了解最新等保资讯及等保政策
没有网络安全,就没有国家安全。
西北工业大学遭受美国国家安全局(NSA)网络攻击事件又有了新进展。
9月13日,国家计算机病毒应急中心发布《美国NSA网络武器“饮茶”分析报告》,名为“饮茶”的嗅探窃密类网络武器是导致大量敏感数据遭窃的最直接“罪魁祸首”之一。
相关网络安全专家介绍,TAO使用“饮茶”作为嗅探窃密工具,将其植入西北工业大学内部网络服务器,窃取了SSH等远程管理和远程文件传输服务的登录密码。
由此获得内网中其他服务器的访问权限,实现内网横向移动,并向其他高价值服务器投送其他嗅探窃密类、持久化控制类和隐蔽消痕类网络武器,造成大规模、持续性敏感数据失窃。
有关数据显示,近10多年来,网络攻击已经从以前的个体性黑客发展成为有规模有组织的网军,实施攻击的领域也越来越大,从上网计算机、信息网络,扩展到军用、民用等各种关键信息基础设施。
数字时代,“一切可编程”意味着软件里的漏洞无处不在。“万物均能互联”打通物理世界与虚拟世界的界限,也令网络攻击可以轻易侵入现实世界。
西北工业大学遭受美国国家安全局(NSA)网络攻击事件的披露,可以看出网络安全形势越发严峻。经技术分析与研判,“饮茶”不仅能够窃取所在服务器上的多种远程管理和远程文件传输服务的账号密码,并且具有很强的隐蔽性和环境适应性。
上文中的网络安全专家称,“饮茶”被植入目标服务器和网络设备后,会将自身伪装成正常的后台服务进程,并且采用模块化方式,分阶段投送恶意负载,具有很强的隐蔽性,发现难度很大。
“饮茶”可以在服务器上隐蔽运行,实时监视用户在操作系统控制台终端程序上的输入,并从中截取各类用户名密码,如同站在用户背后的“偷窥者”。
网络安全专家介绍:“一旦这些用户名密码被TAO获取,就可以被用于进行下一阶段的攻击,即使用这些用户名密码访问其他服务器和网络设备,进而窃取服务器上的文件或投送其他网络武器。”
技术分析表明,“饮茶”可以与NSA其他网络武器有效进行集成和联动,实现“无缝对接”。
今年2月份,北京奇安盘古实验室公开披露了隶属于美国国家安全局(NSA)黑客组织——“方程式”专属的顶级武器“电幕行动”(Bvp47)的技术分析,其被用于奇安盘古命名为“电幕行动”的攻击活动中。
在TAO此次对西北工业大学实施网络攻击的事件中,“饮茶”嗅探窃密工具与Bvp47木马程序其他组件配合实施联合攻击。
根据介绍, Bvp47木马具有极高的技术复杂度、架构灵活性以及超高强度的分析取证对抗特性,与“饮茶”组件配合用于窥视并控制受害组织信息网络,秘密窃取重要数据。
其中,“饮茶”嗅探木马秘密潜伏在受害机构的信息系统中,专门负责侦听、记录、回送“战果”——受害者使用的账号和密码,不论其是在内网还是外网中。
随着调查的逐步深入,技术团队还在西北工业大学之外的其他机构网络中发现了“饮茶”的攻击痕迹,很可能是TAO利用“饮茶”对中国发动大规模的网络攻击活动。
值得注意的是,在美国对他国实施的多次网络攻击活动中,反复出现美国IT产业巨头的身影。
例如在“棱镜”计划中,美国情报部门掌握高级管理员权限,能够随时进入微软、雅虎、谷歌、苹果等公司的服务器中,长期秘密进行数据挖掘。
在“影子经纪人”公布的“方程式”组织所使用的黑客工具中,也多次出现了微软、思科甚至中国部分互联网服务商旗下产品的“零日漏洞”(0Day)或者后门。
美国正在利用其在网络信息系统软硬件领域的技术主导地位,在美国IT产业巨头的全面配合下,利用多种尖端网络武器,在全球范围发动无差别的网络攻击,持续窃取世界各地互联网设备的账号密码,以备后续随时‘合法’登录受害者信息系统,实施更大规模的窃密甚至破坏活动,其网络霸权行径显露无疑。
因此,网络安全专家建议用户对关键服务器尤其是网络运维服务器进行加固,定期更改服务器和网络设备的管理员口令,并加强对内网网络流量的审计,及时发现异常的远程访问请求。
同时,在信息化建设过程中,建议选用国产化产品和“零信任”安全解决方案。(“零信任”是新一代的网络安全防护理念,默认不信任企业网络内外的任何人、设备和系统。)
实际上,无论是数据窃取还是系统毁灭瘫痪,网络攻击行为都会给网络空间甚至现实世界造成巨大破坏,尤其是针对重要关键信息基础设施的攻击行为。
为了更好对我国网络安全进行保障,需要打造国家级网络安全漏洞综合运筹能力,加强漏洞管控统筹协调,提升漏洞资源共享共治水平。
一是强化制度要求。依据中央在网信领域的总体部署和《网络安全法》的基本要求,结合我国国情加强网络安全漏洞管控制度建设。
通过网络安全审查等手段方式,加强网络安全漏洞处置与应急响应、风险评估与态势感知体系和能力的建设,提高关键信息基础设施和重要信息系统的安全保障要求。
二是加强统筹协调。进一步发挥 CNNVD 等国家级漏洞库的信息聚合和服务作用,推动实施多方联动的漏洞资源评估共享机制,提升对网络安全漏洞的管控服务能力和共享共治水平,发挥漏洞资源应用效益的最大化,降低由于漏洞引发的基础性风险。
三是助力网络安全保障。打造以“漏洞”为核心的网络安全漏洞综合运筹及安全保障支撑能力。通过平台建设、机制建设及资源汇聚共享,加大漏洞检测、漏洞防护、漏洞消控等工具研发,实现服务国家网络安全保障的现实需求。
此外还需积极推进 ICT 供应链安全治理,完善符合我国情的开源生态。
一是在法律法规及标准规范方面,相关部门应根据我国 ICT 供应链的现状有针对性地制定供应链安全治理相关规定,同时配套制定形成体系化的 ICT 供应链安全标准,从法律法规、标准体系等方面形成系统化的治理措施,为开展 ICT 供应链安全治理提供依据。
二是在风险管控方面,监管部门应尽快指导建立关键基础设施的 ICT 供应链台账,理清家底,查摆问题,预判风险。同时,ICT 供应链的供给侧、需求方均需加强供应链安全管控,尤其是涉及关键技术设施运营的供需方,需开展 ICT 供应链安全审查、评估和威胁监测,提升供应链韧性。
三是在技术层面,通过技术手段开展 ICT 供应链安全检测,对软件成分、来源及安全漏洞进行准备分析和定位,针对 ICT 产品构建形成物料清单和构成图谱,为关键 ICT 产品进行“精准画像”,一方面提前预判风险,另一方面在威胁来临时能够快速处置。建立国家级供应链安全检测及风险分析平台,提升 ICT 供应链安全检测的广度和深度,及时对供应链安全风险进行预警。
网络空间很大程度是物理空间的映射,网络活动轻易跨越国境的特性使之成为持续性斗争的先导。没有网络安全就没有国家安全,只有发展我们在科技领域的非对称竞争优势,才能建立起属于中国的、独立自主的网络防护和对抗能力。