信息化觀察網(wǎng)

網(wǎng)絡(luò)安全正面臨越來越多的“隱形殺手”。

“如果漏洞是網(wǎng)絡(luò)攻擊的重要資源，那么0day漏洞就是威脅最大的資源，捕獲0day漏洞攻擊的能力是今天網(wǎng)絡(luò)防護(hù)的關(guān)鍵點(diǎn)。”10月20日，360高級(jí)副總裁李建華在世界互聯(lián)網(wǎng)領(lǐng)先科技成果發(fā)布會(huì)上表示。

在這次會(huì)上，由360研發(fā)的“全視之眼-0day漏洞雷達(dá)系統(tǒng)”獲評(píng)世界互聯(lián)網(wǎng)大會(huì)領(lǐng)先科技成果。

這是360繼安全大腦后第二次獲此殊榮，全視之眼可以“看見”0day漏洞攻擊，并有效應(yīng)對(duì)。

看不見的攻擊才是最可怕的。

0day漏洞，一種沒有補(bǔ)丁、應(yīng)對(duì)措施，只有少數(shù)攻擊者知曉的漏洞。借由0day漏洞發(fā)動(dòng)的攻擊不可預(yù)知、極難防御。2017年，美國國家安全局泄露的0day漏洞被一群“小毛賊”利用，由此引發(fā)了WannaCry勒索病毒事件。

據(jù)不完全統(tǒng)計(jì)，全球有超150個(gè)國家的20多萬家機(jī)構(gòu)的電腦中毒。該病毒還造成出入境及車管業(yè)務(wù)中斷、加油站及醫(yī)院“罷工”等“現(xiàn)實(shí)危機(jī)”。

而當(dāng)“小毛賊”換成“APT組織”這樣的國家級(jí)網(wǎng)絡(luò)攻擊隊(duì)伍，0day漏洞的危害將難以想象。

但現(xiàn)實(shí)已經(jīng)逼近，今年來，蹊蹺的大規(guī)模停電事件在南美多國頻頻上演；伊朗則號(hào)稱攻擊了美國紐約電網(wǎng)，造成大停電；俄羅斯電網(wǎng)也被曝遭遇入侵……

“當(dāng)下貌似和平很久，但戰(zhàn)爭從未遠(yuǎn)離，只是形式不同”，360創(chuàng)始人周鴻祎表示，當(dāng)攻擊者不用出動(dòng)轟炸機(jī)、導(dǎo)彈就能導(dǎo)致大規(guī)模停電、停產(chǎn)時(shí)，這類來自網(wǎng)絡(luò)的威脅已不亞于真槍實(shí)彈的戰(zhàn)爭。

值得慶幸的是，現(xiàn)身烏鎮(zhèn)的周鴻祎已有了對(duì)策。

1、威脅網(wǎng)絡(luò)安全的“隱形殺手”

2009年，伊朗納坦茲核燃料濃縮工廠的科學(xué)家們苦思冥想了幾個(gè)月卻束手無措。他們用試驗(yàn)排除了由機(jī)電故障引發(fā)的可能性，還將工廠的離心機(jī)數(shù)量翻倍，但濃縮鈾的產(chǎn)量仍然停滯不前，甚至每況愈下。

終于，他們?cè)谝慌_(tái)裝有控制軟件的電腦上發(fā)現(xiàn)了帶有惡意軟件的U盤。事實(shí)證明，長期以來，一個(gè)名為震網(wǎng)的秘密軟件一直在暗中干擾。病毒最終導(dǎo)致1000臺(tái)鈾濃縮離心機(jī)廢棄，直接摧毀了伊朗“核計(jì)劃”。

震網(wǎng)的出現(xiàn)，標(biāo)志著首個(gè)“超級(jí)破壞性”網(wǎng)絡(luò)武器登上歷史舞臺(tái)。人們驚惶地發(fā)現(xiàn)，虛擬世界的網(wǎng)絡(luò)攻擊可以摧毀現(xiàn)實(shí)中的鋼鐵機(jī)器。

而這次攻擊之所以能得逞，都與0day漏洞息息相關(guān)。據(jù)分析，震網(wǎng)設(shè)計(jì)者精心構(gòu)置了微軟操作系統(tǒng)中4個(gè)在野0day漏洞，并和工控系統(tǒng)的在野0day漏洞進(jìn)行組合，以實(shí)現(xiàn)精準(zhǔn)打擊、定向破壞。

實(shí)際上，震網(wǎng)之后，APT組織也開始浮出水面。這類組織會(huì)利用先進(jìn)的攻擊手段對(duì)特定目標(biāo)進(jìn)行長期持續(xù)性網(wǎng)絡(luò)攻擊，其背后往往是國家級(jí)的網(wǎng)絡(luò)攻擊隊(duì)伍。

近年來，360已累計(jì)發(fā)現(xiàn)40個(gè)APT組織，其攻擊涉及能源、通信、金融、交通、制造、教育、醫(yī)療等關(guān)鍵基礎(chǔ)設(shè)施行業(yè)。

0day漏洞頗受APT組織青睞。

360發(fā)布的《全球高級(jí)可持續(xù)性威脅2018年總結(jié)報(bào)告》顯示，2018年，比較知名的APT活動(dòng)0day漏洞在野利用事件就有14個(gè)之多。報(bào)告總結(jié)說，APT組織是最有能力挖掘和利用0day漏洞的組織。

比如，2018年11月25日，烏俄兩國突發(fā)“刻赤海峽”事件。四天后，360安全大腦在全球范圍內(nèi)第一時(shí)間發(fā)現(xiàn)了一起針對(duì)俄羅斯的APT攻擊行動(dòng)。

其攻擊相關(guān)樣本來源于烏克蘭，攻擊目標(biāo)則指向俄羅斯聯(lián)邦總統(tǒng)事務(wù)管理局所屬的醫(yī)療機(jī)構(gòu)，攻擊者利用了Flash的0day漏洞（cve-2018-15982）。

更怕的是，0day漏洞可能隱藏在任何一個(gè)稍有規(guī)模的軟件系統(tǒng)中。

據(jù)統(tǒng)計(jì)，平均每一千行代碼中就存在著4-6個(gè)漏洞。尤其是隨著“自動(dòng)化”程度的加劇，系統(tǒng)越復(fù)雜，漏洞就會(huì)越多。而在當(dāng)下的萬物互聯(lián)時(shí)代，各類關(guān)鍵基礎(chǔ)設(shè)施聯(lián)網(wǎng)后，漏洞的危害也隨之闖入“物理世界”。

2015年圣誕節(jié)期間，烏克蘭國家電力部門受到了APT組織的猛烈攻擊，使烏克蘭西部的140萬名居民在嚴(yán)寒中遭遇了大停電的煎熬，城市陷入恐慌，損失慘重。2019年委內(nèi)瑞拉遭遇全球最大規(guī)模的“斷電襲擊”，繼而停水停電，地鐵停擺、電信服務(wù)、網(wǎng)絡(luò)接入服務(wù)中斷。

看不見的才是最可怕的，這就是0day的真正威脅。

從理論上講，0day漏洞攻擊不可預(yù)知、極難防御。這也是APT組織會(huì)喜歡使用0day漏洞的原因”，360首席安全架構(gòu)師、360冰刃實(shí)驗(yàn)室負(fù)責(zé)人潘劍鋒告訴記者。他的實(shí)驗(yàn)室負(fù)責(zé)了360全視之眼的研發(fā)。

2、造“預(yù)警機(jī)”的網(wǎng)絡(luò)安全公司

上世紀(jì)90年代初，海灣戰(zhàn)爭爆發(fā)，中國從中看到了研制預(yù)警機(jī)的緊迫性，并歷經(jīng)數(shù)十年研制出全球領(lǐng)先的預(yù)警機(jī)。

國產(chǎn)預(yù)警機(jī)被譽(yù)為與“兩彈一星”、載人航天和探月工程并列的國家重大工程。在現(xiàn)代戰(zhàn)爭中，預(yù)警機(jī)堪稱“天空之眼”，可以大大減少雷達(dá)盲區(qū)，提供精準(zhǔn)的遠(yuǎn)程預(yù)警和空中指揮引導(dǎo)。

在網(wǎng)絡(luò)安全中，面對(duì)“隱形飛機(jī)”一樣的國家級(jí)網(wǎng)絡(luò)攻擊，同樣需要“預(yù)警機(jī)”。

周鴻祎曾多次強(qiáng)調(diào)：應(yīng)對(duì)網(wǎng)絡(luò)攻擊，‘看見’是1，其它是0。如果不能看見攻擊，堆砌再多的網(wǎng)絡(luò)安全產(chǎn)品也是徒勞。

實(shí)際上，在網(wǎng)絡(luò)安全領(lǐng)域，360是最有實(shí)力實(shí)現(xiàn)“看見”的公司。

今年8月，在全球頂級(jí)網(wǎng)絡(luò)安全大會(huì)“Black Hat”上，360取得兩項(xiàng)歷史性突破：一是在“2019 MSRC全球最具價(jià)值安全精英榜”中，360包攬前兩名，實(shí)現(xiàn)亞洲人首次登頂，入選人數(shù)和綜合排名蟬聯(lián)世界第一；二是360榮獲“最佳提權(quán)漏洞獎(jiǎng)”（The Pwnie Awards），打破了連續(xù)12年無中國人獲獎(jiǎng)的記錄，向世界展現(xiàn)了中國的網(wǎng)絡(luò)安全實(shí)力。

過去的五年時(shí)間里，360率先獨(dú)立發(fā)現(xiàn)主流廠商漏洞超過2000個(gè)，獨(dú)立捕獲0Day漏洞7次，涉及上千個(gè)重要部門，成為全球獲得致謝次數(shù)最多的網(wǎng)絡(luò)安全公司。

即便如此，研制能看見高級(jí)別攻擊的“預(yù)警機(jī)”也并不容易。

“發(fā)掘0day漏洞很難，也有很強(qiáng)的偶然性，我們轉(zhuǎn)而把目標(biāo)放在追蹤利用0day漏洞的攻擊上，任何攻擊都會(huì)留下蛛絲馬跡”，潘劍鋒表示。

順著這一思路，360冰刃實(shí)驗(yàn)室找到了方法。

“0day漏洞攻擊分為觸發(fā)、利用、運(yùn)行三個(gè)階段，只要在三個(gè)階段布置探測(cè)器就能發(fā)現(xiàn)攻擊”，潘劍鋒透露，為了實(shí)現(xiàn)這一目標(biāo)，360冰刃實(shí)驗(yàn)室將多項(xiàng)創(chuàng)新技術(shù)應(yīng)用到360全視之眼中，一些技術(shù)甚至從無到有，彌補(bǔ)了行業(yè)空白。

比如，其冰刃安全虛擬機(jī)技術(shù)（ILSVM）是從零設(shè)計(jì)開發(fā)的以實(shí)現(xiàn)安全檢測(cè)為主的全新輕量級(jí)虛擬機(jī)系統(tǒng)，彌補(bǔ)了國內(nèi)此類基礎(chǔ)軟件的空白。

在ILSVM的基礎(chǔ)上，360全視之眼獨(dú)創(chuàng)了0day攻擊捕獲技術(shù)，即借用強(qiáng)大的ILSVM，在攻擊的三個(gè)階段均布置了多種全球獨(dú)創(chuàng)的新型探測(cè)器，能把第一、二階段捕獲能力直接全天時(shí)應(yīng)用到數(shù)億用戶終端的系統(tǒng)，使發(fā)現(xiàn)0day漏洞攻擊的能力提升到一個(gè)新的高度。

針對(duì)傳統(tǒng)沙箱的不足，360冰刃實(shí)驗(yàn)室還將ILSVM的核心安全能力復(fù)制到了KVM虛擬機(jī)之上建立多維沙箱，將大量虛擬化新型探測(cè)器（如影子頁表探測(cè)器、執(zhí)行路徑ROP探測(cè)器等）部署于hypervisor層、Guest內(nèi)核層、Guest應(yīng)用層多個(gè)維度上，捕獲更多類型的漏洞利用攻擊，與終端子系統(tǒng)形成了優(yōu)勢(shì)互補(bǔ)。

整體來看，360全視之眼更像網(wǎng)絡(luò)世界里的“預(yù)警機(jī)”，能洞察極其隱蔽的異常行為，并通過360安全大腦分析研判，精準(zhǔn)捕捉0day漏洞攻擊。

“我們的產(chǎn)品已廣泛應(yīng)用于數(shù)億個(gè)人用戶和大量政企單位，每天感知異常行為超過5億次，成功發(fā)現(xiàn)和阻止了幾十起高級(jí)安全威脅（APT）。相信這將是為大安全時(shí)代保駕護(hù)航的利器。”周鴻祎表示。