2025年哈尔滨第九届亚冬会(以下简称“亚冬会”)早已圆满落下帷幕,但是赛事背后的暗流却从未停歇。
4月初,中国国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室发布的一份网络攻击情况监测分析报告显示,亚冬会期间,各大比赛的赛事信息系统以及黑龙江省域内的关键信息基础设施遭到了大量境外网络攻击。
如今,网络攻击事件的调查有了新进展。4月15日,哈尔滨市公安局发布公告,追查到美国国家安全局(NSA,以下简称“美国国安局”)的3名特工和两所美国高校,参与实施了针对亚冬会的网络攻击活动,并对三名犯罪嫌疑人进行悬赏通缉。
暗流之下,数字化时代正在面临新的安全风险。如何构建我国数字安全防御屏障?答案或许藏在每次面对网络攻击的应对与升级中。
追踪溯源
锁定攻击幕后黑手
国家计算机病毒应急处理中心曾发布一份报告,其中披露了两组数字,27万次和5000万次,这两组数字分别对应的是:哈尔滨亚冬会的赛事信息系统和黑龙江省内关键信息基础设施遭到境外网络攻击的次数。
数据显示,受攻击的赛事信息系统包括赛事信息发布系统、抵离管理系统和收费卡系统等,上述系统对于赛事的重要信息发布、人员和物资调配、赛事的组织管理起到至关重要的作用;黑龙江省范围内遭受攻击的关键信息基础设施涵盖能源、交通、水利、通信、科研院校等重要行业。
在攻击发生后,国家计算机病毒应急处理中心和360集团等网络安全机构的技术专家迅速行动,开展网络攻击溯源调查。360依托全网安全大数据和自主研制的安全大模型第一时间对此次大规模境外网络攻击进行溯源,结果显示,此次攻击的幕后黑手是美国国安局,并且首次锁定了发起攻击的个人。
面对背景强大的对手,首先要知道风险在哪、是什么样的风险、什么时候的风险。360集团创始人周鸿祎表示,攻击者会采取多种手段掩盖身份,溯源攻击者是公认的难题。360之所以能够成功溯源,得益于近20年来积累的安全大数据建立的全面攻击样本和行为知识库,以及攻击手法的关联基因库。
据了解,在过去十几年间,360已经发现了56个像美国国家安全局这样的APT(高级持续性威胁)组织,占国内所有发现APT总数的98%以上。
例如,2022年6月,西北工业大学发表声明称,有境外黑客组织和不法分子向学校师生发送包含木马程序的钓鱼邮件,企图窃取相关师生邮件数据和公民个人信息。对此,中国国家计算机病毒应急处理中心和360公司第一时间组成联合技术团队,侦破还原了数年间美国国安局利用网络武器发起的一系列攻击行为。
2023年,武汉市应急管理局地震监测中心发现部分地震速报数据前端台站采集点网络设备被植入后门程序。经国家计算机病毒应急处理中心和360公司组成的专家组调查判定,此事件为境外的黑客组织和不法分子发起的网络攻击行为,网络攻击目的是窃取地质数据。
“网络安全对国家安全牵一发而动全身。”这些黑客组织对我国关键基础设施、科研单位、政府部门进行长达十余年的网络潜伏渗透和攻击。其行为或对我国的关键基础设施安全、金融安全、社会安全、生产安全以及公民个人信息造成严重危害,值得全社会深思与警惕。
在此之前,360率先披露过美国国安局和中央情报局等美国情报机构对我国关键基础设施单位攻击窃密,并成功溯源、上报有关部门,最终将上述两家机构潜伏在中国十余年的间谍软件网络连根拔起。
“通过对境外网络攻击的全盘揭露,无论对维护本国网络空间国家利益,还是保障全球网络空间和平与安全,均有重要意义,值得肯定与借鉴。”周鸿祎认为。
AI时代
如何建立技术攻防
周鸿祎称,以往黑客小队执行攻击任务时,需花费较长时间侦查目标对象、搜集情况、制定作战方案、寻找针对性漏洞并打造黑客工具,攻击范围相对较小。而此次攻击范围广,不仅涉及亚冬会多个参赛报名信息系统,黑龙江省多个基础设施也遭到大面积攻击。
从攻击代码研判来看,此次攻击采用了智能体技术进行工具方案规划、漏洞探寻、流量监测,部分代码明显由人工智能书写,可在攻击过程中自动、快速编写动态代码实施攻击。这意味着利用人工智能大模型加上智能体,可复制出大量数字黑客,在多个目标点进行漏洞探寻、自动设计作战方案和生成攻击工具,实施无差别攻击。
“这种攻击方式是历史上少有过的,对国家安全防护防御体系构成巨大挑战。”周鸿祎表示。
然而,新技术伴随着新风险,同样也蕴含着新机遇。对防守者与攻击者而言,当前人工智能技术的高速发展,是宝贵的窗口期。
因此,加强新兴威胁预研,聚焦人工智能防御与对抗技术尤为重要。面对AI攻击智能体,360打造了安全专家智能体“AI红客”,将360安全专家的能力复制到AI智能体,以此对抗AI黑客。周鸿祎介绍,AI红客同样可以不眠不休、反应迅速,而且可以无限复制,可以此应对AI时代的大规模网络攻击。
当然,构建我国数字安全防御屏障是一项系统性工程。在周鸿祎看来,面对国家级APT组织攻击,需要政府有关部门、企业、安全厂商、组织机构等多方的协同参与,形成强大的合力来共同应对。
一方面,我国各大关键基础设施单位也应该提升相应“战力”。“一是要有安全大数据建立全局视野,实现‘看见’威胁情报,掌握网络安全态势;二是要在多个场景和环境部署监测体系,能够快速、及时发现安全线索并就地处置;三是要构建起数字安全防御体系,并发展能投入实战应用的安全大模型,大幅提升技术人员的安全分析能力、安全处置能力、应急响应能力、安全运营能力等。”周鸿祎表示。
而另一方面,安全厂商则需要突破传统防护思维,以技术创新为导向。“未来360将继续发挥自身技术优势,与各方携手,为构建我国数字安全防御屏障、守护国家和社会稳定贡献力量。”周鸿祎表示。
“在人工智能技术重塑全球竞争的今天,网络安全的实践已经超越单纯的技术对抗,成为捍卫国家数字主权的支柱。以360为代表的安全厂商正在攻克‘看见’难题,为感知风险、看见威胁、抵御攻击提供强有力的助力,将我国的网络安全防御从被动修补升级到了主动制衡,为关键领域发展构筑了免疫屏障。”业内人士认为,“这也是安全厂商应有的责任——主动融入国家网络综合治理体系,为增强网络安全防御能力和威慑能力提供帮助,共同助力国家在国际竞争中突围而出。”
