久久久久精品免费福利电影,国产又黄又大又粗视频,A级毛片免费播放无码,人人妻人人爽人人澡欧美一区

【文/觀察者網專欄作者 李柏松】

作為一名網絡安全從業者，我已經在安天從事了23年威脅分析工作。而這些年來最難忘的，是如何和同志們一起與最高水平的威脅斗爭。這些威脅來自大洋彼岸。

工作起點和軌跡

安天對美方情報機構APT（高級持續性威脅）攻擊活動的分析，始于對“震網”事件的快速跟進。2010年7月，美、以情報機構聯合攻擊伊朗工業基礎設施一事被曝光。我們快速搭建模擬環境、還原“震網”作用機理，并在分析其USB擺渡控制條件機理等方面形成了特別分析成果。但當時，我們并未更深刻地從網絡空間軍事化的風險來看待“震網”事件，還只是將其作為工業場景安全的新型“技術風險”來看待。

直到我們試圖把“震網”攻擊和代號為“巴比倫行動”的以色列空軍偷襲伊拉克核反應堆這樣的軍事行動進行對比時，我們才意識到美方打開了潘多拉魔盒，即用網絡攻擊達成了傳統戰爭行動的局部等效性。

從“震網”的機理還原到與“毒曲”的同源關聯，再到針對“火焰”蠕蟲眾多模塊的馬拉松式的接力分析，我們在兩年多的時間里幾乎消耗了全部高級分析人力，但依然不能完成所有模塊與分支的分析工作。我們的國際同行卡巴斯基也對“火焰”給出了“攻擊機制最復雜、威脅程度最高的計算機病毒之一，其結構復雜度是‘震網’病毒的20倍。”的評價。

我們意識到，面前是多套史無前例的龐大超級惡意代碼工程體系。直到2019年，我們才基本完成了承載“震網”“火焰”“毒曲”“高斯”這一系列攻擊背后的惡意代碼工程體系全貌繪制。

2012年后，我們開始分析一組更為隱蔽的攻擊，這是更為復雜的平臺化樣本，通訊指令完全加密。憑借分析“震網”系列積累的經驗，我們克服了挑戰，完成了多種平臺的樣本分析，包括此前從來沒有遇到過的Sun Sparc架構（Solaris系統）樣本、破解加密方式、還原控制指令集合等。

有些遺憾的是，多方面因素導致我們無法第一時間公布這些分析成果。直到國際同行將相關攻擊組織命名為“方程式”，并披露了其Windows平臺樣本后，我們才陸續公開了我們對Solaris、Linux、iOS等平臺的樣本分析結果。

卡巴斯基的分析成果也帶給我們之前未分析的一個能力點，那就是“方程式”的面對硬盤固件的持久化能力。面對多種多樣的硬盤型號，公司嵌入式安全部門的同事和高校聯合研究者都來加入分析隊伍，大家按照硬盤品牌分工協作，開發了4種主流品牌的硬盤固件提取工具。而威脅分析工作重要魅力也在于，我們會不停地遇到全新的場景和挑戰。

載荷的全平臺覆蓋能力

在這個工作階段，我們關注的重心是圍繞組件化樣本結構、0day漏洞的儲備積累的組合運用、復雜的加密機制、更深度的持久化能力等，整體上還停留在面向惡意代碼和作用機理技術分析層面。2013年，斯諾登事件爆發，美國情報機構NSA的大量內部文檔在幾年內被陸續曝光。我們意識到，我們面對的威脅行為體是一個龐大的冰山，我們過去的分析工作其實是其水面之上的部分。

而其基于覆蓋全球信號情報獲取能力，由“棱鏡”“核子”“碼頭”等系統組成的“星風”體系，構建了全球網空地形測繪和覆蓋性目標畫像能力，建立了以“湍流”為代表的進攻性能力支撐體系，支撐起了具有精準定位能力、高度隱蔽性和反溯源能力的“21世紀信號情報框架”。數十個相互關聯的工程體系，組成了美方網空攻擊活動的巨大支撐體系。更是基于集成建設的IC Clouds（情報云），匯聚從人力、電磁到網絡空間獲取和竊取的海量數據，形成了情報的富集效應。

這些則是冰山的水面之下的部分，也是其霸權體系的一個組成部分。正如我的同事、安天創始人肖新光同志指出的：

“其情報活動和作戰都已經有一套成熟的、漸進的體系，APT是這個體系眾多手段中的一個，因此也必然帶有其固有特色和痕跡。”

為此，2015年后，我們開始用“超高能力網空威脅行為體”來指代美方NSA等情報機構，并使用A²PT（即高級的高級持續性威脅）來標識其攻擊活動，以將其和其他威脅行為體的定向攻擊活動加以區別。同時，也提醒我們自己，對抗和分析這種攻擊能力會有多么困難。更進一步的難點，則是閉合溯源、完整復盤其某次攻擊行動。由于有大量的外設、電磁中繼等支持，且很多攻擊活動可能并不在互聯網側閉合，因此其也很難在TCP/IP層面完整復盤。我們只能努力分析已經獲得的每一個樣本和線索，等待更好的時機。

幸運的是，2017年4月14日，名為“影子經紀人”的攻擊組織曝光了一批與NSA相關的數據，其中有一個名為“SWIFT”的文件夾引起安天工程師們的注意。經分析發現，這些數據是NSA在入侵中東最大SWIFT金融服務提供商EastNets（位于阿聯酋迪拜）時記錄的相關文檔和日志。我們可以把此前對惡意代碼樣本和攻擊戰術的歷史分析成果作為珍珠，而把相關的日志線索拼接在一起，就可以組成一條溯源的“珠鏈”，完整復盤還原美方攻擊跳板、目標場景環境、攻擊作業路徑、攻擊裝備清單和運用、戰術過程和作業后果。

為了讓公眾更好地理解這個復雜的攻擊過程，我們還做了一份完整的可視化呈現。每一次分析啟動，都是分析工程師團隊連續作戰的不眠之夜。但分析成果形成后，卻往往無法第一時間發布。分析的工作就是戰斗—等待—再戰斗—再等待。這份報告最終在2019年6月正式公開發布。

我們已經形成完整的分析框架方法，能夠從攻擊裝備、攻擊戰術、攻擊支撐基礎設施等角度，全面分析美方的網絡攻擊活動，開始以更加深入廣泛的視角審視美方網絡攻擊活動背后的國家意志之手。

點名、打壓與我們的應對

當我們回頭看這些工作，以及在這些過程中相關的風雨時，我們才意識到，在這樣一個抽絲剝繭、穿透迷霧的漫長艱辛過程中，盡管我們的初衷是通過分析工作洞悉威脅、守護客戶的安全、推進防御技術的改善，但我們所觸動的卻是難以想象的龐然大物。

2010年，當我們從安天實驗室開始走向企業化運行的軌跡時，我們設想的是：憑借十年磨礪出的反病毒引擎，做全球網絡安全產業的檢測能力的上游供應者。從網關設備的檢測引擎出口美國、日本等發達國家，到移動端反病毒引擎廣泛地展開國際合作，我們自以為在國際市場上已經站穩了腳跟。特別是在2012年到2014年，我們的移動引擎從首次獲得AV-TEST月度測試第一名，到獲得年度最佳獎項。我們特別堅信，憑借技術優勢，我們有望能成為網絡安全領域的“聯發科”。

但從2013年開始，安天在美業務突然阻力重重。合作伙伴的法務部門告知我們，他們不能再使用來自中國的反病毒引擎。此時，我們才關注到，2012年美國會“美中經濟與安全審查委員會”舉行了首次所謂“中國網絡安全問題”的聽證會，但此時我們還有所不知的是，安天已經成為一類重點關注對象。

2015年，當我們還在為Cybersecurity Ventures全球網絡空間安全創新500強首次榜單排名95（是排名最高的中國廠商）而有些許自豪時，就驚詫地從一份斯諾登泄露的文檔中看到了安天的名字，美國國家安全局（NSA）和五眼聯盟（美、英、澳、加、新情報共享機制）秘密實施“拱形計劃”（CamberDaDa），著手監控卡巴斯基等全球23家有能力發現和溯源威脅的安全企業，安天作為中國唯一企業“赫然上榜”。CamberDaDa計劃始于2010年，正是我們聚焦“震網”分析的那一年。

這份泄露文檔，再次印證了美國情報機構和其他“五眼”國家情報機構通過入侵全球運營商等方式，在網絡側構建廣泛監聽能力。而這份文檔的主標題《An Easy Win》正是NSA基于這套機制，在信道側獲取網絡攻擊受害者發送給網絡安全廠商的郵件，來判斷自己的攻擊活動是否暴露，以及分析目標主機遭遇到的其他網絡攻擊，是否可以劫持利用。

斯諾登曝光文檔中的一句話說明了該秘密計劃的目的，“類似卡巴斯基反病毒軟件的這類安全產品持續對英國政府通信總部（GCHQ，英國情報機構）的行動能力構成挑戰，而軟件反向工程的目的就是要一直跟蹤此類軟件的能力，否則我們的行為將被檢測到。”

出于職業習慣，在威脅分析對抗中，我們一直都努力保持著冷靜。但這一次，我們感到了震驚和憤怒。我們發出了聲明：“我們認為監聽惡意代碼受害者的求助郵件，以圖達成某種利益和優勢的操作，是一種卑劣的行為。”

但拋開憤怒，我們的聲明中更多的還是從國際合作與全球網絡安全行業發展的視角做出警示：

“有關情報機構把自身所在國家以外的國際反病毒和安全廠商視為自己全球攻擊、監聽活動的絆腳石，同時又與自己國家的安全廠商微妙互動，這是強行在反病毒和安全廠商中劃分出陣營。這種思維一旦擴散下去，必將導致各國艱難形成的安全產業協作和應急協同機制蕩然無存，也將顯著傷害全球其他國家用戶對相關情報機構所在國家的安全廠商的基本信任，最終迫使網絡安全產業徹底回到‘籬笆’劃定的地緣經濟之中”。

作為中國應急響應體系中積極參與國際合作的重要企業節點，我們的內心是非常珍視國際反病毒業界的協同機制和全球網絡安全產業的分工協作的。但當有人撕裂世界，則陣營化已經不可避免。

防御A²PT攻擊是巨大的挑戰，而曝光A²PT攻擊同樣是巨大的挑戰。中國不僅僅是網絡攻擊的受害者，在西方所把持的國際輿論場中，中國是一個弱勢方。我們的聲音難以被重視，發布報告揭露外方攻擊威脅的工作，國內較長時間中，并沒有獲得廣泛的重視和支持。

因此，我們對“方程式”的先發的兩篇重要分析成果（組件木馬和加密協議分析），是一直等待到卡巴斯基曝光后，才非常謹慎地選擇以純技術報告的方式發布。特別是，在2015年5月，我們和國內同行直接點名某外方威脅分析報告先后發布，但都遇到若干波折。導致之后幾個月，國內業界有些灰心和沉寂。

工作轉機很快到來，2016年419的網信工作座談會，擘畫出網絡安全工作的戰略目標和宏偉藍圖。2016年4月底，肖新光同志作為中方產業界代表，參加了網絡空間安全主題的國際論壇，并有機會公開發表技術報告。我們決定要揭露美方情報機構等對中國的APT攻擊活動，并給報告確定了一個很文藝的名字——“熊貓的傷痕”。

這是中國技術專家首次在國際論壇上正式披露相關內容。同志們都很關注報告的效果，等到了他那邊的晚上時間，我語音呼叫問他報告是否順利。他用硬擠出來的極為微弱的聲音說“效果很好”。報告結束后，可能是長時間積累的壓力的瞬間釋放，他咽部突然水腫，呼吸非常困難。他回到賓館后，就在衛生間吐了一口血。他對我說“肺子沒事兒，是嗓子毛細血管都破了”。

安天實驗室報告封面“熊貓的傷痕”

此后，我們一鼓作氣，迅速組織發布了另外兩篇重要的分析成果，復盤了美國情報機構樣本的全平臺覆蓋能力、繪制了其執行殺傷鏈的功能模塊地圖。

2016年12月，美國網絡安全機構NetScout發文，對中國網絡空間安全協會（CSAC）的成員組成進行分析，其中專門解析了安天，既肯定了安天對方程式組織的分析成果的價值，又將安天定義為“新代言人”（指中國政府的）。也許是美方很難理解一個中國安全企業對自己國家的熱愛和與威脅對抗的本能，也許這就是一頂刻意的帽子。總之，2017年開始，安天在美國市場的所有業務與合作徹底中斷。

2022年2月，美國會“美中經濟與安全審查委員會” 繼2012年之后再次舉行有關所謂“中國網空能力”的聽證會，與會美方人員建議多措并舉打壓中國網空能力建設。在關注的中方網空能力方面，會議特別點名了兩家中國網絡安全企業“安天實驗室和奇虎360”，“分析曝光了美國國家安全局和中央情報局的網絡行動”，并稱因為安天和奇虎360是中國“最古老的兩家反病毒公司”，所以他們推出這些信息可能讓民眾更加信服。相關內容再次出現在了美國國會相關的年度報告中。連鎖反應是，我們的亞洲國家的合作伙伴們也告知了我們將不再使用安天的引擎。

2024年2月，美國網絡安全公司SentinelOne發布報告，用低質量的證據羅列和推理論述“中國網絡安全能力不足以指控美國攻擊”。報告中多次點名了安天，還有三處都直接指向了肖新光同志。SentinelOne是北約的技術支持機構和美國國土安全部的旋轉門公司，我們從他們的報告中閱讀到了滿滿的殖民者式樣的傲慢。這也讓安天CERT梳理歷史工作，最終發布了我們的回應報告《如何讓“鷹鷲”在迷霧中顯形》。

SentinelOne的報告中還專門引用了我們在2016年的 “熊貓的傷痕”報告封面。于是《鷹鷲顯型》報告中，我們補充了這樣的結尾——

“施害者不因施害的高明而高貴，反抗者不因反抗的艱難而卑微。”