原創 | 肖新光：能力型安全廠商在國家網路安全應急機制中的價值和使命

■ 安天科技首席架構師 肖新光大國的網路安全能力是由攻擊者和窺視者來檢驗的，這是行走在網路強國之路上的必須面對的現實、必須迎接的挑戰。必須擁有強大的國家網路安全整體應急機制，才能迎接這種挑戰，才能將這種挑戰轉化為自我能力完善的機遇。國家網路安全應急機制將國家網路安全相關能力單元串聯在一起，使之成為一個能力體系。6月1日剛剛實行的，中華人民共和國網路安全法第五十三條規定:「國家網信部門協調有關部門建立健全網路安全風險評估和應急工作機制，制定網路安全事件應急預案，並定期組織演練。」在網路安全國家應急機制的能力鏈條中，統籌協調機構、執法部門、國家應急機構和網路安全企業等社會力量扮演著各自不同的角色，而在網路安全企業中，一類新興力量正在發展和興起，他們被稱為能力型安全廠商。

能力型安全廠商致力於自主研發和技術創新，擁有獨特技術價值的核心技術，在安全威脅的感知、檢測、防禦、分析等方面的能力儲備，在態勢感知數據、分析數據方面的資源積累，均有自己的特色和特長。能力型安全廠商在為用戶服務、與威脅對抗的過程中，逐漸形成了解決用戶安全問題的堅定信仰，沉澱了對抗安全威脅的信念和勇氣，確立了安全廠商應具備的契約精神和價值觀。

在企業的技術能力縱深上，能力型安全廠商多數像一座冰山，面向客戶的產品與服務是其水面之上的部分，而後端的感知、自動化分析、知識與情報、團隊與流程構成了水面之下的部分。其支撐體系越強大、越系統化，其產品和服務就越堅實。

國際知名反病毒企業F-Secure在《如何理解下一代反病毒》（What『s The Deal With 「Next Gen」?）一文中指出：「我們每天接觸大約50萬個新樣本，為了將這些樣本分類並分析，我們已經在基礎設施、存儲和自動化方面投入大量資源。建設和完善基礎設施需要十幾年的時間。沒有這種基礎設施，以及對後端系統，樣本分析自動化，樣本存儲和分類方向的持續改進，我們根本無法在威脅演進面前保持領先地位。」可以說，類似後台支撐體系的建設是成為能力型安全廠商的規定動作和必備功課。

通過持續的基礎投入和建設，能力型安全廠商通過產品和服務，逐步在國家網路安全應急能力建設中扮演關鍵的角色。

在本次Wannacry（魔窟）蠕蟲的響應過程中，能力型安全廠商的價值凸顯。以安天、360企業安全為代表的能力型廠商，在有關部門的指導協調下，快速形成了威脅預警、專殺免疫工具、深度分析、數據恢復、數據解密、來源驗證的響應能力鏈，向部委、行業全面提供了快速工具分發和應急處置服務，發布的相關分析報告也為公眾了解威脅提供了有利的素材。

在這個過程中，有關部門組織安全廠商進行了快速的風險判斷，在病毒爆發的次日，做出了該病毒主要影響應位於內網體系的判斷。從本世紀初開始，網路安全應急協調機構和網路運營商，通過紅色代碼、震蕩波、衝擊波等蠕蟲的應急響應，已經形成了良好的快速反應能力，可以快速對本次蠕蟲傳播依賴的445埠進行屏蔽。因此，該病毒的公共傳播可以被較快遏制。而通過其已經感染的內部節點向內網擴散傳播，將是主要問題。由於病毒大規模爆發是星期五晚上，大量內網節點已經關機，其「連鎖災難」將可能於周一發生。因此，安天、360等廠商，經過協同分析，提出了周一「開機大考」這一概念，通過快速編寫發布「開機手冊」幫助用戶進行操作化處置。快速製作了專用處置光碟、處置U盤、內網處置專頁等工具，通過自身的客戶服務團隊和業務渠道，實現行業和區域覆蓋。為用戶度過「開機大考」，遏制「連鎖災難」做出了貢獻。

有效的態勢感知是網路安全應急的前導環節。習近平總書記在4.19網信工作會議講話中強調「維護網路安全，首先要知道風險在哪裡，是什麼樣的風險，什麼時候發生風險」，要求我們「全天候全方位感知網路安全態勢」。全天候即持續性的、不受干擾的，全方位就是無死角的。傳統物理空間可以通過雷達、紅外、電磁等方式進行測繪和覆蓋；但網路空間是一個複合化空間，單一的機構難以有效達成對威脅感知與分析的完整能力覆蓋。需要各方共同努力才能達成「全天候」與「全方位」。

從世界大國的感知能力體系建設來看，圍繞針對重點目標，特別是關鍵信息基礎設施，以工程體系的方式，實現網路出口流量檢測、重要節點監測，對網路入侵攻擊、惡意代碼傳播感染等進行檢測預警，形成了國家網路安全的基礎能力。這些工程體系中以美國的愛因斯坦計劃為代表。在具有前瞻性的工程架構和指標拉動下，美國的安全廠商為相關工程體系輸送了大量的基礎技術和能力手段，這些大工程既完善了美國面向關鍵信息基礎設施和關鍵部門的感知能力，也拉動了美國網路安全產業的發展。上述模式，是國家網路安全能力提升和網路安全產業發展相輔相成的一個成功示範。

同時，在與威脅對抗的發展演進中，網路安全的感知數據也在向互聯網企業和網路安全企業聚集。大量互聯網「免費」安全產品和客戶端，擁有數億規模的裝機量，形成了威脅情報大數據。能力型安全廠商也通過自身產品覆蓋和通過部署流量捕獲、蜜罐、誘餌信箱等手段，形成對安全威脅主動感知能力。這些感知體系為國家網路安全感知能力提供了有力的補充。

實現對信息系統的有效防護，可以提升網路攻擊的門檻，減小大規模網路安全事件的影響範圍，減緩高級持續性威脅對核心繫統的危害，降低網路安全事件應急成本。在今年2月17日的國家安全工作座談會上，習近平總書記指出「實現全天候全方位感知和有效防護」，對網路安全工作進一步提出了「有效防護」要求。

能力型安全企業在探索有效防護，價值輸出的實踐中，逐漸找到有效的工作方法。通過「滑動標尺」等安全模型，積極推動「架構安全」、「被動防禦」、「積極防禦」和「威脅情報」等多個安全能力層次的融合發展，使安全的能力層次構成一個有機的整體，網路安全規劃需要以合理的安全架構和可靠的被動防禦環節為基礎，並在其上疊加有效的積極防禦和威脅情報能力。如果沒有架構安全和被動防禦的基礎支撐，那麼積極防禦能力難以有效發揮；而如果沒有積極防禦和威脅情報的有效引入，僅靠基礎環節也無法有效的對抗深度的威脅。每個安全層次解決不同的問題，有不同的價值。從網路安全投入上看，越是網路建設初期越要先做好基礎的工作，而越是保障高價值的資產，就越需要在積極防禦和威脅情報層面做出投入延展。

在這種系統性認知下，能力型安全企業通過自身產品延展和彼此的互通融合，逐步形成了適應用戶場景，具有自身特色，同時又能兼容互動的產品服務解決方案。這些產品為關鍵信息基礎設施、行業機構等提供服務，構成了網路安全國家能力的基本支撐點。

能力型安全廠商積極主動應對國家行為體和其他組織圍繞「戰場預製」和「情報獲取」為目的，對發動的高級網路威脅攻擊。先後捕獲發現了「白象」、「海蓮花」、「曼玲花」等組織對的攻擊，並對「方程式」等組織的攻擊裝備進行了深度的系列分析。這些分析報告為有關部門研判對手的攻擊意圖，了解對手的攻擊能力手段和體系，提供了很好的支撐。同時，對部分國家所散布的「是網路安全天敵」、「西方國家是網路攻擊的主要受害者」等荒謬觀點，進行了有力地事實批駁。通過對對手行為進行曝光、公開，威懾了攻擊者，迫使對手進行能力回收，在一定時間範圍內達成了不戰而屈人之兵的目的。

在安全響應中，如果完全根據已經發生的安全事件甚至安全災難進行驅動，就會十分被動並消耗巨量成本。如果具備一定風險預判能力，未雨綢繆，則可以形成日常的預防和行動的預案，降低響應成本，提升響應質量。能力型安全廠商為保持產品與技術的先進性，必須對網路安全威脅進行持續的研究，形成有效的風險認知、趨勢判斷和對手畫像，這些工作，直接或間接支撐了國家網路安全應急體系中的預判能力。

例如，WannaCry勒索蠕蟲事件之所以帶來非常嚴重的後果和影響，是因為其將泄露的超級大國軍火級漏洞利用工具與勒索軟體這種高感知度的威脅模式做了結合，形成蠕蟲傳播。對於類似的風險，能力型廠商已經做了相應預判。

安天在2015年5月27日的公開報告中就已經指出，「鑒於網路攻擊技術所存在的極低的複製成本的特點，當前已經存在嚴峻的網路軍備擴散風險⋯⋯對於缺少足夠的安全預算、難以承擔更多安全成本的國家、行業和機構來說，會成為一場噩夢。」同時亦指出「在攻防兩端均擁有全球最頂級能力的超級大國，對於有效控制這種武器級攻擊手段的擴散，應該負起更多的責任。」

而在安天《2016年基礎威脅年報》中則指出「勒索模式帶動的蠕蟲的回潮不可避免。」這種對風險的預判，經過相關信息通報和專報通道，匯入到相關部門的威脅研判體系中，為威脅研判提供了有利的觀點預判和數據支撐。

具有產業報國理想，具有捍衛國家安全和保障用戶安全的立場、意願和能力的安全廠商，是網路安全產業中最重要的中堅力量，也是國家需要扶植髮展的產業力量。同時，能力越大，則責任越大。能力型安全廠商在自身成長的同時，必然會深度理解自身價值和在網路安全應急機制中擔負的使命，更好地承擔起自身的社會責任。（本文刊登於《信息安全》2017年第7期）