2017网安全局态势报告

编者按：网络空间安全近年来日渐成为公众关注的焦点，中科院之声特意邀请业内专家“大东”开设“大东话安全”专栏，为大家介绍网络空间安全的方方面面。

一、报告长啥样？

大东：今年我们来聊《2017网安全局态势报告》。每年年底，各家安全公司或研究机构都要对这一年的得失进行一定程度的总结。就好比对弈，要有收官的过程。

小白：对弈我知道，就是下围棋嘛。

大东：……这么理解也行。这种报告需要分门别类、条分缕析，多是基于本公司业务的，如果公司规模较大，在业内有比较高的话语权，还会针对整个安全行业的某个领域乃至全局做出行业业态报告。

小白：那么科研院所呢？

大东：这正是我要说的，一些科研院所和智库也会参与年度报告的制定和发布，只不过科研院所一般是非盈利性质的，所以在某种程度上会更客观些，也会更偏重于战略角度、侧重于预测功能。

小白：明白了，那么报告到底长啥样呢？

大东：现在就给你看一张报告的图。这个图对2017年捕获的 DDoS 攻击情报进行了统计分析，显示了2017年度全球 DDoS 攻击情报的分布情况。

小白：晕晕的

大东：晕了吗？再看下面这个图。3月份爆出 Fastjson 的反序列化特性导致的远程代码执行，4月份则是 Jackson、Log4j2、Jenkins 的反序列化造成的远程代码执行，接着6月份流出了 Weblogic CVE-2017-3248 的利用代码。稍微消停了一会，Struts2 又被安全研究人员盯上，爆出 Struts2-052，又是一个远程代码执行。在11月份，由于 Jackson 官方对漏洞不敏感，接着又被曝 CVE-2017-15095，又一个绕过。进入12月份，Fastjson 和 Jackson 相继发布了几个补丁修复那些黑名单的绕过；Weblogic XMLDecoder（CVE-2017-10352）的漏洞被广泛应用于挖坑。由于很多漏洞都是远程代码执行，有的一个 HTTP POST 请求就能 getshell，所以备受黑客亲睐。

二、黑客的段位

大东：说到黑客，我们来聊聊黑客的段位。黑客虽然不存在什么评价标准，却有特定的发展时期。这个基于时间的评价很大程度上反映了一个黑客的咖位。

小白：哦？

大东：网络上的坏人根据动机分为4个阶段，依次为“白开心”、“淘黑金”、“纯小偷”和“大玩家”。黑客的初阶，叫做“白开心”。

小白：不错，还跟我一个姓氏的。

大东：“白开心”就是一群狂欢型黑客，他们策划实施攻击行为，单纯为了取悦自己的技术宅心灵，或者慰藉孤独的灵魂。

小白：不错，孤单是一个人的狂欢。

大东：如果攻击成功，他们的内心就会得到极大的满足，觉得学以致用就是在形容他自己。比如熊猫烧香的李俊，烧了一根火遍了大江南北的香，引无数英雄竞烧香。当然，最后被绳之以法，身陷囹圄。

熊猫烧香

小白：赶快说说什么叫“淘黑金”吧。

大东：你知道香菇病毒吗？2017年5月，360互联网安全中心发现全球多个国家和地区的机构及个人电脑遭受到了一款新型勒索软件攻击，并于国内率先发布紧急预警，外媒和多家安全公司将该病毒命名为“WanaCrypt0r”（直译：“想哭勒索蠕虫”）。常规的勒索病毒是一种趋利明显的恶意程序，它会使用加密算法加密受害者电脑内的重要文件，向受害者勒索赎金，除非受害者交出勒索赎金，否则加密文件无法被恢复，而新的“想哭勒索蠕虫”尤其致命，它利用了窃取自美国国家安全局的黑客工具“ EternalBlue”（直译：“永恒之蓝”），实现了全球范围内的快速传播，在短时间内造成了巨大损失。

小白：嗯嗯，略知一二，貌似在“索”那期讲过。

大东：类似勒索病毒这种攻击形式，便是“淘黑金”们的最爱。“淘黑金”们就是一群网络的碰瓷客，喜欢到处敲诈勒索，扰乱社会治安。屡禁不止的电信诈骗、信用卡被盗、撸羊毛等也属于这类范畴。他们每天的工作就是绞尽脑汁利用各种物理的、程序的漏洞找到些破绽，然后盯着这些纰漏制定攻击策略，再由一些技术“淘黑金”编制程序运行实施碰瓷行为。

钓鱼网站淘黑金

小白：哦哦，还真的是蛮邪恶的。

大东：不仅邪恶，而且令人头疼，可以说是一个永远有不法分子跃跃欲试的领域，他们觊觎着这些程序漏洞背后能够给他们带来收益的每一个机会，每一个漏洞在他们眼里，似乎都是赤裸裸的金钱。你想啊，积沙成塔，纵使是小打小闹地碰瓷，最后通过黑产牟利的数额也是蛮巨大的。

小白：那什么叫做“纯小偷”？

大东：“纯小偷”和“淘黑金”在目的上有本质区别。“淘黑金”我们已经说过了，主要是企业行为，然后目标的肉鸡主要是个人和企业，谁有钱就盯上谁。而“纯小偷”们，玩得更大一些，自然也在违法犯罪的道路上走得更远。

小白：怕怕~~

大东：“纯小偷”玩得更大，这是指他们主要的攻击目标是政府机密和商业机密，买家自然要出更高的价格去雇佣他们，而需要这些机密的买家们往往都是财大气粗，一般成交一单就会抵得上“淘黑金”淘好几百次的收入。僵尸网络，就是“纯小偷”经常涉足的一种攻击形式。

僵尸网络

小白：哇~~~植物大战僵尸~~

大东：别羡慕，这可是犯罪行为。其实我们以前讲的一期内容属于“纯小偷”，你猜猜是哪一篇？

小白：商业军火，对不？

大东：猜对了。最后我来说一下“大玩家”。这个“大玩家”，就是旧时代网络安全最终发展阶段。

小白：听起来好酷。

大东：前面说过，很长一段时间内，最受关注的只有前三种坏人。而“震网”事件等陆续发生后，“大玩家”终于浮出水面。

小白：还能浮出水面？

大东：所谓的“大玩家”，就是国家级玩家。“大玩家”的攻击能力是空前的，远非那些小打小闹的商业玩家可以望其项背，他们的动机、掌握的资源、选择的目标等也和其他攻击不同。那我考考你，赫赫有名的斯诺登棱镜门事件，是否属于“大玩家”范畴？

小白：你这么问，肯定属于啊！

大东：Bingo！

三、新阶段，新安全

大东：当上面四个时代都已循环完毕，就开启了网安的新阶段——网安运输。

小白：什么叫做网安运输？

大东：听我娓娓道来。你说网络安全的载体是什么？

小白：主要是互联网，另外还有以太网、物联网等。

大东：对，网络安全的载体——互联网正在发生着翻天覆地的变化，互联网这几年的发展势头离不开一个快字。

小白：那确实，我家的 WiFi 也提速了呢。

大东：除了快，目前的网络安全态势正在向日趋复杂的方向转化，伴随着其他各行各业的飞速发展，互联网这个平台正在凸显其日趋重要的整合效应，他在联动着其他行业发展的同时，也与其他行业越来越密不可分、融为一体。比如互联网农业、互联网医疗、互联网教育等等，这些新兴产业如雨后春笋般涌现，发展势头迅猛，俨然成为产业新锐。

小白：明白，互联网农业，就是开着手机种地，对吗？

大东：错，是将农业生产的环节、渠道以互联网为依托，打开农业流量入口，以网络带动农业生产，以流量红利弥补农业生产先天劣势。互联网和各行各业一起发展，网络安全就变得越来越复杂了，“互联网+”融入了工业、农业等传统行业，本来工业、农业没有的问题，现在 plus 以后就有了新的问题。

小白：晓得了，买一送一。

大东：所以，现在需要复合型人才和新的专家系统，我国目前也在开展这个人才培养计划，叫做金石计划 GS （Gold Stone）。

小白：听起来蛮不错。

大东：这些新兴产业出现了以后，攻击形式也发生了转变。传统黑客用技术手段攻击，现在社会工程学、刑事侦查学、运筹学等人文社会统计科学也扩充进了网络安全的攻防手段中，网络安全本身的内涵更加丰满。于是网络安全的顶层设计也要重新进行规划和部署，在这个顶层设计之下才能研制出来持续先进的网安系统。

小白：高大上啊~~

大东：但是网络安全光靠顶层设计和部署还是远远不够的，技术人员焚膏继晷的研究和管理人员宵衣旰食的设计更为重要。为了让基层网安工作者更加直观地认识和了解新的威胁和防护手段，网络攻防演练秀横空出世。同时也需要匹配一些网络安全有关的类似软件脆弱性分析等的安全服务。

小白：棒棒哒。

大东：新的安全理念和安全威胁引起了新一轮的攻防升级，需要新的解决方案，这种方案被称之为嵌入式解决方案 IS（Inside Solution），类似于 Intel 提出的 Inside 模式。

小白：刚才您提的这些网络安全新举措确实已经不仅限于以人为对象描述，那这些一股脑的东西感觉好复杂啊？

大东：是的，这些新的网安发展挑战及解决方法其实是一个有机整体，为了更好地满足各行业、各地区所面临的前所未有的安全新挑战，网安领域目前首要的事情是将这些安全理念传播运输给大家，把新的安全意识向大家进行传播，让大家真切体会到网络安全的重要性，因此对于这一理念网安领域专门把运输这一关键阶段具象定义为网安运输机进行表述。

小白：哇，这个名字取得好棒，网安运输机一说就能够清楚明白目的，太牛啦。我知道，咱们国家的运输机叫运20，咱们这个网安运输机有名字吗？

大东：当然有啦，这款新型网安运输机叫做 insplane，简称 IPX 。

网安运输机——insplane

小白：Holy high~~

大东：N.A.V.I.G.E 大飞机怎么样？

小白：好酷哦~~

大东：仰天大笑出门去，我辈岂是蓬蒿人。网安运输机，一定会如鲲鹏凌九霄，在网络安全的天地里，海阔凭鱼跃，天高任鸟飞，抒写出更壮丽的诗篇。

小白：看好你哦~~

来源：中国科学院计算技术研究所