
根據奇安信威脅情報中心的統計,2020 年針對我國重點單位的 APT 攻擊頻率明顯上升。其中,我國政府、醫療以及國防機構是國外 APT 組織竊密攻擊的重要目標。面對上述嚴峻情況,各單位(企業)的威脅情報中心可以在以下幾方面發揮更大的作用。
首先,積極響應投入威脅情報共享。支持國家建立威脅情報共享平臺,利用現有威脅情報檢測平臺,與政府機構、核心基礎設施單位、友商部門積極配合,充分運用云計算、大數據、人工智能、物聯網等新一代信息技術,加強威脅情報共享,為網絡安全威脅動態感知、預警分析、智能處置提供支持,實現從被動防御到主動防御的轉變,逐步建成關鍵信息基礎設施大安全生態。
例如,2020 年奇安信推出了“TI INSIDE” 計劃,將奇安信積累的威脅情報能力以軟件開發工具包(SDK)的方式向生態合作伙伴和客戶開放,推動威脅情報共享,降低威脅情報應用的門檻。
其次,提升 APT 監測能力。積極參與國家關鍵信息基礎設施全網、全流量的流量實時監控,做好全網、全主機的系統監控。加強對高隱匿性攻擊行動的發現能力,完善自身和協助有關部門建立多維數據采集能力,為安全事件檢測、事件捕獵、調查分析,并發現、定位、溯源安全事件創造條件。
最后,加強 APT 分析能力。建設威脅分析團隊,針對全網 APT 威脅情報系統并結合現有經驗,全面地分析攻擊者的攻擊意圖、技術與過程,實現對網絡攻擊的誘捕、溯源、干擾和阻斷等多方面防御。
