【文/觀察者網 呂棟】

“發現一次可以說是瞎貓碰上死耗子，但是對NSA已經發現好幾次了，在不同的地方都能夠以不同的方式對它進行捕獲，而且看西工大的報告，我們的證據是越總結越詳實、越有說服力。”

近期，中國西北工業大學（下稱：西工大）遭遇網絡攻擊一事引發國内外大量關注。作為對此案進行全面技術分析的參與方之一，360公司創始人周鴻祎9月13日在接受觀察者網等媒體采訪時做出上述表述。

據中國外交部等相關部門介紹，對西工大實施網絡攻擊的正是美國國家安全局（NSA）下屬部門，有關事實清清楚楚，證據确鑿充分。中方已通過多個渠道要求美方對惡意網絡攻擊作出解釋，并立即停止不法行為，但是迄今尚未得到美方實質性回應。

近年來，美國對華發動網絡攻擊已不是一次兩次，國家計算機病毒應急處理中心等機構也進行過曝光。

那麼，我們是如何掌握确鑿證據鎖定背後“黑手”的？頻繁發生的網絡攻擊事件能給我們帶來哪些警示？普通老百姓會不會受到網絡攻擊的影響？美國如果改變網絡攻擊手段，我們還能發現和阻斷嗎？

這些問題或許能從此次對周鴻祎的采訪中得到答案。

美國國家安全局（資料圖）

NSA多次被抓，美對華“單向透明”被打破

“我們抓住NSA的手已經不是第一次了，過去兩年已兩次在其他攻擊中都發現了NSA，”周鴻祎講道，NSA下屬的網絡戰部隊叫“特定入侵行動辦公室”（Office of Tailored Access Operation，後文簡稱TAO），它被公認成全球作戰水平最高的網絡戰部隊，手段非常厲害。

在此次網絡攻擊西工大的過程中，TAO使用了40餘種不同的NSA專屬網絡攻擊武器，持續對西工大開展攻擊竊密，竊取該校關鍵網絡設備配置、網管數據、運維數據等核心技術數據。

“每一個武器針對不同的平台、針對不同的用途，甚至每一種武器都利用了不同的漏洞。”周鴻祎在采訪中透露。

在這種情況下，如何通過确鑿的證據揪出幕後“黑手”？

“面對最高水平的國家級網絡攻擊，我們最大的挑戰是‘看不見’，不知道自己被攻擊了。因此最重要的是能察覺，這樣才能迅速阻斷攻擊。但在察覺後還要知道是誰發起了攻擊，難度是最高的。”周鴻祎坦言。

他進一步講述稱，過去十年，360公司收集了全球300億個網絡攻擊樣本。而網絡攻擊樣本有點類似病毒樣本，對其進行分析後會發現各家的攻擊武器的基因不一樣，包括代碼習慣、技戰術等模塊，就像新冠病毒不管怎麼演化，都能把它的族系排列出來。

“我們捕獲了最多的攻擊樣本，意味着所有攻擊者是怎麼攻擊的，用什麼手法攻擊的，我們都是清楚的。”周鴻祎透露，該公司為了跟蹤NSA網絡戰武器，專門對其曆史上很多技戰法、代碼樣本都進行了分析。

“所以這次通過代碼習慣的驗證，包括攻擊模塊的組成，還有内部一些代碼命名的習慣，基本上能夠比較準确地把這個證據鍊固定下來，證明是NSA。”他表示。

談及公司被美國政府列入“實體清單”，周鴻祎坦言，360成為唯一被美國制裁的互聯網公司和網絡安全公司，就是因為該公司公布了CIA（美國中央情報局）的網絡攻擊，并且技術細節和證據鍊固化的比較詳實。雖然此舉暴露了該公司的檢測和分析能力，但也打破了美國對華的所謂“單向透明”。

“就像今天人類為了對付新冠病毒，要建立各種生物樣本基因庫一樣，将來也應該給國家建立一個國家級網絡攻擊基因庫和樣本庫，有了這個東西之後，誰來打你時，你在發現攻擊和溯源時，就會越來越精準。”周鴻祎建議道。

“敵已在我，不要謀求建立馬奇諾防線”

西工大一案，并不是美國對華發動網絡攻擊的孤例。

據相關部門調查發現，近些年，美國NSA下屬TAO對中國國内的網絡目标實施了上萬次的惡意網絡攻擊，控制了數以萬計的網絡設備（網絡服務器、上網終端、網絡交換機、電話交換機、路由器、防火牆等），竊取了超過140GB的高價值數據。

“2016年時，我就說已經進入網絡戰時代，有些人對我嗤之以鼻，覺得我好像是為了兜售安全産品，”周鴻祎在采訪中提到，這些年不止NSA，該公司共協助國家發現50個境外國家級黑客組織對我國發動的數千次網絡攻擊。

“網絡戰不分平時和戰時，”他坦言，傳統戰争可能要等到宣戰時才會爆發戰鬥，但網絡戰是越是在雙方友好與和平時，對方越會利用網絡攻擊的方法把一些攻擊軟件、間諜軟件潛伏或滲透到我方的重要系統裡，或者預留後門和木馬。

這樣做都有哪些考慮？

周鴻祎提到，一是現在獲取情報的手段大多是通過在線攻擊；二是将來如果對方希望通過網絡攻擊來癱瘓我方的基礎設施時，不可能等到攻擊發起時才去潛伏，而是會提前好幾年去做準備工作，這也是我們遭到網絡攻擊後的最大警示。

以這次西工大遭網絡攻擊為例，周鴻祎透露，NSA之所以能神不知鬼不覺地進來，是因為它們利用了很多被稱為“零日（Zero Day）”的隐秘漏洞。而在數字化時代，所有網絡設備都離不開軟件，軟件漏洞又不可避免、無法窮盡，這意味着我們的系統一定會被人攻進來。

“我們甚至提了一個概念叫‘敵已在我’，就是别人不僅已經進入我們的很多系統，而且潛伏了一段時間，”他直言，不要謀求建立一個“馬奇諾防線”，而是應該基于自身系統肯定會被人攻破的情況，想辦法把系統裡已經進來的“敵人”及時發現并清理出去。

“看得見的攻擊都不是最大的威脅，”在周鴻祎看來，真正巨大的威脅是在歲月靜好表面下的暗潮湧動，“敵人”會以一種非常隐秘的手法，對中國的關鍵單位進行看不見的滲透和潛伏。

城市基礎設施是下一階段防範重點

國家層面的網絡攻擊，除了針對核心單位，會給普通人的生活帶來風險嗎？

“很多人覺得國家級網絡攻擊可能跟我沒有關系，實際上國外已經有例子證明，一旦基礎設施遭到攻擊，帶來大面積停水、停電，導緻交通樞紐、金融出現問題，會嚴重影響老百姓的生産生活。”周鴻祎稱。

這并非危言聳聽。2015年末，烏克蘭電網曾發生世界首例因遭受黑客攻擊而造成的大規模停電事故，約140萬人受影響。2019年7月，委内瑞拉水電系統也曾遭網絡（電磁）攻擊，首都加拉加斯及全國23個州中一半以上受到停電影響。

周鴻祎認為，随着現在中國城市快速數字化，推行數字政府、智慧城市，越來越多的基礎設施也逐步數字化，所以未來對于城市基礎設施的網絡攻擊，會成為我們下一階段預防的重點。

除此之外，随着大數據時代到來，很多企業的核心業務都架構在大數據上。如果一家醫院的數據癱瘓、一家運輸公司财務系統數據被破壞等，這些都會導緻業務停擺。

“對數據做攻擊的難度遠遠低于對工業設備的攻擊，因為把數據抹掉是非常容易的，由此也出現了當前讓企業非常頭疼的勒索攻擊，黑客把很多企業的數據加密之後，讓企業無法使用數據，隻有交贖金才能換回解密的密碼，這也是下一個攻擊延展的方向。”周鴻祎提到。

“另外數據偷竊對老百姓也有影響，”他認為，如今大量數據存儲在雲端，一旦某些公司處理不慎，造成用戶數據丢失，将給老百姓的個人隐私帶來極大風險，甚至被詐騙集團用來設計精準詐騙。

但從目前來看，典型的國家級網絡攻擊更多還是用來竊取情報。周鴻祎透露，當該公司發現CIA、NSA的網絡攻擊後，全網再普查時，發現他們不光是攻擊了中國某一個單位，分布的行業非常廣。

“數字化轉型是一把雙刃劍，在給我們帶來更加美好和先進的工作生活方式的同時，也讓國家治理、社會運轉、老百姓的衣食住行都架構在網絡、數據和軟件之上，這個數字底座一旦遭到網絡攻擊，後果不堪設想。”周鴻祎坦言。

美國更新網絡攻擊手段怎麼辦？

雖然在多方支持下，此次西工大遭網絡攻擊事件的總體概貌、技術特征、攻擊武器、攻擊路徑和攻擊源頭被全面還原，揭露了美國NSA長期以來對華開展網絡間諜活動的真相。但問題的關鍵是，對手可能會采用新的手段發起新的攻擊，我們應該怎麼應對？

周鴻祎提到，傳統殺毒軟件隻是收集各種攻擊樣本的指紋，但攻擊樣本隻要一更新換代，指紋就作廢了，所以傳統的病毒庫越來越龐大，甚至把電腦卡得很慢，但其實并不解決問題。

“我們并不試圖去建立指紋庫，而是通過電腦軟件的行為來發現異常的數據。”他介紹稱，攻擊軟件通常沒有窗口、沒有界面，但是在後台偷偷地運行，或者是在後台悄無聲息地偷偷連網，而且連的不是常見的網站，很可能是奇怪的IP地址或者從來不會有人使用的域名。

周鴻祎透露，該公司把全球十幾億終端上的可疑行為彙總到雲端進行橫向對比，可以實現對全網高危行為的态勢感知，“無論軟件和攻擊手法如何變化，最後總要在某台電腦上運行，而且要把偷的東西傳出去或接收遠端的指令給自己升級，這就一定會被大數據分析找出來。”

“NSA再怎麼變，有一些代碼會重用原來舊的版本，有一些攻擊手法、代碼會變，但攻擊的方法不會做改變。所以這是魔高一尺道高一丈，不斷基于長時間的攻防去識别鎖定它。”他表示。

周鴻祎重申，不要試圖去做無法攻破的系統，這是徒勞無益的。攻擊軟件進來之後肯定要橫向移動，肯定要從一台電腦上跳到另外一台服務器上，肯定要偷數據，肯定要接受總部遙控指令，隻要這些行為能被我們快速的分析能力看到，快速進行處置，就一定能解決。

網絡戰是整體戰

“攻擊比防守要容易。”

周鴻祎坦言，在網絡戰中，防守是一個國家最大的軟肋，特别是在和平時期，如果一個國家的網絡被打的跟篩子一樣，情報數據都被人偷走了，或者系統裡預埋了很多攻擊軟件，将給國家安全帶來極大的風險。

在他看來，數字化時代，最強的數字安全公司要具有兩個特征，一個是消費者業務出身，二是要有大數據分析能力，而現在中國很多傳統安全公司都不具備這些特征。

“有人說做消費者業務的安全公司對國家沒有意義，其實不是這樣的，網絡戰是整體戰，當網絡戰在一個國家發生時，實際上經過了若幹跳闆、若幹個人、若幹不同單位，最後才能達到目的，所以隻有某些單位的數據，沒有全網、全曆史的數據，無法捕獲攻擊。”周鴻祎稱。

“為什麼微軟防禦能力和發現能力最近兩年有很大的提升，現在成了美國最強的網安公司了？”周鴻祎講道，微軟前幾年借鑒了360免費安全模式，迅速積累了終端和安全大數據的優勢，能把各種攻擊事件看的清清楚楚，最後還可以把數據彙總起來。

但隻彙總數據還不夠，最重要的是要有大數據的分析能力。周鴻祎提到，微軟和360都屬于互聯網公司，大數據規模并不遜色于BAT，“不是弄一套開源軟件，裝個開源大數據平台，就能把大數據分析做起來，還要投資建設計算中心，搭建大數據分析平台。”

“我們是2008年開始做免費殺毒，到現在做了十幾年。如果當年安全是核心收入的話，可能這件事情反而做不了，因為安全賺的錢根本無法支撐做這麼大規模的大數據分析平台，所以我們是一家互聯網公司，通過互聯網收入每年補貼20-30億到安全上，通過十幾年的投入，花了200多個億，才把‘安全大腦’這套體系基本上打造出來，然後發揮了作用。”他表示。

本文系觀察者網獨家稿件，未經授權，不得轉載。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!