3.高级威胁的终端守护者潘剑锋

数字时代，软件定义了一切。而软件漏洞本身是不可避免的，千行代码就可能出现几个漏洞。漏洞会跟每个人的生活，甚至国家安全都息息相关。小的漏洞可以干扰我们的日常生活，严重的可以控制汽车从而造成交通事故，更严重的甚至可以导致核电站泄露。终端是是数字化时代一个最基本、最常用的神经元，是人与机器交互中与人最近的计算资源和接口。高级威胁发动者“寄生”于终端漏洞进入我们的现实生活，并在我们的生活中肆意“流动”和“破坏”。高级威胁研究者们发现，面对高级威胁攻击，“看见”漏洞是根本，而对终端侧的防御是最基础、最快速、最有效的应对方法。

——潘剑锋

网络威胁无处不在

网络威胁无处不在。2003年，当你发现新装的Win 2000系统还未完成补丁下载，电脑就进入了循环重启模式，这时你可能就中了“冲击波病毒”（Worm.Blaster）。2007年，你只是通过互联网浏览了新闻网站，你的屏幕便出现了满屏的“熊猫烧香”图案。2010年，伊朗核设施受到“震网病毒”袭击，伊朗核设施中的铀浓缩设备被破坏，致使伊朗“核计划”被延迟了很长时间。2018年，媒体曝出一家名为剑桥分析的公司盗取Facebook公司超过5000万名客户的个人数据用于影响美国大选。Facebook股价也因这桩丑闻暴跌，市值蒸发360多亿美元。2019年，我国部分政府部门和医院等公立机构遭遇国外黑客攻击，此次攻击中，黑客组织利用勒索病毒对上述机构展开邮件攻击。2020年，某些黑客组织利用新型冠状病毒的大流行来传播恶意软件或者进行敲诈勒索。纵观近年来发生的网络安全事件，绝大部分不再是制造木马、盗窃QQ号的“小毛贼”，而是有组织、有背景，行动缜密、手段高超的高级威胁发动者。

漏洞是数字时代重要的战略资源

所有的网络攻击都是基于漏洞的，漏洞已经成为网络安全最重要的命门，也是数字化时代最重要的战略资源（Strategic Resources）。在数字化时代，小到智能生活家居，大到智慧城市建设，方方面面都在进行数字化转型。一切皆可编程，软件定义了世界，软件就像人的身体一样，先天性缺陷是不可避免的。软件本身的缺陷叫“漏洞”，千行代码里可能就会出现几个漏洞。小的漏洞可以干扰我们的生活，严重的可以控制汽车从而造成交通事故，更严重的甚至可以导致核电站的泄露。随着新型基础设施的全面铺开，各行各业数字化转型也在加速进行。新技术越用越多，带来的安全冲击就越来越大。如果不识别漏洞，不研究漏洞，不想办法给漏洞打上补丁，将很难从根源上铲除不安全因素。

如果漏洞是网络攻击的重要资源，那么0day漏洞就是威胁最大的资源，捕获0day漏洞攻击的能力是今天网络防护的关键点（0day漏洞是一种没有补丁、应对措施，只有少数攻击者知晓的漏洞）。借由0day漏洞发动的攻击不可预知、极难防御。2017年，美国国家安全局泄露的0day漏洞被一群“小毛贼”利用，由此引发了WannaCry勒索病毒事件。据不完全统计，全球有超150个国家的20多万个机构的电脑因此中毒。该病毒还造成出入境及车管业务中断、加油站及医院“罢工”等“现实危机”。

终端是最接近人的计算资源

终端（Terminal）是数字化时代一个最基本、最常用的神经元，人利用终端与外部设施进行交互，如互联网访问、电子邮件传输、音视频接入、游戏互动等，终端是人与机器交互中与人最近的计算资源和接口。例如，政府公务人员通过终端进行优政业务操作，银行工作人员通过终端操作金融数据，生产企业通过上位机对工业生产设备进行操作，等等。据《中国互联网发展状况统计报告》显示，截至2020年6月，我国网民规模为9.4亿，相当于全球网民的五分之一，互联网普及率达67%，5G终端连接数已超过6600万，三家基础电信企业已开通5G基站超40万个，已分配IPv6地址客户数达14.42亿，IPv6活跃客户数达3.62亿。目前，我国NB-IoT（新一代物联网）终端数已突破1亿（含智慧生活、智能表计、智慧物流、农业与环境等）。未来，会有更多的终端种类和终端类业务接入互联网，且被人类快速接受和使用。

当漏洞和终端相遇

高级威胁发动者“寄生”于终端漏洞进入我们的现实生活，并在我们的生活中肆意“流动”和“破坏”。2010年，伊朗纳坦兹核燃料浓缩工厂的浓缩铀的产量停滞不前，甚至每况愈下。科学家们用试验排除了由机电故障引发的可能性，甚至将工厂的离心机数量翻倍，但是浓缩铀的产量仍然停滞不前。后来，他们在一台装有控制软件的终端上发现了带有恶意软件的U盘。事实证明，长期以来，一个名为震网的秘密软件一直在暗中干扰。病毒最终导致1000台铀浓缩离心机废弃，直接摧毁了伊朗“核计划”。据分析，震网设计者精心构置了微软操作系统中4个在野0day漏洞，并和工控系统的“在野”0day漏洞进行组合，以实现精准打击、定向破坏。

有效利用终端侧的漏洞是高级威胁发动者发动攻击的首选路径。终端侧的漏洞是最容易被忽视（如隔离网络未及时更新、个人或管理员放弃补丁更新等），且有一部分漏洞是难以修复的（如供应商不具备漏洞修复能力、漏洞修复后系统不稳定等）。据360全视之眼——0day漏洞雷达系统和360高级威胁研究院统计，全球80%的网络攻击行为，都是利用终端侧漏洞直接或间接对关键应用和业务发起的。

下面的案例是近期高级威胁攻击者利用终端侧Office软件漏洞，通过IE浏览器访问恶意网页触发“双星”漏洞（0day）的过程。攻击者通过邮件将精心制作的诱饵文档（使用office公式编辑器漏洞（CVE-2017-11882））投掷至客户终端。当受害者打开漏洞文档触发漏洞后，恶意代码会启动公式编辑器，再利用公式编辑器进程打开IE浏览器访问恶意网页触发“双星”漏洞。最终的木马程序会接受固定URL地址的C&C命令，在受害者计算机中执行任意操作。

看得见是防护的根本

为更好地应对网络攻击问题，“看见”是1，其它是0。第一时间“看见”漏洞，是有效“亡羊补牢”的首要条件。如果不能看见漏洞，堆砌再多的网络安全产品也是徒劳。在B端、G端网络安全市场里最常用的漏洞发现工具是漏洞扫描系统（漏扫系统）。漏扫系统通过漏洞样本库比对的方式获取在线设备的漏洞信息并集中反馈至管理控制台，由管理员根据漏洞的重要程度和有效性来决定系统漏洞是否需要修复。互联网接入的漏扫系统，能够根据厂商提供的漏洞样本库进行实时更新，而隔离网络部署的漏扫系统，一般在二周或更长时间手动执行漏洞样本库更新。在隔离网环境下，更新频率为高级威胁攻击者，提供了产生“1day漏洞”的机会。目前，市场上有些厂商的漏扫系统存在漏洞样本数量收纳不足的情况，这样，依旧会给高级威胁攻击者提供“Nday漏洞”利用空间。

为提升漏洞样本的质量和数量，在过去的五年时间里，360通过360全视之眼——0day漏洞雷达系统和高级安全专家，共同对漏洞进行发现和挖掘工作。为更好地研究和修复漏洞，360建立了国内领先的漏洞云平台。360为注册的研究人员提供了360BugCloud开源漏洞响应平台进行漏洞提交和验证，并对研究员的心血成果给予尊重。

终端是防护的基础

在终端侧实施漏洞发现、反病毒、异常行为检测/分析/响应等措施，是最基础、最快速、最高效应对高级威胁的方法。在终端侧部署轻量级安全防护措施如EPP、EDR等，能够对终端的安全性进行基础评估，识别出终端存在的安全漏洞、错误的安全策略、可能感染的病毒/木马/恶意代码等，并提供引导建议协助客户进行修复。对于无法修复或者不能修复的漏洞，可通过异常行为监测技术，对漏洞的利用行为进行实时监测、关联分析，以判断是否存在漏洞被高级威胁攻击者利用的情况。如果存在攻击行为，预警信息将快速上报至安全管理/运营中心，通知相关的安全技术人员进行处置。对于无法应对或处置的事件，可联系第三方专业的安全厂商前往现场进行应急处置。

从整个“双星”漏洞的触发过程中可以看出，安装了EPP的终端，是能够识别CVE-2017-11882漏洞的。对于没有进行修复的漏洞，EDR能够对漏洞的利用行为进行实时监测、关联分析和预警信息推送。对于通过CVE-2017-11882漏洞下载的木马程序，EPP能够通过查杀云和沙箱云进行初次研判，在判断出该程序为“木马程序”后，EPP会阻断它的运行，并将木马样本程序上传至360高级威胁研究院进行详细分析和溯源。

高级安全专家是防护的关键

高级安全专家是有效防止威胁蔓延，快速止损的关键。高级安全专家能够利用多年的攻防经验，通过对事故现场进行勘探和分析，快速确定攻击手段、攻击路径和受损范围，并拟定有效的应急处置方案，以协助客户进行快速止损和业务恢复。事后，高级安全专家会根据该威胁处置经验，对外通告同类安全事件的处置建议，以协助潜在的被攻击客户进行威胁预防和处置。