1.3 网络空间安全发展态势

第3节网络空间安全发展态势第1章目

录01网络空间安全发展现状02网络攻击手段的变化03网络安全防护体系的变化04网络安全防护技术介绍01网络安全挑战和机遇我国网络空间安全发展成就党的十八大以来，我国网络安全顶层设计和总体布局不断强化，网络安全“四梁八柱”基本确立。从个人信息保护到关键信息基础设施安全保护，从网络安全审查到大数据安全管理，一批涵盖网络安全各个领域的重要制度相继建立并不断完善。主要体现在以下几个方面：成就综述12354法治思维贯穿网络安全工作的始终网络安全国家标准体系日益完善网络安全应急能力建设不断加强进一步健全了网络安全审查制度进一步健全了云计算服务安全评估制度我国网络空间安全问题现状虽然我国在信息安全建设、信息安全监管与保障上取得了瞩目的成绩，但是目前网络空间的安全形势依然较为严峻。总体体现在以下几个方面：网络安全形势依然严峻12345678缓冲区溢出攻击威胁日益增长社会工程学攻击常态化移动互联网成为攻击重灾区工业控制系统安全威胁凸显软硬件协同攻击普通化现有防御手段难以阻挡新型攻击网络安全法律法规体系不完善APT攻击呈现新的态势缓冲区溢出攻击威胁日益增长绝大多数的远程网络攻击均为缓冲区溢出漏洞攻击，这种攻击可以使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权，缓冲区溢出攻击成为一类极其严重的安全威胁。2014年，“心脏滴血(HeartBleed)”漏洞2017年，NTP缓冲区溢出漏洞(CVE-2017-6458)2021年，Sudo堆缓冲区溢出漏洞(CVE-2021-3156)著名缓冲区溢出漏洞攻击案例APT攻击呈现新的态势2010年，震网病毒StuxnetAPT攻击2016年，APT28RoskosmosAPT攻击2018年，蔓灵花APT组织针对多国APT攻击事件APT攻击的趋势什么是APT攻击？APT攻击（AdvancedPersistentThreat，高级持续性威胁）是利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击，从确定攻击目标到攻击成功的时间，可能是数个月或长达数年。1.单次攻击的目标数量减少2.恶意软件生命周期缩短3.“持久”比“高级”重要4.最大限度地减少恶意基础设施的使用常见国内外重大APT攻击事件社会工程学攻击常态化人肉搜索、社工定位网络钓鱼、信息诈骗信息套取、假冒身份什么是社会工程学攻击？社会工程学(SocialEngineering)是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理缺陷进行诸如欺骗、伤害等的攻击手段。社会工程学攻击是一种利用"社会工程学"来实施的攻击行为。常见社会工程学应用场景移动互联网成为攻击重灾区随着移动互联网发展应用，针对移动终端的攻击越来越频繁。移动终端安全威胁手段分布移动终端恶意程序数量统计因手机随意安装来历不明的恶意软件，最终被攻击窃取通话记录、短信等敏感信息。移动终端入侵攻击案例通话记录短信记录移动互联网成为攻击重灾区STEP2STEP1注：有关于微信数据分析的详细操作步骤，请参阅第一章/利用流量分析工具分析微信数据.mp4移动终端微信数据分析案例分析步骤连接无线热点配置抓包工具并访问微信公众号STEP3抓取微信公众号数据STEP4分析微信公众号数据移动互联网成为攻击重灾区工业控制系统安全威胁凸显2020年4月，以色列供水部门工控设施遭到网络攻击；2020年5月，委内瑞拉国家电网工控设施遭到攻击，造成全国大面积停电。简单工业控制系统拓扑什么是工业控制系统？工业控制系统是指由计算机与工业过程控制部件组成的自动控制系统。工业控制系统安全威胁系统相关的威胁

系统软件漏洞的攻击威胁。过程相关的威胁

工业控制系统在生产过程遭受的攻击。国内外重大工控系统网络攻击事件软硬件协同攻击普通化随着大规模集成电路的发展，百亿级晶体管时代已经到来，在这些集成电路中很容易布设陷阱且难以发现，物理域的解析或辨识目前几乎毫无办法，这种软硬件协同的网络攻击方式将会越来越常见。在设备生产时创建隐藏的超级管理员账号，而且此账号其余用户不可见。后续在硬件部署后，可通过网络操控服务器中的内容。一些网络设备或服务器设备生产商，会在设备生产时，加入恶意攻击代码或“后门”。例如现有防御手段难以阻挡新型攻击现有防御手段现有防御手段主要以防病毒、防火墙、入侵检测系统的传统“老三样”来抵挡外来攻击，但这类防御方式难以应对人为攻击，且容易被攻击者所利用。安装了防火墙，但是无法避免垃圾邮件、病毒传播以及拒绝服务等攻击。例如网络安全法律法规体系不完善我国法律法规建设情况我国建立法律法规标准规范的多维体系根基：《网络安全法》。建立与《网络安全法》相配套的网络安全国家的标准体系：《密码法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》、《网络安全等级保护制度》等。目前存在的问题法律法规之间有内容重复交叉，同一行为有多个行政处罚主体，处罚幅度不一致；法律法规建设跟不上信息技术发展的需要。案例一

2018年韩国平昌冬奥会的非关键计算机系统，遭到名为OlympicDestroyer恶意软件的攻击，导致奥运会的网站服务器宕机和网络中断，用户无法正常在线打印门票。卡巴斯基将该事件背后的攻击组织命名为Hades。案例二

2018年5月，Cisco的网络安全研究部门Talos披露了一起针对IOT设备的攻击事件，该事件影响了至少全球54个国家和地区的50万台设备，包括常用的小型路由器型号、NAS设备等。安全员分析为一段叫VPNFilter的恶意代码被制作成包含复杂而丰富的功能模块，实现多阶段的攻击利用。1、上述两则案例属于什么攻击类型？2、为什么会出现这种类型的攻击？案例分析02网络攻击手段的变化传统的网络攻击手段踩点：搜索引擎、域名查询、whois扫描：IP/端口扫描、OS/应用系统探测提权：破解密码、各种注入、漏洞利用破坏：上传病毒木马、修改网页、窃取信息后门：创建账号、安装监控、销毁痕迹STEP1STEP2STEP3STEP4STEP5传统网络攻击流程：“黑客攻击五部曲”传统网络攻击手段的特点直接获取口令进入系统

网络监听、暴力破解利用系统自身安全漏洞MS08-067、MS17-010特洛伊木马

伪装成工具程序或游戏等诱导用户打开或下载WWW欺骗

欺骗用户访问篡改过的网页电子邮件攻击

邮件炸弹、邮件欺骗旁站攻击

通过一个节点来攻击其他节点流量攻击

拒绝服务攻击传统网络攻击手段的特点新型网络攻击手段的特点网络攻击手段变化一自动化01扫描阶段攻击者采用各种新出现的扫描技术来推动扫描工具的发展，研究新型扫描技术，加快扫描速度。020304渗透控制阶段由于杀毒软件和防火墙的存在，传统的植入方式已经不再有效，随之出现的先进的隐藏远程植入方式，能够成功地躲避防病毒软件并植入到目标计算机中。传播攻击阶段以前需要依靠人工启动工具发起的攻击，现在发展到由攻击工具本身主动发起新的攻击。攻击工具协调管理阶段随着分布式攻击工具的出现，攻击者可以很容易地控制和协调分布在Internet上的大量已经部署的攻击工具。网络攻击手段变化二智能化智能漏洞检测及利用工具01.智能化工具越来越多普通技术的攻击者都有可能在较短的时间内向脆弱的计算机网络系统发起攻击。02.多数攻击工具具备了反侦破（隐蔽性）、智能动态行为（智能决策）、攻击工具变异（多种形态）等特点。攻击工具越来越先进新型网络攻击手段的特点网络攻击手段变化三快速化漏洞的发现和利用新发现的各种操作系统与网络安全漏洞每年都要增加一倍，网络安全管理员需要不断用最近的补丁修补相应的漏洞。攻击者经常能够抢在厂商发布漏洞补丁之前，发现这些未修补的漏洞同时发起攻击。什么是0day/1day/Nday漏洞公布很久，流传很广的漏洞，一般是用户缺少安全意识，从漏洞公开发布后很久都没

有进行修复的漏洞。0day漏洞1day漏洞

Nday漏洞

只有漏洞发现者知晓的漏洞，一般为未公开的漏洞；刚公布后的漏洞，或者公布后还未出现攻击程序的漏洞或者指刚公布一天的漏洞；新型网络攻击手段的特点新型的网络攻击手段新型网络攻击手段一DRDoS攻击DRDoS(DistributedReflectionDenialofService)，中文是分布式反射拒绝服务，该方式靠的是发送大量带有被害者IP地址的数据包给攻击主机，然后攻击主机对IP地址源做出大量回应，从而形成拒绝服务攻击。DRDoS攻击是基于DDoS攻击演变出来的新型攻击。新型网络攻击手段二HTTP慢速攻击HTTP慢速攻击（SlowHTTP

Attack）是一种DoS攻击的方式。在发送请求的时候采用慢速发送HTTP请求，就会导致占用一个HTTP连接会话。若发送大量慢速的HTTP请求就会导致拒绝服务攻击。意大利多个政府网站遭新型DDoS攻击致瘫痪新型网络攻击事件案例2022年5月11日，据意大利安莎通讯社报道称，意大利多个官方网站遭到黑客大规模DDoS攻击致服务器瘫痪，包括意大利参议院、意大利机动车协会、意大利国防部、意大利国家卫生所、B2B平台及意大利著名期刊协会等7家重要机构官网临时宕机，整整4个小时的时间内，用户无法访问。5月12日，意大利某网络安全实验室研究发现，该黑客组织是通过智能化的攻击工具，结合HTTP慢速攻击发起的DDoS攻击。意大利CSIRT称："慢速HTTP"是一种比较少见的DDoS攻击类型，并警告如果系统管理员不做出针对性处置，那么现有防御措施恐怕将无能为力。03网络安全防护体系的变化传统安全防护体系InternetDMZ区Web应用防火墙下一代防火墙办公区服务器区核心交换机常见网络安全防护体系边界防护常见边界防护产品安全网关、网闸、Web应用防火墙(WAF)、下一代防火墙（NGFW）优点缺点部署简单，只需在网络边界部署相关产品即可。内部脆弱，一旦边界被黑客突破，即可以长驱直入。新型安全防护体系新型安全防护体系的发展趋势信息保障技术框架（IATF）美国国家安全局（NSA）制定并发布，为保护美国政府和工业界的信息与信息技术设施提供技术指南，提出了信息保障时代信息基础设施的全套安全需求。新型安全防护体系的主要特征核心思想三个要素四个焦点领域“深度防御”人技术操作保护网络和基础设施保护区域边界保护计算环境支持性基础设施支持性基础设施保护网络和基础设施保护计算环境保护区域边界强调整体全局性的防御！网络边界网络层服务器端数据库端纵深防御体系

纵深防御特点：基于边界防御体系的改进版，强调任何防御都不是万能的，存在被攻破的可能性。即每一个访问流量都要经过多层安全检测，一定程度上增加安全检测能力和被攻破的成本。新型安全防护体系一核心思想：多层防御新型安全防护体系Internet下一代防火墙NGFW网络边界区域核心交换机IDS威胁感知网络层数据库端服务器端DMZWEB服务器纵深防御体系的实现在Web领域至少会包含几层:数据库端、服务器端、网络层、网络边界。优点：缺点：每个产品功能定位清晰、允许不同品牌产品混用、攻击成本较高、安全性较好各个产品之间缺乏协同机制检测手段多是基于规则和黑白名单纵深防御拓扑新型安全防护体系新型安全防护体系二河防体系河防体系特点由腾讯lake2提出，通过把对手控制在一个可控范围，再用丰富的资源将其打败。核心思想:“控”，即隔离在可控范围内在具体的应用中，需要在隔离的基础上，严格控制办公网对生产网络的访问，同时在对生产网内部进行隔离的基础上进行边界防护及检测。河防体系适合具有一定安全对抗能力的企业。新型安全防护体系新型安全防护体系三塔防体系塔防体系特点塔防体系本质上也是纵深防御，不过优于纵深防御的是强调了终端要纳入安全防御网络中，具有自我防御能力，并且有了云的管控能力和威胁情报数据。塔防体系也是当前网络安全行业各种态势感知产品所参考的防御体系。新型安全防护体系下一代纵深防御特点：从传统边界防护过渡到新一代的基于预测、检测、协同、防御、响应、溯源理念的Web纵深防御。Web应用防火墙（WAF）服务器安全防护（WAG）Web纵深防御系统-云端大脑Web高级威胁态势感知（WAD）DDoS攻击防护（ADS）恶意域名信息恶意攻击设备恶意攻击IP黑客组织新型安全防护体系四下一代纵深防御体系新型安全防护体系新型安全防护体系五零信任体系什么是零信任？零信任（ZeroTrust，ZT）提供了一系列概念和思想，在假定网络环境已经被攻陷的前提下，当执行信息系统和服务中的每次访问请求时，降低其决策准确度的不确定性。零信任体系特点打破默认的“信任”，即“持续验证，永不信任”。默认不信任企业网络内外的任何人、设备和系统，基于身份认证和授权重新构建访问控制的信任基础，从而确保身份可信、设备可信、应用可信和链路可信。新型安全防护体系04网络安全防护技术介绍常见网络安全防护技术网络安全防护技术是指针对目标系统开展网络安全建设、实施网络安全保障的所有安全技术的总称。其技术应用一般以软硬件的形态来具体实现。网络安全防护技术传统防护技术常见的传统防护技术包括：边界安全防护技术、应用安全防护技术、数据安全防护技术、安全管理技术、安全检测技术、终端安全防护技术等。网络安全防护技术可以分类如下两大类新型防护技术常见的新型防护技术包括：云安全防护技术、工业互联网安全防护技术、物联网安全防护技术、车联网安全防护技术等。网络安全防护技术发展现状我国各行业网络安全防护技术现状目前的主流防护模式仍然是以部署安全设备为主的传统边界防护。现状一现状二现状三大多数企业缺乏纵深防御机制、未能构建起以多层防护、多级保护为重要支撑的全方位安全保障体系，越来越难以应对当前不断变化的安全攻防态势。基于被动的安全防御，缺乏灵活性，无自适应与自发现的能力，难以应对新型的网络攻击。零信任将成为数字时代主流的网络安全架构网络安全防护技术发展方向未来网络安全防护技术发展方向01.数字时代下，云计算、大数据、物联网、人工智能等新兴技术的融合与发展使得传统边界安全防护理念逐渐失效，而零信任安全建立以身份为中心进行动态访问控制，必将成为数字时代下主流的网络安全架构。零信任是面向数字时代的新型安全防护理念，是一种以资源保护为核心的网络安全范式。02.人工智能赋能网络攻击催生新型网络空间安全威胁随着人工智能技术的发展，攻击者倾向于针对恶意代码攻击链的各个攻击环节进行赋能，增强攻击的精准性，提升攻击的效率与成功率，有效突破网络安全防护体系，对防御方造成重大损失。在恶意代码生成构建方面，深度学习赋能恶意代码生成相较传统的恶意代码生成具有明显优势，可大幅提升恶意代码的免杀和生存能力。在恶意代码攻击释放过程中，攻击者可将深度学习模型作为实施攻击的核心组件之一，利用深度学习中神经网络分类器的分类功能，对攻击目标进行精准识别与打击。网络安全防护技术发展方向03.量子技术为网络空间安全技术的发展注入新动力随着量子技术的研究与发展，世界将会迎来巨大改变，但只要是新的技术出现，随之而来的就是其安全问题，量子威胁就是其中一个。目前应对量子威胁的方法主要集中在发展量子密码和后量子密码这两方面，由于量子比特在传输过程中无法被准确复制，并且对发送量子态和接收量子态的比较，可以发现传输过程中是否存在的截取―测量等窃听行为，进而