360周鸿祎讲述如何抓住网络攻击西工大的幕后黑手？

　　【文/观察者网 吕栋】
　　＂发现一次可以说是瞎猫碰上死耗子，但是对NSA已经发现好几次了，在不同的地方都能够以不同的方式对它进行捕获，而且看西工大的报告，我们的证据是越总结越详实、越有说服力。＂
　　近期，中国西北工业大学（下称：西工大）遭遇网络攻击一事引发国内外大量关注。作为对此案进行全面技术分析的参与方之一，360公司创始人周鸿祎日前在接受观察者网等媒体采访时做出上述表述。
　　据中国外交部等相关部门介绍，对西工大实施网络攻击的正是美国国家安全局（NSA）下属部门，有关事实清清楚楚，证据确凿充分。中方已通过多个渠道要求美方对恶意网络攻击作出解释，并立即停止不法行为，但是迄今尚未得到美方实质性回应。
　　近年来，美国对华发动网络攻击已不是一次两次，国家计算机病毒应急处理中心等机构也进行过曝光。
　　那么，我们是如何掌握确凿证据锁定背后＂黑手＂的？频繁发生的网络攻击事件能给我们带来哪些警示？普通老百姓会不会受到网络攻击的影响？美国如果改变网络攻击手段，我们还能发现和阻断吗？
　　这些问题或许能从此次对周鸿祎的采访中得到答案。
　　美国国家安全局（资料图）
　　NSA多次被抓，美对华＂单向透明＂被打破
　　＂我们抓住NSA的手已经不是第一次了，过去两年已两次在其他攻击中都发现了NSA，＂周鸿祎讲道，NSA下属的网络战部队叫＂特定入侵行动办公室＂（Office of Tailored Access Operation，后文简称TAO），它被公认成全球作战水平最高的网络战部队，手段非常厉害。
　　在此次网络攻击西工大的过程中，TAO使用了40余种不同的NSA专属网络攻击武器，持续对西工大开展攻击窃密，窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。
　　＂每一个武器针对不同的平台、针对不同的用途，甚至每一种武器都利用了不同的漏洞。＂周鸿祎在采访中透露。
　　在这种情况下，如何通过确凿的证据揪出幕后＂黑手＂？
　　＂面对最高水平的国家级网络攻击，我们最大的挑战是‘看不见’，不知道自己被攻击了。因此最重要的是能察觉，这样才能迅速阻断攻击。但在察觉后还要知道是谁发起了攻击，难度是最高的。＂周鸿祎坦言。
　　他进一步讲述称，过去十年，360公司收集了全球300亿个网络攻击样本。而网络攻击样本有点类似病毒样本，对其进行分析后会发现各家的攻击武器的基因不一样，包括代码习惯、技战术等模块，就像新冠病毒不管怎么演化，都能把它的族系排列出来。
　　＂我们捕获了最多的攻击样本，意味着所有攻击者是怎么攻击的，用什么手法攻击的，我们都是清楚的。＂周鸿祎透露，该公司为了跟踪NSA网络战武器，专门对其历史上很多技战法、代码样本都进行了分析。
　　＂所以这次通过代码习惯的验证，包括攻击模块的组成，还有内部一些代码命名的习惯，基本上能够比较准确地把这个证据链固定下来，证明是NSA。＂他表示。
　　谈及公司被美国政府列入＂实体清单＂，周鸿祎坦言，360成为唯一被美国制裁的互联网公司和网络安全公司，就是因为该公司公布了CIA（美国中央情报局）的网络攻击，并且技术细节和证据链固化的比较详实。虽然此举暴露了该公司的检测和分析能力，但也打破了美国对华的所谓＂单向透明＂。
　　＂就像今天人类为了对付新冠病毒，要建立各种生物样本基因库一样，将来也应该给国家建立一个国家级网络攻击基因库和样本库，有了这个东西之后，谁来打你时，你在发现攻击和溯源时，就会越来越精准。＂周鸿祎建议道。
　　＂敌已在我，不要谋求建立马奇诺防线＂
　　西工大一案，并不是美国对华发动网络攻击的孤例。
　　据相关部门调查发现，近些年，美国NSA下属TAO对中国国内的网络目标实施了上万次的恶意网络攻击，控制了数以万计的网络设备（网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等），窃取了超过140GB的高价值数据。
　　＂2016年时，我就说已经进入网络战时代，有些人对我嗤之以鼻，觉得我好像是为了兜售安全产品，＂周鸿祎在采访中提到，这些年不止NSA，该公司共协助国家发现50个境外国家级黑客组织对我国发动的数千次网络攻击。
　　＂网络战不分平时和战时，＂他坦言，传统战争可能要等到宣战时才会爆发战斗，但网络战是越是在双方友好与和平时，对方越会利用网络攻击的方法把一些攻击软件、间谍软件潜伏或渗透到我方的重要系统里，或者预留后门和木马。
　　这样做都有哪些考虑？
　　周鸿祎提到，一是现在获取情报的手段大多是通过在线攻击；二是将来如果对方希望通过网络攻击来瘫痪我方的基础设施时，不可能等到攻击发起时才去潜伏，而是会提前好几年去做准备工作，这也是我们遭到网络攻击后的最大警示。
　　以这次西工大遭网络攻击为例，周鸿祎透露，NSA之所以能神不知鬼不觉地进来，是因为它们利用了很多被称为＂零日（Zero Day）＂的隐秘漏洞。而在数字化时代，所有网络设备都离不开软件，软件漏洞又不可避免、无法穷尽，这意味着我们的系统一定会被人攻进来。
　　＂我们甚至提了一个概念叫‘敌已在我’，就是别人不仅已经进入我们的很多系统，而且潜伏了一段时间，＂他直言，不要谋求建立一个＂马奇诺防线＂，而是应该基于自身系统肯定会被人攻破的情况，想办法把系统里已经进来的＂敌人＂及时发现并清理出去。
　　＂看得见的攻击都不是最大的威胁，＂在周鸿祎看来，真正巨大的威胁是在岁月静好表面下的暗潮涌动，＂敌人＂会以一种非常隐秘的手法，对中国的关键单位进行看不见的渗透和潜伏。
　　城市基础设施是下一阶段防范重点
　　国家层面的网络攻击，除了针对核心单位，会给普通人的生活带来风险吗？
　　＂很多人觉得国家级网络攻击可能跟我没有关系，实际上国外已经有例子证明，一旦基础设施遭到攻击，带来大面积停水、停电，导致交通枢纽、金融出现问题，会严重影响老百姓的生产生活。＂周鸿祎称。
　　这并非危言耸听。2015年末，乌克兰电网曾发生世界首例因遭受黑客攻击而造成的大规模停电事故，约140万人受影响。2019年7月，委内瑞拉水电系统也曾遭网络（电磁）攻击，首都加拉加斯及全国23个州中一半以上受到停电影响。
　　周鸿祎认为，随着现在中国城市快速数字化，推行数字政府、智慧城市，越来越多的基础设施也逐步数字化，所以未来对于城市基础设施的网络攻击，会成为我们下一阶段预防的重点。
　　除此之外，随着大数据时代到来，很多企业的核心业务都架构在大数据上。如果一家医院的数据瘫痪、一家运输公司财务系统数据被破坏等，这些都会导致业务停摆。
　　＂对数据做攻击的难度远远低于对工业设备的攻击，因为把数据抹掉是非常容易的，由此也出现了当前让企业非常头疼的勒索攻击，黑客把很多企业的数据加密之后，让企业无法使用数据，只有交赎金才能换回解密的密码，这也是下一个攻击延展的方向。＂周鸿祎提到。
　　＂另外数据偷窃对老百姓也有影响，＂他认为，如今大量数据存储在云端，一旦某些公司处理不慎，造成用户数据丢失，将给老百姓的个人隐私带来极大风险，甚至被诈骗集团用来设计精准诈骗。
　　但从目前来看，典型的国家级网络攻击更多还是用来窃取情报。周鸿祎透露，当该公司发现CIA、NSA的网络攻击后，全网再普查时，发现他们不光是攻击了中国某一个单位，分布的行业非常广。
　　＂数字化转型是一把双刃剑，在给我们带来更加美好和先进的工作生活方式的同时，也让国家治理、社会运转、老百姓的衣食住行都架构在网络、数据和软件之上，这个数字底座一旦遭到网络攻击，后果不堪设想。＂周鸿祎坦言。
　　美国更新网络攻击手段怎么办？
　　虽然在多方支持下，此次西工大遭网络攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头被全面还原，揭露了美国NSA长期以来对华开展网络间谍活动的真相。但问题的关键是，对手可能会采用新的手段发起新的攻击，我们应该怎么应对？
　　周鸿祎提到，传统杀毒软件只是收集各种攻击样本的指纹，但攻击样本只要一更新换代，指纹就作废了，所以传统的病毒库越来越庞大，甚至把电脑卡得很慢，但其实并不解决问题。
　　＂我们并不试图去建立指纹库，而是通过电脑软件的行为来发现异常的数据。＂他介绍称，攻击软件通常没有窗口、没有界面，但是在后台偷偷地运行，或者是在后台悄无声息地偷偷连网，而且连的不是常见的网站，很可能是奇怪的IP地址或者从来不会有人使用的域名。
　　周鸿祎透露，该公司把全球十几亿终端上的可疑行为汇总到云端进行横向对比，可以实现对全网高危行为的态势感知，＂无论软件和攻击手法如何变化，最后总要在某台电脑上运行，而且要把偷的东西传出去或接收远端的指令给自己升级，这就一定会被大数据分析找出来。＂
　　＂NSA再怎么变，有一些代码会重用原来旧的版本，有一些攻击手法、代码会变，但攻击的方法不会做改变。所以这是魔高一尺道高一丈，不断基于长时间的攻防去识别锁定它。＂他表示。
　　周鸿祎重申，不要试图去做无法攻破的系统，这是徒劳无益的。攻击软件进来之后肯定要横向移动，肯定要从一台电脑上跳到另外一台服务器上，肯定要偷数据，肯定要接受总部遥控指令，只要这些行为能被我们快速的分析能力看到，快速进行处置，就一定能解决。
　　网络战是整体战
　　＂攻击比防守要容易。＂
　　周鸿祎坦言，在网络战中，防守是一个国家最大的软肋，特别是在和平时期，如果一个国家的网络被打的跟筛子一样，情报数据都被人偷走了，或者系统里预埋了很多攻击软件，将给国家安全带来极大的风险。
　　在他看来，数字化时代，最强的数字安全公司要具有两个特征，一个是消费者业务出身，二是要有大数据分析能力，而现在中国很多传统安全公司都不具备这些特征。
　　＂有人说做消费者业务的安全公司对国家没有意义，其实不是这样的，网络战是整体战，当网络战在一个国家发生时，实际上经过了若干跳板、若干个人、若干不同单位，最后才能达到目的，所以只有某些单位的数据，没有全网、全历史的数据，无法捕获攻击。＂周鸿祎称。
　　＂为什么微软防御能力和发现能力最近两年有很大的提升，现在成了美国最强的网安公司了？＂周鸿祎讲道，微软前几年借鉴了360免费安全模式，迅速积累了终端和安全大数据的优势，能把各种攻击事件看的清清楚楚，最后还可以把数据汇总起来。
　　但只汇总数据还不够，最重要的是要有大数据的分析能力。周鸿祎提到，微软和360都属于互联网公司，大数据规模并不逊色于BAT，＂不是弄一套开源软件，装个开源大数据平台，就能把大数据分析做起来，还要投资建设计算中心，搭建大数据分析平台。＂
　　＂我们是2008年开始做免费杀毒，到现在做了十几年。如果当年安全是核心收入的话，可能这件事情反而做不了，因为安全赚的钱根本无法支撑做这么大规模的大数据分析平台，所以我们是一家互联网公司，通过互联网收入每年补贴20-30亿到安全上，通过十几年的投入，花了200多个亿，才把‘安全大脑’这套体系基本上打造出来，然后发挥了作用。＂他表示。
　　本文系观察者网独家稿件，未经授权，不得转载。