26日，武漢市應(yīng)急管理局地震監(jiān)測中心報警稱，該中心發(fā)現(xiàn)部分地震速報數(shù)據(jù)前端臺站采集點網(wǎng)絡(luò)設(shè)備被植入后門程序，武漢市公安局江漢分局隨即對此案立案偵查，初步判定，此事件為境外具有政府背景的黑客組織和不法分子發(fā)起的網(wǎng)絡(luò)攻擊行為。

此次網(wǎng)絡(luò)攻擊案件背后目的是什么，取得了哪些新進展？被攻擊單位從“被動”到“主動”式發(fā)布又釋放了怎樣的信息？對此，《環(huán)球時報》獨家采訪360集團創(chuàng)始人周鴻祎，他表示，無論是西工大還是武漢應(yīng)急管理局面對國家級黑客攻擊敢于正視的行動都為發(fā)現(xiàn)、阻止國家級大規(guī)模網(wǎng)絡(luò)攻擊創(chuàng)造了重要機會，意義重大，值得被肯定。

環(huán)球時報：針對武漢市應(yīng)急管理局地震監(jiān)測中心被攻擊事件，國家計算機病毒應(yīng)急處理中心和360公司組成的聯(lián)合調(diào)查組是否有新的發(fā)現(xiàn)？

周鴻祎：目前，國家計算機病毒應(yīng)急處理中心和360公司組成的專家已赴武漢開展取證工作，初步證據(jù)顯示，此次對武漢市地震監(jiān)測中心實施的網(wǎng)絡(luò)攻擊目的是竊取地質(zhì)數(shù)據(jù)。地質(zhì)信息與作戰(zhàn)地形息息相關(guān)，一旦被竊取并與軍事活動關(guān)聯(lián)后患無窮。

環(huán)球時報：我們注意到，無論是去年的西北工業(yè)大學(xué)還是武漢市應(yīng)急管理局地震監(jiān)測中心，都主動對外界發(fā)布了《公開聲明》稱其遭受境外網(wǎng)絡(luò)攻擊，并向公安局報警。對于被攻擊單位“主動”式發(fā)布的處理方式，您如何評價？

周鴻祎：毫無疑問，這種行為值得高度肯定。面對國家級APT組織攻擊，需要政府、企業(yè)、安全廠商、組織機構(gòu)等多方的協(xié)同參與，形成強大的合力來共同應(yīng)對。但在實際工作中由于很多涉事單位因為“害怕?lián)?zé)”，導(dǎo)致APT排查面臨巨大阻力，造成APT調(diào)查分析不全面、不徹底，對國家應(yīng)對APT攻擊極為不利。

因此無論是之前的西工大事件還是本次武漢應(yīng)急管理局事件，面對國家級黑客攻擊敢于正視的行動為我們發(fā)現(xiàn)、阻止國家級大規(guī)模網(wǎng)絡(luò)攻擊創(chuàng)造了重要機會。通過對境外網(wǎng)絡(luò)攻擊的全盤揭露，無論對維護本國網(wǎng)絡(luò)空間國家利益，還是保障全球網(wǎng)絡(luò)空間和平與安全角度，意義重大，值得被肯定與借鑒。

環(huán)球時報：這種“害怕?lián)?zé)”的涉事單位帶來哪些阻力？

周鴻祎：首先是“門難進”。360利用全網(wǎng)安全大數(shù)據(jù)可以定位出受APT攻擊的具體受害單位，但是在上門排查時經(jīng)常被以“無官方授權(quán)”的理由拒之門外。其次是“不配合”，受害單位以各種理由不提供排查所需要的安全日志、網(wǎng)絡(luò)數(shù)據(jù)。第三是“不承認(rèn)”，對受APT攻擊的事實拒不承認(rèn)，甚至可能刪除相關(guān)日志記錄，導(dǎo)致失去APT攻擊分析取證的重要線索。

環(huán)球時報：當(dāng)下，國家級APT組織針對我國關(guān)鍵基礎(chǔ)設(shè)施發(fā)起網(wǎng)絡(luò)攻擊呈現(xiàn)出哪些特點？

周鴻祎：國家級APT組織往往針對我國政府、行業(yè)龍頭企業(yè)、大學(xué)、醫(yī)療機構(gòu)、科研單位等進行網(wǎng)絡(luò)攻擊行動，實現(xiàn)竊取數(shù)據(jù)、情報、破壞等多種目的，其最大的挑戰(zhàn)是“看不見”。

APT攻擊具有六大特點：一、攻擊者通常是專業(yè)黑客組織或國家級網(wǎng)軍，具備國家級能力和資源；二、普遍使用未知安全漏洞等攻擊手段，難以設(shè)防；三、攻擊是一個持續(xù)不斷的過程，通過網(wǎng)絡(luò)上多個節(jié)點作為跳板層層滲透，形成很長的攻擊鏈條；四、長期潛伏滲透，潛伏時間或超過十余年，隱蔽性強；五、攻擊工具武器化，360曾在調(diào)查西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊行動中發(fā)現(xiàn)，NSA先后使用了41種專用網(wǎng)絡(luò)攻擊武器裝備；六、網(wǎng)絡(luò)攻擊行為呈現(xiàn)自動化、體系化和智能化的特征，各種攻擊手法前后呼應(yīng)、環(huán)環(huán)相扣。

環(huán)球時報：網(wǎng)絡(luò)空間正在演變?yōu)閲H博弈主戰(zhàn)場，尤其是在俄烏沖突中，網(wǎng)絡(luò)戰(zhàn)從暗處走向前臺，俄烏雙方均遭受了持續(xù)、系統(tǒng)的網(wǎng)絡(luò)攻擊。請問，網(wǎng)絡(luò)戰(zhàn)呈現(xiàn)出哪些特點。

周鴻祎：當(dāng)前，國際形勢復(fù)雜動蕩，伴隨著大國博弈的加劇，網(wǎng)絡(luò)空間的軍事化進程也明顯加快，網(wǎng)絡(luò)戰(zhàn)被越來越多的國家或力量當(dāng)作攻擊他國的“利器”，網(wǎng)絡(luò)空間的安全威脅更具殺傷性和破壞力。在我們多年對網(wǎng)絡(luò)戰(zhàn)的跟蹤研究中可以發(fā)現(xiàn)，與其他戰(zhàn)爭模式不同，網(wǎng)絡(luò)戰(zhàn)不分戰(zhàn)時和平時，隨時可以發(fā)動攻擊，而其也已經(jīng)成為戰(zhàn)爭首選，成本低，效果好，烈度可控，連反擊都不知道找誰反擊。

環(huán)球時報：針對網(wǎng)絡(luò)戰(zhàn)呈現(xiàn)出的特點，我國政企單位的自身防御能力是否足夠？

周鴻祎：城市、企業(yè)、政府作為數(shù)字化的核心場景，面臨內(nèi)外部雙重挑戰(zhàn)，風(fēng)險遍布數(shù)字化所有場景。由于APT攻擊難以被看見，傳統(tǒng)“產(chǎn)品堆砌、忽視運營和專家”的網(wǎng)絡(luò)安全防護手段無法做到有效攔截，只能掩耳盜鈴，追求“零事故”自欺欺人。造成事實上的“沒有攻不破的網(wǎng)絡(luò)”和“敵已在我”，也看不見、防不住、管不了。

環(huán)球時報：面對強大的攻擊和當(dāng)下一些不夠有效的方法，如何高效率構(gòu)建實戰(zhàn)化安全防御體系，快速獲得安全能力？

周鴻祎：首先，我們需要建設(shè)安全大數(shù)據(jù)，建立全網(wǎng)安全事件檔案，幫助用戶對威脅攻擊有所防備。安全大數(shù)據(jù)、情報、知識是尋找捕捉網(wǎng)絡(luò)攻擊蛛絲馬跡的基礎(chǔ)與關(guān)鍵，政企單位需要建立全網(wǎng)動態(tài)安全事件檔案庫，以更高的全局視野“看見”行業(yè)威脅情報，掌握全網(wǎng)安全態(tài)勢。其中終端數(shù)據(jù)尤為重要，80%的APT攻擊針對終端環(huán)境，終端是看見威脅的“眼睛”。

其次，需要提前布防，快速、及時發(fā)現(xiàn)安全線索，實現(xiàn)安全威脅早期發(fā)現(xiàn)、早期處置、早期止損。

第三，需要有AI技術(shù)提升自動化和智能化水平。為了進一步提升效率，我們需要應(yīng)用人工智能技術(shù)提升自動化分析水平，對海量安全事件實現(xiàn)自動化分析、篩選和關(guān)聯(lián)，快速發(fā)現(xiàn)攻擊線索并采取自動響應(yīng)，提升安全防御效率。

第四，需要有具備豐富的安全實戰(zhàn)對抗經(jīng)驗的專家。我們需要組建一支漏洞挖掘、威脅檢測、情報分析等各相關(guān)專業(yè)組成的多層級專家團隊，具備與各國網(wǎng)軍、黑產(chǎn)集團常年作戰(zhàn)經(jīng)驗，進行7X24小時不間斷的持續(xù)發(fā)現(xiàn)、分析、響應(yīng)、處置。

第五，要實現(xiàn)大數(shù)據(jù)分析、指揮管控、專家協(xié)同運營，需要一個具備強大全局能力的安全運營平臺，支撐安全運營生命周期的全過程。通過自動化響應(yīng)處置和安全專家判斷相結(jié)合，建立快速響應(yīng)處置能力、搭建響應(yīng)處置平臺、接入安全分析結(jié)果、聯(lián)動安全設(shè)備，在安全事件發(fā)生后及時控制攻擊局勢、恢復(fù)受損系統(tǒng)，實現(xiàn)快速響應(yīng)。

環(huán)球時報：一方面，網(wǎng)絡(luò)空間已經(jīng)成為大國競爭和地緣對抗的主戰(zhàn)場，網(wǎng)絡(luò)安全已經(jīng)從某個特定領(lǐng)域的問題演變成關(guān)乎全局的重大問題。另一方面在我國的政企單位中有存在一些不符合時代發(fā)展的觀念，比如您提及的“不配合”“不承認(rèn)”的做法。面對這種矛盾，您有什么建議嗎？

周鴻祎：一是國家相關(guān)部門建立APT攻擊免責(zé)機制，并對主動報送重要線索的行為予以獎勵。APT攻擊不同于一般的網(wǎng)絡(luò)安全事件，已經(jīng)超出政企單位自身的安全防護能力，因此政企單位不應(yīng)被視為責(zé)任方，而是受害者。建議有關(guān)部門明確規(guī)定，在政企單位達(dá)到國家網(wǎng)絡(luò)安全法律法規(guī)相關(guān)要求的前提下，不予追究其受到APT攻擊的網(wǎng)絡(luò)安全責(zé)任，同時獎勵受攻擊單位及時報送APT攻擊線索，變責(zé)任追究為正向引導(dǎo)。

二是引導(dǎo)關(guān)鍵基礎(chǔ)設(shè)施單位、重要敏感單位與有能力的網(wǎng)絡(luò)安全企業(yè)主動合作開展APT排查工作。建議有關(guān)部門建立APT排查的工作機制，引導(dǎo)關(guān)鍵基礎(chǔ)設(shè)施單位、重要敏感單位（黨政、國防、軍工、尖端科研單位等）與有能力的網(wǎng)絡(luò)安全企業(yè)主動合作，排查自身APT攻擊線索和安全隱患。對發(fā)現(xiàn)的APT攻擊線索及時報送主管部門開展分析研判，并進行全網(wǎng)清查，確保已潛伏在內(nèi)的APT得到及時、全面、深度清除，扭轉(zhuǎn)“敵已在我”的被動形勢。

https://mp.weixin.qq.com/s/VKP4-RB7QMyOFKXP13_r0g