原来冬奥遭受3.8亿起网络攻击，但最终做到了网络安全零事故｜CCF C³

Alex 梦晨 发自 凹非寺

量子位 | 公众号 QbitAI

今年的北京冬奥圆满结束，成为一场全民狂欢。

但你或许不知道的是，在两个月期间针对冬奥的网络攻击共计3.8亿起，攻击组织达上千个。

回看近几届夏季、冬季奥运会，无一不因黑客攻击蒙受损失：

2012年，伦敦奥运会开幕当日，奥林匹克场馆电力系统遭受了40分钟的大规模DDoS攻击。

2016年，里约奥运会发生APT攻击（高级可持续威胁攻击），导致重要数据泄露。

2018年，平昌冬奥会开幕式直播信号因网络攻击而中断，票务系统也一度瘫痪……

而这届北京冬奥、冬残奥却做到了网络安全零事故。

这背后，奥运史上首次启用网络安全赞助商，以及首次公开招募“白帽子”黑客担任冬奥网络安全卫士的机制都发挥了很大作用。

成为奥运历史上首个第三方网络安全服务商的，是奇安信集团。

最近，负责冬奥网络安全保障的总架构师、奇安信集团尹智清在一场CCF C3活动中分享了大型活动安全保障的经验。

从北京冬奥会看大型活动安全保障

在这场网络安全博弈战中，为了应对不同种类、数量繁多的网络攻击，团队总结了4条经验：

纵深防御；

充分的攻防演习；

建立面向失效的运营体系

建立态势感知研判系统

△奇安信冬奥网络安全保障总架构师尹智清

其一，纵深防御，以最小攻击面、面向失效、能力导向三方面的设计为建设思路，在冬奥保障期间共计开通并维护了5760条防火墙安全策略。

其二，是充分的攻防演习，从2021年1月到2022年2月，共开展十轮次攻防演习，三场沙盘推演，两场测试赛。

其三，设计一个面向失效的弹性营运体系，当前一段防御手段失效时，后一段手段要能起到防御作用。

第四，利用研判系统，实现网络安全攻击的“动态清零”，在冬奥会早期，团队日均检测日志35亿条，最后优化到每天的报警不到1000条。

在团队的努力下，北京冬奥会终于保持0事故圆满结束。

但不久之后，整个安全行业又迎来全新的挑战……

被战火撕裂的开源社区

俄乌战争期间，双方的信息基础设施都成了网络攻击的重要目标。

在这之中，世界各地的软件开发行业也遭到波及。

奇安信集团星图实验室负责人应凌云以《数据视角下的软件基础设施安全与攻防对抗》为题发表了主题演讲。

应凌云指出，软件基础设施是网络空间基础设施的重要组成部分，也成为网络战的新战场。

针对某个Linux操作系统发行版，官方源上有7.2%的软件含有已知漏洞，若算上未被披露的未知漏洞情况则会更严重。

安卓系统的安全性同样存在很大问题，一项包括150+手机厂商、6000+ROM固件版本，440000+APK文件的大规模测量分析，总共发现了400+安卓系统漏洞与200+预装APP漏洞。

同时，20%的固件至少存在一个月的补丁滞后，7%的固件存在补丁遗漏。

此外，供应链上游的软件开发者主动作恶成了一种新的威胁。

最具代表性的有color.js和faker.js作者删库跑路，以及每周下载量超过110万次的node-ipc以反战为名进行“供应链投毒”。

而奇安信“天问”软件供应链安全分析系统对Maven、PyPi、npm、Cargo、Go、NuGet等主流软件生态进行了2年的持续监测，已识别出12种安全风险，其中8种是新型攻击威胁。

如国内某月下载量过亿的npm镜像站点就累计发现了11763个“幽灵组件”。

应凌云特别指出，某些第三方镜像站不知出于什么原因删除了软件组件包中原有的完整性校验字段。这样操作会更容易遭受包篡改攻击，并且难以被发现。

世界范围内，开源软件出现的混乱还只是冰山一角，交战中的双方要面对更极端的情况。

从俄乌危机透视网络攻击技术的发展和趋势

今年2月以来，俄罗斯互联网行业经历了暂停域名注册、吊销数字证书等多种制裁打击。更严重的，乌克兰还提出对俄罗斯断网的措施。

对某一国家的大规模断网式打击是否可行？假设遇到这种极端情况又有什么办法可以应对？

中国互联网络信息中心研究员姚健康分享了他的见解。

姚健康认为，切断物理链接，也就是“拔网线”的方法需要把所有光缆、电缆同时切断才能奏效，只在理论上具有可行性。

切断互联网路由、撤销顶级域名、撤销IP地址分配的提议则分别被国际互联网协会（ISOC）、互联网名称与数字分配机构（ICANN）、负责欧洲IP地址分配的机构RIPE NCC等多个国际社区普遍表示反对。

另外也有个别民间组织和个人提出“精确打击”，由于很难在互联网社群中形成共识，实际也难以落地。

虽然这些设想没有成真，但网络安全行业还是能从这场冲突中获得不少启示。

就上个月微软发布的一篇关于俄乌网络战争的报告，几位网络安全行业专家展开了一场主题Panel。

奇安信威胁情报中心高级研究员汪列军表示，微软的这篇报告属于偏视角性的，而非技术性的。

不过他提到，乌方提前把重要信息挪到了云上没有遭到太大损失。

另外，微软协助乌克兰方处理数据，据报告，他们每天会收集24万亿的遥测数据，监测俄罗斯的各种攻击。

至于网络层面的功能，汪列军认为，这次俄乌网络战并没有玩出什么新花样，而路由层面或传输层面的攻击才是更“可怕”的手段。

对此，中国网络安全产业联盟副秘书长方华补充道，这次俄乌战争有实体战，在这种情况下，网络战主要起到前期辅助的作用。

而如果两个大国之间爆发了网络战，可能会遭到哪些攻击？又该怎么应对？

清华大学计算机系长聘教授、网络科学与网络空间研究院副院长徐明伟表示，从国家层面来看，可能会遭到海底光缆的破坏和大范围的路由攻击等。

不过，破坏海底光缆的概率非常小，因为对于当今世界，这是个“杀敌一千，自损八百”的方式；而路由攻击的发生概率更大。

从企业层面来讲，凭一己之力来对抗一个大国的网络攻击不太现实，企业能做的，主要是保持自身业务可持续。

不过，这次俄乌网络战让许多中国运营商更重视路由安全了，在此之前他们并没有大规模采用路由层面的安全保障手段。

而安全公司方面，应该未雨绸缪，在设计、开发、上市，甚至是后面的清退阶段都应该主动将安全保障技术主动融入应用，尽量避免数据泄露。

此外，奇安信冬奥网络安全保障总架构师尹智清补充道，“半甲方”的模式或许值得发扬光大：即让作为乙方安全公司能主动站在甲方的视角思考。

关于 CCF C3

以上精彩内容，全部出自CCF C³的第13期活动，主题为“从俄乌战争看网络攻防技术发展趋势”，由奇安信集团承办。

C³活动是由中国计算机学会CCF CTO Club发起的，旨在联结企业CTO及高级技术人才和资深学者，每次以一个技术话题为核心，走进一家技术领先企业。

目前为止已经举办至第13期，此前已先后走进京东、小米、搜狗、百度、亚马逊、阿里巴巴、绿盟、联想、OPPO等企业。

第14期将走进科大讯飞，具体时间在8月12日。