|  站内搜索:
网站首页 > 国策建言 > 安全战略 > 阅读信息
牟承晋:​“太阳风”安全事件揭示了什么 ——牛年网信安全学习与思考之一
点击:  作者:牟承晋    来源:昆仑策网【原创】  发布时间:2021-02-19 09:48:46

 

1.webp (3).jpg 

 
★ 美国深度审视“太阳风”安全事件

2021年2月8日,中国农历辛丑牛年春节到来前夕,美国网信安全及基础设施安全局(CISA)发布报告(AR21-039A),进一步深度审视“太阳风”(Solar Winds)网络管理软件和“猎户座”(Orion)平台,被植入后门和恶意软件以及远程控制木马的详细取证和技术分析。明确指出,“avsvmcloud.com”是“太阳风”安全事件中恶意注册的“指挥与控制”(C2)域名,并进一步发现,在该恶意域名下,通过域名生成算法(DGA)设立的37,534 个子域名:
1)是用于诱导误导客户的虚假站点;

2)以域名“别名”(CNAME)的转换,劫持“太阳风”软件客户用以推送已移植入后门的软件;

3)由此,主要针对“太阳风”软件的动态链接库“Solar Winds.Orion.Core.BusinessLayer.dll”,递进和持续地渗透目标客户系统。

恶意域名“avsvmcloud.com”已交由微软公司控制,以便其用于对受到入侵影响的“太阳风”软件客户,进一步关联分析和监测观察。

值得注意的是,当前发现对“太阳风”软件的入侵行为和攻击行动的时序时间到了2021年1月11日。至少说明,“太阳风”软件入侵行为和攻击行动的猖狂,并没有因2020年12月美国官方公开发出的警报而有所收敛。要么是巨大的利益价值使然,要么是深厚的背景有恃无恐,因而入侵和攻击毫无顾忌。

上述CISA的专项分析报告再一次警示:
 

★ 安全数据是产业链的发展基础及供应链的生态环境


供应链与产业链,相互关联、相互依存。

一般而言,产业链作为供给侧,注重宏观、战略、定性等方面(趋向国际化)的研究、实践和应用;而供应链作为运行侧,则更注重微观操作、运行管理、定量等方面(趋于全球化)的研究、实践和应用。

在数字化时代,“数据”是连接产业链(宏观)与供应链(微观)之间的通道。

尽管在所见的安全事件警报、警示和报告中,主要是针对软硬件中的后门或漏洞及其入侵攻击的战术、技术和过程(TTP),但是目前(大规模)安全事件的后果,是数据和情报被窃取。因而,美国、欧洲对信息和通信技术及服务(简称ICTS)供应链的安全风险管理,强调并实施两个并行的层面:政府职能及作用(监管和监督),与行业义务及责任(创新和发展)。

例如,在“太阳风”安全事件中,由美国国家安全委员会统一指导和协调政府及社会资源,追踪溯源、定损止损、监督整改。

【笔者注:对标这样高度集中的权威的统一指导和协调体制,我国存在的缺位和短板,显而易见。】

另一方面,美国、欧洲(以及俄罗斯)对敏感和重要数据的跨境流通及境外存储,持续不断地完善和制定相应的法律条款和政令规定,以及实行常态的严格监管。因而,在已知的安全事件中,数据的泄漏能够被快速定位,且能够最大限度地避免类似问题重复发生,提高了对攻击者再次入侵的复杂性、难度和代价(即形成对入侵攻击不断增强的“威慑”力)。

例如,在“太阳风”安全事件中,美国商务部发现其电子邮箱被入侵,立即通报,并请求协查。

【笔者注:对应这样的快速灵活反应与配合机制,我国存在的缺失和差距,知彼知己。】

从安全事件驱动的角度,在网信空间领域,涉及国家核心、敏感、重要的关键数据(统称“安全数据”),是产业链的发展基础和供应链的生态环境。

从参考和对标的观点,美国从2010年开始对安全数据作了系统性顶层设计和体系性规划,在10年中逐步落实了安全数据的总体建设和体系转型。其中包括:
● 明确:安全数据是经济发展的竞争环境,是保持优势的斗争战场;

● 制定:数字产品和数据服务的供应链安全监管暂行规则以及具体措施;

● 实施:可信的安全数据(供应链)认证模型和评估模板以及准入审查和备案机制。

近10年中,俄罗斯在关键行业和领域陆续替换国外产品和数据服务,经过多次国内国际数据流量比例优化和“断网”测试,使其国内数据流量和所必需跨境的数据流量分布更加合理化。

【笔者注:他山之石,可以攻玉。以史为鉴,可知兴替。】

显然,坚持统筹发展与安全,在重视产业链发展和加强供应链安全的同时,强化对“安全数据”的基本保障,非常必要,不可或缺。

【笔者注:坚持总体国家安全观。我国在网信安全领域,亟需加强指挥和管理的体系建设,以指导高质量地提升攻防一体化能力。】
 
★ 供应链攻击的新型方式

1)获得重金奖励的安全研究人员比尔桑(Alex Birsan),日前发表“一种新型的供应链攻击”(a novel supplychain attack)重磅报告披露,其通过供应链入侵了微软、苹果等35 家知名的高科技公司,运用被称为“替换”式攻击(substitution attack),或利用供应链“依赖关系混乱”(dependency confusion)的网络入侵攻击,是威胁供应链安全(或供应链安全的“地基”)差异性或不均匀“沉降”的根源。

● 该报告指出:在一个系统构建或软件开发的过程中,不同程度地从公共开源库中获取一些开放的协议栈和软件程序包,形成某些关联和依赖关系,不失一般性;同时,也为攻击者提供了机会:将植入恶意代码的软件版本上载到公共下载源,从而导致客户端自动下载伪造的“最新”软件版本,而无需客户端的开发人员采取任何措施。

● 该报告强调:从开发人员编程中存在的一次性错误,到构建内部或基于云服务器的不当配置,再到易受攻击的系统开发流水线,其中,入侵攻击一些顶级科技公司(和目标)网络的常用基本方法和最为显著的入侵手段是:窃取内部软件包的有效文件名、获取可以远程执行权、在目标系统构建和软件开发过程中植入后门。

● 该报告建议:
√ 从一个(而不是多个)专用的开放源引用软件(源码);

√ 设置可控的应用范围和域名空间,以保护专用软件包;

√ 启用客户端的验证功能,例如,软件的版本锁定以及一致性验证。

● 该报告举例:在“内网”中,常规的网络数据流,往往被防火墙和入侵检测(IDS)等网关设备“隔离”,不在公共网络传输。但是,域名系统DNS却存在可以被利用的隐蔽隧道(Covert Tunnels), 并成为入侵指挥与控制(C2)的载体。

2)1月22日,微软安全部门发布研究报告,深度分析对“太阳风”软件攻击者递进持续性战役行动的战术、技术和过程(简称TTP);证明这是近十年来最复杂和持久的入侵攻击;表明在安全事件背后的攻击者是熟练的战役策划人员,他们精心策划和实施攻击,在保持持久性的同时持续递进渗透;揭示供应链攻击中的指挥与控制(C2),以及在线专业手动攻击的能力和趋势,在一定程度上颠覆了网信安全防御的传统认知和方法。

【笔者注:安全的科学是证伪的过程;传统认知和方法的颠覆,是开启通天入地的自主创新道路。】

其中,DNS“信标”(Beacon)渗透方式被黑客所采用,用于通知被入侵的设备进入休眠状态,或连接指挥与控制的域名服务器,下载任务以及获取如何执行任务的指令;与其他入侵攻击工具结合,形成对“太阳风”软件及其关联系统的递进和持续性的供应链攻击,窃取了大量数据(和情报)。

微软的分析报告,印证了供应链攻击的新型方式。但是,DNS“信标”仅仅是供应链攻击的新型方式中“指挥与控制”的环节,而域名系统(DNS)本身的ICTS供应链,也存在“筛子型”漏洞,以及安全差异性“沉降”的潜在可能。

因此,重新全面、系统性地认识和梳理(或重塑)ICTS的供应链,对于加强国家网络安全的风险管理,高质量地提升国家安全数据治理能力,至关重要,至关紧迫。

【笔者注:至关构建集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、网络安全、信息安全、生态安全、资源安全、生物安全、核安全等于一体的总体国家安全体系。】
 

★ 网络强国必须不断认识与坚决克制安全风险


网信产业已经成为社会发展以及数字经济的主要动力。

但是,我国网信产业的发展基础源于美国,对美制的数字产品以及数据服务的供应链,存在显著的依赖性和思维惯性。

尤其,随着大数据和人工智能的发展,ICTS 供应链形成为由物质(有形)和非物质(无形)组合的一个动态隐形、复杂关联(包括被“政治化”)的全球化产业生态,由此导致安全数据的风险态势更加日趋严峻。

安全数据,已被美国作为在网络信息空间的斗争手段(武器化及武器系统)。但是,我国对此风险意识明显滞后,相关的法律衔接、相应的执行措施都存在明显短板和差距。

在前所未有的斗争态势下,巨大的已知和未知风险,以及严重的安全威胁和潜在危机,或聚集或分散,或明或暗、或动态或静态地潜藏隐匿和体现在我们所严重依赖的ICTS供应链、产业链的各个环节、各个方面。

坚定不移建设网络强国,我们必须深刻、明确地认识到:

1)安全数据的保障,具体是风险管理、风险评估和风险应对的能力,表现为统一的指挥机构和体系以及对专业术语和概念的定义,以确保步调一致,增强凝聚力。

【笔者注:缺乏统一指挥和管理以及统一的术语定义,致使潜在问题被不同程度地经常性混淆或割裂,行动必然脱节、响应难免迟缓。】

2)随着数字技术的发展,衍生形形色色的数据服务,以及由此形成的(隐性)供应链,被普遍地误用或滥用。

由于缺失统一规范和监管,导致大量国家关键信息基础设施安全数据被无类级、无差别地外包托管,不必要地跨境传输和境外存储,致使安全数据大量泄露。

【笔者注:大量数据不断被泄露、被交易,却难以定位和溯源以及评估和恢复,根源当在于此,而本质是概念和理念自上而下地滞后。】

3)国家关键信息基础设施的各行业(包括党政机关),对安全数据偏重于应用,长期严重疏忽甚至放弃运筹的控制权和主导权,长期严重疏忽甚至放弃对数据服务供应链安全的风险监管;长期严重疏忽甚至放弃“事件驱动”明确的统一指导和引导,致使无法判断被入侵攻击的网络目标、程度和范围。

【笔者注:长期不能“吃一堑、长一智”,就不可能有“失败是成功之母”,不可能有自主创新,只能持续地受制于人、作茧自缚、被动挨打。】

作者系昆仑策研究院高级研究员、中国移动通信联合会国际战略研究中心主任、浙江省北斗未来网际网络空间研究院首席研究员。来源:昆仑策网【原创】

 

【本公众号所编发文章欢迎转载,为尊重和维护原创权利,请转载时务必注明原创作者、来源网站和公众号。阅读更多文章,请点击微信号最后左下角“阅读原文”】

 


 

【昆仑策研究院】作为综合性战略研究和咨询服务机构,遵循国家宪法和法律,秉持对国家、对社会、对客户负责,讲真话、讲实话的信条,追崇研究价值的客观性、公正性,旨在聚贤才、集民智、析实情、献明策,为实现中华民族伟大复兴的“中国梦”而奋斗。欢迎您积极参与和投稿。

电子邮箱:gy121302@163.com

更多文章请看《昆仑策网》,网址:

http://www.kunlunce.cn

http://www.kunlunce.com

责任编辑:红星
特别申明:

1、本文只代表作者个人观点,不代表本站观点,仅供大家学习参考;

2、本站属于非营利性网站,如涉及版权和名誉问题,请及时与本站联系,我们将及时做相应处理;

3、欢迎各位网友光临阅览,文明上网,依法守规,IP可查。

昆仑专题

高端精神

热点排行
  • 一周
  • 一月
  • 半年
  • 建言点赞
  • 一周
  • 一月
  • 半年
  • 图片新闻

    友情链接
  • 186导航
  • 红旗文稿
  • 人大经济论坛
  • 光明网
  • 宣讲家网
  • 三沙新闻网
  • 西征网
  • 四月网
  • 法律知识大全
  • 法律法规文库
  • 最高人民法院
  • 最高人民检察院
  • 中央纪委监察部
  • 共产党新闻网
  • 新华网
  • 央视网
  • 中国政府网
  • 中国新闻网
  • 全国政协网
  • 全国社科办
  • 全国人大网
  • 中国军网
  • 中国社会科学网
  • 人民日报
  • 求是理论网
  • 人民网
  • 备案/许可证编号:京ICP备15015626号-1 昆仑策研究院 版权所有 举报邮箱:kunlunce@yeah.net
    携趣HTTP代理服务器