从俄乌网络战谈关基保护 安全企业精装修任重道远

卡巴斯基最近发表文章评价了网络战对安全上的影响，他们强调评价地缘政治问题最好留给专家，但在俄乌冲突期间发生了许多网络事件，研究评估这些事件对网络安全领域的影响也将非常重要，因为就网络战而言，具有极高的附带损害风险。文章指出网络战可用于热战之前的情报收集工作，在现代冲突之前，可以预期地看到在收集情报和破坏性攻击有关的网络战的重大迹象和高峰。

在分析俄乌冲突期间背后的网络战方面，卡巴斯基收集了一些攻击案例，并输出了不同的见解。如初始阶段，一些恶意的攻击更多的是要造成混乱，而非实现既定战术目标。具有恶意破坏效果的勒索软件、Wiper 恶意软件、ICS/OT恶意软件被大量发现，这些恶意软件出现的目标主要以对象的关键基础设施为主，如能源企业。在特定的时间内，攻击更加泛滥地指向不同行业实体，而在冲突期间，低成本的DDoS攻击更是频繁发生。

文章更多篇幅聚焦在了国家层面背后的黑客团队和民间志愿者在冲突爆发之后开展的攻击行为，比如背后活跃的勒索组织和国际黑客团体，这也是他们不愿更多地评价和披露具有国家背景的网络战的背后故事。对此他们评价称，预期未来黑客组织将参与所有重大的地缘政治冲突当中，甚至这些黑客活动会更多地蔓延至邻国，并影响包括政府机构和私营公司在内的大量实体。

俄乌冲突背后还有一层网络安全的隐患，至冲突开始后，许多西方公司给予不同理由宣布退出俄罗斯市场，这让该地区用户在获得安全更新或支持方面陷入困境，在这方面企业要寻找替代解决方案可能非常复杂，因为网络安全实际上需要的是全球视野。这一问题的出现，实际上也给其他并不具备自主可控能力的国家处于不利地位，因为他们也要考虑未来的风险。

文章额外评价称，虽然与同时发生的热战攻击影响相比，这些破坏性网络攻击的影响相形见绌，但应该指出的是，从理论上讲，这种能力可以针对武装冲突范围之外的任何国家，并以传统网络犯罪活动为幌子。事实也是如此，网络空间早已成为各国博弈的新战场，其被视为继陆战、海战、空战、太空战之后“第五种作战形式”。

此前安全419在采访奇安信网络安全专家时对方也曾表示，在国家对抗方面，其实不仅仅体现在地缘政治这一方面，比如说俄乌冲突对双方关键信息基础设施所带来的网络安全威胁或是相关事件，更多的是全球化发展的国家利益冲突在网络空间上的延伸，而我国一直以来就是网络攻击的受害者。

显然，针对具有国家背景的网络战而言，重点是针对国家的关键信息基础设施实行严格保护，而我国已将关键信息基础设施的安全保护上升到法规层面，就是来自于其重要性的全面考量。同时无论是网络安全法还是更为具体的关保条例，均要求对关基设施在等保的基础之上作重点保护，这都对关基单位提出了更高的要求。

安全专家也对“重点保护”四字提出了相关见解，其认为要在合规安全基础上，以关基单位业务发展为中心的，从实战角度出发的有效性网络安全建设。

即面对关基设施安全，不仅要夯实地基，比如做好等保、密评等合规建设，更是要做到有效性为前提的“精装修”。这种“精装修”前提是在“三同步”要求之下，以合规和现实安全双重驱动下，在实践中不断摸索强化符合行业自身特点以及安全趋势的解决方案和技术，这样才能捕获和防御针对关基设施的难以发觉的恶意攻击。

针对网络战而言关基防护是国家的重点工作，因其本身厚度问题也决定了安全解决方案的厚度，这也意味着关基单位需要结合自身业务情况，根据相关法规标准，全面制定相关规划，安全企业建议可为关基对象制定可落地实施的“规划图”，用以划分优先开展的具体工作，并从中按轻重缓急开展具体部署，从而实现“重点保护”。

在具体的关基防护方面，其工作大体可分为安全管理体系的建立，安全防护体系的建立，以及安全保障体系的建立。在具体的安全防护体系建立工作方面，安全企业输出的建议是关基安全建立主动防御能力是不可或缺的一环，针对关基开展攻击并不是广撒网方式，更多的是以APT攻击为代表的定向攻击。这就要求关基单位具备主动防护能力，能够去识别检测这种高级威胁。

同时，不同的关基应用场景不同，安全方案和策略更要做到精细化控制，比如如何应用新的安全技术更加有效地收敛企业网络风险暴露面，以及如何在日常化运营阶段保障供应链安全和数据安全等等。关基设施中更有大比例的工业属性，国内工控安全厂商威努特、立思辰安科此前在接受安全419采访时则表示，在工业网络环境下也需要贴合业务与生产，建立符合自身逻辑的安全防护基线。

总之，关基安全的厚度决定关基安全需要不断摸索，其每一步的“精装修”都不容有失，背后输出安全解决方案的安全企业也是任重道远。