有效應對網絡空間五大攻擊威脅，需要從網絡攻擊威脅模型、網絡攻擊能力評估、網絡目標風險評估三個方面進行科學分析評估。

　　網絡空間領域已進入國家力量主導的網絡對抗時代，需要多方參與共同應對：從國家層面，要建設國家級防御體系；從企業(yè)層面，要部署企業(yè)級防御框架；從人才方面，要培養(yǎng)通用型安全人才。

　　本文通過對網絡攻擊案例的梳理，歸納整理當前面臨的五大網絡空間攻擊威脅，并提出相關應對策略，以期在未來的網絡空間攻防對抗中獲得主動。此前我們發(fā)布了文章的第一部分，本次主要分享文章第二部分網絡空間攻擊威脅分析評估和第三部分網絡空間攻擊威脅應對策略。

　　二、網絡空間攻擊威脅分析評估

　　五大網絡空間攻擊威脅行為往往以目標為導向、以手段為支撐。有效應對這些攻擊威脅，需要進行科學分析評估。

　　（一）網絡攻擊威脅模型

　　當前面臨的五大網絡空間攻擊威脅不是相互割裂的，往往呈現(xiàn)相關交織融合態(tài)勢，比如針對關鍵基礎設施的網絡空間系統(tǒng)攻擊往往伴隨著針對特定網絡目標的網絡空間單點攻擊行為，網絡空間聯(lián)合攻擊也需要網絡空間體系攻擊的配合，然而無論哪種攻擊威脅必然有整體或部分行動發(fā)生于網絡空間，因此在網絡空間對攻擊威脅進行建模分析十分必要。

　　當前網絡攻擊威脅模型往往以攻擊行為溯源為主要目標，以攻擊過程建模為主要方法，通過鉆石模型和攻擊殺傷鏈等模型分析描繪APT組織等攻擊行為。但是，這些模型普遍缺乏對攻擊能力的評價和目標風險的評估，導致在安全防護建設過程缺乏可以信賴的客觀依據。

　　網絡空間攻擊威脅模型通過網絡資產、攻擊手法和攻擊場景三個要素來進行刻畫。

　　圖18 三維網絡空間攻擊模型

　　網絡資產主要包含網絡設備、服務器、終端、主機、工控設備、業(yè)務系統(tǒng)等一切可以被攻擊資產。

　　攻擊場景主要包括互聯(lián)網、DMZ、辦公網、業(yè)務網等組網方式、防護手段、業(yè)務用途不同的網絡環(huán)境。

　　攻擊手法主要包括目標掃描、目標突破、目標控制、信息獲取、目標癱瘓等各個攻擊環(huán)節(jié)。

　?。ǘ┚W絡攻擊能力評估

　　網絡攻擊能力反映了達成網絡攻擊目標可能性量化評估標準，攻擊能力量化評估主要分為二維攻擊能力評估和三維攻擊能力評估兩種情形。

　　1、二維攻擊能力評估

　　二維攻擊能力評估主要反映在同一攻擊場景下的攻擊能力，主要通過給攻擊手法賦予不同權重和場景內網絡資產覆蓋類型占比計算得出，具體公式如圖所示。

　　圖19 二維網絡空間攻擊能力評估

　　二維攻擊能力評分計算公式：

　　T=V1+V2+V3+V4+V5

　　二維攻擊能力評估得分可以衡量攻擊方網絡資產類型攻擊技術儲備情況和攻擊經驗積累情況等。絕大多數(shù)APT組織均可通過二維攻擊能力評分進行評估。

　　2、三維攻擊能力評估

　　三維攻擊能力評估主要反映在不同攻擊場景下的攻擊能力，主要在二維攻擊能力評估的基礎上，通過給不同攻擊場景賦予不同權重計算得出，具體公式如圖所示。

　　圖20 三維網絡空間攻擊能力評估

　　三維攻擊能力評分計算公式：

　　W=V1+V2+V3+V4

　　三維攻擊能力評估得分可以衡量攻擊方跨網跨域不同場景的攻擊能力和攻擊路徑維持情況等。國家級攻擊組織通過三維攻擊能力評分進行評估。

　　3、攻擊能力評估示例

　?。?）單場景攻擊能力評估示例

　　以目標探測為例，作為網絡攻擊行動的第一階段，主要目的是識別目標網絡資產的型號版本及脆弱性信息，按照二維攻擊能力評估計算，即便是針對所有目標網絡資產均可以做到精準探測，在整個網絡攻擊行動中也僅能得到10分。

　　圖21 單場景目標探測攻擊能力評估示例

　　如果突破植入能力擅長，則二維網絡攻擊能力評估計算得分為40分。

　　圖22 單場景突破植入攻擊能力評估示例

　　從上述示例可以得出，單一領域技術強并不能代表整體網絡攻擊能力得分高，從另一側面可以看到只有網絡攻擊各個環(huán)節(jié)技術能力都強才能確保整體網絡攻擊能力處于較高水準。

　?。?）多場景攻擊能力評估示例

　　以典型關鍵基礎設施為例，網絡攻擊場景有4個，按照每個場景權重和場景內攻擊能力評估情況，按照三維攻擊能力評估計算，在整個網絡攻擊行動中得到60分。

　　圖23 多場景網絡空間攻擊能力評估示例

　　歸納總結，網絡攻擊能力評估需要把握好以下原則：

　　1、目標驅動：以是否完成網絡攻擊目標或距離網絡攻擊目標實現(xiàn)的程度來衡量網絡攻擊能力。

　　2、場景驅動：按照網絡攻擊行為發(fā)生的場景不同來衡量網絡攻擊能力，區(qū)分單場景評估與多場景情況，如果最終攻擊目標局限在同一場景內，則按照二維攻擊能力評估辦法評估。如果存在跨場景情況，則按照二維攻擊能力評估辦法評估。

　　3、技術驅動：根據網絡攻擊各環(huán)節(jié)使用的技術不同來衡量網絡攻擊能力，探測技術、突破技術、控制技術、獲取技術、致癱技術等網絡攻擊技術的難度不同、其網絡攻擊能力權重也不同，在攻擊過程中需要相互配合才能發(fā)揮作用實現(xiàn)最終網絡攻擊目標，網絡攻擊能力評估才能取得高分。

　　4、資產驅動：按照針對網絡資產網絡攻擊覆蓋范圍來衡量網絡攻擊能力，網絡資產的覆蓋越廣則網絡攻擊能力越高。

　?。ㄈ┚W絡目標風險評估

　　網絡目標風險主要是指網絡攻擊行為造成的威脅程度。其風險評估的方法同樣分為二維評估和三維評估。

　　1、目標風險二維評估

　　通過給探測、突破、控制三個要素賦予不同權重的方式衡量單場景下目標風險，具體計算公式如下：

　　圖24 二維網絡空間目標風險評估

　　風險二維評估模型得分：

　　T=V1+V2+V3

　　可以看到突破技術權重得分最高，這一點和現(xiàn)實世界中漏洞威脅占比情況相符。

　　2、目標風險三維評估

　　通過不同場景賦予不同權重方式衡量多場景下目標風險，具體計算公式如下：

　　圖25 三維網絡空間目標風險評估

　　風險三維評估模型得分：

　　W=V1+V2+V3+V4

　　可以看到，隨著場景的深入，其權重越高，這也意味著該場景距離最終網絡攻擊目標越近。

　　3、目標風險評估示例

　　一般情況網絡攻擊能力得分越高意味著網絡目標面臨的風險越大，但在某些情況下，網絡攻擊能力得分很低也能給目標帶來較大的風險。

　　如下圖所示：

　　圖26 網絡空間目標風險評估示例

　　可以清楚看到，雖然網絡攻擊能力得分很低，由于掌握網絡攻擊相關技術完整且攻擊路徑貫通各個場景，導致目標風險得分很高，這也證實有些APT組織技術儲備較少，只要選對網絡資產和攻擊路徑，也可能對網絡關鍵基礎設施造成較大威脅。

　　三、網絡空間攻擊威脅應對策略

　　網絡空間領域已經進入國家力量主導的網絡對抗時代。在五大網絡空間攻擊威脅的籠罩下，無論個人、企業(yè)還是國家、地區(qū)都無法置身事外，需要多方參與共同應對。

　?。ㄒ唬┙ㄔO國家級防御體系

　　以美為例，其網絡空間安全主動防御體系借助商用技術和能力，將網絡空間的威脅預警、入侵防御和安全響應能力相結合，創(chuàng)建跨領域的網絡空間態(tài)勢感知系統(tǒng)，為聯(lián)邦政府網絡基礎設施提供安全保障。

　　因此國家在網絡防御中發(fā)揮主導作用，有利于整合力量資源，提升網絡攻擊難度，能夠有效阻止大部分網絡攻擊行為。

　?。ǘ┎渴鹌髽I(yè)級防御框架

　　企業(yè)在網絡防御領域具有技術優(yōu)勢、產品優(yōu)勢和服務優(yōu)勢。針對大型機構和關鍵系統(tǒng)都具有一些行之有效安全防護手段，特別是在企業(yè)級APT攻擊溯源和攻擊威脅分析等方面取得了較好的應用。

　　以奇安信為代表的網絡安全公司著眼未來構建了新一代企業(yè)網絡安全框架：從局部整改為主的外掛式建設模式走向深度融合的體系化建設模式；面向新基建建設、數(shù)字化業(yè)務，以系統(tǒng)工程方法論結合內生安全理念，形成新一代網絡安全建設框架；以“十大工程、五大任務”指導網絡安全體系的規(guī)劃、建設與運行；新一代網絡安全框架，來指導政企網絡安全建設，輸出體系化、全局化、實戰(zhàn)化的網絡安全架構，以“內生安全”理念建立數(shù)字化環(huán)境內部無處不在的“免疫力”，構建出動態(tài)綜合的網絡安全防御體系。

　　（三）培養(yǎng)通用型安全人才

　　當前，網絡已滲透到工作生活的方方面面，網絡安全防御也不能僅僅依靠少數(shù)專家型安全人才，需要全民參與。因此，需要在各級各類教育培訓中教授網絡安全相關內容，建立通用型網絡安全人才庫。

　　參考文章：

　　[1] APT攻擊盤點及實戰(zhàn)（上）

　　https://zhuanlan.zhihu.com/p/94212402

　　[2] 針對馬拉維（MALAWI）國民銀行的網絡攻擊樣本分析報告

　　https://www.antiy.cn/report-download/20181127.pdf

　　[3] 斯諾登曝光相關資料

　　https://edwardsnowden.com/category/revealed-documents/

　　[4]《網絡戰(zhàn)：信息空間攻防歷史、案例與未來》 保羅·沙克瑞恩（Paulo Shakarian），亞娜·沙克瑞恩（Jana Shakaria 著

　　[5] 三重門 | 美國大選網絡黑客攻擊的驚天真相

　　http://www.kunlunce.com/myfk/fl1111/2016-11-08/110072.html

　　[6] 從委內瑞拉大停電事件看電力系統(tǒng)安全防護

　　https://www.sohu.com/a/302645567_120020243

　　[7] 美國網絡攻擊與主動防御能力體系發(fā)展綜述

　　https://mp.weixin.qq.com/s/_cmLFbNoj-Sh7gVtLi0YZw

　　[8] 專題解析 | 美國用于持久化控制的網空攻擊裝備解析

　　https://mp.weixin.qq.com/s/JKOpSs6g2jEasywZazWkWg

　　[9] 專題解析 | 美國網絡空間攻擊裝備究竟怎么樣？

　　https://mp.weixin.qq.com/s/o-0dB4VpISNWmeynKciLSA

　　[10] 美國（軍）態(tài)勢感知體系能力分析

　　https://mp.weixin.qq.com/s/3vkNssIE2X3z1UIatMmo6A

　　關于作者

　　陳波：虎符智庫專家、奇安信集團高級網絡安全專家 、高級工程師。從事網絡安全相關工作20余年；榮獲三等功一次；獲得國家級二等獎1項、三等獎7項，部委成果獎10余項。具有數(shù)學、系統(tǒng)工程、通信、網絡安全等專業(yè)知識背景，現(xiàn)從事網絡攻防技術研究工作。