摘要: 作者:南京翰海源CEO 方兴(FlashSky) 版权申明:该文版权属于南京翰海源公司,任何人或单位、网站转载、引用都必须标记南京翰海源公司。否则视为侵权。 攻击者视角 攻击者为什么会发起攻击呢?不外乎利益与成本的驱动,攻击者的利益是什么呢?不外乎: ? 国家...
作者:南京翰海源CEO 方兴(FlashSky)
版权申明:该文版权属于南京翰海源公司,任何人或单位、网站转载、引用都必须标记南京翰海源公司。否则视为侵权。
攻击者视角
攻击者为什么会发起攻击呢?不外乎利益与成本的驱动,攻击者的利益是什么呢?不外乎:
? 国家利益(政治军事情报):不得不承认,随着IT系统的广泛部署和深入渗透,IT系统形成的数字空间有着巨大的国家利益存在。美国发布的网络空间行动战略(http://wenku.baidu.com/view/cad24e7c168884868762d6d4.html)将网络安全上升到国家安全,并将其列为陆海空太空之后的第五空间,成立网络战争司令部,部署攻击部队和防御部队(如果IT系统已经很安全,有必要吗?),下面是部分内容节选,翻译全文参考链接:
n 美国关键基础设施的安全和有效运作,依赖网络空间、工业控制系统和信息技术,但它们却极易遭到破坏和非法侵入。……,我们确信,大量针对国防部网络系统的恶意行动尚未被发现。
n 实施恶意网络行为的门槛低,其中包括黑客工具随处可得,意味着由个人或小团体组成的网络行为体一旦下定决心,可能会对美国防部与美国家和经济安全造成重大破坏。小型技术可产生与其规模不成比例的效果;潜在敌手不必因试图对美国家安全构成重大威胁而制造价值不菲的武器系统。
n 美国防部重点关注于网络威胁的诸多核心环节;这些环节包括外部威胁行为体、内部人员威胁、供应链脆弱性以及美国防部行动能力所面临的威胁。
n 软件与硬件在被整合为操作系统之前就有遭恶意篡改的风险。用于美国内的信息技术产品大多在国外生产与组装。国防部依赖国外生产与研发的信息产品,在有关设计、制造、服务、销售、使用等环节的风险管理上构成挑战。
n 将网络空间视为一个行动领域,则是国防部有关国家安全使命的关键性组织概念。这使国防部得以在网络空间进行组织、训练和装备,如同我们在陆、海、空、天所采取的行动,以支撑国家安全利益。
n 国防部长已将担负网络空间任务的职责赋予美军战略司令部、其他作战司令部以及各军事部门。
n 积极的网络防御要求美国防部能够同步、实时地发现、监测、分析,以及降低网络攻击威胁。
n 由于未必能阻止全部网络攻击,美国防部将继续改进其网络传感器,以监测和减轻针对美国防部网络系统的恶意行为。
n 加强国防部购买的所有软、硬件系统的安全措施,不允许留有能被渗透的漏洞,也不允许保留测试系统模型,这包括从改进核武器指挥控制系统,到更新文字处理软件。上述原则将成为国防部可信赖的防卫系统和供应链风险降低战略的一部分,
n 国防部将开发重新思考网络空间技术基础的革命性技术。为此,国防部将与处于领先地位的科研机构展开合作,以发展安全的、抵御恶意活动能力更强的新网络空间能力。
? 经济利益:这么多有价值的资产可以通过攻击获取,其间的经济利益不言自明。看下美国网络司令部在国会听证会上的数字空间导致的损失评估(http://www.fas.org/irp/congress/2012_cr/cispa.html?)是每年3000亿美金的损失,达到美国GDP的2%,这是什么概念?如果考虑IT资产在所有资产的比例情况,这个比例会是多大?如果我们的IT体系已经足够安全健壮,会是这样触目惊心吗?
? 心理利益:这个是比较少的情况,但不排除部分攻击技术技艺高超者为了显示自己的能力或报复社会,或者提出自己的政治观念而发起攻击,比如匿名者。
当然,攻击者不是没有成本的,主要成本有:
? 技术成本:发起攻击者需要付出技术的成本,包括漏洞挖掘成本、漏洞利用研究成本、安全防御技术对抗研究成本、木马或后门研发成本。如果是针对密码对抗,可能还有数学研究、加密破解计算的技术成本。
? 实施成本:信息收集成本、攻击实施成本、入侵控制与窃取实施与对抗成本。
? 时间与机会成本,暴露成本:攻击者如果入侵失败,或者入侵被发现,有时间与机会成本。同时可能防御者防御更严密,另外入侵被发现可能导致攻击者研究的0DAY漏洞、特种木马或苦心植入的后门被曝光。
? 附加成本:针对后门,可能会影响产品的稳定性与性能。
? 惩罚成本:如果后门被发现了,会影响商誉、导致产品被市场清除、被受害者追责。入侵被发现了可能会引来取证和法律外交追责。如果很容易检测取证追责体系有效,这个成本就很高。但是如果不容易检测,也难取证,就更难追责了,惩罚成本的风险较低,就难以通过惩罚成本阻吓攻击者。
? 心理成本:攻击者部分成员可能会有心理成本。
攻击者目前对抗的核心在哪里?
从美国暴露的损失来看,针对IT系统的攻击如此泛滥(当然很多IT领域的人觉得很安全,其实是很多事情没有曝光而已,借用美国NAS的前任局长的一句话:世界上只有2类人,一类知道自己被黑了,一类不知道自己被黑了,参考http://www.reuters.com/article/2013/05/16/us-cyber-summit-hackers-idUSBRE94F18620130516),但是从曝光的攻击案例中,大部分是针对程序实现安全漏洞和缺陷,配合木马发起的(后门由于在早期不留痕迹,而且很多类型后门无法指正,所有还没有确凿的案例),少量是针对密码实现过程的缺陷发起的(比如加密从数学上没问题,但实现时,真随机数如何产生?导致的CPU负载和时间会泄露信息,内存信息泄露,密钥使用存储等,这些地方都可以让理论完美的算法失效),极少有针对密码算法的缺陷发起的(我印象中中只知道一例,火焰病毒是利用了微软证书机制的碰撞算法弱点发起的,有其他案例的可以补充)。
从这些案例中可以看出,针对IT系统的控制层保护的缺失(后门控制、漏洞导致的失去控制、木马植入)以及实现(非安全设计、非安全开发、加密和认证算法实现缺陷)发起的攻击是目前攻击者核心关注的领域,针对加密算法数学层面的攻击,也是存在但比较少的,当然攻击拿到加密的东西通过破解算法或暴力计算来搞的很多。
