在近期召开的中国网络安全年会上,由启明星辰首席战略官潘柱廷主持的“事件追踪分论坛”现场讨论格外热烈,来自启明星辰等多家知名网络安全企业及研究机构的专家发表了主题演讲。启明星辰ADLab团队高级研究员甘杰详细解读了目前在黑客产业链中正肆虐泛滥的“多级黑雀攻击模式”,这是启明星辰ADLab团队长时间追踪发现的一种新型攻击模式,并首度提出“黑雀攻击”的概念。
如今,随着万物互联的深入发展,各类型的网络应用已密切融入到人们的工作、学习和生活中,而网络安全威胁更是无处不在且潜藏暗处,攻击手段日趋复杂,攻击破坏力越发惊人,对网络安全防护提出了更高的要求和挑战。
启明星辰ADLab高级研究员甘杰表示,如今“利用”的方式正在发生着进化,已经从技术的利用拓展到“黑产链条机制”的利用,比如某些攻击者在一些黑客不知情的情况下攻击黑客并且利用这些黑客的资源或者渠道来快速获取攻击成果,这种攻击方式可形象的比喻为“螳螂捕蝉,黑雀在后”。但基于启明星辰ADLab团队长时间的研究,发现目前的“黑雀攻击链条”已“不只黑雀在后”,在黑雀后面还有“大黑雀”。这一多层级的黑雀攻击模式,通过攻击和利用相结合,具有扩散性强、危害性大、隐蔽性好、攻击率高等特点。
甘杰举例表示,某Death僵尸网络受控于一个超级黑客——大黑雀,大黑雀掌控着70多个黑雀所控僵尸网络,最大的黑雀掌控着近300个螳螂僵尸网络,由此大黑雀总共控制着至少1000个多螳螂僵尸网络。可以说控制力非常惊人,而被掌控的僵尸网络也几乎覆盖了国内绝大多数的省市地区。那么针对越发严重的“多级黑雀攻击”模式,该采用什么样的应对方法呢?
潘柱廷指出,首先可以采用对抗方法,即直接对抗黑雀。比如,可以针对性地开展黑雀检测分析,不仅仅找螳螂,也有意识的找黑雀;可以对黑雀进行追根溯源,层层定位,精准打击;也可以通过打击螳螂来发现黑雀。其次,可以借用黑雀模式“以其人之道还治其人之身”。比如,我们可以有意识的成为黑雀,向对手控制范围内投放黑雀,做到“反间”;也可以通过这种无间道的方式,增加黑产的总体成本从而实现压制。
以“黑雀攻击链条模式”为鉴,潘柱廷表示,应对这种系统性、大范围的网络安全事件追踪,在解决方法上很多时候表现为一种“博弈”,是矛与盾的“思辨”。比如矛的优势在于单点突破即成功,在于时机的选择、有天时地利优势;但矛的劣势是因其是“一条线”,线中一点被掐即死。盾的优势是地利的占有和塔防的部署;但盾的劣势须“全面防御”,面中一点被突破即破。因此,在构建防御体系中,就需要充分发挥各自优势,规避短处,以做到有效防护。同时,还需要考虑“面向失效的设计”,比如强化主动性进攻防御、纵深防御等,最终使整体防护更加牢固。
不言而喻,对于整个网络安全领域来说,事件追踪的意义在于,既是对突发性网络安全事件应急响应之后的方法总结和调查延续,更是对各类型网络安全事件攻击手段的全面分析与防控建设。也就是说,事件追踪的成果有助于积累并建立起一套有效应对各类型网络安全事件的方法论,是一笔宝贵的经验财富。在如今网络安全威胁和风险日益加剧,并已向各个领域大面积渗透的严峻形势下,加强事件追踪成果的分享和经验的传递,对于在全局范围内增强网络安全防御能力、共筑网络安全防线无疑大有裨益。