2018年安全的復雜與復雜的安全.pdf

1、安全的復雜與復雜的安全目錄從超級大國的一次攻擊行動的復盤談起從復雜的威脅到敵情想定網絡安全防御是復雜的系統性工作小結從超級大國的一次攻擊行動的復盤談起安天對超級大國網空攻擊能力的分析軌跡日期日期題目題目雜志2017年12月刊美國網絡空間攻擊與主動防御能力解析（一）概述篇雜志2018年1月刊美國網絡空間攻擊與主動防御能力解析（二）美國大型信號情報獲取項目雜志2018年2月刊美國網絡空間攻擊與主動防御能力解析（三）美國網絡空間安全主動防御體系雜志2018年3月刊美國網絡空間攻擊與主動防御能力解析（四）美國網絡空間進攻性能力支撐體系雜志2018年4月刊美國網絡空間攻擊與主動防御能力解析（五）美國網絡

2、空間攻擊裝備體系雜志2018年5月刊美國網絡空間攻擊與主動防御能力解析（六）用于突破物理隔離的網空攻擊裝備2010 分析起點難以對其具體攻擊行動的完整過程形成復盤，是此前分析工作的遺憾超級大國一次攻擊行動的完整可視化復盤Page 5攻擊EastNets所使用的網絡攻擊工具裝備名稱針對產品ZESTYLEAK針對Juniper防火墻的攻擊工具BARGLEE針對Juniper防火墻的攻擊工具BANANAGLEE一個用于植入CISCO ASA和PIX系列設備的非持續控制工具集合（只駐留于內存中，重啟后失效），目的是在獲取防火墻權限后，能夠實現對設備的控制。PITCHIMPAIRUnix后門工具INCI

3、SION具有Rootkit功能的后門工具FuzzBunchFB平臺是漏洞利用工具，可植入后門。DanderSpritzDS平臺是遠程控制程序的客戶端，可在被植入后門的機器上執行各種操作。ETERNALROMANCE永恒系列攻擊工具，ETERNALROMANCE(永恒浪漫)是影響Windows全平臺的SMBv1遠程代碼執行漏洞攻擊工具，受影響的系統為Windows XP,Vista,7,Windows Server 2003/2008/2008 R2等ETERNALCHAMPION永恒系列攻擊工具，ETERNALCHAMPION（永恒冠軍）是影響Windows的SMBv1遠程代碼執行漏洞攻擊工具

4、.受影響的系統為Windows Server 2008 SP1 x86等ETERNALSYNERGY永恒系列攻擊工具，ETERNALSYNERGY（永恒協作）是影響Windows的SMBv1遠程代碼執行漏洞攻擊工具.受影響的系統為Windows 8等ETERNALBLUE永恒系列攻擊工具，ETERNALSYNERGY（永恒之藍）是影響Windows的SMBv1遠程代碼執行漏洞攻擊工具.受影響的系統為Windows 7/8/XP等EXPLODINGCANEXPLODINGCAN（爆炸之罐）是IIS6.0 webDAV漏洞的攻擊工具。超級大國攻擊EastNets所使用的網絡攻擊工具及漏洞裝備名稱針

5、對產品ZESTYLEAK針對Juniper防火墻的攻擊工具BARGLEE針對Juniper防火墻的攻擊工具BANANAGLEE一個用于植入CISCO ASA和PIX系列設備的非持續控制工具集合（只駐留于內存中，重啟后失效），目的是在獲取防火墻權限后，能夠實現對設備的控制。PITCHIMPAIRUnix后門工具INCISION具有Rootkit功能的后門工具FuzzBunchFB平臺是漏洞利用工具，可植入后門。DanderSpritzDS平臺是遠程控制程序的作業端，可在被植入后門的機器上執行各種操作。ETERNALROMANCE永恒系列攻擊工具，ETERNALROMANCE(永恒浪漫)是影響Wi

6、ndows全平臺的SMBv1遠程代碼執行漏洞攻擊工具，受影響的系統為Windows XP,Vista,7,Windows Server 2003/2008/2008 R2等ETERNALCHAMPION永恒系列攻擊工具，ETERNALCHAMPION（永恒冠軍）是影響Windows的SMBv1遠程代碼執行漏洞攻擊工具.受影響的系統為Windows Server 2008 SP1 x86等ETERNALSYNERGY永恒系列攻擊工具，ETERNALSYNERGY（永恒協作）是影響Windows的SMBv1遠程代碼執行漏洞攻擊工具.受影響的系統為Windows 8等ETERNALBLUE永恒系列攻

7、擊工具，ETERNALSYNERGY（永恒之藍）是影響Windows的SMBv1遠程代碼執行漏洞攻擊工具.受影響的系統為Windows 7/8/XP等EXPLODINGCANEXPLODINGCAN（爆炸之罐）是IIS6.0 webDAV漏洞的攻擊工具。橫向移動0DAY漏洞利用工具集合在大工程系統的支持下形成攻擊作業能力美B2隱形轟炸機美軍防區外空地導彈美天基空間態勢感知體系端點惡意代碼和漏洞利用工具運載和中繼工具支撐工程體系超級大國全球監控項目（工程體系）支撐網空作業能力NSA全球監視項目/工程體系（部分）NSA網絡作業框架“湍流”及其子系統名稱監視對象作業方式主要系統“棱鏡”PRISM網絡

8、數據，與境外人士通信的美國公民的全球即時通信和資料供應鏈感染(與互聯網軟硬件供應商合作)XKEYSCORE“溯流”UPSTREAM通過骨干網絡光纜和交換機直接復制光信號，網絡數據供應鏈感染TUMULT“梯隊”ECHELON通信衛星傳輸的個人和商業通信（大規模監視）XKEYSCOREBLARNEY網絡內容數據（核擴散、反恐、經濟、軍事、政治等）及元數據全面收集&監視XKEYSCOREMAINWAYSKIDROWE衛星通信內容監視衛星通信TURNWEALTHY(信號獲取)XKEYSCORE“奔?！盉ULLRUN加密通信數據利用超級計算機，破解各種網絡安全協議GALLANTWAVEXKEYSCORE

9、TURMOILFAIRVIEW移動電話監視“商業合作”疑為AT&TMAINCORE針對外國手機用戶的大眾監視MYSTIC以反恐（阿富汗）為目標的語音攔截XKEYSCOREMUSCULAR海外竊聽谷歌和雅虎未加密的內部網絡TurmoilSENTRYEAGLE對手信號情報收集子系統名稱功能TUMULT中點主動采集系統.分流裝置（硬件）。不影響/作用于流量本身，僅僅是復制-轉發。TURMOIL全球信號情報（包括衛星、微波、有線通信信號）的被動收集機制，TURMOIL系統部署于互聯網骨干結點（路由器、服務器），對數據包進行攔截和分析。TURBINE任務邏輯（C2 結點）。深度包注入技術，用于植入自動

10、C2 軟件，有效創建由“政府控制的 botnet”。該系 統 位 居 被 動 采 集 系 統TURMOIL 與 Quantum 的主動攻擊機制之間，是二者之轉接器。QUANTUM網絡作業管理系統，即向互聯網側目標部署作業工具，或操縱已部署工具。部署于NSA內網，由TAO(定制訪問辦公室)遠程作業人員操縱，其作業能力覆蓋廣泛，包括域名系統（DNS）和HTTP注入式攻擊等多種網絡攻擊工具、數據庫注入工具、僵尸網絡控制工具等。TUTELAGE情報驅動的積極防御系統，采用深度包監測技術，能夠對惡意流量報警、阻斷、重定向等，部署于國防部網絡。XKEYSCORE能夠檢索數據庫中的信息，用于關鍵目標的定位L

11、ONGHAUL密碼服務系統，支持情報分析PRESSUREWAVE數據倉庫系統TRAFFICTHIEF針對高價值目標的近實時流量分析系統超級大國網絡空間進攻性能力體系NSA-TAO裝備表（部分）ANT待確定DEITYBOUNCEGECKO IIQUANTUMINSERTSHOTGIANTFOGGYBOTTOMIRATEMONKGODSURGEQUANTUMMUSHTUTELAGEQUANTUMSKYIRONCHEFROGUESAMURAIQUANTUMSPINVIEWPLATEQUANTUMDIRKJETPLOWPERFECT CITIZENSENTRY HAWKVOYEURQUANTUMDNS

12、SWAPPOPQUIZSHORTSHEETDUBMOATHAPPYHOURNIGHTSTAND(NS)CROSSBONESTEFLONDOORHANGARSURPLUSMIRRORGOPHERSETTUNINGFORKBANANAGLEEFESTIVEWRAPPERNIGHTSTAND(NS)MONKEYCALENDAR BLINDDATE(BD)DOGROUNDQUANTUMBOTWICKEDVICARNIGHTWATCHCRYPTICSENTINEL MISTYVEAL(MV)QUANTUMBOT2FLOCKFORWARDRAGEMASTERCUTEBOYODDJOBSTORMPIGQUA

13、NTUMSQUIRRELGOURMETTROUGHDARKHELMETWICKEDVICARSURPLUSHANGAR(SH)QUANTUMPHANTOMDEAD SEAZESTYLEAKWARNVULCANOFLASHHANDLE Mission Management(FMM)DNTHAMMERCHANTEPICBANANA(EPBA)ELIGIBLEBOMBSHELL FASHIONCLEFTHAMMERSTEINESCALATEPLOWMAN ELIGIBLECANDIDATEFOGYNULLHAPPYHOURSTUXNETELIGIBLECONTESTANTCASTLECRASHERN

14、OPENRETURNSPRINGEGREGIOUSBLUNDER情報流程收集處理&分析擴散&聚合定向騷 亂TUMULT 梯隊ECHELON花言巧語BLAENEY公正觀察FAIRVIEW星風STELLARWIND棱鏡PRISM核子NUCLEON主干道MAINWAY碼頭MARINA網空作業技術流程影響持續進程存在準備交互管理研究PERFECT CITIZEN傳輸QUANTUMDNSDUBMOAT監控分析利用環境塑造QUANTUMSQUIRRELQUANTUMPHANTOMPOPQUIZHAPPYHOURNIGHTSTAND QUANTUMINSERTQUANTUMMUSHQUANTUMSPINEP

15、ICBANANA安裝提權破壞STUXNETCROSSBONESC2GOURMETTROUGHQUANTUMBOTTUNINGFORKESCALATEPLOWMANELIGIBLECANDIDATEELIGIBLEBOMBSHELLIRATEMONKJETPLOWBANANAGLEEDOGROUNDQUANTUMSKYGOPHERSETFASHIONCLEFTNIGHTWATCHGEINE精靈持久化存在橫向擴散逃逸收集偵察星風梯隊修改完備的網絡空間進攻性能力支撐框架通過全球部署的被動收集系統Turmoil進行全球信號情報采集；利用主動收集系統Turbine對互聯網流量進行過濾，篩選出感興趣的流量

16、信息，并觸發指揮控制模塊；指揮控制模塊會將相關信息發送給TAO的節點，由TAO執行網絡攻擊。通過情報分析定位目標，使用“量子”對目標進行網絡攻擊；其中“量子之手”（QUANTUMHAND）主要針對的Facebook等可以識別身份的社交網站用戶，當目標訪問社交網站時，TURBINE系統可以先于真實的Facebook服務器給出反饋，發送誘騙數據包，將目標重定向至TAO的服務器，之后進行惡意代碼植入等攻擊。針對Facebook用戶的Man-on-the-side攻擊全球網絡地形繪制和目標尋址能力“湍流”是美國國家安全局（NSA）是 NSA 在 21 世 紀 信 號 情 報（SIGINT）任務的核心作

17、業框架，具有進攻性的網絡戰能力；其綜合考慮了感知獲取、作業層面和后端分析，構成了對可精確打點、具有較好隱蔽性和反溯源性的支撐?！靶秋L計劃”啟動于2004年，是美國政府秘密開展的大規模搜集情報監控信息的計劃。由于法律程序等敏感問題星風計劃被拆分為“棱鏡”(PRISM)、“主干道”(MAINWAY)、“碼頭”(MARINA)以及“核子”(NUCLEON)四大項目交由NSA掌管?！靶秋L”計劃示意圖全球網絡地形繪制、目標尋址和目標行為采集分析能力“棱鏡”(PRISM)“主干道”(MAINWAY)“碼頭”(MARINA)“核子”(NUCLEON)利用美國主要互聯網企業所提供的接口進行情報作業對通信元數據

18、進行搜集和分析對互聯網元數據進行搜集和分析截獲電話通話者對話內容及關鍵詞面對類似的網絡安全威脅我們必須考慮到的因素 高級威脅行為體有突破目標的堅定意志、充足資源、成本準備。并進行體系化的作業。任何單點環節均可能失陷或失效，包括網絡安全環節本身。信息系統規劃、實施、運維的全過程，都是攻擊者的攻擊時點。防御者所使用的所有產品和環節同樣是攻擊方可以獲得并測試的。攻擊者所使用的攻擊裝備有極大可能是“未知”的，這種未知是指其因在局部和全局條件下，對于防御方、和防御方的維護支撐力量（如網絡安全廠商）來說，是一個尚未獲取或至少不能辨識的威脅。從復雜的威脅到敵情想定DOS樣本早期木馬（以Back Orific

19、e）APT樣本（以方程式攻擊組織的DS為例）運行平臺DOS平臺Windows平臺全平臺樣本數量單一樣本單一樣本（少數帶有插件）樣本集合（集成化、模塊化）代碼行數幾十到幾百行5W-7W行左右百萬行函數調用網絡通信無多數為無加密通信多種方式加密通信開發者個人個人或民間小規模組織有充足成本支持的規模型組織命令與控制無簡單復雜操作界面無回連地址無需要感染節點能夠被控制端訪問到大量地址生命周期短幾周隱匿，長期控制控制方式無正向連接正向、反向、激活、近場控制等使用漏洞無幾乎沒有0day抗分析能力無相對比較簡單，易于分析高強度的本地加密，復雜的調用機制惡意代碼的復雜度增長惡意代碼的復雜度增長（續）APT（方

20、程式DS攻擊平臺）DOS病毒（Storm）Back_Orifice_2000分類/日期2000/10/24 2006/11/10 2012/11/27 2013/11/04Worm5128109354049435247Virus21006277602994030060Trojan30668481172620948423751HackTool2604968217502301076Spyware374899214570340751RiskWare088258002014012015/06/252018/09/041491371016742939729980328388252890061534931

21、548006223444013384458035145145801000000200000030000004000000500000060000007000000800000090000002000/10/242006/11/102012/11/272013/11/42000-2013惡意代碼的變種總量統計WormVirusTrojanHackToolSpywareRiskWare01000000200000030000004000000500000060000002015/6/252018/9/42015-2018惡意代碼的變種總量統計WormVirusTrojanHackToolSpywa

22、reRiskWare來源：Kapersky對應日期病毒名列表從觀測來看2014年，由于卡巴后臺分析與同源合并能力的增強，導致此后的數據度量衡發生了變化。因此無法連續統計。惡意代碼種類的發展變化分類/年份201020112012201320142015201620172018Trojan105856191344351168278152446540266679871747398785081259260840Virus246882509025927304963491537658395674062348065Worm1047314914203351728322088512409742552472618

23、43271410HackTool5043769010323207639257627328041342796356414372576RiskWare38876868970538226457698641942795007902246965398GrawWare3874573912736105309548852110294814363281898963224984602000000400000060000008000000100000002010201120122013201420152016201720182010-2018惡意代碼的變種總量統計TrojanVirusWormHackToolRis

24、kWareGrawWare來源：安天基礎樣本流水線的處理結果惡意代碼持續增長帶來的影響 軍火級惡意代碼失竊流失、商業軍火銷售、惡意代碼開源、對正常開源和免費工具的改造和利用。導致現有惡意代碼的威脅圖譜高度復雜。樣本自動化分析技術盡快已經十分普及，但分析大數據即是追蹤溯源的助力，也帶入大量干擾項。僵尸網絡為高級威脅帶來更多的可用資源，高級攻擊者可以直接劫持利用現有僵尸網絡。研發投入驅動綠斑組織的攻擊裝備的演進 綠斑組織在2007年前后自研能力有限，對開源和免費工具比較依賴，作業風格受到早期網絡滲透攻擊的風格影響較大。自2010年以后，該地區組織攻擊能力已經有所提升，善于改良1day利用，能夠對公

25、開的網絡攻擊程序進行定制修改，也出現了自研的網絡攻擊武器。2007-20102011-2017加速度：商業軍火帶來的演進PackagesHTML ApplicationJava ApplicationMS Office MacroPayload GeneratorUSB/CD AutoPlayWindows DropperWindows ExecutableWindows Executable(S)Web Drive-byManageAuto-Exploit ServerClient-side-AttacksClone SiteFirefox Add-on Attack中南半島某國的攻擊行為圖

26、譜公司/項目/機構職位時間Strategic cyber LLC創始者和負責人2012.1-至今特拉華州空軍國民警衛隊領導，傳統預備役2009-至今Cobalt strike項目負責人2011.11-2012.5TDI高級安全工程師2010.8-2011.6Automattic代碼Wrangler2009.7-2010.8Feedback Army,After the Deadline創始人2008.7-2009.11美國空軍研究實驗室系統工程師2006.4-2008.3美國空軍通信與信息 軍官2004.3-2008-3旋轉門型開發者研發“全?！惫羝脚_用于對中國攻擊影響網空戰略平衡沒有敵情想

27、定的網絡安全是注定無效的外部信息環境基礎電磁（信號）環境處于對手廣泛監聽關鍵鏈路設備被入侵和控制互聯網服務者、云和其他公共互聯網基礎設施供應商存在不可靠性社會關系所有關鍵系統的用戶多數都是互聯網用戶。所有社會關系可以從互聯網定位摸底。全民數據已經泄露。供應鏈上游研發、生產、場景均可被控制和入侵。物流倉儲不能保證可靠。運維、升級、更換等均不能保證可靠對外信息交換廣泛的信息交換必須發生威脅針對性的跟隨信息交換敵已在內內網已（將）被滲透，人員已（將）被策反，這是最基礎和核心的想定民間復合行為體傳統民間行為體對手：層次化的攻擊行為能力具有其自身戰略/利益意圖的作業方向敵情：真實極限化/的敵情想定網空斗

28、爭的特點國家/政經集團行為體從IAD的防御五條規則看美方的敵情想定Rule#1:They are going to get in.敵方將要進入我方內網Rule#2:Network defenders cannot change rule#1.網絡防御者不能改變第一條。Rule#3:They are already in.敵方已經進入我方內網Rule#4:Attacks will continue.攻擊將會持續進行Rule#5:Its going to get worse.情況會越來越糟IAD(Information Assurance Directorate，信息保護辦公室)NSA之盾。負責引

29、導各部門設計最先進的信息保障和網絡安全解決方案，以確保國家的核心任務環境免受任何以及所有不斷演變的威脅?！凹热痪W絡空間是我們保護信息的主要舞臺，我們正在努力塑造一個敏捷而安全的運營網絡環境，在那里我們可以成功地超越任何對手?！保↖AD官網）敵情想定是針對性的、具象的我方機構和行業領域敵方攻擊意圖攻擊目標和入口目前場景特點和缺陷*網竊取我方核心機密、干擾戰略性決策、長期持久化和預制、戰時毀癱供應鏈污染、物流劫持、組合攻擊、人員派駐發展、擺渡攻擊缺少系統性敵情分析，單點防護依然為主導，反特、保密和安全工作沒有有效整合。政務內網竊取我方秘密信息、干擾決策、長期持久化和預制、向更高目標擺渡、戰時毀癱供

30、應鏈污染、物流劫持、組合攻擊、人員派駐發展、擺渡攻擊檢測深度和防御縱深需要進一步提升，單點防護依然為主導政務外網竊取我方敏感信息、長期持久化和預制、向更高價值目標擺渡郵件、網站（水坑）等。檢測深度和防御縱深需要進一步提升，電子郵件威脅相對離散關鍵基礎設施獲取核心運行數據，干擾系統運行、破壞社會穩定外網暴露接口、離散戰、運行維護支撐環節、內部人員擴展等。主要依靠隔離防護，規劃體系不清晰，安全防護不足，大量核心節點裸奔。23幾個典型場景的基本敵情想定對比Page 24敵情想定是針對性的、具象的（續）我方機構和行業領域敵方攻擊意圖攻擊目標和入口目前場景特點和缺陷自主產品企業植入漏洞弱化我產品安全性;

31、獲取我方代碼和產品進行漏洞分析挖掘;竊取產品證書繞過白名單環境入侵、跳板攻擊、人員帶入等開發人員自身的安全能力和經驗不足；缺少有效的安全開發方法引入；缺少場景安全保障高科技企業獲取我方技術成果進行抄襲模仿；在商業競爭中獲取談判等優勢；在產品進行預制弱化下游環節安全互聯網側直接攻擊、基于上游供應鏈入口的攻擊等人員高度依賴互聯網，容易被從網上定位摸底，軍工企業、民參軍企業獲取裝備信息參數；借鑒模仿；弱化干擾我方武器能力，進行針對性對抗針對關鍵人員摸底的間接攻擊、人員帶入等較大比例是制造、電子、精密加工企業，網絡安全意識和投入不足高等院校、科研院所竊取我方科技成果；獲取我方重大工程項目進展；了解國防

32、和其他關聯領域情報互聯網入口；學術交流活動和等缺少持續性的安全防御投入和能力；依賴階段性的保密檢查推動安全改進；人員流動性較大。遙感測繪部門獲取我方基礎數據、干擾篡改測繪數據監聽還原信息傳輸、入侵存儲數據等以發展和效率為主導的思路，缺少總體安全觀的指導智囊機構獲取我方決策支持思路、社會工程；基于互聯網以郵件等入口直接攻擊等個人單點目標價值大、人員安全意識差、幾個典型的需要梳理敵情想定的攻擊場景幾個典型場景的基本敵情想定對比敵情想定是基于對手作業能力和機會窗口期的對位白象一代（2012）白象二代（2015）主要威脅目標巴基斯坦大面積的目標和中國的少數目標（如高等院校）以中國的大面積目標為主，包括

33、教育、軍事、科研、媒體等各種目標先導攻擊手段魚叉式釣魚郵件，含直接發送附件魚叉式釣魚郵件，發送帶有格式漏洞文檔的鏈接竊取的文件類型*.doc*.docx*.xls*.ppt*.pps*.pptx*.xlsx*.pdf*.doc*.docx*.xls*.ppt*.pptx*.xlsx*.pdf*.csv*.pst*.jpeg社會工程技巧PE雙擴展名、打開內嵌圖片，圖片偽造為軍事情報、法院判決書等，較為粗糙偽造相關軍事、政治信息，較為精細使用漏洞未見使用CVE-2014-4114CVE-2012-0158CVE-2015-1761二進制攻擊載荷開發編譯環境VC、VB、DEV C+、AutoITVi

34、sual C#、AutoIT二進制攻擊載荷加殼情況少數使用UPX不加殼數字簽名盜用/仿冒未見未見攻擊組織規模猜想1016人，水平參差不齊有較高攻擊能力的小分隊威脅后果判斷造成一定威脅后果可能造成嚴重后果 我們不只面臨風險，而是面臨后果。對手作業窗口遭遇未修復漏洞，要以對手已經利用漏洞完成植入為想定，形成深入排查和重新布防，而非簡單的漏洞修補。惡意代碼、僵尸網絡感染未及時處理，不是簡單的消殺，而是要基于已經被對手劫持控制利用來進行應對。信息化現狀的復雜性與攻擊機會窗口疊加是一個復雜問題A級漏洞Meltdown(熔毀)和Spectre(幽靈)的處置分析說明重大漏洞補丁處置極為復雜而攻擊時間窗口需要

35、深入分析推演網絡安全防御是復雜的系統性工作信息系統復雜性的滄海一粟：以PC發展為例年代CPU內存操作系統具體年份型號CPU主頻CPU位數晶體管數量制造工藝具體年份型號針腳單條容量運行頻率具體年份型號代碼行數1970-1980197880865MHz-10MHZ16位2.9萬3微米197980884.77MHz-8MHZ內部16位，外部8位2.9萬3微米1980-19901981DOS 1.0數千行（猜測）1982802866MHz-25MHz16位13.4萬1.5微米1984DOS 3.0N/A1982SIMM內存30pin256kN/A1985Win1.0N/A19858038612MHz-

36、40MHz32位27.5萬1微米-1.5微米1988SIMM內存72pin512KB-2MBN/A1987Win2.0N/A19898048616MHz-100MHz32位90萬/118.5萬0.6微米-1微米1990-20001993Intel Pentium50MHz-200MHz32位320萬0.6微米1991EDO DRAM72pin6M-16MN/A1990Win3.0N/A1995Pentium Pro150MHz-200MHz32位220萬0.355微米-0.5微米1992Win4.0N/A1997Intel Pentium MMX166MHz-300MHz32位450萬0.35

37、微米1993DOS 6.0N/A1997Intel PentiumII233MHz-450MHz32位750萬0.18微米-0.35微米1995Win95N/A1999Intel PentiumIII 450MHz-1.4GMHz32位950萬0.13微米-0.25微米1998Win981500萬2000-20102000Intel Pentium43.06GHz32位/64位5500萬0.18微米、0.13微米、0.09微米.65納米2000DDR1180pin128M-1G400MHz2000Win2000N/A2002Intel Pentium 4 HT3.2GHz-3.5GHz32位/

38、64位N/A90納米2002WinXP4000萬2003Intel Pentium M1.3GHz-1.6GHz32位7700萬90納米2003DDR2240pin256M-4G1066MHz2005Intel Pentium D 2.8GHz-3.2GHz32位/64位2.3億90納米2006Intel Core 2 Duo 2.2GHz32位/64位2.91億65納米、45納米2006Vista5000萬2008Intel Core i3/i5/i72.8GHz/3.46GHz32位/64位5.82億32納米、45納米2007DDR3240Pin512M-8G、16G1066MHz2009

39、Win75000萬2010-20182010第二代處理器（Sandy Bridge架構）2.4GHz-3.8GHz32位/64位11.6億32納米2012第三代處理器（Ivy Bridge架構）2.6GHz-3.9GHz32位/64位18.6億22納米2012Win85000萬2014第四代處理器（Haswell架構）2.8GHz-4.0GHz32位/64位14億+22納米2014DDR4284Pin4G、8G、162133MHz-4200MHz2015第五代處理器（Broadwell架構）3.1GHz-3.6GHz32位/64位19億14納米2015Win101億2016第六代處理器（Sky

40、lake架構）2.8GHz-4.0GHz32位/64位N/A14納米2017第七代處理器（Kaby Lake、Skylake-X架構）3.5GHz-4.2GHz32位/64位80億+14納米2018第八代處理器（CoffeeLake架構）2.8GHz-4.0GHz32位/64位N/A14納米復雜為攻擊攻擊帶來更多的機會 安天的工程師在這里只列舉了惡意代碼的加載機會，尚不包括主機系統的完整的可攻擊點。端點系統的復雜為攻擊者帶來了更多的機會，操作系統的代碼不只必然帶來更多的漏洞攻擊點，由于系統一方面需要提供更多便利性，同時需要兼容原有的應用、協議等，因此同樣帶來了大量可以被非法利用“合法”入口。而

41、安全需要在達成安全效果的同時，確保資產的可用性和可靠性 信息化建設是通過大量的充滿了“不確定性”和“隱形質量”的復雜端點系統和連接關系組成的。對于規?；男畔⑾到y來說，確保每個節點都絕對不失陷，顯然是不可能的。從習近平總書記4.19講話到4.20講話工作要求在不斷提升419樹立正確的網絡安全觀，加快構建關鍵信息基礎設施安全保障體系，全天候全方位感知網絡安全態勢，增強網絡安全防御能力和威懾能力217要筑牢網絡安全防線，提高網絡安全保障水平，強化關鍵信息基礎設施防護，加大核心技術研發力度和市場化引導，加強網絡安全預警監測，確保大數據安全，實現全天候全方位感知和有效防護。420要樹立正確的網絡安全觀

42、，加強信息基礎設施網絡安全防護，加強網絡安全信息系統統籌機制、手段、平臺建設，加強網絡安全事件應急指揮能力建設，積極發展網絡安全產業，做到關口前移，防患于未然。反對網絡防御的虛無主義 習近平總書記指出：“增強網絡安全防御能力和威懾能力。網絡安全的本質在對抗，對抗的本質在攻防兩端能力較量?！狈烙嵘龑κ止舫杀?，制約對手能力展開，干擾對手攻擊決策，削弱對手攻擊效果。國產信息化產品自主、先進、可控是網絡強國的基礎支撐，但其和網絡安全防護應是共同發展，相互促進關系。將供應鏈自主視為網絡安全工作前提的觀點，不符合客觀規律，導致了防御的虛無主義。防御工作需要直面當前全球信息技術供應鏈這一基本情況展開。鑒

43、于超級大國強大的場景預制能力和攻擊裝備的場景覆蓋能力，基礎信息化產品的研發、生產過程需要有高度的網絡安全防護保障，需要嚴格的遵循安全的規劃、設計框架進行設計，嚴格執行代碼安全的相關規范，系統建立其安全保障機制，實現全生命周期的安全管理。網空攻擊無核彈，防御無銀彈。我們需要避免防御上的虛無主義，避免神化對手和庸俗化對手，避免尋找永動機和銀彈。以體系化防御對決體系化的進攻 需要以體系化防御對決體系化的進攻是一個最基本的認識，防御無銀彈。本圖引自黃晟關于網絡縱深防御的思考從基礎結構安全到超越威脅情報的疊加演進基礎結構安全Architecture縱深防御Defense in Depth態勢感知與積極防

44、御SA&Active Defense威脅情報Intelligence攻擊與反制Counter疊加演進是安天從能力型安全廠商的公共安全模型滑動標尺演繹發展的一套模型，滑動標尺模型由SANS提出，由安天翻譯引入國內，并與國內能力型廠商約定為公共安全模型，參見：網絡安全滑動標尺模型從架構安全到超越威脅情報的疊加演進中文譯本，安天公益翻譯組翻譯。在信息系統建成后，進行的外掛式防御已經不能滿足需求，而是必須將網絡規劃為一個可防御網絡，而可防御網絡的前提是可管理網絡。要實現一個可管理網網絡，就必須在系統全生命周期遵從“三同步”原則，即在網絡的規劃設計階段建設實施階段運行維護階段都要考慮安全問題。動態綜合網

45、絡安全防御體系框架-結合面應用和數據層應用和數據層設備和計算層設備和計算層網絡和通信層網絡和通信層物理和環境層物理和環境層網絡安全防御能力深度結合在規劃以及后續項目方案設計的過程中，需要基于“面向失效的設計”原則，在構成信息系統的物理和環境、網絡和通信、設備和計算、應用和數據等各個層面實現與網絡安全防御能力的深度結合。動態綜合網絡安全防御體系框架-覆蓋面網絡安全防御能力全面覆蓋要將網絡安全防御能力部署到信息基礎設施和信息系統的“每一個角落”，力求全面覆蓋構成信息網絡的各個組成實體，包括桌面終端、服務器系統、通信鏈路、網絡設備、安全設備乃至人員等等，避免由于存在局部的安全盲區或者安全短板，而導致

46、整個網絡安全防御體系的失效。補丁驗證漏洞與補丁信息庫漏洞信息補丁信息【CVE編號】【名稱】【危害等級】【受影響產品列表】【APT 事件】【描述】【來源】【威脅類型】?【補丁編號】【名稱】【補丁等級】【發布時間】【補丁摘要】【補丁效果】【建議】【實體大小】【漏洞檢測規則】CNNVD CVE安天廠商修訂信息庫提供修復文件檢測依據端點漏洞檢測與補丁更新漏洞檢測【資產漏洞檢測】【檢測規則管理】【脆弱性評估】【漏洞信息匯聚】【態勢感知聯動】補丁更新【更新策略制定】【灰度更新】【虛擬補丁】補丁跟蹤【狀態跟蹤】【有效性驗證】【穩定性驗證】【留存跟蹤】異常處置【補丁回滾】【補丁卸載】補丁文件庫影子系統補丁文件

47、采集【文件采集】【文件導入】【文件存儲】補丁文件管理【文件查詢】【文件下載】【文件更新】【文件刪除】修訂信息庫修訂補丁驗證信息采集依據來源來源內部補丁升級設計的基本原理安全性驗證【數字簽名】【HASH定義】【下載源鏈接】【虛擬機環境】【物理機環境】驗證結果驗證文件復雜的基礎工作：以補丁升級為例（1）補丁升級不是所有節點連接到原廠自動下載升級。其必須考慮到。內部節點不能連接外網的情況。大量內部節點不能通過用戶交互打補丁的情況。一些補丁在安裝過程中必須操作交互的情況。部分節點為了保證業務連續性、系統的穩定性不能打補丁、或不能打所有補丁的情況。一些打補丁必須通過管理接口進行連接的情況?；叶炔呗砸患壒?/p>

48、作區二級工作區二級工作區三級工作區孤島區影子系統工作區外網補丁源補丁服務器 更新漏洞庫 獲取資產漏洞信息 獲取更新補丁 驗證更新補丁 補丁灰度驗證 補丁升級 管理更新補丁 漏洞信息回饋補丁更新流程 更新漏洞庫 獲取資產漏洞信息 獲取更新補丁 驗證更新補丁 補丁灰度驗證 補丁升級 管理更新補丁 漏洞信息回饋更新漏洞庫獲取資產漏洞信息獲取更新補驗證更新補丁虛線為補丁灰度策略補丁升級補丁終止與回滾補丁刪除漏洞信息回饋光盤升級復雜的基礎工作：以補丁升級為例（續）灰度策略：1%-10%-30%-10%單純性傳輸復雜的基礎工作：以系統加固（STIG標準）為例（1）操作系統類別及版本數量版本詳細情況加固項W

49、indowsWindows 2003(2)Windows 2003 Domain Controller Windows 2003 Member Server 286Windows 2008(2)Windows 2008 Domain Controller Windows 2008 Member Server 457Windows Vista(1)Windows Vista 251Windows XP(1)Windows XP 147Windows 7(1)Windows 7 295Win2003、2008、7 審計(4)Win2k3 AuditWin2k8 AuditWin2k8 R2 Aud

50、itWin7 Audit839Windows 8/8.1(2)Windows 8 Windows 8/8.1 773Windows 10(1)Windows 10 Windows Server 2008 R2 Domain Controller 280Windows Server 2008 R2(2)Windows Server 2008 R2 Member Server 612Windows Server 2012/2012 R2(6)Windows Server 2012/2012 R2 Domain Controller Windows Server 2012/2012 R2 Membe

51、r Server Windows Server 2012 Domain Controller Windows Server 2012 Member Server Windows Server 2012/2012 R2 Domain Controller Windows Server 2012/2012 R2 Member Server 2212Windows Server 2016(1)Windows Server 2016 275LinuxSUSE(1)SUSE Linux Enterprise Server v11 for System z550Red Hat Enterprise Lin

52、ux(3)Red Hat Enterprise Linux 5/6/71070SOLARISSOLARIS(6)SOLARIS 10 SPARC SECURITY TECHNICAL IMPLEMENTATION GUIDE2451AIXAIX(3)AIX 5.3 SECURITY TECHNICAL IMPLEMENTATION GUIDE1602Mac OS XApple OS X(7)Apple OS X 10.10(Yosemite)Workstation 1154z/OSz/OS(88)z/OS ACF2 1132移動Android 2.2(1)Android 2.2(Dell)50

53、Apple iOS(10)Apple iOS 11 453Windows Phone(1)Windows Phone 6.5(with Good Mobility Suite)9BlackBerry(23)BlackBerry 10 OS 700設備Cisco 網際操作系統(2)Cisco IOS XE Release 3 NDM 87操作系統加固項共1568515685個，覆蓋8大類系統，168個版本操作系統。應用和服務加固項主要有42454245個，主要覆蓋5大類應用和服務。廠商類別和版本數量版本詳細情況加固項Microsoft Windows DNS(1)Windows DNS29Win

54、dows Defender Antivirus(1)Windows Defender Antivirus 38Windows Firewall(1)Windows Firewall with Advanced Security 21Windows PAW(1)Windows Firewall with Advanced Security 24IIS(5)IIS 7.0 WEB SERVER IIS 7.0 WEB SITE IIS 8.5 Server IIS 8.5 Site IIS6 Server24Microsoft Dot Net Framework(1)Microsoft Dot N

55、et Framework 4.0 15Microsoft IE(5)Internet Explorer 6/7/8/9/10 98Microsoft Outlook(5)Microsoft Outlook 2003/2007/2010/2013/2016 9Microsoft PowerPoint(5)Microsoft PowerPoint 2003/2007/2010/2013/20166Microsoft Visio(2)Microsoft Visio 2013/201613Microsoft Word(5)Microsoft Word 2003/2007/2010/2013/20166

56、Microsoft Excel(5)Microsoft Excel 2003/2007/2010/2013/20166Microsoft SQL Server(8)MS SQL Server 2014 Database 42Microsoft Exchange(13)Microsoft Exchange 2010 Client Access Server Role 33Microsoft Access(5)Microsoft Access 2003/2007/2010/2013/2016 6Microsoft Groove(1)Microsoft Groove 201310Microsoft

57、InfoPath(4)Microsoft InfoPath 2003/2007/2010/20135Microsoft Lync(1)Microsoft Lync 20133Microsoft Office System(4)Microsoft Office System 2007/2010/2013/2016 35Microsoft OneDrive(1)Microsoft OneDrive for Business 2016 13Microsoft OneNote(3)Microsoft OneNote 2010/2013/201611Microsoft Skype(1)Microsoft

58、 Skype for Business 2016 3Microsoft Publisher(3)Microsoft Publisher 2010/2013/201616Microsoft Project(3)Microsoft Project 2010/2013/201612JavaJava Runtime Environment(JRE)(15)Java Runtime Environment(JRE)6 for Win79GoogleGoogle Chrome(6)Google Chrome Browser 33APACHE APACHE(10)APACHE 2.2 SERVER for

59、Windows 56AdobeAdobe Acrobat(3)Adobe Acrobat Pro XI 26復雜的基礎工作：以系統加固為例（2）配置要求相關屬性啟用后系統和應用獲得的安全增益對系統和應用穩定性或可用性的影響必須禁用Windows安裝程序總是安裝具有提升權限性質的程序。版本：WINCC-000001規則ID：SV-46220r1_rule重要程度：高標準用戶帳號不被授予特權。安裝應用程序時如果不禁用Windows特權可以允許惡意人員和應用程序獲得系統的全部控制權。禁用默認以高特權進行安裝策略時，在安裝一些應用服務時，可能會出現安裝失敗或者安裝完成時一些服務無法啟動的情況。禁止關閉

60、資源管理器的數據執行保護-對所有程序應用數據執行保護（DEP）。版本：5.285規則ID：SV-32465r1_rule重要程度：中防止一些惡意程序通過溢出等手段對系統進行攻擊，當出現緩沖區溢出的時候，DEP將被自動激活并對系統起保護作用。導致一些沒有通過DEP兼容性測試的正常軟件無法執行，尤其是一些用戶自研的業務系統（應用范圍窄，測試不充分）。提升LAN管理器身份驗證級別，僅發送NTLMv2響應。版本：3.031規則ID：SV-32300r1_rule重要程度：高限定了協議來源，提升了系統安全性，該驗證級別一共6級，包括LM、NTLM和NTLMv2等組合。用戶需要根據自己的系統情況選擇對應級

61、別。貿然按照STIG給定的級別進行設置，會導致不支持 NTLMv2 身份驗證的客戶端設備無法在域中進行身份驗證，并且無法使用 LM 和 NTLM 訪問域資源。必須對必要的服務持續維護記錄，以確定系統是否具有額外的、不必要的服務，以SMB服務為例。版本：WN12-GE-000021規則ID：SV-52218r2_rule重要程度：中不必要的服務增加了系統的攻擊面。關閉服務可以阻止入侵者獲得系統許可，關閉SMB服務，可防范類似魔窟（WannaCry）這樣的惡意代碼通過永恒之藍漏洞進行大面積傳播。關閉SMB服務會導致依賴共享服務以及遠程打印服務的業務系統無法正常運行，例如無法使用企業文件存儲、網絡打

62、印機等，造成用戶日常工作的不便，?？偨Y 信息系統是復雜系統：1995年，錢學森院士指出“信息網絡加用戶將構成一個開放的復雜巨系統?！卞X老當時并未說明“信息網絡”是指整個的全球網絡體系，還是單一信息網絡。從目前的情況來看，對于達到一定規模的重要信息系統和關鍵信息基礎設施來說，其都已經是一個復雜巨系統。將信息系統的復雜性作為網絡安全防御工作必須深入研究和考慮前提，總體上是網絡安全界的一個共性認知，但在一些具體的工作中我們往往缺少應有的嚴謹與敬畏。網絡空間敵情是高度嚴峻復雜的，認知敵情是復雜艱巨的工作。通過單點風險防控環節和產品堆砌方式形成的防護，無法應對敵情，導致無效投入。在大國博弈和地緣安全的背景下，細化、具象化每個重要信息系統和關鍵信息設施面臨的敵情想定，是必須完成的工作；并應將有效應對“敵情想定”作為重要信息系統和關鍵基礎設施的的能力要求。網絡安全防御工作是高度復雜的工作，也是需要由大量扎實演進的基礎環節、基礎能力支撐的工作，網絡安全企業、網絡安全工作者，需要融入到信息系統的規劃、建設和運維中去，在可管理網絡的基礎上，建設可防御的網絡，推動從基礎結構安全、縱深防御、態勢感知與主動防御到威脅情報的整體疊加演進。在網絡安全體系建設實施的過程中，必須在投資預算和資源配備等方面予以充分保障，以確保將“關口前移”要求落到實處，在此基礎上進一步建設實現有效的態勢感知體系。謝 謝謝 謝