1.3 網(wǎng)絡(luò)空間安全發(fā)展態(tài)勢

第3節(jié)網(wǎng)絡(luò)空間安全發(fā)展態(tài)勢第1章目

錄01網(wǎng)絡(luò)空間安全發(fā)展現(xiàn)狀02網(wǎng)絡(luò)攻擊手段的變化03網(wǎng)絡(luò)安全防護體系的變化04網(wǎng)絡(luò)安全防護技術(shù)介紹01網(wǎng)絡(luò)安全挑戰(zhàn)和機遇我國網(wǎng)絡(luò)空間安全發(fā)展成就黨的十八大以來，我國網(wǎng)絡(luò)安全頂層設(shè)計和總體布局不斷強化，網(wǎng)絡(luò)安全“四梁八柱”基本確立。從個人信息保護到關(guān)鍵信息基礎(chǔ)設(shè)施安全保護，從網(wǎng)絡(luò)安全審查到大數(shù)據(jù)安全管理，一批涵蓋網(wǎng)絡(luò)安全各個領(lǐng)域的重要制度相繼建立并不斷完善。主要體現(xiàn)在以下幾個方面：成就綜述12354法治思維貫穿網(wǎng)絡(luò)安全工作的始終網(wǎng)絡(luò)安全國家標準體系日益完善網(wǎng)絡(luò)安全應(yīng)急能力建設(shè)不斷加強進一步健全了網(wǎng)絡(luò)安全審查制度進一步健全了云計算服務(wù)安全評估制度我國網(wǎng)絡(luò)空間安全問題現(xiàn)狀雖然我國在信息安全建設(shè)、信息安全監(jiān)管與保障上取得了矚目的成績，但是目前網(wǎng)絡(luò)空間的安全形勢依然較為嚴峻?？傮w體現(xiàn)在以下幾個方面：網(wǎng)絡(luò)安全形勢依然嚴峻12345678緩沖區(qū)溢出攻擊威脅日益增長社會工程學(xué)攻擊常態(tài)化移動互聯(lián)網(wǎng)成為攻擊重災(zāi)區(qū)工業(yè)控制系統(tǒng)安全威脅凸顯軟硬件協(xié)同攻擊普通化現(xiàn)有防御手段難以阻擋新型攻擊網(wǎng)絡(luò)安全法律法規(guī)體系不完善APT攻擊呈現(xiàn)新的態(tài)勢緩沖區(qū)溢出攻擊威脅日益增長絕大多數(shù)的遠程網(wǎng)絡(luò)攻擊均為緩沖區(qū)溢出漏洞攻擊，這種攻擊可以使得一個匿名的Internet用戶有機會獲得一臺主機的部分或全部的控制權(quán)，緩沖區(qū)溢出攻擊成為一類極其嚴重的安全威脅。2014年，“心臟滴血(HeartBleed)”漏洞2017年，NTP緩沖區(qū)溢出漏洞(CVE-2017-6458)2021年，Sudo堆緩沖區(qū)溢出漏洞(CVE-2021-3156)著名緩沖區(qū)溢出漏洞攻擊案例APT攻擊呈現(xiàn)新的態(tài)勢2010年，震網(wǎng)病毒StuxnetAPT攻擊2016年，APT28RoskosmosAPT攻擊2018年，蔓靈花APT組織針對多國APT攻擊事件APT攻擊的趨勢什么是APT攻擊？APT攻擊（AdvancedPersistentThreat，高級持續(xù)性威脅）是利用先進的攻擊手段對特定目標進行長期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式。APT攻擊，從確定攻擊目標到攻擊成功的時間，可能是數(shù)個月或長達數(shù)年。1.單次攻擊的目標數(shù)量減少2.惡意軟件生命周期縮短3.“持久”比“高級”重要4.最大限度地減少惡意基礎(chǔ)設(shè)施的使用常見國內(nèi)外重大APT攻擊事件社會工程學(xué)攻擊常態(tài)化人肉搜索、社工定位網(wǎng)絡(luò)釣魚、信息詐騙信息套取、假冒身份什么是社會工程學(xué)攻擊？社會工程學(xué)(SocialEngineering)是一種通過對受害者心理弱點、本能反應(yīng)、好奇心、信任、貪婪等心理缺陷進行諸如欺騙、傷害等的攻擊手段。社會工程學(xué)攻擊是一種利用"社會工程學(xué)"來實施的攻擊行為。常見社會工程學(xué)應(yīng)用場景移動互聯(lián)網(wǎng)成為攻擊重災(zāi)區(qū)隨著移動互聯(lián)網(wǎng)發(fā)展應(yīng)用，針對移動終端的攻擊越來越頻繁。移動終端安全威脅手段分布移動終端惡意程序數(shù)量統(tǒng)計因手機隨意安裝來歷不明的惡意軟件，最終被攻擊竊取通話記錄、短信等敏感信息。移動終端入侵攻擊案例通話記錄短信記錄移動互聯(lián)網(wǎng)成為攻擊重災(zāi)區(qū)STEP2STEP1注：有關(guān)于微信數(shù)據(jù)分析的詳細操作步驟，請參閱第一章/利用流量分析工具分析微信數(shù)據(jù).mp4移動終端微信數(shù)據(jù)分析案例分析步驟連接無線熱點配置抓包工具并訪問微信公眾號STEP3抓取微信公眾號數(shù)據(jù)STEP4分析微信公眾號數(shù)據(jù)移動互聯(lián)網(wǎng)成為攻擊重災(zāi)區(qū)工業(yè)控制系統(tǒng)安全威脅凸顯2020年4月，以色列供水部門工控設(shè)施遭到網(wǎng)絡(luò)攻擊；2020年5月，委內(nèi)瑞拉國家電網(wǎng)工控設(shè)施遭到攻擊，造成全國大面積停電。簡單工業(yè)控制系統(tǒng)拓撲什么是工業(yè)控制系統(tǒng)？工業(yè)控制系統(tǒng)是指由計算機與工業(yè)過程控制部件組成的自動控制系統(tǒng)。工業(yè)控制系統(tǒng)安全威脅系統(tǒng)相關(guān)的威脅

系統(tǒng)軟件漏洞的攻擊威脅。過程相關(guān)的威脅

工業(yè)控制系統(tǒng)在生產(chǎn)過程遭受的攻擊。國內(nèi)外重大工控系統(tǒng)網(wǎng)絡(luò)攻擊事件軟硬件協(xié)同攻擊普通化隨著大規(guī)模集成電路的發(fā)展，百億級晶體管時代已經(jīng)到來，在這些集成電路中很容易布設(shè)陷阱且難以發(fā)現(xiàn)，物理域的解析或辨識目前幾乎毫無辦法，這種軟硬件協(xié)同的網(wǎng)絡(luò)攻擊方式將會越來越常見。在設(shè)備生產(chǎn)時創(chuàng)建隱藏的超級管理員賬號，而且此賬號其余用戶不可見。后續(xù)在硬件部署后，可通過網(wǎng)絡(luò)操控服務(wù)器中的內(nèi)容。一些網(wǎng)絡(luò)設(shè)備或服務(wù)器設(shè)備生產(chǎn)商，會在設(shè)備生產(chǎn)時，加入惡意攻擊代碼或“后門”。例如現(xiàn)有防御手段難以阻擋新型攻擊現(xiàn)有防御手段現(xiàn)有防御手段主要以防病毒、防火墻、入侵檢測系統(tǒng)的傳統(tǒng)“老三樣”來抵擋外來攻擊，但這類防御方式難以應(yīng)對人為攻擊，且容易被攻擊者所利用。安裝了防火墻，但是無法避免垃圾郵件、病毒傳播以及拒絕服務(wù)等攻擊。例如網(wǎng)絡(luò)安全法律法規(guī)體系不完善我國法律法規(guī)建設(shè)情況我國建立法律法規(guī)標準規(guī)范的多維體系根基：《網(wǎng)絡(luò)安全法》。建立與《網(wǎng)絡(luò)安全法》相配套的網(wǎng)絡(luò)安全國家的標準體系：《密碼法》、《數(shù)據(jù)安全法》、《個人信息保護法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》、《網(wǎng)絡(luò)安全等級保護制度》等。目前存在的問題法律法規(guī)之間有內(nèi)容重復(fù)交叉，同一行為有多個行政處罰主體，處罰幅度不一致；法律法規(guī)建設(shè)跟不上信息技術(shù)發(fā)展的需要。案例一

2018年韓國平昌冬奧會的非關(guān)鍵計算機系統(tǒng)，遭到名為OlympicDestroyer惡意軟件的攻擊，導(dǎo)致奧運會的網(wǎng)站服務(wù)器宕機和網(wǎng)絡(luò)中斷，用戶無法正常在線打印門票。卡巴斯基將該事件背后的攻擊組織命名為Hades。案例二

2018年5月，Cisco的網(wǎng)絡(luò)安全研究部門Talos披露了一起針對IOT設(shè)備的攻擊事件，該事件影響了至少全球54個國家和地區(qū)的50萬臺設(shè)備，包括常用的小型路由器型號、NAS設(shè)備等。安全員分析為一段叫VPNFilter的惡意代碼被制作成包含復(fù)雜而豐富的功能模塊，實現(xiàn)多階段的攻擊利用。1、上述兩則案例屬于什么攻擊類型？2、為什么會出現(xiàn)這種類型的攻擊？案例分析02網(wǎng)絡(luò)攻擊手段的變化傳統(tǒng)的網(wǎng)絡(luò)攻擊手段踩點：搜索引擎、域名查詢、whois掃描：IP/端口掃描、OS/應(yīng)用系統(tǒng)探測提權(quán)：破解密碼、各種注入、漏洞利用破壞：上傳病毒木馬、修改網(wǎng)頁、竊取信息后門：創(chuàng)建賬號、安裝監(jiān)控、銷毀痕跡STEP1STEP2STEP3STEP4STEP5傳統(tǒng)網(wǎng)絡(luò)攻擊流程：“黑客攻擊五部曲”傳統(tǒng)網(wǎng)絡(luò)攻擊手段的特點直接獲取口令進入系統(tǒng)

網(wǎng)絡(luò)監(jiān)聽、暴力破解利用系統(tǒng)自身安全漏洞MS08-067、MS17-010特洛伊木馬

偽裝成工具程序或游戲等誘導(dǎo)用戶打開或下載WWW欺騙

欺騙用戶訪問篡改過的網(wǎng)頁電子郵件攻擊

郵件炸彈、郵件欺騙旁站攻擊

通過一個節(jié)點來攻擊其他節(jié)點流量攻擊

拒絕服務(wù)攻擊傳統(tǒng)網(wǎng)絡(luò)攻擊手段的特點新型網(wǎng)絡(luò)攻擊手段的特點網(wǎng)絡(luò)攻擊手段變化一自動化01掃描階段攻擊者采用各種新出現(xiàn)的掃描技術(shù)來推動掃描工具的發(fā)展，研究新型掃描技術(shù)，加快掃描速度。020304滲透控制階段由于殺毒軟件和防火墻的存在，傳統(tǒng)的植入方式已經(jīng)不再有效，隨之出現(xiàn)的先進的隱藏遠程植入方式，能夠成功地躲避防病毒軟件并植入到目標計算機中。傳播攻擊階段以前需要依靠人工啟動工具發(fā)起的攻擊，現(xiàn)在發(fā)展到由攻擊工具本身主動發(fā)起新的攻擊。攻擊工具協(xié)調(diào)管理階段隨著分布式攻擊工具的出現(xiàn)，攻擊者可以很容易地控制和協(xié)調(diào)分布在Internet上的大量已經(jīng)部署的攻擊工具。網(wǎng)絡(luò)攻擊手段變化二智能化智能漏洞檢測及利用工具01.智能化工具越來越多普通技術(shù)的攻擊者都有可能在較短的時間內(nèi)向脆弱的計算機網(wǎng)絡(luò)系統(tǒng)發(fā)起攻擊。02.多數(shù)攻擊工具具備了反偵破（隱蔽性）、智能動態(tài)行為（智能決策）、攻擊工具變異（多種形態(tài)）等特點。攻擊工具越來越先進新型網(wǎng)絡(luò)攻擊手段的特點網(wǎng)絡(luò)攻擊手段變化三快速化漏洞的發(fā)現(xiàn)和利用新發(fā)現(xiàn)的各種操作系統(tǒng)與網(wǎng)絡(luò)安全漏洞每年都要增加一倍，網(wǎng)絡(luò)安全管理員需要不斷用最近的補丁修補相應(yīng)的漏洞。攻擊者經(jīng)常能夠搶在廠商發(fā)布漏洞補丁之前，發(fā)現(xiàn)這些未修補的漏洞同時發(fā)起攻擊。什么是0day/1day/Nday漏洞公布很久，流傳很廣的漏洞，一般是用戶缺少安全意識，從漏洞公開發(fā)布后很久都沒

有進行修復(fù)的漏洞。0day漏洞1day漏洞

Nday漏洞

只有漏洞發(fā)現(xiàn)者知曉的漏洞，一般為未公開的漏洞；剛公布后的漏洞，或者公布后還未出現(xiàn)攻擊程序的漏洞或者指剛公布一天的漏洞；新型網(wǎng)絡(luò)攻擊手段的特點新型的網(wǎng)絡(luò)攻擊手段新型網(wǎng)絡(luò)攻擊手段一DRDoS攻擊DRDoS(DistributedReflectionDenialofService)，中文是分布式反射拒絕服務(wù)，該方式靠的是發(fā)送大量帶有被害者IP地址的數(shù)據(jù)包給攻擊主機，然后攻擊主機對IP地址源做出大量回應(yīng)，從而形成拒絕服務(wù)攻擊。DRDoS攻擊是基于DDoS攻擊演變出來的新型攻擊。新型網(wǎng)絡(luò)攻擊手段二HTTP慢速攻擊HTTP慢速攻擊（SlowHTTP

Attack）是一種DoS攻擊的方式。在發(fā)送請求的時候采用慢速發(fā)送HTTP請求，就會導(dǎo)致占用一個HTTP連接會話。若發(fā)送大量慢速的HTTP請求就會導(dǎo)致拒絕服務(wù)攻擊。意大利多個政府網(wǎng)站遭新型DDoS攻擊致癱瘓新型網(wǎng)絡(luò)攻擊事件案例2022年5月11日，據(jù)意大利安莎通訊社報道稱，意大利多個官方網(wǎng)站遭到黑客大規(guī)模DDoS攻擊致服務(wù)器癱瘓，包括意大利參議院、意大利機動車協(xié)會、意大利國防部、意大利國家衛(wèi)生所、B2B平臺及意大利著名期刊協(xié)會等7家重要機構(gòu)官網(wǎng)臨時宕機，整整4個小時的時間內(nèi)，用戶無法訪問。5月12日，意大利某網(wǎng)絡(luò)安全實驗室研究發(fā)現(xiàn)，該黑客組織是通過智能化的攻擊工具，結(jié)合HTTP慢速攻擊發(fā)起的DDoS攻擊。意大利CSIRT稱："慢速HTTP"是一種比較少見的DDoS攻擊類型，并警告如果系統(tǒng)管理員不做出針對性處置，那么現(xiàn)有防御措施恐怕將無能為力。03網(wǎng)絡(luò)安全防護體系的變化傳統(tǒng)安全防護體系InternetDMZ區(qū)Web應(yīng)用防火墻下一代防火墻辦公區(qū)服務(wù)器區(qū)核心交換機常見網(wǎng)絡(luò)安全防護體系邊界防護常見邊界防護產(chǎn)品安全網(wǎng)關(guān)、網(wǎng)閘、Web應(yīng)用防火墻(WAF)、下一代防火墻（NGFW）優(yōu)點缺點部署簡單，只需在網(wǎng)絡(luò)邊界部署相關(guān)產(chǎn)品即可。內(nèi)部脆弱，一旦邊界被黑客突破，即可以長驅(qū)直入。新型安全防護體系新型安全防護體系的發(fā)展趨勢信息保障技術(shù)框架（IATF）美國國家安全局（NSA）制定并發(fā)布，為保護美國政府和工業(yè)界的信息與信息技術(shù)設(shè)施提供技術(shù)指南，提出了信息保障時代信息基礎(chǔ)設(shè)施的全套安全需求。新型安全防護體系的主要特征核心思想三個要素四個焦點領(lǐng)域“深度防御”人技術(shù)操作保護網(wǎng)絡(luò)和基礎(chǔ)設(shè)施保護區(qū)域邊界保護計算環(huán)境支持性基礎(chǔ)設(shè)施支持性基礎(chǔ)設(shè)施保護網(wǎng)絡(luò)和基礎(chǔ)設(shè)施保護計算環(huán)境保護區(qū)域邊界強調(diào)整體全局性的防御！網(wǎng)絡(luò)邊界網(wǎng)絡(luò)層服務(wù)器端數(shù)據(jù)庫端縱深防御體系

縱深防御特點：基于邊界防御體系的改進版，強調(diào)任何防御都不是萬能的，存在被攻破的可能性。即每一個訪問流量都要經(jīng)過多層安全檢測，一定程度上增加安全檢測能力和被攻破的成本。新型安全防護體系一核心思想：多層防御新型安全防護體系Internet下一代防火墻NGFW網(wǎng)絡(luò)邊界區(qū)域核心交換機IDS威脅感知網(wǎng)絡(luò)層數(shù)據(jù)庫端服務(wù)器端DMZWEB服務(wù)器縱深防御體系的實現(xiàn)在Web領(lǐng)域至少會包含幾層:數(shù)據(jù)庫端、服務(wù)器端、網(wǎng)絡(luò)層、網(wǎng)絡(luò)邊界。優(yōu)點：缺點：每個產(chǎn)品功能定位清晰、允許不同品牌產(chǎn)品混用、攻擊成本較高、安全性較好各個產(chǎn)品之間缺乏協(xié)同機制檢測手段多是基于規(guī)則和黑白名單縱深防御拓撲新型安全防護體系新型安全防護體系二河防體系河防體系特點由騰訊lake2提出，通過把對手控制在一個可控范圍，再用豐富的資源將其打敗。核心思想:“控”，即隔離在可控范圍內(nèi)在具體的應(yīng)用中，需要在隔離的基礎(chǔ)上，嚴格控制辦公網(wǎng)對生產(chǎn)網(wǎng)絡(luò)的訪問，同時在對生產(chǎn)網(wǎng)內(nèi)部進行隔離的基礎(chǔ)上進行邊界防護及檢測。河防體系適合具有一定安全對抗能力的企業(yè)。新型安全防護體系新型安全防護體系三塔防體系塔防體系特點塔防體系本質(zhì)上也是縱深防御，不過優(yōu)于縱深防御的是強調(diào)了終端要納入安全防御網(wǎng)絡(luò)中，具有自我防御能力，并且有了云的管控能力和威脅情報數(shù)據(jù)。塔防體系也是當(dāng)前網(wǎng)絡(luò)安全行業(yè)各種態(tài)勢感知產(chǎn)品所參考的防御體系。新型安全防護體系下一代縱深防御特點：從傳統(tǒng)邊界防護過渡到新一代的基于預(yù)測、檢測、協(xié)同、防御、響應(yīng)、溯源理念的Web縱深防御。Web應(yīng)用防火墻（WAF）服務(wù)器安全防護（WAG）Web縱深防御系統(tǒng)-云端大腦Web高級威脅態(tài)勢感知（WAD）DDoS攻擊防護（ADS）惡意域名信息惡意攻擊設(shè)備惡意攻擊IP黑客組織新型安全防護體系四下一代縱深防御體系新型安全防護體系新型安全防護體系五零信任體系什么是零信任？零信任（ZeroTrust，ZT）提供了一系列概念和思想，在假定網(wǎng)絡(luò)環(huán)境已經(jīng)被攻陷的前提下，當(dāng)執(zhí)行信息系統(tǒng)和服務(wù)中的每次訪問請求時，降低其決策準確度的不確定性。零信任體系特點打破默認的“信任”，即“持續(xù)驗證，永不信任”。默認不信任企業(yè)網(wǎng)絡(luò)內(nèi)外的任何人、設(shè)備和系統(tǒng)，基于身份認證和授權(quán)重新構(gòu)建訪問控制的信任基礎(chǔ)，從而確保身份可信、設(shè)備可信、應(yīng)用可信和鏈路可信。新型安全防護體系04網(wǎng)絡(luò)安全防護技術(shù)介紹常見網(wǎng)絡(luò)安全防護技術(shù)網(wǎng)絡(luò)安全防護技術(shù)是指針對目標系統(tǒng)開展網(wǎng)絡(luò)安全建設(shè)、實施網(wǎng)絡(luò)安全保障的所有安全技術(shù)的總稱。其技術(shù)應(yīng)用一般以軟硬件的形態(tài)來具體實現(xiàn)。網(wǎng)絡(luò)安全防護技術(shù)傳統(tǒng)防護技術(shù)常見的傳統(tǒng)防護技術(shù)包括：邊界安全防護技術(shù)、應(yīng)用安全防護技術(shù)、數(shù)據(jù)安全防護技術(shù)、安全管理技術(shù)、安全檢測技術(shù)、終端安全防護技術(shù)等。網(wǎng)絡(luò)安全防護技術(shù)可以分類如下兩大類新型防護技術(shù)常見的新型防護技術(shù)包括：云安全防護技術(shù)、工業(yè)互聯(lián)網(wǎng)安全防護技術(shù)、物聯(lián)網(wǎng)安全防護技術(shù)、車聯(lián)網(wǎng)安全防護技術(shù)等。網(wǎng)絡(luò)安全防護技術(shù)發(fā)展現(xiàn)狀我國各行業(yè)網(wǎng)絡(luò)安全防護技術(shù)現(xiàn)狀目前的主流防護模式仍然是以部署安全設(shè)備為主的傳統(tǒng)邊界防護?，F(xiàn)狀一現(xiàn)狀二現(xiàn)狀三大多數(shù)企業(yè)缺乏縱深防御機制、未能構(gòu)建起以多層防護、多級保護為重要支撐的全方位安全保障體系，越來越難以應(yīng)對當(dāng)前不斷變化的安全攻防態(tài)勢?；诒粍拥陌踩烙?，缺乏靈活性，無自適應(yīng)與自發(fā)現(xiàn)的能力，難以應(yīng)對新型的網(wǎng)絡(luò)攻擊。零信任將成為數(shù)字時代主流的網(wǎng)絡(luò)安全架構(gòu)網(wǎng)絡(luò)安全防護技術(shù)發(fā)展方向未來網(wǎng)絡(luò)安全防護技術(shù)發(fā)展方向01.數(shù)字時代下，云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新興技術(shù)的融合與發(fā)展使得傳統(tǒng)邊界安全防護理念逐漸失效，而零信任安全建立以身份為中心進行動態(tài)訪問控制，必將成為數(shù)字時代下主流的網(wǎng)絡(luò)安全架構(gòu)。零信任是面向數(shù)字時代的新型安全防護理念，是一種以資源保護為核心的網(wǎng)絡(luò)安全范式。02.人工智能賦能網(wǎng)絡(luò)攻擊催生新型網(wǎng)絡(luò)空間安全威脅隨著人工智能技術(shù)的發(fā)展，攻擊者傾向于針對惡意代碼攻擊鏈的各個攻擊環(huán)節(jié)進行賦能，增強攻擊的精準性，提升攻擊的效率與成功率，有效突破網(wǎng)絡(luò)安全防護體系，對防御方造成重大損失。在惡意代碼生成構(gòu)建方面，深度學(xué)習(xí)賦能惡意代碼生成相較傳統(tǒng)的惡意代碼生成具有明顯優(yōu)勢，可大幅提升惡意代碼的免殺和生存能力。在惡意代碼攻擊釋放過程中，攻擊者可將深度學(xué)習(xí)模型作為實施攻擊的核心組件之一，利用深度學(xué)習(xí)中神經(jīng)網(wǎng)絡(luò)分類器的分類功能，對攻擊目標進行精準識別與打擊。網(wǎng)絡(luò)安全防護技術(shù)發(fā)展方向03.量子技術(shù)為網(wǎng)絡(luò)空間安全技術(shù)的發(fā)展注入新動力隨著量子技術(shù)的研究與發(fā)展，世界將會迎來巨大改變，但只要是新的技術(shù)出現(xiàn)，隨之而來的就是其安全問題，量子威脅就是其中一個。目前應(yīng)對量子威脅的方法主要集中在發(fā)展量子密碼和后量子密碼這兩方面，由于量子比特在傳輸過程中無法被準確復(fù)制，并且對發(fā)送量子態(tài)和接收量子態(tài)的比較，可以發(fā)現(xiàn)傳輸過程中是否存在的截取―測量等竊聽行為，進而