接上篇《五大網(wǎng)絡(luò)空間攻擊威脅及應(yīng)對策略(上)》

• 有效應(yīng)對網(wǎng)絡(luò)空間五大攻擊威脅，需要從網(wǎng)絡(luò)攻擊威脅模型、網(wǎng)絡(luò)攻擊能力評估、網(wǎng)絡(luò)目標(biāo)風(fēng)險評估三個方面進行科學(xué)分析評估。
• 網(wǎng)絡(luò)空間領(lǐng)域已進入國家力量主導(dǎo)的網(wǎng)絡(luò)對抗時代，需要多方參與共同應(yīng)對：從國家層面，要建設(shè)國家級防御體系;從企業(yè)層面，要部署企業(yè)級防御框架;從人才方面，要培養(yǎng)通用型安全人才。

本文通過對網(wǎng)絡(luò)攻擊案例的梳理，歸納整理當(dāng)前面臨的五大網(wǎng)絡(luò)空間攻擊威脅，并提出相關(guān)應(yīng)對策略，以期在未來的網(wǎng)絡(luò)空間攻防對抗中獲得主動。此前我們發(fā)布了文章的第一部分，本次主要分享文章第二部分網(wǎng)絡(luò)空間攻擊威脅分析評估和第三部分網(wǎng)絡(luò)空間攻擊威脅應(yīng)對策略。

二、網(wǎng)絡(luò)空間攻擊威脅分析評估

五大網(wǎng)絡(luò)空間攻擊威脅行為往往以目標(biāo)為導(dǎo)向、以手段為支撐。有效應(yīng)對這些攻擊威脅，需要進行科學(xué)分析評估。

（一）網(wǎng)絡(luò)攻擊威脅模型

當(dāng)前面臨的五大網(wǎng)絡(luò)空間攻擊威脅不是相互割裂的，往往呈現(xiàn)相關(guān)交織融合態(tài)勢，比如針對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)空間系統(tǒng)攻擊往往伴隨著針對特定網(wǎng)絡(luò)目標(biāo)的網(wǎng)絡(luò)空間單點攻擊行為，網(wǎng)絡(luò)空間聯(lián)合攻擊也需要網(wǎng)絡(luò)空間體系攻擊的配合，然而無論哪種攻擊威脅必然有整體或部分行動發(fā)生于網(wǎng)絡(luò)空間，因此在網(wǎng)絡(luò)空間對攻擊威脅進行建模分析十分必要。

當(dāng)前網(wǎng)絡(luò)攻擊威脅模型往往以攻擊行為溯源為主要目標(biāo)，以攻擊過程建模為主要方法，通過鉆石模型和攻擊殺傷鏈等模型分析描繪APT組織等攻擊行為。但是，這些模型普遍缺乏對攻擊能力的評價和目標(biāo)風(fēng)險的評估，導(dǎo)致在安全防護建設(shè)過程缺乏可以信賴的客觀依據(jù)。

網(wǎng)絡(luò)空間攻擊威脅模型通過網(wǎng)絡(luò)資產(chǎn)、攻擊手法和攻擊場景三個要素來進行刻畫。

圖18 三維網(wǎng)絡(luò)空間攻擊模型

網(wǎng)絡(luò)資產(chǎn)主要包含網(wǎng)絡(luò)設(shè)備、服務(wù)器、終端、主機、工控設(shè)備、業(yè)務(wù)系統(tǒng)等一切可以被攻擊資產(chǎn)。

攻擊場景主要包括互聯(lián)網(wǎng)、DMZ、辦公網(wǎng)、業(yè)務(wù)網(wǎng)等組網(wǎng)方式、防護手段、業(yè)務(wù)用途不同的網(wǎng)絡(luò)環(huán)境。

攻擊手法主要包括目標(biāo)掃描、目標(biāo)突破、目標(biāo)控制、信息獲取、目標(biāo)癱瘓等各個攻擊環(huán)節(jié)。

（二）網(wǎng)絡(luò)攻擊能力評估

網(wǎng)絡(luò)攻擊能力反映了達成網(wǎng)絡(luò)攻擊目標(biāo)可能性量化評估標(biāo)準(zhǔn)，攻擊能力量化評估主要分為二維攻擊能力評估和三維攻擊能力評估兩種情形。

1. 二維攻擊能力評估

二維攻擊能力評估主要反映在同一攻擊場景下的攻擊能力，主要通過給攻擊手法賦予不同權(quán)重和場景內(nèi)網(wǎng)絡(luò)資產(chǎn)覆蓋類型占比計算得出，具體公式如圖所示。

圖19 二維網(wǎng)絡(luò)空間攻擊能力評估

二維攻擊能力評分計算公式：

二維攻擊能力評估得分可以衡量攻擊方網(wǎng)絡(luò)資產(chǎn)類型攻擊技術(shù)儲備情況和攻擊經(jīng)驗積累情況等。絕大多數(shù)APT組織均可通過二維攻擊能力評分進行評估。

2. 三維攻擊能力評估

三維攻擊能力評估主要反映在不同攻擊場景下的攻擊能力，主要在二維攻擊能力評估的基礎(chǔ)上，通過給不同攻擊場景賦予不同權(quán)重計算得出，具體公式如圖所示。

圖20 三維網(wǎng)絡(luò)空間攻擊能力評估

三維攻擊能力評分計算公式：

三維攻擊能力評估得分可以衡量攻擊方跨網(wǎng)跨域不同場景的攻擊能力和攻擊路徑維持情況等。國家級攻擊組織通過三維攻擊能力評分進行評估。

3. 攻擊能力評估示例

(1) 單場景攻擊能力評估示例

以目標(biāo)探測為例，作為網(wǎng)絡(luò)攻擊行動的第一階段，主要目的是識別目標(biāo)網(wǎng)絡(luò)資產(chǎn)的型號版本及脆弱性信息，按照二維攻擊能力評估計算，即便是針對所有目標(biāo)網(wǎng)絡(luò)資產(chǎn)均可以做到精準(zhǔn)探測，在整個網(wǎng)絡(luò)攻擊行動中也僅能得到10分。

圖21 單場景目標(biāo)探測攻擊能力評估示例

如果突破植入能力擅長，則二維網(wǎng)絡(luò)攻擊能力評估計算得分為40分。

圖22 單場景突破植入攻擊能力評估示例

從上述示例可以得出，單一領(lǐng)域技術(shù)強并不能代表整體網(wǎng)絡(luò)攻擊能力得分高，從另一側(cè)面可以看到只有網(wǎng)絡(luò)攻擊各個環(huán)節(jié)技術(shù)能力都強才能確保整體網(wǎng)絡(luò)攻擊能力處于較高水準(zhǔn)。

(2) 多場景攻擊能力評估示例

以典型關(guān)鍵基礎(chǔ)設(shè)施為例，網(wǎng)絡(luò)攻擊場景有4個，按照每個場景權(quán)重和場景內(nèi)攻擊能力評估情況，按照三維攻擊能力評估計算，在整個網(wǎng)絡(luò)攻擊行動中得到60分。

圖23 多場景網(wǎng)絡(luò)空間攻擊能力評估示例

歸納總結(jié)，網(wǎng)絡(luò)攻擊能力評估需要把握好以下原則：

• 目標(biāo)驅(qū)動：以是否完成網(wǎng)絡(luò)攻擊目標(biāo)或距離網(wǎng)絡(luò)攻擊目標(biāo)實現(xiàn)的程度來衡量網(wǎng)絡(luò)攻擊能力。
• 場景驅(qū)動：按照網(wǎng)絡(luò)攻擊行為發(fā)生的場景不同來衡量網(wǎng)絡(luò)攻擊能力，區(qū)分單場景評估與多場景情況，如果最終攻擊目標(biāo)局限在同一場景內(nèi)，則按照二維攻擊能力評估辦法評估。如果存在跨場景情況，則按照二維攻擊能力評估辦法評估。
• 技術(shù)驅(qū)動：根據(jù)網(wǎng)絡(luò)攻擊各環(huán)節(jié)使用的技術(shù)不同來衡量網(wǎng)絡(luò)攻擊能力，探測技術(shù)、突破技術(shù)、控制技術(shù)、獲取技術(shù)、致癱技術(shù)等網(wǎng)絡(luò)攻擊技術(shù)的難度不同、其網(wǎng)絡(luò)攻擊能力權(quán)重也不同，在攻擊過程中需要相互配合才能發(fā)揮作用實現(xiàn)最終網(wǎng)絡(luò)攻擊目標(biāo)，網(wǎng)絡(luò)攻擊能力評估才能取得高分。
• 資產(chǎn)驅(qū)動：按照針對網(wǎng)絡(luò)資產(chǎn)網(wǎng)絡(luò)攻擊覆蓋范圍來衡量網(wǎng)絡(luò)攻擊能力，網(wǎng)絡(luò)資產(chǎn)的覆蓋越廣則網(wǎng)絡(luò)攻擊能力越高。

(三) 網(wǎng)絡(luò)目標(biāo)風(fēng)險評估

網(wǎng)絡(luò)目標(biāo)風(fēng)險主要是指網(wǎng)絡(luò)攻擊行為造成的威脅程度。其風(fēng)險評估的方法同樣分為二維評估和三維評估。

1. 目標(biāo)風(fēng)險二維評估

通過給探測、突破、控制三個要素賦予不同權(quán)重的方式衡量單場景下目標(biāo)風(fēng)險，具體計算公式如下：

圖24 二維網(wǎng)絡(luò)空間目標(biāo)風(fēng)險評估

風(fēng)險二維評估模型得分：

可以看到突破技術(shù)權(quán)重得分最高，這一點和現(xiàn)實世界中漏洞威脅占比情況相符。

2. 目標(biāo)風(fēng)險三維評估

通過不同場景賦予不同權(quán)重方式衡量多場景下目標(biāo)風(fēng)險，具體計算公式如下：

圖25 三維網(wǎng)絡(luò)空間目標(biāo)風(fēng)險評估

風(fēng)險三維評估模型得分：

可以看到，隨著場景的深入，其權(quán)重越高，這也意味著該場景距離最終網(wǎng)絡(luò)攻擊目標(biāo)越近。

3. 目標(biāo)風(fēng)險評估示例

一般情況網(wǎng)絡(luò)攻擊能力得分越高意味著網(wǎng)絡(luò)目標(biāo)面臨的風(fēng)險越大，但在某些情況下，網(wǎng)絡(luò)攻擊能力得分很低也能給目標(biāo)帶來較大的風(fēng)險。

如下圖所示：

圖26 網(wǎng)絡(luò)空間目標(biāo)風(fēng)險評估示例

可以清楚看到，雖然網(wǎng)絡(luò)攻擊能力得分很低，由于掌握網(wǎng)絡(luò)攻擊相關(guān)技術(shù)完整且攻擊路徑貫通各個場景，導(dǎo)致目標(biāo)風(fēng)險得分很高，這也證實有些APT組織技術(shù)儲備較少，只要選對網(wǎng)絡(luò)資產(chǎn)和攻擊路徑，也可能對網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施造成較大威脅。

三、網(wǎng)絡(luò)空間攻擊威脅應(yīng)對策略

網(wǎng)絡(luò)空間領(lǐng)域已經(jīng)進入國家力量主導(dǎo)的網(wǎng)絡(luò)對抗時代。在五大網(wǎng)絡(luò)空間攻擊威脅的籠罩下，無論個人、企業(yè)還是國家、地區(qū)都無法置身事外，需要多方參與共同應(yīng)對。

(一) 建設(shè)國家級防御體系

以美為例，其網(wǎng)絡(luò)空間安全主動防御體系借助商用技術(shù)和能力，將網(wǎng)絡(luò)空間的威脅預(yù)警、入侵防御和安全響應(yīng)能力相結(jié)合，創(chuàng)建跨領(lǐng)域的網(wǎng)絡(luò)空間態(tài)勢感知系統(tǒng)，為聯(lián)邦政府網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供安全保障。

因此國家在網(wǎng)絡(luò)防御中發(fā)揮主導(dǎo)作用，有利于整合力量資源，提升網(wǎng)絡(luò)攻擊難度，能夠有效阻止大部分網(wǎng)絡(luò)攻擊行為。

(二) 部署企業(yè)級防御框架

企業(yè)在網(wǎng)絡(luò)防御領(lǐng)域具有技術(shù)優(yōu)勢、產(chǎn)品優(yōu)勢和服務(wù)優(yōu)勢。針對大型機構(gòu)和關(guān)鍵系統(tǒng)都具有一些行之有效安全防護手段，特別是在企業(yè)級APT攻擊溯源和攻擊威脅分析等方面取得了較好的應(yīng)用。

網(wǎng)絡(luò)安全公司著眼未來構(gòu)建了新一代企業(yè)網(wǎng)絡(luò)安全框架：

• 從局部整改為主的外掛式建設(shè)模式走向深度融合的體系化建設(shè)模式;
• 面向新基建建設(shè)、數(shù)字化業(yè)務(wù)，以系統(tǒng)工程方法論結(jié)合內(nèi)生安全理念，形成新一代網(wǎng)絡(luò)安全建設(shè)框架;
• 以“十大工程、五大任務(wù)”指導(dǎo)網(wǎng)絡(luò)安全體系的規(guī)劃、建設(shè)與運行;新一代網(wǎng)絡(luò)安全框架，來指導(dǎo)政企網(wǎng)絡(luò)安全建設(shè)，輸出體系化、全局化、實戰(zhàn)化的網(wǎng)絡(luò)安全架構(gòu)，以“內(nèi)生安全”理念建立數(shù)字化環(huán)境內(nèi)部無處不在的“免疫力”，構(gòu)建出動態(tài)綜合的網(wǎng)絡(luò)安全防御體系。

(三) 培養(yǎng)通用型安全人才

當(dāng)前，網(wǎng)絡(luò)已滲透到工作生活的方方面面，網(wǎng)絡(luò)安全防御也不能僅僅依靠少數(shù)專家型安全人才，需要全民參與。因此，需要在各級各類教育培訓(xùn)中教授網(wǎng)絡(luò)安全相關(guān)內(nèi)容，建立通用型網(wǎng)絡(luò)安全人才庫。