《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)從保護對象,、職責劃分到相對具體的工作方法都提出了明確的要求,。面對復雜多變的網(wǎng)絡安全環(huán)境,《條例》的發(fā)布對關鍵信息基礎設施行業(yè)的高級威脅對抗,,有著非常積極的影響。
一,、APT 攻擊日益加劇
網(wǎng)絡空間是物理空間的延續(xù),,而關鍵信息基礎設施是物理空間的核心載體,關基系統(tǒng)的可用性,、完整性,、保密性對國家安全至關重要。當前,,境外具有國家背景的高級威脅行為體(APT 組織)高度活躍,,持續(xù)針對我國開展網(wǎng)絡攻擊,主要目標就是包括金融,、通信,、交通、能源,、政務網(wǎng)絡在內(nèi)的關鍵信息基礎設施,。這些高級威脅行為體持續(xù)侵入控制我方重要系統(tǒng),竊取敏感信息,,甚至在某些時刻進行破壞行為,。
近年來,全球多個國家的關鍵信息基礎設施都遭遇了嚴重的網(wǎng)絡攻擊事件,,如英國電網(wǎng)重要管理機構(gòu) Elexon 遭到網(wǎng)絡攻擊,,內(nèi)部 IT 網(wǎng)絡受到影響、關鍵通信功能喪失,;印度孟買遭遇大范圍斷電,,導致鐵路、股票交易所,、醫(yī)療設施以及其他大部分關鍵基礎設施“癱瘓”,;2021 年,美國最大的燃油管道運營商,、全球最大的肉類加工企業(yè)均因黑客攻擊在相當一段時間內(nèi)運作凍結(jié),。這都給我國的關鍵信息基礎設施安全保護工作敲響警鐘。
二,、《條例》多措并舉做好高級威脅對抗
境外高級威脅行為體的攻擊目標覆蓋了連接互聯(lián)網(wǎng)的各類設備乃至整個網(wǎng)絡空間,,總體上形成從單機到網(wǎng)絡、從硬件到軟件,、從外網(wǎng)到內(nèi)網(wǎng)的全網(wǎng)覆蓋,,并且攻擊技術先進、手法復雜,,廣泛運用人工智能,、大數(shù)據(jù)等先進技術,,同時采取漏洞攻擊、誘騙攻擊,、“中間人”攻擊等多種技術方式和手法,,防護十分困難。對此,,《條例》在第四章提出了相當具體的要求,。
建立網(wǎng)絡安全信息共享機制?!稐l例》第二十三條指出:國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關部門建立網(wǎng)絡安全信息共享機制,,及時匯總、研判,、共享,、發(fā)布網(wǎng)絡安全威脅、漏洞,、事件等信息,,促進有關部門、保護工作部門,、運營者以及網(wǎng)絡安全服務機構(gòu)等之間的網(wǎng)絡安全信息共享。
威脅情報已經(jīng)被證明是發(fā)現(xiàn)威脅活動并觸發(fā)應急響應的核心手段之一,,對威脅戰(zhàn)略情報,、作戰(zhàn)層面的習慣模型以及戰(zhàn)術層面的數(shù)據(jù)進行有效共享,對于提升整體防護水平非常關鍵,。所以,,應大力推進主管部門、大型企業(yè),、互聯(lián)網(wǎng)企業(yè),、信息安全企業(yè)、科研院所,、專家團隊之間的情報共享,,進而協(xié)同聯(lián)動。國內(nèi)網(wǎng)絡安全相關主管部門也一直在完善相關標準,,搭建平臺,,推動各相關方的威脅情報共享,但信息共享的深度和廣度還有很大的發(fā)展空間,。
建立關鍵信息基礎設施預警制度,。《條例》第二十四條指出:保護工作部門應當建立健全本行業(yè),、本領域的關鍵信息基礎設施網(wǎng)絡安全監(jiān)測預警制度,,及時掌握本行業(yè),、本領域關鍵信息基礎設施運行狀況、安全態(tài)勢,,預警通報網(wǎng)絡安全威脅和隱患,,指導做好安全防范工作。
高級威脅攻擊往往經(jīng)過長期的準備與策劃,,攻擊者通常在目標網(wǎng)絡中潛伏幾個月甚至幾年,。為此,相關部門應為態(tài)勢感知做好制度保障,,明確通報響應機制,,責任到人,落實技術手段,,積極實施全天候高級威脅攻擊監(jiān)控,,實現(xiàn)對關鍵信息基礎設施進行網(wǎng)絡安全事件實時監(jiān)測、及時通報預警,、即時指揮調(diào)度進行處置,。
協(xié)助和指導運營者做好網(wǎng)絡安全事件應急演練?!稐l例》第二十五條指出:保護工作部門應當按照國家網(wǎng)絡安全事件應急預案的要求,,建立健全本行業(yè)、本領域的網(wǎng)絡安全事件應急預案,,定期組織應急演練,。
高級攻擊具有危害大、難以防御的特點,,一旦關鍵信息基礎設施被入侵,,很可能會危害國家安全和社會穩(wěn)定,及時的應急響應對于降低網(wǎng)絡攻擊的危害就顯得極為重要,。
安全事件發(fā)生后的應急響應工作大致分為 6 個階段:準備,、監(jiān)測、遏制,、根除,、恢復、總結(jié)復盤,,對每個階段不僅要有預案,,更重要的是驗證預案有效性、發(fā)現(xiàn)問題并持續(xù)優(yōu)化,。一個優(yōu)秀的方案應從積極防御的立足點出發(fā),,事前通過主動地多方演練發(fā)現(xiàn)安全隱患,對過程進行深入復盤,,不僅可以找到自己的薄弱點,,同時也為應急預案的制訂提供關鍵素材,。
指導運營者完善常態(tài)化執(zhí)行安全措施?!稐l例》第二十六條指出:保護工作部門應當定期組織開展本行業(yè),、本領域關鍵信息基礎設施網(wǎng)絡安全檢查檢測,指導監(jiān)督運營者及時整改安全隱患,、完善安全措施,。
由于高級威脅攻擊手法隱秘且多變,一旦入侵運營者很難及時發(fā)現(xiàn),,而且新安全漏洞和攻擊手法層出不窮,,網(wǎng)絡攻防是一個永遠止境的過程,因此,,保護工作部門應定期開關鍵信息基礎設施建設的網(wǎng)絡安全檢查工作,。并針對發(fā)現(xiàn)的問題組織專家組制定合理的解決方案,指導并監(jiān)督運營者及時整改完善,。
國家有關部門提供技術支持和協(xié)調(diào),。《條例》第二十九條指出,,在關鍵信息基礎設施安全保護工作中,,國家網(wǎng)信部門和國務院電信主管部門、國務院公安部門等應當根據(jù)保護工作部門的需要,,及時提供技術支持和協(xié)助,。
對于高級威脅的檢測、分析和取證往往需要多維度的數(shù)據(jù)和技術能力支持,,任何一方都無法僅通過自有的數(shù)據(jù)、專家團隊和軟硬件能力對威脅的全貌進行高精度的畫像,,所以需要國家網(wǎng)信部門,、公安部門動用行政資源進行協(xié)調(diào),從各包括政府機構(gòu),、網(wǎng)絡運營商及各類擁有大數(shù)據(jù)的公司在內(nèi)的組織獲取數(shù)據(jù),,整合民間安全廠商在內(nèi)的技術能力,實現(xiàn)對威脅的全面分析與遏制,。
加強軍民融合,。《條例》第三十八條指出:國家加強網(wǎng)絡安全軍民融合,,軍地協(xié)同保護關鍵信息基礎設施安全,。
軍民融合是國家發(fā)展國防科技工業(yè)的重要策略,軍隊是保障國家安全的基石,,長期以來積累了大量的技術,,執(zhí)行能力強,,一直都是關基設施防護的核心力量之一。民間安全廠商的日常攻防對抗的涉及面廣,,機制靈活并有相當?shù)慕?jīng)驗和數(shù)據(jù)技術儲備,。軍民融合,可以實現(xiàn)強強聯(lián)合,,在高級威脅對抗領域?qū)崿F(xiàn)一加一大于二的效果,。
三、基于威脅情報建設高級威脅對抗體系
根據(jù)奇安信威脅情報中心的統(tǒng)計,,2020 年針對我國重點單位的 APT 攻擊頻率明顯上升,。其中,我國政府,、醫(yī)療以及國防機構(gòu)是國外 APT 組織竊密攻擊的重要目標,。面對上述嚴峻情況,各單位(企業(yè))的威脅情報中心可以在以下幾方面發(fā)揮更大的作用,。
首先,,積極響應投入威脅情報共享。支持國家建立威脅情報共享平臺,,利用現(xiàn)有威脅情報檢測平臺,,與政府機構(gòu)、核心基礎設施單位,、友商部門積極配合,,充分運用云計算、大數(shù)據(jù),、人工智能,、物聯(lián)網(wǎng)等新一代信息技術,加強威脅情報共享,,為網(wǎng)絡安全威脅動態(tài)感知,、預警分析、智能處置提供支持,,實現(xiàn)從被動防御到主動防御的轉(zhuǎn)變,,逐步建成關鍵信息基礎設施大安全生態(tài)。
例如,,2020 年奇安信推出了“TI INSIDE” 計劃,,將奇安信積累的威脅情報能力以軟件開發(fā)工具包(SDK)的方式向生態(tài)合作伙伴和客戶開放,推動威脅情報共享,,降低威脅情報應用的門檻,。
其次,提升 APT 監(jiān)測能力。積極參與國家關鍵信息基礎設施全網(wǎng),、全流量的流量實時監(jiān)控,,做好全網(wǎng)、全主機的系統(tǒng)監(jiān)控,。加強對高隱匿性攻擊行動的發(fā)現(xiàn)能力,,完善自身和協(xié)助有關部門建立多維數(shù)據(jù)采集能力,為安全事件檢測,、事件捕獵,、調(diào)查分析,并發(fā)現(xiàn),、定位,、溯源安全事件創(chuàng)造條件。
最后,,加強 APT 分析能力,。建設威脅分析團隊,針對全網(wǎng) APT 威脅情報系統(tǒng)并結(jié)合現(xiàn)有經(jīng)驗,,全面地分析攻擊者的攻擊意圖,、技術與過程,實現(xiàn)對網(wǎng)絡攻擊的誘捕,、溯源,、干擾和阻斷等多方面防御。
