德國提升網路安全威脅等級

① 震網病毒的展望和思考

在傳統工業與信息技術的融合不斷加深、傳統工業體系的安全核心從物理安全向信息安全轉移的趨勢和背景下，此次Stuxnet蠕蟲攻擊事件尤為值得我們進一步思考。
這是一次極為不同尋常的攻擊，其具體體現是： 傳統的惡意代碼追求影響范圍的廣泛性，而這次攻擊極富目的性； 傳統的攻擊大都利用通用軟體的漏洞，而這次攻擊則完全針對行業專用軟體； 這次攻擊使用了多個全新的零日漏洞進行全方位攻擊，這是傳統攻擊難以企及的； 這次攻擊通過恰當的漏洞順利滲透到內部專用網路中，這也正是傳統攻擊的弱項； 從時間、技術、手段、目的、攻擊行為等多方面來看，完全可以認為發起此次攻擊的不是一般的攻擊者或組織。
因此，這次攻擊中所採用的多個新漏洞和傳播手段，將在接下來很長一段時間內給新的攻擊提供最直接的動力。而更大的影響是，事件中顯露出來的攻擊思路和攻擊視野會帶來長久的示範效應。它給攻擊者、安全研究人員、企業管理者帶來的更多是一種安全觀念和安全意識上的沖擊。一些傳統的認識已經略顯陳舊，誰能在這一次觀念和意識賽跑中認識得更清、看得更遠，誰就能在未來一段時間內保持優勢。
至少有以下兩種新的攻擊趨勢值得特別關註： 針對行業專用軟體的漏洞挖掘和攻擊，特別是上升到國家戰略層面的關鍵行業和敏感行業。安天實驗室在2013年年初發布的《多家企業網路入侵事件傳言的同源木馬樣本分析報告》中就明確指出：「目前的漏洞分析挖掘的注意點已經不集中於主流廠商，而開始普遍擴散」。另一方面，這些攻擊雖然針對軟體，但並不一定是利用軟體本身的缺陷，安全是一個全方位的問題，攻擊可能來自於任何一個角度。 針對企業內部網路，特別是物理隔離的內部專用網路的攻擊。這類網路具有較高的安全要求，也更具攻擊價值。一般通過U盤等可移動存儲設備滲入這類網路的方法是感染式病毒、欺騙、自動播放（Autorun.inf）等。本次出現的快捷方式文件解析漏洞，為此類攻擊提供了一種更有效的方法。此外，這種內部網路也將因為本次事件而被攻擊者關注和研究，不能排除出現新的攻擊方式的可能。 基於上述認識，建議有關部門和企業以此次攻擊事件為鑒，進一步加強信息網路和計算機設備的安全管理、制定完善的安全管理方案、形成合理的安全策略、提高安全意識，與安全廠商一同構建堅實的防線，抵禦安全威脅。 一些專家認為，Stuxnet病毒是專門設計來攻擊伊朗重要工業設施的，包括上個月竣工的布希爾核電站。它在入侵一台個人電腦後，會尋找廣泛用於控制工業系統如工廠、發電站自動運行的一種西門子軟體。它通過對軟體重新編程實施攻擊，給機器編一個新程序，或輸入潛伏極大風險的指令。專家指出，病毒能控制關鍵過程並開啟一連串執行程序，最終導致整個系統自我毀滅。
2008年，「震網」病毒攻擊就開始奏效，伊朗核計劃被顯著拖延。根據電腦安全公司賽門鐵克公司的一份詳細報告，到2010年9月29日為止，「震網」病毒在世界范圍內感染了10萬台主機，其中有6萬台位於伊朗，之後伊朗採取了行動，從而無法評估後來的數據。 伊朗半官方的通訊社報道稱，這種代號為「震網」的「電腦蠕蟲」病毒很可能是伊朗的敵人專門為破壞布希爾核電站而「量身定做」的。（2010年9月30日《中國青年報》）
根據科學和國際安全研究所的統計，位於納坦茲的大約8000台離心機里有1000台已在2009年底和2010年初被換掉。國際原子能機構說，伊朗在2010年11月中旬暫停了納坦茲的鈾濃縮活動，因為離心機發生技術故障。
2013年3月，中國解放軍報再次披露，美國曾利用「震網」蠕蟲病毒攻擊伊朗的鈾濃縮設備。
卡巴斯基的高級安防研究員戴維·愛姆說，Stuxnet與其它病毒的不同之處，就在於它瞄準的是現實世界。他們公司已經和微軟聯手，查找程序中的編碼漏洞，防止新病毒找到它。
愛姆說，通常的大部分病毒像個大口徑短槍到處開火，而Stuxnet像個狙擊手，只瞄準特定的系統。一旦它們發現了編碼缺陷，就好比找到了房子上的天窗，然後用一把羊頭鎬撬開一個更大的洞。Stuxnet被設計出來，純粹就是為了搞破壞。
德國網路安全研究員拉爾夫·朗納（Ralph Langner）已經破解了Stuxnet的編碼，並將之公布於眾。他堅信Stuxnet被設計出來，就是為了尋找基礎設施並破壞其關鍵部分。他說，這是一種百分之百直接面向現實世界中工業程序的網路攻擊。它絕非所謂的間諜病毒，而是純粹的破壞病毒。
朗納說，Stuxnet病毒的高端性，意味著只有一個「國家」才能把它開發出來。根據我們所掌握的計算機法醫方面證據，它的意圖很明顯，就是執行破壞性攻擊，毀掉大量的內部信息。這並非某個坐在父母家裡的地下室里的駭客能幹得出來的，這種攻擊的來源指向的是一個國家。Stuxnet很可能已經攻擊了它的目標，只不過我們還沒有接到消息而已。
近日，某國內知名安全公司監測到一個席捲全球工業界的病毒已經入侵我國，這種名為Stuxnet的蠕蟲病毒已經造成伊朗核電站推遲發電，目前國內已有近 500萬網民、及多個行業的領軍企業遭此病毒攻擊。某國內知名安全軟體公司反病毒專家警告說，我們許多大型重要企業在安全制度上存在缺失，可能促進Stuxnet病毒在企業中的大規模傳播。
某國內知名安全軟體公司專家表示，這是世界上首個專門針對工業控制系統編寫的破壞性病毒，它同時利用包括MS10-046、MS10-061、MS08-067等 7個最新漏洞進行攻擊。這7個漏洞中，有5個是針對windows系統，2個是針對西門子SIMATIC WinCC系統。另外在關於微軟的5個漏洞中，目前有兩個本地提權漏洞仍未修復。 該病毒通過偽裝RealTek 與JMicron兩大公司的數字簽名，從而順利繞過安全產品的檢測。從編寫手法上看，該病毒還有很大的改進餘地，將來很可能出現同樣原理的復雜病毒。
據某國內知名安全軟體公司技術部門分析，Stuxnet病毒專門針對西門子公司的SIMATIC WinCC監控與數據採集 (SCADA) 系統進行攻擊，由於該系統在我國的多個重要行業應用廣泛，被用來進行鋼鐵、電力、能源、化工等重要行業的人機交互與監控，一旦攻擊成功，則可能造成使用這些企業運行異常，甚至造成商業資料失竊、停工停產等嚴重事故。
該病毒主要通過U盤和區域網進行傳播，由於安裝SIMATIC WinCC系統的電腦一般會與互聯網物理隔絕，因此黑客特意強化了病毒的U盤傳播能力。如果企業沒有針對U盤等可移動設備進行嚴格管理，導致有人在區域網內使用了帶毒U盤，則整個網路都會被感染。
Stuxnet病毒被多國安全專家形容為全球首個「超級工廠病毒」。截至目前，Stuxnet病毒已經感染了全球超過 45000個網路，伊朗、印尼、美國、台灣等多地均不能倖免，其中，以伊朗遭到的攻擊最為嚴重，60%的個人電腦感染了這種病毒。
據悉，早在今年7月，某國內知名安全軟體公司就監測到了Stuxnet的出現，一直進行跟蹤並積極研發出了解決方案，某國內知名安全軟體公司安全專家提醒廣大政府及企業級用戶：一定要嚴格限制U盤在密級網路中的應用，如果必須使用的，則應該建立使用登記和責任追究制度。另外，某國內知名安全軟體公司殺毒軟體網路版也針對此病毒，提供了完善的U盤病毒預防、網路內安全管理、惡性病毒掃描.
作為安全廠商，安天呼籲各兄弟廠商一起共建良好的行業環境，不斷促進安全技術的良性發展。同時，安天也期盼公眾和用戶能夠對信息安全給予更多的關注。安天堅信保障公眾和社會的安全是一家安全廠商義不容辭的使命，但在現階段僅靠廠商的力量尚不足以解決目前的所有問題。只有各方齊心協力，才能迎來一個更加美好的世界。

② 網路安全分為幾個級別

網路安全分為四個級別，詳情如下：

1、系統安全

運行系統安全即保證信息處理和傳輸系統的安全。它側重於保證系統正常運行。

2、網路的安全

網路上系統信息的安全。包括用戶口令鑒別，用戶存取許可權控制，數據存取許可權、方式控制，安全審計。安全問題跟踩。計算機病毒防治，數據加密等。

3、信息傳播安全

網路上信息傳播安全，即信息傳播後果的安全，包括信息過濾等。它側重於防止和控制由非法、有害的信息進行傳播所產生的後果，避免公用網路上大雲自由傳翰的信息失控。

4、信息內容安全

網路上信息內容的安全。它側重於保護信息的保密性、真實性和完整性。

(2)德國提升網路安全威脅等級擴展閱讀

網路安全的影響因素：

自然災害、意外事故；計算機犯罪； 人為行為，比如使用不當，安全意識差等；黑客」 行為：由於黑客的入侵或侵擾，比如非法訪問、拒絕服務計算機病毒、非法連接等；內部泄密；外部泄密；信息丟失；電子諜報，比如信息流量分析、信息竊取等。

網路協議中的缺陷，例如TCP/IP協議的安全問題等等。網路安全威脅主要包括兩類：滲入威脅和植入威脅。滲入威脅主要有：假冒、旁路控制、授權侵犯。

③ 德國為什麼會出現全國斷網現象

歐洲最大的電信運營商德國電信(Germany Telecom)於當地時間11月27日17: 00遭遇嚴重網路攻擊，導致其90萬台路由器無法接入互聯網，影響相關電話和電視服務長達數小時。事故發生後，德國電信技術人員修復了網路連接問題，但第二天早上8點左右網路再次被切斷。作為全球第五大電信運營商，德國電信已將其足跡遍布50多個國家，為2億多客戶提供與未來工作和生活相關的各種產品和服務。斷網給公眾帶來了巨大損失。

自今年9月底大規模DDoS攻擊Mirai未來組合源代碼泄露以來，網路黑客對此進行了大量深入分析。對於最新的Mirai未來組合變體，安全行業將通過調查和評估制定解決方案。從此事可以看出，黑客們已經猖狂到一定程度了。

④ 德國通過《信息技術安全法》修訂草案，信息技術安全為何引起國家重視

德國通過信息技術安全法修訂草案，信息技術安全對於國家而言是非常重要的。這是因為目前每個國家都在強調大數據。數據對於每一個國家的國民雖然可能微不足道，但是對整個國家的整體戰略而言有著至關重要的意義。這是因為對於目前的現狀，人們不再著眼於過去的數據來估計相關的情況，而是利用大數據的方式預測未來出現的情況。因此，數據對一個國家，對其他國家的預測或者全球經濟發展的預測都有著至關重要的現象。

在大數據時代，數據就成為了每個國家與別國進行博弈和較量的手段。如果一個國家的數據看容易被他國所竊取，那麼該國在各種方面都可能會遭到其他國家的制衡。

⑤ 美國大型廣電集團遭攻擊背後，網路勒索正演變為全球性安全風險

近年來，勒索軟體攻擊成為全球范圍內增長速度最快的網路安全威脅之一，其攻擊對象既包括各類企業與組織，也包含個體網路用戶，且二者的數量都在迅速增加。阿里雲安全勒索9月月度報告顯示，據不完全統計2021年光上半年就至少發生了1200多起勒索軟體攻擊事件，接近2020年已知公布的事件數量。

另一方面，勒索攻擊正在APT（高級可持續威脅）化，在眾多勒索軟體攻擊事件中，有將近70%的勒索團伙採用雙重勒索策略，以數據封鎖威脅受害者支付巨額贖金，勒索攻擊已成為當前不容忽視的網路安全挑戰。

本次遭受攻擊的Sinclair集團，旗下業務包括185家電視台，涵蓋21個區域 體育 網路品牌，在美國家庭電視頻道市場佔比近40%，2020年收入達59億美元。值得注意的是，這已經是今年其第二次遭受網路攻擊，今年7月，Sinclair就曾因計算機系統遭到入侵要求其電視台更改所有的密碼。

所謂勒索軟體，主要是指利用系統漏洞獲取相應許可權，獲取計算機控制權並對關鍵數據或文件進行加密，並由此向用戶索取贖金的網路攻擊方式。這些攻擊往往通過帶有惡意鏈接的電子郵件、不安全的軟體下載以及組織內的文件共享平台等渠道傳播，以較為隱蔽的方式感染設備，在完成對文件的加密後，受害者通常會收到一封要求使用比特幣等虛擬貨幣支付贖金的提示或郵件，如果不在期限內支付，文件可能會被永久封鎖。

舉例而言，其可能通過動態計算的方式，隨機讀取當前時刻設備CPU的溫度等動態數據作為構成解鎖密碼的某一欄位，這種缺乏解碼樣本的加密手段在大部分情況下是不可逆的，因而從技術角度破解難度較高。

正因如此，大部分企業在遭到攻擊時不得不選擇繳納贖金以恢復數據。據網路安全服務提供商ThycoticCentrify最新發布的調查報告顯示，83%的勒索軟體受害者認為在受到攻擊後支付贖金是唯一的選擇，且有一半受訪者表示，其公司因勒索軟體造成了收入損失和名譽損失，42%的受訪者承認他們因攻擊而失去了客戶。

但屈從於勒索者不僅可能並不能解鎖文件，反而會給企業帶來額外的風險。美國聯邦調查局就曾多次強調，其並不支持企業向勒索軟體付款，這種行為不僅容易引發攻擊者的二次勒索，也面臨資助犯罪活動的潛在指控。

去年10月，美國財政部外國資產控制辦公室 (OFAC) 發布了一份咨詢報告，指出向勒索軟體支付贖金的用戶面臨違反法規的風險，並可能遭到起訴或制裁。此外，為受害者提供勒索軟體付款方式或渠道的公司還面臨違反金融犯罪執法網路（FinCEN）法規，並未履行相關監管義務的風險。

而在我國，根據《網路安全法》第二十一條規定：「網路產品、服務的提供者……發現其網路產品、服務存在安全缺陷、漏洞等風險時，應當立即採取補救措施，按照規定及時告知用戶並向有關主管部門報告」；第二十五條規定：「網路運營者應當制定網路安全事件應急預案，及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險；在發生危害網路安全的事件時，立即啟動應急預案，採取相應的補救措施，並按照規定向有關主管部門報告。」

上海申倫律師事務所律師夏海龍表示，受勒索軟體攻擊而被要挾付款的對象也是受害者，目前我國尚未有法律法規明確要求禁止支付贖金。但企業在面臨勒索軟體威脅時有義務向有關部門進行報告，並未及時提交安全漏洞或選擇隱瞞涉嫌違法。

但另一方面，一般情況下勒索病毒不會對設備文件內容進行竊取，因而遭到攻擊的企業通常可以免於數據泄露的指控，其主要需解決的是業務數據丟失情況下的用戶賠償問題。曲子龍指出，當前主要的勒索軟體通常只是利用漏洞獲取系統許可權，從而進行數據封鎖，而竊取數據則意味著其需要在設備上運行分析軟體讀取數據內容，這對只需要提供解鎖密碼就能獲取巨額贖金的攻擊者來說是得不償失的。此外，數據在傳輸過程中還可能增加自身被追蹤暴露的風險，因而大部分情況下勒索者都不會主動竊取封鎖文件的內容。

ThycoticCentrify的報告顯示，自從新冠肺炎疫情在全球蔓延以來，勒索攻擊的案件數量和勒索金額都在迅速提升。而攻擊頻率上升的重要原因是Window系統MSHTML引擎漏洞等重大漏洞被披露以及勒索病毒的新變種不斷出現，其大規模流行給各國網路的正常運行帶來極大的安全隱患。今年5月7日，美國輸油管道公司Colonial Pipeline遭受勒索軟體攻擊，導致其東海岸液體燃料被迫停止運營。

近日，美國、法國、德國、日本等30餘個國家代表承諾將共同打擊軟體勒索行為，並加強金融系統使其免於遭受攻擊的風險。美國金融犯罪執法網路局(FinCEN)在最新一份報告中表示，其追蹤了2021年上半年價值52億美元的比特幣交易，這些交易很可能與勒索軟體支付有關，且勒索者開始要求以更難追蹤的虛擬貨幣，例如門羅幣來支付贖金。

而此前中國境內遭受的大規模勒索軟體攻擊，較為著名的是2017年的「永恆之藍」事件。事件的起因是黑客團體「影子經紀人」(Shadow Brokers)泄露了一份包含了多個Windows遠程漏洞利用工具的文檔，致使美國、英國、俄羅斯、中國等多國企業、政府機構和高校遭受勒索病毒襲擊，多地電力系統、通訊系統、能源企業等基礎設施受到波及。

今年8月29日，中國國家互聯網應急中心（CNCERT）發布《勒索軟體防範指南》，旨在勒索軟體攻擊愈發頻繁的當下為企業和用戶提供防範指引。《指南》提出，企業在防範時應注意做好資產梳理與分級分類管理，備份重要數據和系統，定期評估安全風險等工作。

「對於企業和個人用戶而言，防範勒索病毒和防範常規病毒的方式基本是一致的，主要還是做好對來源不明郵件和問題網站的防範，以及對數據的常態化備份。」曲子龍指出，加強網路系統內的許可權管理，採用網路分段、身份驗證等方式進行訪問許可權精細化控制，也是有效遏制勒索病毒的進一步擴散的關鍵措施。

更多內容請下載21 財經 APP