接上篇《五大網(wǎng)絡(luò)空間攻擊威脅及應(yīng)對(duì)策略(上)》

• 有效應(yīng)對(duì)網(wǎng)絡(luò)空間五大攻擊威脅，需要從網(wǎng)絡(luò)攻擊威脅模型、網(wǎng)絡(luò)攻擊能力評(píng)估、網(wǎng)絡(luò)目標(biāo)風(fēng)險(xiǎn)評(píng)估三個(gè)方面進(jìn)行科學(xué)分析評(píng)估。
• 網(wǎng)絡(luò)空間領(lǐng)域已進(jìn)入國家力量主導(dǎo)的網(wǎng)絡(luò)對(duì)抗時(shí)代，需要多方參與共同應(yīng)對(duì)：從國家層面，要建設(shè)國家級(jí)防御體系;從企業(yè)層面，要部署企業(yè)級(jí)防御框架;從人才方面，要培養(yǎng)通用型安全人才。

本文通過對(duì)網(wǎng)絡(luò)攻擊案例的梳理，歸納整理當(dāng)前面臨的五大網(wǎng)絡(luò)空間攻擊威脅，并提出相關(guān)應(yīng)對(duì)策略，以期在未來的網(wǎng)絡(luò)空間攻防對(duì)抗中獲得主動(dòng)。此前我們發(fā)布了文章的第一部分，本次主要分享文章第二部分網(wǎng)絡(luò)空間攻擊威脅分析評(píng)估和第三部分網(wǎng)絡(luò)空間攻擊威脅應(yīng)對(duì)策略。

二、網(wǎng)絡(luò)空間攻擊威脅分析評(píng)估

五大網(wǎng)絡(luò)空間攻擊威脅行為往往以目標(biāo)為導(dǎo)向、以手段為支撐。有效應(yīng)對(duì)這些攻擊威脅，需要進(jìn)行科學(xué)分析評(píng)估。

（一）網(wǎng)絡(luò)攻擊威脅模型

當(dāng)前面臨的五大網(wǎng)絡(luò)空間攻擊威脅不是相互割裂的，往往呈現(xiàn)相關(guān)交織融合態(tài)勢(shì)，比如針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)空間系統(tǒng)攻擊往往伴隨著針對(duì)特定網(wǎng)絡(luò)目標(biāo)的網(wǎng)絡(luò)空間單點(diǎn)攻擊行為，網(wǎng)絡(luò)空間聯(lián)合攻擊也需要網(wǎng)絡(luò)空間體系攻擊的配合，然而無論哪種攻擊威脅必然有整體或部分行動(dòng)發(fā)生于網(wǎng)絡(luò)空間，因此在網(wǎng)絡(luò)空間對(duì)攻擊威脅進(jìn)行建模分析十分必要。

當(dāng)前網(wǎng)絡(luò)攻擊威脅模型往往以攻擊行為溯源為主要目標(biāo)，以攻擊過程建模為主要方法，通過鉆石模型和攻擊殺傷鏈等模型分析描繪APT組織等攻擊行為。但是，這些模型普遍缺乏對(duì)攻擊能力的評(píng)價(jià)和目標(biāo)風(fēng)險(xiǎn)的評(píng)估，導(dǎo)致在安全防護(hù)建設(shè)過程缺乏可以信賴的客觀依據(jù)。

網(wǎng)絡(luò)空間攻擊威脅模型通過網(wǎng)絡(luò)資產(chǎn)、攻擊手法和攻擊場景三個(gè)要素來進(jìn)行刻畫。

圖18 三維網(wǎng)絡(luò)空間攻擊模型

網(wǎng)絡(luò)資產(chǎn)主要包含網(wǎng)絡(luò)設(shè)備、服務(wù)器、終端、主機(jī)、工控設(shè)備、業(yè)務(wù)系統(tǒng)等一切可以被攻擊資產(chǎn)。

攻擊場景主要包括互聯(lián)網(wǎng)、DMZ、辦公網(wǎng)、業(yè)務(wù)網(wǎng)等組網(wǎng)方式、防護(hù)手段、業(yè)務(wù)用途不同的網(wǎng)絡(luò)環(huán)境。

攻擊手法主要包括目標(biāo)掃描、目標(biāo)突破、目標(biāo)控制、信息獲取、目標(biāo)癱瘓等各個(gè)攻擊環(huán)節(jié)。

（二）網(wǎng)絡(luò)攻擊能力評(píng)估

網(wǎng)絡(luò)攻擊能力反映了達(dá)成網(wǎng)絡(luò)攻擊目標(biāo)可能性量化評(píng)估標(biāo)準(zhǔn)，攻擊能力量化評(píng)估主要分為二維攻擊能力評(píng)估和三維攻擊能力評(píng)估兩種情形。

1. 二維攻擊能力評(píng)估

二維攻擊能力評(píng)估主要反映在同一攻擊場景下的攻擊能力，主要通過給攻擊手法賦予不同權(quán)重和場景內(nèi)網(wǎng)絡(luò)資產(chǎn)覆蓋類型占比計(jì)算得出，具體公式如圖所示。

圖19 二維網(wǎng)絡(luò)空間攻擊能力評(píng)估

二維攻擊能力評(píng)分計(jì)算公式：

二維攻擊能力評(píng)估得分可以衡量攻擊方網(wǎng)絡(luò)資產(chǎn)類型攻擊技術(shù)儲(chǔ)備情況和攻擊經(jīng)驗(yàn)積累情況等。絕大多數(shù)APT組織均可通過二維攻擊能力評(píng)分進(jìn)行評(píng)估。

2. 三維攻擊能力評(píng)估

三維攻擊能力評(píng)估主要反映在不同攻擊場景下的攻擊能力，主要在二維攻擊能力評(píng)估的基礎(chǔ)上，通過給不同攻擊場景賦予不同權(quán)重計(jì)算得出，具體公式如圖所示。

圖20 三維網(wǎng)絡(luò)空間攻擊能力評(píng)估

三維攻擊能力評(píng)分計(jì)算公式：

三維攻擊能力評(píng)估得分可以衡量攻擊方跨網(wǎng)跨域不同場景的攻擊能力和攻擊路徑維持情況等。國家級(jí)攻擊組織通過三維攻擊能力評(píng)分進(jìn)行評(píng)估。

3. 攻擊能力評(píng)估示例

(1) 單場景攻擊能力評(píng)估示例

以目標(biāo)探測(cè)為例，作為網(wǎng)絡(luò)攻擊行動(dòng)的第一階段，主要目的是識(shí)別目標(biāo)網(wǎng)絡(luò)資產(chǎn)的型號(hào)版本及脆弱性信息，按照二維攻擊能力評(píng)估計(jì)算，即便是針對(duì)所有目標(biāo)網(wǎng)絡(luò)資產(chǎn)均可以做到精準(zhǔn)探測(cè)，在整個(gè)網(wǎng)絡(luò)攻擊行動(dòng)中也僅能得到10分。

圖21 單場景目標(biāo)探測(cè)攻擊能力評(píng)估示例

如果突破植入能力擅長，則二維網(wǎng)絡(luò)攻擊能力評(píng)估計(jì)算得分為40分。

圖22 單場景突破植入攻擊能力評(píng)估示例

從上述示例可以得出，單一領(lǐng)域技術(shù)強(qiáng)并不能代表整體網(wǎng)絡(luò)攻擊能力得分高，從另一側(cè)面可以看到只有網(wǎng)絡(luò)攻擊各個(gè)環(huán)節(jié)技術(shù)能力都強(qiáng)才能確保整體網(wǎng)絡(luò)攻擊能力處于較高水準(zhǔn)。

(2) 多場景攻擊能力評(píng)估示例

以典型關(guān)鍵基礎(chǔ)設(shè)施為例，網(wǎng)絡(luò)攻擊場景有4個(gè)，按照每個(gè)場景權(quán)重和場景內(nèi)攻擊能力評(píng)估情況，按照三維攻擊能力評(píng)估計(jì)算，在整個(gè)網(wǎng)絡(luò)攻擊行動(dòng)中得到60分。

圖23 多場景網(wǎng)絡(luò)空間攻擊能力評(píng)估示例

歸納總結(jié)，網(wǎng)絡(luò)攻擊能力評(píng)估需要把握好以下原則：

• 目標(biāo)驅(qū)動(dòng)：以是否完成網(wǎng)絡(luò)攻擊目標(biāo)或距離網(wǎng)絡(luò)攻擊目標(biāo)實(shí)現(xiàn)的程度來衡量網(wǎng)絡(luò)攻擊能力。
• 場景驅(qū)動(dòng)：按照網(wǎng)絡(luò)攻擊行為發(fā)生的場景不同來衡量網(wǎng)絡(luò)攻擊能力，區(qū)分單場景評(píng)估與多場景情況，如果最終攻擊目標(biāo)局限在同一場景內(nèi)，則按照二維攻擊能力評(píng)估辦法評(píng)估。如果存在跨場景情況，則按照二維攻擊能力評(píng)估辦法評(píng)估。
• 技術(shù)驅(qū)動(dòng)：根據(jù)網(wǎng)絡(luò)攻擊各環(huán)節(jié)使用的技術(shù)不同來衡量網(wǎng)絡(luò)攻擊能力，探測(cè)技術(shù)、突破技術(shù)、控制技術(shù)、獲取技術(shù)、致癱技術(shù)等網(wǎng)絡(luò)攻擊技術(shù)的難度不同、其網(wǎng)絡(luò)攻擊能力權(quán)重也不同，在攻擊過程中需要相互配合才能發(fā)揮作用實(shí)現(xiàn)最終網(wǎng)絡(luò)攻擊目標(biāo)，網(wǎng)絡(luò)攻擊能力評(píng)估才能取得高分。
• 資產(chǎn)驅(qū)動(dòng)：按照針對(duì)網(wǎng)絡(luò)資產(chǎn)網(wǎng)絡(luò)攻擊覆蓋范圍來衡量網(wǎng)絡(luò)攻擊能力，網(wǎng)絡(luò)資產(chǎn)的覆蓋越廣則網(wǎng)絡(luò)攻擊能力越高。

(三) 網(wǎng)絡(luò)目標(biāo)風(fēng)險(xiǎn)評(píng)估

網(wǎng)絡(luò)目標(biāo)風(fēng)險(xiǎn)主要是指網(wǎng)絡(luò)攻擊行為造成的威脅程度。其風(fēng)險(xiǎn)評(píng)估的方法同樣分為二維評(píng)估和三維評(píng)估。

1. 目標(biāo)風(fēng)險(xiǎn)二維評(píng)估

通過給探測(cè)、突破、控制三個(gè)要素賦予不同權(quán)重的方式衡量單場景下目標(biāo)風(fēng)險(xiǎn)，具體計(jì)算公式如下：

圖24 二維網(wǎng)絡(luò)空間目標(biāo)風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)二維評(píng)估模型得分：

可以看到突破技術(shù)權(quán)重得分最高，這一點(diǎn)和現(xiàn)實(shí)世界中漏洞威脅占比情況相符。

2. 目標(biāo)風(fēng)險(xiǎn)三維評(píng)估

通過不同場景賦予不同權(quán)重方式衡量多場景下目標(biāo)風(fēng)險(xiǎn)，具體計(jì)算公式如下：

圖25 三維網(wǎng)絡(luò)空間目標(biāo)風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)三維評(píng)估模型得分：

可以看到，隨著場景的深入，其權(quán)重越高，這也意味著該場景距離最終網(wǎng)絡(luò)攻擊目標(biāo)越近。

3. 目標(biāo)風(fēng)險(xiǎn)評(píng)估示例

一般情況網(wǎng)絡(luò)攻擊能力得分越高意味著網(wǎng)絡(luò)目標(biāo)面臨的風(fēng)險(xiǎn)越大，但在某些情況下，網(wǎng)絡(luò)攻擊能力得分很低也能給目標(biāo)帶來較大的風(fēng)險(xiǎn)。

如下圖所示：

圖26 網(wǎng)絡(luò)空間目標(biāo)風(fēng)險(xiǎn)評(píng)估示例

可以清楚看到，雖然網(wǎng)絡(luò)攻擊能力得分很低，由于掌握網(wǎng)絡(luò)攻擊相關(guān)技術(shù)完整且攻擊路徑貫通各個(gè)場景，導(dǎo)致目標(biāo)風(fēng)險(xiǎn)得分很高，這也證實(shí)有些APT組織技術(shù)儲(chǔ)備較少，只要選對(duì)網(wǎng)絡(luò)資產(chǎn)和攻擊路徑，也可能對(duì)網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施造成較大威脅。

三、網(wǎng)絡(luò)空間攻擊威脅應(yīng)對(duì)策略

網(wǎng)絡(luò)空間領(lǐng)域已經(jīng)進(jìn)入國家力量主導(dǎo)的網(wǎng)絡(luò)對(duì)抗時(shí)代。在五大網(wǎng)絡(luò)空間攻擊威脅的籠罩下，無論個(gè)人、企業(yè)還是國家、地區(qū)都無法置身事外，需要多方參與共同應(yīng)對(duì)。

(一) 建設(shè)國家級(jí)防御體系

以美為例，其網(wǎng)絡(luò)空間安全主動(dòng)防御體系借助商用技術(shù)和能力，將網(wǎng)絡(luò)空間的威脅預(yù)警、入侵防御和安全響應(yīng)能力相結(jié)合，創(chuàng)建跨領(lǐng)域的網(wǎng)絡(luò)空間態(tài)勢(shì)感知系統(tǒng)，為聯(lián)邦政府網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供安全保障。

因此國家在網(wǎng)絡(luò)防御中發(fā)揮主導(dǎo)作用，有利于整合力量資源，提升網(wǎng)絡(luò)攻擊難度，能夠有效阻止大部分網(wǎng)絡(luò)攻擊行為。

(二) 部署企業(yè)級(jí)防御框架

企業(yè)在網(wǎng)絡(luò)防御領(lǐng)域具有技術(shù)優(yōu)勢(shì)、產(chǎn)品優(yōu)勢(shì)和服務(wù)優(yōu)勢(shì)。針對(duì)大型機(jī)構(gòu)和關(guān)鍵系統(tǒng)都具有一些行之有效安全防護(hù)手段，特別是在企業(yè)級(jí)APT攻擊溯源和攻擊威脅分析等方面取得了較好的應(yīng)用。

網(wǎng)絡(luò)安全公司著眼未來構(gòu)建了新一代企業(yè)網(wǎng)絡(luò)安全框架：

• 從局部整改為主的外掛式建設(shè)模式走向深度融合的體系化建設(shè)模式;
• 面向新基建建設(shè)、數(shù)字化業(yè)務(wù)，以系統(tǒng)工程方法論結(jié)合內(nèi)生安全理念，形成新一代網(wǎng)絡(luò)安全建設(shè)框架;
• 以“十大工程、五大任務(wù)”指導(dǎo)網(wǎng)絡(luò)安全體系的規(guī)劃、建設(shè)與運(yùn)行;新一代網(wǎng)絡(luò)安全框架，來指導(dǎo)政企網(wǎng)絡(luò)安全建設(shè)，輸出體系化、全局化、實(shí)戰(zhàn)化的網(wǎng)絡(luò)安全架構(gòu)，以“內(nèi)生安全”理念建立數(shù)字化環(huán)境內(nèi)部無處不在的“免疫力”，構(gòu)建出動(dòng)態(tài)綜合的網(wǎng)絡(luò)安全防御體系。

(三) 培養(yǎng)通用型安全人才

當(dāng)前，網(wǎng)絡(luò)已滲透到工作生活的方方面面，網(wǎng)絡(luò)安全防御也不能僅僅依靠少數(shù)專家型安全人才，需要全民參與。因此，需要在各級(jí)各類教育培訓(xùn)中教授網(wǎng)絡(luò)安全相關(guān)內(nèi)容，建立通用型網(wǎng)絡(luò)安全人才庫。