【精读】2023网信自主创新调研报告-高级威胁防御

经过7个多月的调研和分析整理工作，《2023网信自主创新调研报告》如期和读者见面了。如果说第一年参与调研和报告编写工作是出于兴趣，第二年、第三年是出于情怀，那么连续6年参与这项工作就变成了一种责任。编委会将把这项工作坚持做下去。

从今天开始，“自主创新如是说”将对报告的各个章节进行连载，希望对读者有提供有益的帮助。

第十五章

高级威胁防御

《2023网信自主创新调研报告》

高级威胁是指由攻击者使用高度复杂和先进的技术，针对特定目标发起的长期、隐蔽的网络攻击。为了应对高级威胁，组织需要采用多种安全产品与服务构建纵深防御体系。

15.1

攻防两端技术演进共同推

动高级威胁防御市场发展

15.1.1

高级威胁防御从合规

驱动转向效果驱动

随着网络威胁的日益复杂和高级化，单纯依靠合规驱动的安全防御已经无法满足实际需求。APT 活动近两年大幅增长，高级威胁对抗已然进入白热化阶段。2023 年，全球公开披露的攻击活动涉及 APT 组织 162 个，同比增长 21个，其中首次披露的 APT 组织66 个，同比增长 12 个。网络攻击活动涉及的 APT 组织数量和首次披露的APT 组织数量，均比2022 年大幅增加。我国遭受的APT攻击越来越多，包括来自不同网空威胁能力层级的组织行为体。同时，得益于攻防演练的实际检验效果，越来越多的组织开始转向效果驱动。高级威胁的检出率和误报率成为衡量防御效果的重要指标直接反映了安全体系对潜在威胁的发现和识别能力。

15.1.2

高级威胁防御在行业

应用上有较大差异

建设高级威胁防御体系是一个复杂的过程。自2016 年以来，高级威胁防御体系的建设速度明显加快，一些行业与地区已初步完成整体建设，新建系统不再依赖单一的技术手段，而是将多种安全技术和策略进行融合，从单点被动防御逐步演化到动态综合防御阶段。

从本章编写单位的实践看，高级威胁防御体系建设具有明显的行业特征，政府、金融、电信等行业是高级威胁产品的主要应用领域。其中，政府对高级威胁的投入处在领先的地位，在体系建设上较为关注防御窃取数据、数据勒索、APT攻击，目标是避免攻击导致数据泄露或者公共服务瘫痪:金融行业防御高级威胁的需求增速明显，尤其关注网络金融钓鱼、漏洞攻击、勒索等威胁;电信行业通过增强自主研发能力，综合采用外采、自研与技术合作等多种模式，逐步完善高级威胁防御体系，相对更注重防范服务拒绝攻击、数据篡改、设备劫持等威胁类型。

15.1.3

高级威胁防御体系面临

异构和信创的挑战

行业用户在构建高级威胁防御体系时，往往采取异构策略。一方面，异构可以在一定程度上提高安全能力;另一方面，也在实际部署和运行过程中给集成、互联互通和互操作带来障碍。这在一定程度上又降低了防御体系的整体效能用户在管理和维护多个高级威胁防御产品时，会遇到日志和报警信息格式不统一的问题。这导致分析研判、协同处置与溯源对人工处理的依赖过大，增加了运营成本，降低了防御效率和准确性。

政府、国防军工、信息技术、金融、科研等行业历年来一直是高级威胁攻击的核心目标领域。随着行业信创的深入应用软件的成熟，信创产品将渗透至更多核心业务场景，这必然会引入新的网络安全风险。举例来说，信创生态跟不上行业增长需求，适配工作繁重，包括原有系统的迁移、历史软硬件版本的兼容、行业特色软件的使用、非信创环境与信创环境的组合等复杂情况，暴露了诸多攻击面，存在防御薄弱点。以高级威胁中常见的供应链作为攻击路径而言，可利用多阶段多层次的攻击手段，依据不同的基础软件目标(操作系统、数据库、中间件、桌面云等)部署不同的武器工具和渗透入侵策略。体现出信创在应对高级威胁活动中的供应链威胁上下游的组件、代码缺陷等检测变得愈发复杂，与之相关的主机、网站等遭受未知威胁组织长期渗透入侵的情况难以被发现。

15.2

高级威胁攻击和防御具

有强烈的技术驱动属性

15.2.1

攻击技术快速发展，

攻击行为越来越多

从技术角度看，AIGC（生成式人工智能，Artificial Intelligence Generated Content）技术的快速发展为网络攻击者提供了新的机会。在前几代人工智能中，人们将社会对现实的某种理解提炼为程序代码，而当下的机器学习人工智能与之不同，它们在很大程度上是靠自己对现实进行建模。AIGC降低了网络攻击门槛的原因在于：第一点，黑客可以将人工智能生成的结果直接用于网络攻击活动当中，而不需要了解人工智能是如何学习的或者学到了什么。第二点，黑客基于某类目标系统环境的建模，一旦应用成功可大规模部署网络攻击活动。

从风险角度看，我国遭受的APT攻击越来越多，包括来自不同网空威胁能力层级的组织行为体。重点包括来自美国NSA-TAO入侵西北工业大学的攻击事件和武汉市地震监测中心遭境外网络攻击曝光；来自越南海莲花组织借助商业军火武器和利用0-Day或1-Day入侵网络设备作为跳板的系列攻击活动；以及白象、绿斑等APT组织紧随时事热点以邮件、网站或社交平台等作为攻击入口，采用机会主义游击战术攻击我国重点关键基础设施行业和科研院所系统单位。

15.2.2

高级威胁的检测能力仍然不足

在威胁持续加剧的情况下，安全厂商也逐步推出不同的高级威胁防御产品，使用了包括新一代恶意代码检测引擎、内存安全检测、人工智能检测、溯源分析等新技术解决高级威胁问题。然而，不可否认的是，高级威胁的检测能力仍然不足。

2023年，全球范围内披露APT分析报告数千篇，虽然报告数量众多，但其中大多是一般能力的APT组织，针对顶级的APT攻击组织披露寥寥无几。究其原因，一是高级威胁防护产品和服务本身能力上的不足；二是由于对手的先发优势和技术投入，攻防两端存在多维度的差距；三是攻防本身就是不对等的较量，防御方要面面俱到，而攻击方只需要找到一个弱点突破。因此，当前防御者面对顶级的攻击技术手段难以快速发现异常或告警，导致针对顶级的网络攻击很难发现。实际上，当下网络空间环境中，网空霸权和地缘安全博弈依然是当前网空攻击的主要持续性动机和因素，该类攻击代表当前网空攻击的最高能力，其目标广度和深度均全面覆盖，造成的后果也最为严重。

15.2.3

高级威胁情报可能因 AIGC 失效

随着技术发展和IT场景演进，传统的内外网硬性边界划分已经模糊，传统防护思路已不再适用，安全边界需要伴随着资产的弹性范围和接入动态延展，将其最小化并弹性连接为一个防御体系也是必然趋势。AIGC降低网络攻击门槛的同时，高级威胁活动的技术、战术和过程中存在的AIGC应用可能因目标不同而不同，高度的定制化情报导致缺少攻击组织的信标或者画像信息。分析人员需要针对人工智能生成的成果进行分析，但可能由于高级威胁情报的碎片化而形成线索无法拓线。

网络纵深和欺骗防御等安全建设也伴随着复杂度的增加，在安全能力单元各自为战的环境下导致高级威胁情报缺乏共享、存在孤岛现象，高级威胁穿透或绕过防御薄弱点直达价值资产的过程中并无关键线索留存。在对抗高级威胁过程中，一方面基于情报知识、主动扫描等技术，试图从非告警数据中挖掘异常痕迹，进而确认是否存在潜在的高级威胁攻击活动来进行主动狩猎高级威胁；另一方面，通过快速响应事前所布置的规则或黑名单等触发的安全告警，拓线研判并将其归类到组织或团伙进行被动狩猎。被动狩猎与主动狩猎往往在情报侧由于出现新的攻击手段、目标资产、场景的不同，产生的结果难以契合，缺少联动。这使得安全人员很难获取全局的安全视图，无法对安全事件进行全面的分析、响应，难以联防联抗。

15.3

高级威胁检测

发展趋势与建议

15.3.1

加快单点产品自身能力迭代

网络安全体系是由不同安全产品共同构建起来的，通过“层层设防，层层监控”的方式应对网络威胁。在高级威胁对抗逐渐白热化的背景下，新的攻击手段不断涌现、容器业务形态开始在信创环境使用，对于网络安全产品来讲，更应该迭代自身能力深度，适应变化的环境，提供更强大的防御和保护能力。

在检测能力上，在具备基础反恶意代码、联动威胁情报的基础上，安全产品还应该对更底层的内存、更新的容器业务形态予以关注，构建协同网络流量、应用、系统、内存等多层次的高级威胁检测和防御能力。安全产品通过研究ATT&CK框架跟进威胁情报，了解攻击者使用的战术、技术特点，一方面监控行为点并针对多点行为场景化关联分析，提升威胁检出率、降低误报率，同时将检出的威胁进行可视化图谱溯源展示，完整还原攻击链路，分析出攻击者使用的具体入侵手段，发现零日漏洞攻击、APT攻击和有针对性攻击等行为；另一方面，高级威胁逐渐呈现低频隐蔽、复杂多步的特征，安全产品通过引入人工智能技术，加强攻击样本构建、复杂网络攻击检测、检测模型可解释性等智能分析水平，研究基于图的复杂网络攻击检测技术，实现对多步复杂等高等级威胁的“检测-溯源-预测”，提高未知威胁攻击的检测能力。在容器这种新的业务形态上，合理地运用容器“职责单一化”的特性，落地基于行为模型的未知威胁检测方式，通过持续、长时间的监控容器进程、文件、网络等行为刻画业务行为，结合人工智能技术利用快照、历史、基线、异常检测相结合的逻辑组合实现异常行为发现，从而确定未知的攻击行为。

安全产品也应该针对信创操作系统、云原生业务形态进行适配。一方面，安全产品应该能够适配安装在这些信创系统上，并支持防护上层的云原生业务。这需要产品与信创操作系统的架构和特性兼容，以确保软件能够正确地安装和运行，同时能够与信创系统的版本协同演进，并且能够与系统的应用程序和服务进行无缝集成，以提供全面的保护。另一方面，安全产品还需要能够针对信创系统的特点进行增强，利用其具有一些独特的特点和安全机制，构建全面而有效的安全防护。

15.3.2

构建以运营中心为枢纽

的纵深防御溯源体系

高级威胁纵深防御溯源体系的基本思路，是以安全运营中心为枢纽，将安全防护措施有机组合起来，针对攻击窃取过程的全生命周期进行层层检测、分析、响应和阻断。因此需要将攻击过程全生命周期的网络行为、主机行为等数据进行全量采集和高价值数据萃取，建立起数据底座；结合高级威胁对抗的实战经验，建立保护对象资产的正常行为基线；构建网络异常行为和主机异常行为模型，通过机器学习等方式在海量数据中发现隐匿性高级威胁，结合高效的安全决策执行机制，实现快速有效的安全防御。在这个过程中需要重构建威胁发现能力和威胁溯源能力。

15.3.3

引导行业建立信创威胁

研究体系与相关标准

为了有效应对由信创引入的新的安全威胁，应引导行业逐步建立信创威胁研究体系和相关标准。一方面建立信创威胁研究体系，有助于行业用户深入了解威胁源头，为防范和应对威胁提供科学依据；同时有助于快速发现和预警潜在威胁，为行业用户提供充足的应对时间。另一方面，通过制定信创威胁相关标准，可以规范行为，便于监管和评估，促进形成良好的行业秩序，同时也有助于为技术创新和产业发展提供良好的市场环境。

本章编写人员

安芯网盾（北京）科技有限公司文谱、姚纪卫

安天科技集团股份有限公司邢宝玉

科来网络技术股份有限公司陈伟清

南京南瑞信息通信科技有限公司刘苇、魏兴慎、周剑

厦门服云信息科技有限公司陈俊杰