2018年网络安全威胁回顾与展望

在每年冬训营上发布年报的预发布版，征求参会专家的意见建议，是安天一直以来的传统。

在这份年报中，安天总结了APT、漏洞响应与处置、勒索软件与挖矿木马、数据泄露、供应链安全、威胁泛化等方向的思考与观点：

挖矿木马攻击活动在2018年呈高发态势，挖矿木马攻击事件次数相比2017年增长近10倍，攻击技术更为复杂，“多种恶意功能于一身”的挖矿木马兴起。另一方面随着RaaS（Ransomware-as-a-Service）概念兴起，勒索服务产业链逐渐成型，企业和个人用户受到的安全威胁日趋严峻。增强网络可管理性，提升基础结构安全和纵深防御能力，加强终端安全防护，守住最后一道防线，是应对此类威胁的必要手段。

大多数的用户对数据泄漏的理解还处于泄漏自身隐私等一般性利用的层次，但事实上远不仅如此，而是利用数据分析与挖掘等技术用于绘制用户画像，用户画像本身是一种互联网经营模式的支撑，但在现今这种大规模数据泄漏的情况下使攻击组织可以建立精准的用户画像能力，这些画像甚至具有全民性和规则性。在2018年，由于多个用户基数庞大的公司或组织泄露了大量数据，使人体生物信息、性格、价值观等方面的关键信息得到补充，已经形成了精准的用户画像，据此可以影响人们的判断，诱导人们的行为。

软件供应链安全事件频发给关键信息基础设施和重要信息系统带来极大损害。软件供应链中各个环节的薄弱点都可能成为攻击者的攻击入口点。供应链攻击的目标不只是PC端，移动端软件供应链环节的安全威胁也呈现出上升趋势。此外，供应链上游提供可信应用程序的第三方供应商也成为攻击焦点。因此，软件供应链的安全问题应该得到更广泛的重视。

5G网络与“AI”（人工智能，ArtificialIntelligence）技术的推进，使得“万物互联”的时代已经越来越近。未来，各种新型智能设备入局，物联网行业将进入快速发展的新阶段。然而，新兴技术高速发展的同时也导致安全威胁入口的泛化和安全风险的增加。“AIoT”（“AI+IoT”）厂商在网络安全方面投入不足，使得这些设备暴露出了大量的攻击面，而厂商和用户安全意识的薄弱，又使得攻击门槛进一步降低。一些工控类、家居类智能设备存在弱口令、空口令等状态，极易遭受网络攻击。安全风险将会持续影响个人、社会乃至国家安全。泛化不应成为安全短板，应在没有造成更大的安全风险的前夕做到亡羊补牢，万物互联、安全先行。

同时，随着地缘安全冲突紧张局面的持续，部分带有APT特点的活动，并不以长期潜伏和持续信息获取为目的，而以更为直接的干扰和破坏作为效果。例如2018年初，韩国平昌冬季奥运会尚未开幕，就已有厂商披露针对主办方的鱼叉式钓鱼攻击活动。在开幕式2018年2月9日当天，部分网站遭受破坏性攻击，开幕活动受到影响。攻击活动的背后组织被归因于未知国家背景的Hades组织。而从2010年的震网、2015年的乌克兰国家电网遭遇攻击停电事件、2017年的乌克兰大量关键基础设施遭遇伪装成必加勒索病毒的毁瘫等事件来看，这种以工业和民用基础设施为攻击目标的攻击活动，带有强烈的战争行动的特点。

在过去的APT的分析中，研究者的精力更多放在漏洞利用和恶意代码分析之中。对于一般性的APT组织，这种分析对防御工作有较好的参考价值。但对于超级网空威胁行为体而言，其先进的恶意代码和漏洞利用工具储备只是其能力冰山体系水面之上的部分，其作业方法论和支撑作业的工程体系是更值得深入分析的。2018年3月美方公布NSA/CSS技术网络威胁框架，该框架按照将攻击划分成管理、准备、交互、存在、影响、持续进程六个阶段并进一步对每个阶段做出了原子化拆解，这既是对攻击作业的指向性框架，也为如何有效削弱、阻断和呈现攻击力链路提供了很好的指南。

NSA/CSS网空威胁框架

管理

交互

存在

影响

持续进程

规划

传输

安装/执行

凭证访问

监控

指挥与控制

确定战略和目标

分析任务

制定作战计划

选择战略目标

获得执行作战的批准

发布作战任务

带有附件的钓鱼邮件

带有恶意链接的钓鱼邮件

网站

可移动媒体

SQL注入

DNS/缓存中毒

虚拟化攻击

连接流氓网络设备

可信网站

合法的远程访问

设备覆盖（跨域入侵）

利用CDS或MLS配置错误

物理网桥

自动传输可信服务

遍历CDS或MLS

供应链/可信源感染

无线接入

感染常用网络基础设施

短信服务（SMS）

二维码

编码数据

木马

写入磁盘

内存中代码

解释脚本

二进制文件替换

命令行

由用户启用

流程注入

修改配置以启动作战

使用可信应用程序执行不受信代码

计划任务

通过服务控制器执行

第三方软件

使用远程管理服务

调用OSAPI以促进执行

传输工具包

凭证转储

网络嗅探

键盘记录

社会工程

密码破解

添加或修改凭证

劫持活动证书

在文件中查找凭证

利用弱访问控制

跟踪访问

被动收集

启用其他作战

常用端口

不常用的端口

标准应用层协议

标准非应用层协议

自定义应用层协议

使用链接协议

使用可移动媒体

后备通道

多频段通信

使用对等连接

建立对等网络

使用僵尸网络

加密通信

使用多层加密

使用标准加密

使用自定义加密

信标

自动使用C2

手动使用C2

逃逸

脚本渗漏

压缩数据

节流数据

放置数据

通过C2通道渗漏

通过非C2通道渗漏

通过其他网络媒介渗漏

从本地系统收集

从网络资源收集

计划传输

点对点传输

通过物理媒体渗漏

串扰（数据发射）

破解加密

泄露数据/信息

资源开发

开发能力

获得资金

员工和培训资源

建立联盟和伙伴关系

获取作战基础设施

创建僵尸网络

在供应链中植入恶意代码

横向运动

应用部署软件

定位应用程序漏洞

定位操作系统漏洞

利用对等连接

远程服务

通过可移动介质复制

共享webroot

污染共享内容

远程文件共享

中继通信

哈希传递

票据传递

研究

确定情报差距

确定能力差距

收集情报

内部侦察

帐户枚举

文件系统枚举

组权限枚举

本地网络连接枚举

本地网络设置枚举

操作系统枚举

所有者/用户枚举

进程枚举

软件枚举

服务枚举

窗口枚举

屏幕截图

激活录制

准备

规避

侦察

加密数据

使用合法凭证

二进制文件填充

禁用安全产品

扰乱安全产品

访问原始磁盘

阻止主机上的信标

修改恶意软件以规避检测

删除记录的数据

操纵可信进程

进程注入

模拟合法文件

将文件存储在非常规位置

混淆数据

使用rootkit

软件包

使用签名内容

为恶意内容签名

删除工具包

基于环境的定制行为

延迟活动

采用逆向工程措施

采用反取证措施

模仿合法流量

规避数据大小限制

网络抓取

网络映射

使用社交媒体

扫描

选择战术目标

调查

TCP指纹识别

标识抓取

识别密码

凭证窃取

漏洞利用

修改

远程定位应用程序漏洞

远程shell

缓冲区溢出漏洞

利用漏洞利用包

启动零日攻击

规范化

劫持

模仿/欺骗

重播

协议滥用

利用受信关系

更改数据

造成物理影响

克隆数据，系统

更改系统进程的运行状态

更改进程结果

更改机器到机器（MtM）通信

污染网站

持续性

辅助功能

启动时自动加载

库搜索劫持

创建新的服务

路径拦截

替换服务二进制文件

链接修改

编辑文件类型关联

修改BIOS

安装hypervisorrootkit

编辑MBR

修改现有服务

修改服务配置

Webshell

后门

提权

拒绝

分布式拒绝服务

加密数据使其不可用

拒绝服务/中断

降级

分级

创建中点

将漏洞添加到应用程序数据文件

分配作战基础设施

感染网站或在网站中植入恶意代码

预定位载荷

建立物理接近度

破坏

部分磁盘/操作系统删除（损坏）

全盘/操作系统删除（变砖）

数据删除（部分）

数据删除（全部）

破坏硬件

分析，评估，反馈

改进定位

进行效果评估

超级大国具有全球无死角的监听和情报作业能力，通过全球部署的大型光缆窃听、卫星监听等多样化的监听手段获取全球信息。在大型信号情报获取系统的基础上，其开展了大量针对性的信号情报监听项目，实现对全球特定区域、目标、特定类型信号情报的获取，从而实现比较精准的目标定位能力。

在覆盖全球的信号情报获取能力基础上，其建立了以“湍流”为代表的进攻性能力支撑体系，其综合考虑了感知获取、作业层面和后端分析，构成了可以精确打点、具有较好隐蔽性和反溯源性的工程支撑。并结合“监护”、“量子”等相应的网空攻防能力模块，进一步实现情报驱动的网空积极防御和进攻行动。

图2-3情报流程

在此基础上，其不断加强情报驱动的积极防御能力，通过情报不断发现对手意图，在对手入侵时快速反应，对于美方认为的“高价值”对手，通过网空欺骗环境诱导出更多情报，并进一步实现反制甚至反击。在进攻方面，依靠强大的信息获取和目标定位能力，实现从计算机网络利用（CNE）到计算机网络攻击（CNA）的无缝切换。

图2-4超级大国网空作业技术流程与部分工程和装备作用的映射

自震网、棱镜事件以来，安天始终跟踪着来自超级网空威胁行为体的网络情报机构、攻击行动和组织，并将用于突破物理隔离、持久化控制、漏洞利用、命令与控制等网空装备体系和配合工具体系映射到美方技术网空威胁框架的各个阶段，形成了体系化的防护建议。

对“绿斑”组织部分典型攻击活动复盘如下图所示：

图2-5“绿斑”组织典型攻击行动复盘

与传统情报作业相比，网络入侵对信息窃取破坏行为，无疑是一种成本更低、隐蔽性更强、更难以追踪和威胁性更大的作业方式。尽管“绿斑”组织不代表APT攻击的最高水准，但其威胁依然值得高度警惕。APT的核心从来不是A（高级），而是P（持续），因为P体现的是攻击方的意图和意志。面对拥有坚定的攻击意志、对高昂攻击成本的承受力、团队体系化作业的攻击组织来说，不会有“一招鲜、吃遍天”的防御秘诀，而必须建立扎实的系统安全能力。以“绿斑”攻击组织常用的攻击入口邮件为例，不仅要做好身份认证、通讯加密等工作，附件动态检测分析，邮件收发者所使用终端的安全加固和主动防御等工作也需要深入到位。对于政府、军队、科研等重点部门和重要人员，更需要在公私邮件使用、收发公私邮件的不同场景的环境安全方面都有明确的规定与要求。邮件只是众多的动机入口之一，所有信息交换的入口，所有开放服务的暴露面，都有可能成为APT攻击者在漫长窥视和守候过程中的首发命中机会。

图2-6马拉维国民银行攻击事件流程示意图

经过分析，发现攻击者使用了多种公开源码程序进行修改编译，并将恶意代码作为加密的二进制资源块潜入其中。由于源程序代码并不能正常运行，而且所使用的开源程序并非常见金融场景下的应用或工具软件，所以我们认为攻击者并不是替换用户原有程序来实现持久化，而是以此作为免杀和干扰分析的技巧。通过关联和拓线分析，我们发现了数个采用相同攻击手法的样本，具体样本细节对比信息如下表：

表2-1关联样本特征对比

特征对比

样本1“Target.scr”

样本2“Document.exe”

样本3“Document.scr”

样本4“admin_form.exe”

源码

GatePassManagementSysteminVisualBasic

ChessQuest

Tech2ksNComputingCaffe

GoogleKeywordGrabber

编译语言

MicrosoftVisualBasic(6.0)

2018-10-0313:54:37UTC

2018-08-2303:37:08UTC

2018-06-2015:27:50UTC

2015-11-0109:25:10UTC

嵌入方式

PE资源节CUSTOM目录下，ID=109处，加密数据标志头：“[++++++++--++++++++]”

PE资源节CUSTOM目录下，ID=109处，加密数据标志头：“[####++++####]”

PE资源节CUSTOM目录下，ID=101处，加密数据标志头：“[%%%%^^^^^#####%%%]”

嵌入恶意代码类型

DarkComet远控木马

嵌入加密代码大小

244,776字节

244,750字节

244,776字节（内容不同于样本1）

244,755字节

恶意代码C2

desk1pc.ddns.net:700

monetry.ddns.net:700

仅仅通过补丁修补或缓解措施来避免系统缺陷无法应对系统已经遭受入侵的情况。在过去几年，漏洞挖掘能力在不断增强，而漏洞的修补和响应机制较弱，漏洞发现的多，公开的少；曝光的快，修补的慢。实际上并没有更好推动有效的漏洞响应与处置的驱动机制，一定程度上带来了安全的弱化。

图3-2三个攻击组织初次使用漏洞的时点与漏洞公开时点的对比

在经过分析和对比大量勒索、挖矿木马样本后，安天发现勒索软件和挖矿木马的攻击传播手段大体相同，并且在完成投放初始样本后，都会尝试在局域网环境中通过端口共享进行横向传播。下图将常用的攻击手段进行了整合，如图4-1所示，可以看到大多数攻击手段并非是高层次、高技术的定向攻击，而是通过利用已知脆弱性和大范围的暴力破解攻击。攻击者仅仅凭借着这些简单的攻击手段，使得勒索软件和挖矿木马攻击成为了2018年曝光度最高的木马家族。

图4-1挖矿木马和勒索软件主要传播手段

勒索软件与挖矿木马在传播上非常相似，都依赖于感染规模，但其它方面又有不同：勒索软件是在被感染的系统中假定存在着部分愿意交付赎金的用户的一次性获利，通常来看勒索软件感染是一种比较显性的威胁，对用户的单次电子资产的损失极其严重，后期可能会引起用户对安全的重视导致安全得到改善；挖矿木马依赖于与系统的算力和长期运行，除占用系统资源可能导致用户发现外，没有明显的显性行为，使其隐蔽性更强，同时在单点问题上看，挖矿木马给用户带来的损失要比勒索软件小的多。在这种情况下，有可能使挖矿木马成为更为流行的持续存在的原因，因为挖矿木马是连续性的存在，而勒索软件是间断性的存在。

表4-1GandCrab的5个版本对比

加密文件

后缀名

勒索加密货币

勒索金额

加密算法

服务器域名

服务器通信

GandCrabV1.0

2018年1月

.GDCB后缀

达世币

1200美金

本机文件（可解密）

RSA+AES

gandcrab.bit

不通信

不加密

GandCrabV2.0

2018年3月

.CRAB后缀

400美金

本机文件（不可解密）

politiaromana.bit

GandCrabV3.0

2018年5月

没有明确指出

carder.bit

GandCrabV4.0

2018年7月

.KRAB后缀

达世币或比特币

1000美金

本机文件+网络共享文件（不可解密）

RSA+Salsa20

出现大量域名用来干扰分析

仍加密

GandCrabV5.0

2018年10月

随机5至10个字符后缀

从事件总数上看，大多数勒索事件并不来自高水平的定向攻击，其屡屡达成效果、造成严重影响的原因是由于有大量的缺少基础安全规划和防御工作的信息系统存在，总体上还是在全球庞大的信息社会肌体上，寻找“慢羊”，而并非简单是因为勒索病毒本身的攻击水平的高超。因此，不应因勒索病毒造成的大量损失和影响，就产生一种“虚无主义”式的恐慌，更不应因此而认为防御需要银弹，而忽略基础的安全规划和建立防御纵深工作[11]。

安天认为应针对具体的内网防护场景，依托基础结构安全和纵深防御将当前网络构建成具备高度可管理性的综合防御体系，通过更有效的网络管理形成健全的网络安全架构、访问控制规程、设备管理流程及用户权限约束，从而达到对恶意软件进行有效的遏制和防御效果。

挖矿木马成为2018年最流行的木马，数量上已经超越了勒索软件与僵尸网络。前面我们提到，第三世界国家相对落后的安全防护体系面临多层次的网络攻击挑战。因其安全防护体系相对落后，所以遭受挖矿木马入侵的事件也较多。挖矿木马最流行的主要原因是能够为攻击者带来稳定的收益，促使攻击者不断提升挖矿木马的稳定性以及传播和对抗等能力。

安天CERT在《2017年网络安全威胁的回顾与展望》中提到“在关键编码技术上，2017年的挖矿木马普遍没有采用加密、混淆或Rootkit等技术”。回顾2018年，挖矿木马已经使用了加密、file-less(无文件)技术、powershell混淆、DNS隧道技术以及Bootkit等多种技术来隐藏自身行为和规避杀毒软件检测。安天梳理了2018年挖矿木马的主要事件：

图4-22018年挖矿木马的主要事件

以往大面积自动化传播的恶意代码现今已经变成了相对低水准的威胁，但这种低水准的威胁还大量成功入侵，说明大量的网络处于无效防护之中，缺少可管理性和可防护性。

2018年全球勒索软件形势依旧较为活跃，以蠕虫形式传播的勒索软件变种数量持续增加，许多勒索软件家族演变成了具有主动传播功能的勒索“蠕虫”。勒索软件在演化过程中也逐渐形成了脆弱性利用效率高、勒索服务产业链、收取新型虚拟货币、具有行业针对性等特点；挖矿木马在进化过程中也形成了其自身的一些特点，如：脆弱性利用效率高、对抗能力提升、集多种恶意功能于一身等。

图5-12018年影响力较大的数据泄露

大多数的用户对数据泄漏的理解还处于泄漏自身隐私等一般性利用的层次，但事实上远不仅如此，而是利用数据分析与挖掘等技术用于绘制用户画像，用户画像本身是一种互联网经营模式的支撑，但在现今这种大规模数据泄漏的情况下使攻击组织可以建立精准的用户画像，这些画像甚至具有全民性和规则性。在2018年，由于多个用户基数庞大的公司或组织泄露了大量数据，使人体生物信息、性格、价值观等方面的关键信息得到补充，已经形成了精准的用户画像，据此可以影响人们的判断，诱导人们的行为。

在如今互联网发达的时代，人们的生活已经离不开网络，人们在网络世界的活动，可以看作是一个复杂且全面的“增强现实”行为，向网络寻求帮助，向网络彰显自我，向网络吐露心声······人们已经越来越依赖于网络。因此，网络中存储了人们几乎所有的个人信息和隐私，而这些数据，已经遭到越来越多的泄露。在2017年，安天就发现了这些泄露的数据已经可以逐渐形成用户画像，2018年，泄露的数据已经涵盖人类生活的方方面面，结合大数据分析，就会勾勒出一个虚拟“人类”。

通过Facebook信息泄露事件，让我们了解到，“剑桥分析”利用这些用户画像甚至可以用来影响选举结果。

同时，这起泄露事件再一次警示我们——企业对数据的流向和使用权限监管薄弱，也会导致严重的数据泄露。但是，数据流向一向疏于监管，一直以来都没人关心数据在被谁使用，导致目前数据被第三方插件滥用的情况十分严重，因此导致的这些隐性的数据泄露其实并没有进入人们的视线，这也就直接导致了一些防御盲区。

在数据泄露愈演愈烈的形势下，欧盟在2018年5月开始强制实施GDPR（全称：GeneralDataProtectionRegulation，即《通用数据保护条例》）。GDPR是强制执行的隐私条例，规定了企业了在对用户的数据进行收集、存储、保护、使用和移植的新标准，并且提高了用户对自己数据的处理权限。但过于严苛的隐私保护条款和高额的罚款对企业造成了很大负担，部分企业的网站倒退回纯文字版，甚至暂时退出了欧盟市场。简单粗暴的惩罚措施对营收少但拥有大量数据的企业来说形同虚设。GDPR在实际执行中也面临不少挑战，各成员国法律制度不同，部分条文和名词定义也存在争议。

个人数据保护也不仅仅是个人层面的安全问题，而是更多层面的安全问题。欧盟强制实施的GDPR极其严格，这种条例并不完全适用于他国或地区，因各国或地区的互联网基准不一样，欧盟自身少有互联网企业巨头，所以可以强制实施极端的措施保护用户隐私而不会过于限制欧盟自身的互联网企业。例如：ICANN（互联网名称与数字地址分配机构）就应遵从GDPR合规要求，域名的WHOIS信息将不再公开显示个人信息，即无法通过WHOIS来查询域名持有者的信息。

近几年，网络攻击中出现一种威胁程度持续上升的关键攻击载体，越来越多的威胁行为体将目标转向供应链环节。安天在过去两年的网络威胁年报中，始终提醒用户“供应链从来就不只是网络对抗中的外围阵地，而是更为核心和致命的主战场”[13]。独立研究公司VansonBourne的调查结果也与安天的观点不谋而合，调查显示在未来三年内，软件供应链攻击可能是企业面临的最大的网络威胁之一[14]。

供应链攻击的隐蔽性强、攻击传播范围广等，使其影响绝不低于高级持续性威胁的攻击。安天基于对国内外供应链攻击事件的收集、分析、研判，绘制了供应链攻击事件时序图，从图中能够看出针对供应链的攻击呈现以下趋势：

图6-1供应链攻击事件时序图

随着信息技术的飞度发展，软件供应链环节变得越来越复杂，暴露给攻击者的攻击面也越来越多。攻击者利用软件供应链环节的薄弱节点作为攻击窗口，从第三方供应商、开发工具，到分发，再到应用更新都可能成为攻击者的攻击入口。

近年来，Android恶意软件快速增长的趋势有所下降，但高级、复杂的恶意软件攻击却呈现上升的趋势[18]。攻击者越来越多的将目光投向软件供应链中的薄弱环节，Android软件供应链中的安全威胁呈上升趋势。

从供应链攻击时序图中能够看出，在第三方漏洞、恶意SDK、分发污染、应用更新等供应链环节均出现了Android应用安全威胁。Android软件供应链安全威胁持续增长不是一种偶然现象，而是一种已经存在的趋势。

机器学习、人工智能等安全技术使传统的攻击成本和难度提高，因此攻击者开始瞄准了供应链上游提供可信应用程序的第三方供应商。一方面，厂商对其合作的第三方供应商缺乏审查机制，不清楚其供应商所用系统和应用的更新及安全性，另一方面，第三方供应商本身的网络安全防御体系是不完善的，暴露的攻击面越来越多使得攻击者有了可乘之机。

2018年8月3日台积电生产系统发生了大面积病毒感染，事故发生的直接原因是采购的新生产设备没有经过隔离检查直接接入了生产网络。因此，实现第三方供应商设备、信息出入的严格审计管控，对关键信息基础设施和重要信息系统安全至关重要。

具体来说，在基础结构安全方面，需要设计合理的网络安全结构，增强网络的可管理性。可管理网络能够增强网络的可防御性，收缩攻击面，提升对手获得控制权的难度和成本。以台积电事件为例，如果在采购阶段，就能够按照可管理网络的要求严格落实供应链的安全管控，就能够从源头遏制威胁，因此加强网络的可管理性对于关键信息基础设施的业务系统安全至关重要。

在积极防御方面，供应链攻击的有效防护应该从终端侧、产品侧的安全告警等被动响应模式，转变为主动发现潜在网络威胁的级别，减小威胁暴露的窗口期。在这一方面，安天的专业安全分析团队，基于在威胁情报领域的长期积累，结合内外部威胁情报对供应链安全威胁进行全网猎杀，找到潜伏在现网中的威胁。

5G网络与“AI”技术的推进，使得“万物互联”的时代已经越来越近。未来，各种新型智能设备入局，物联网行业将进入快速发展的新阶段。然而，新兴技术高速发展的同时也导致安全威胁入口的泛化和安全风险的增加。AIoT厂商在网络安全方面投入不足，使得这些设备暴露出了大量的攻击面，而厂商和用户安全意识的薄弱，又使得攻击门槛进一步降低。一些工控类、家居类智能设备存在弱口令、空口令等状态，极易遭受网络攻击。安全风险将会持续影响个人、社会、乃至国家安全。泛化不应成为安全短板，应在没有造成更大的安全风险的前夕做到亡羊补牢。万物互联、安全先行。

中国智能家居市场整体规模持续增长，人工智能赋能下的家居产业让我们看到了这个行业的更多可能，智能家居已经显现商业蓝海。但智能家居所面临的安全漏洞，是不得不放到台面上亟待解决的问题。

智能设备漏洞频繁。2018年，OASES联盟联合泰尔实验室发起安全评测，针对12款智能电视，对主流型号的主流版本进行评测。结果显示，高危风险大范围存在，智能电视安全形势不容乐观[19]。

各种智能家居将更多的传感器放置到了家庭当中，将更多的家庭成员的更多的隐私信息暴露出来。这将传统家庭空间转化为一种具有数据暴露风险的空间。例如智能彩电要实现手势控制，电视中就添加了获取用户视频信息的摄像头；扫地机器人为规避障碍，增加了具有获取用户视频信息和测绘能力的摄像头和探测设备，这些设备为满足智能控制能力，需要具备WIFI、蓝牙、红外、音频等各种接口，这些接口都可能会带来不同程度的安全风险。同时，智能家居不仅仅存在出品厂商的过度信息采集问题，在APT攻击中，它也可能成为重要的攻击对象。

2018年3月，安全研究员在HackintheBOX大会上演示[20]，利用硬件后门Bicho对联网汽车进行远程控制，包括灯光、油门、刹车制动导致车辆停止运行。近两年诸多证明表示可以控制联网的汽车造成致命威胁。

随着智能汽车的发展，自动驾驶、智能操控等已成为一种趋势。近些年智能汽车漏洞频刷，汽车行业作为国民经济的中流砥柱，智能汽车、交通安全必是将来博弈的焦点，而基于智能汽车的安全问题的基础需整车制造厂商进行严格的安全测试，加大安全投入与第三方建立漏洞平台，通过共享漏洞信息，提升整体汽车安全的能力。而供应商、安全厂商和制造商应联动起来共同搭建安全防护屏障。安天当前依托智能终端侧威胁检测防御的扎实基础，正在形成服务于车联网“检测+防护+服务+感知”的防护体系。

2018年，美国通用电气医疗公司GE旗下的Optima540医学造影系统等多个GE医学造影产品当中可能使用默认或硬编码凭证。成功利用漏洞后允许恶意攻击者访问病患信息，篡改数据、破坏数据完整性，甚至彻底关闭设备给患者带来安全威胁等[21]。

智能医疗目前应用越来越广泛，医疗设备安全领域需要重视，稍有不慎，就会万丈深渊。2013年国外某黑客离奇死亡，去世前曾向外界宣布，将在“黑帽”会议上展示如何入侵植入式心脏起搏器，然后向其发出一系列830V高压电击，实现“遥控杀人”。虽然涉及生命的攻击鲜有人去试探，但这不是我们有恃无恐的理由，毕竟我们不能去用道德约束攻击者，也不能将希望寄托给道德。

“网络安全的本质在对抗，对抗的本质在攻防两端能力较量。”无论是核心技术突破、产品功能深化，还是产业体系发展，网络领域所有进步和发展，都要转化为防御场景下的实际能力，经历实战检验。从发达国家网络信息安全建设规划发展的经验来看，也经历了从合规导向建设模式到威胁导向建设模式，在21世纪初就已经逐步走入到能力导向建设的模式。

美国国防部2001年《四年防务评估报告》中指出：随着冷战结束，国际形势日益复杂化，已经很难清晰地识别出所有的敌对威胁行为体，因此需要从基于威胁的规划模式转为基于能力的规划模式……需要把尝试罗列各种可能的网空威胁并设计零散防御措施进行被动应对的传统式威胁导向建设模式，演化为全面建设必要的网络安全防御能力并将其有机结合形成网络空间安全综合防御体系的能力导向建设模式。

2002年，美国推出了《联邦信息安全管理法案》（FISMA）。FISMA在充分认识信息安全对于美国经济和国家安全利益重要性的基础上，要求各联邦机构制定并实施适用于本机构的信息安全计划，保障联邦信息和信息系统安全。在FISMA的牵引拉动下，美国联邦政府的安全预算在IT总花费占比得到提升，并在奥巴马执政期间形成一轮能力建设高潮，在2012年一度占比达到19.5%。

面对具有中高能力水平且组织严密的网空威胁行为体，我方关键信息基础设施与重要信息系统网络安全防御体系的建设应根据网络与信息系统的国家安全、社会安全和业务安全属性，客观判断必须能够有效对抗哪些层级的网络空间威胁，并据此驱动网络空间安全防御能力建设。

在攻防较量的过程中，对于网空威胁行为体，特别是以美国情报机构为代表的超级网空威胁行为体的认知就构成了我们建立自身防御能力和威慑能力的重要前提。

在此背景下，安天在2018年除了对全球APT组织或攻击事件进行常态化、持续性的跟踪分析，针对超高能力对手方的网络空间攻击与主动防御能力开展了深入的研究工作，为客户提供建设动态综合网络安全防御体系的针对性、具象化的敌情想定。

面对网空威胁行为体体系化的进攻，我们需要以体系化防御对决体系化进攻，参考“叠加演进的层次化网络安全能力模型”构建动态综合网络安全防御体系。以基础结构安全和纵深防御为主体的综合防御体系为基础，叠加动态的积极防御以应对高级复杂威胁，同时结合威胁情报缩短防御响应周期并提高针对性，以能力导向建设动态综合网络安全防御体系。

依托安天十八年技术积累和发展所形成的以威胁检测引擎为核心优势的技术体系，将安全能力落实到网络信息系统的各个实现层组件，逐层展开防御，并将安全能力最大化覆盖信息系统的各个组成实体，避免因局部能力短板导致整体防御失效，实现安全防护机制与网络信息系统的“深度结合、全面覆盖”。

基于长期分析对抗威胁的工程体系积累，安天全方位助力客户建设威胁情报驱动的战术型态势感知体系，从而达成“掌握敌情、协同响应”的动态积极防御。依托既有安全分析与服务支撑体系，支撑协同联动的实战化安全运行，协助客户筑起可对抗高级威胁的网络安全防线。

但当前在态势感知实践中，往往更偏重于面向策略调整的宏观态势感知，其无法有效抵御快速发生的网空攻击行动、及时阻止攻击者入侵导致的网络系统初始“沦陷”，难以支撑有效积极防御体系。在第六届网络安全冬训营上，安天基于对态势感知体系的理解与实践，提出了“战术型态势感知指控积极防御，协同响应猎杀威胁运行实战化”的号召。

在未来工作中，在实践中，安天将直面敌情，不断完善能力体系，不断提升网络安全能力与信息技术“深度结合”与“全面覆盖”的问题。深入参与用户的信息系统规划建设，将安全管理与防护措施落实前移至规划与建设等系统生命周期的早期阶段，以网络安全能力叠加演进为导向，协助用户开展以战术型态势感知为核心的动态综合网络安全防御体系的网络安全规划与建设，支撑起协同响应的实战化运行，协助客户实现常态化的威胁发现与响应处置工作，逐步实现“防患于未然”，以应对高级网空威胁行为体的挑战。

在这个过程中，中国的能力型安全厂商，不仅要做好当下，也要逐步放眼全球，从一个国际主义的视角去看待整个社会经济的不均衡发展所带来的第三世界国家的安全防护的落差，以及由此带来更多的隐患，通过在我国网络安全工作中积累沉淀安全防护理念、经验和解决方案，为第三世界国家提供网络安全能力的支持和援助。