2017年5月12日20时左右，全球爆发大规模感染事件，我国各地的计算机也受到不同程度的影响。该勒索软件迅速传播的原因是利用了基于445端口传播扩散的SMB漏洞——MS17-010。该漏洞原本是美国NSA下属的Equation Group（方程式组织）使用的“网络军火”，在2017年4月14日的被黑客组织Shadow Brokers（影子经纪人）曝光，而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了此次全球性的大规模攻击事件。

根据安天应急响应中心紧急研判结果，确认本次的“Wannacry”勒索软件事件是一起严重的因“网络军火”扩散导致的大规模网络安全事件。美方无节制发展网络军备，但又不能妥善履行保管义务，已经严重影响互联网的安全基础和信任。从此次事件也可以看出，高能力的网络军火一旦失控泄露，将快速转化为普遍性的攻击能力，从而可以引发雪崩式的社会风险。

在面对彼时的安全风险时，安天提出了多种场景下应对此次风险的策略和解决方案。提醒用户除了通过有效的安全设计和使用安全产品形成防御能力之外，还必须要做好合理的补丁策略、端口和应用的管理策略、边界的安全条件等基础安全工作。针对部分网络节点规模及数量较大的内网用户或部分对业务系统的稳定性及安全性要求较高的用户，有可能不能实施全面的、系统的补丁策略，同时实时获取补丁的方法在一定程度上受到网络隔离的相应影响或限制，可能需要采用对严重漏洞进行单点补丁的策略方法。

图1 泄露的NSA网络军火装备与相关漏洞、系统版本关系图（简图）

2020年9月21日，安天在《金融科技时代》杂志发表题为《金融行业要立足应对高级威胁构建综合防御体系》的文章，指出金融关键信息基础设施的安全状况关系到国家安全和广大人民群众的切实利益，因此成为网空威胁活动尤其是"超高能力网空威胁行为体"的主要攻击目标。面对高度复杂的攻击活动，金融机构要建立起能够有效防御高级网空威胁行为体的动态的、综合的网络安全防御体系。

安天在文章中分析“方程式组织”攻击SWIFT机构的整个攻击活动，发现攻击活动跨越完整杀伤链的全程，这符合超高能力网空威胁行为体的活动特点，也为构筑防御体系提供了极为关键的敌情想定基础。同时，安天还使用威胁框架图谱对攻击组织和攻击画像进行映射，并提出了安天防御框架。

2021年12月安天在《中国电子科学研究院学报》刊发标题为《想定理念在网络空间安全工作中的应用》的文章，文章内容是相关研究从2017年将“敌情想定”理念引入网络安全领域后的第一阶段（2017-2019）工作总结。文中阐述了网络空间安全中敌情想定的基本概念与内涵。着重从构建敌情想定的整体背景、基础想定、展开场景、具象刻画、底线思维、多手预案、杀伤链分析、全生命周期视角以及排除无效想定和坚持总体国家安全观十个方面，剖析了敌情想定的工作维度、分析要素、主要结论与安全价值。强调指出客观敌情想定是做好网络安全防御工作的必要前提，只有达成对网络对抗中敌情的真实掌握、深度理解与准确研判，才能为防御能力的发展厘清方向、为防御体系的构建筑牢根基。

表 不同威胁行为体的能力差异