简述网络安全问题来源

发布时间： 2022-05-19 11:55:42

了解其基本的攻击原理和攻击过程，了解其可能带来的各种危害与影响，这样才有可能采取有针对性的防护措施。

来自外部的网络威胁

网络威胁的首要来源是“不安全的外部空间”。保护一个目标系统最简单、直接的方法就是把它与外部空间隔离开来。隔离的方法可以是软件式的(如安全软件)，也可以是硬件式的(一个盒子或一套设备)，还可以是物理式的(内部网络和外部网络完全没有任何物理接触)。

外部网络(外网)是一个与内部网络(内网)相对应的概念。对于企业和机构的内网系统而言，整个互联网空间都是外网;而对于企业内网中的某一个单独的隔离区域而言，相邻的其他内网区域也属于外网;如果某些机构共同接入了同一张业务专网，如医疗专网、教育专网等，那么对于专网上连接的所有机构的内网系统而言，它们都互为其他内网系统的外网。正因为外网是一个相对的概念，所以安全工作往往需要层层隔离，步步隔离。

对于内网的管理者而言，外网是一个完全不可控的风险空间。威胁可能来自某个攻击者，也可能来自某个组织;可能来自某台设备，也可能来自很多台设备(如DDoS);可能来自木马病毒，也可能来自人工渗透。

早期的安全思想普遍认为，只能在内网中或内网的边界上进行防御，至于攻击者何时、何地发起何种攻击，都是完全不可预知的，防御者只能“见招拆招”。不过，随着威胁情报等大数据安全技术的普及，提前感知和防御来自外网的威胁，对外网威胁进行跟踪溯源成为现实。

来自内部的网络威胁

俗话说“日防夜防，家贼难防”，对于企业和机构而言，网络威胁不一定都是来自外部的，也很有可能来自内部。而且，来自内部的威胁往往更具破坏力，也更加难以防御。例如，中国裁判文书网2011年1月—2019年10月发布的所有与数据泄露相关的典型判例中，约80%是由于内部人员造成的。

内部威胁的产生大致可以分为两类：一类是内鬼，另一类是违规。

内鬼风险大多是由员工的主观恶意行为引发的。产生内鬼的原因有很多，监守自盗、内外勾结、挟私报复、发泄不满、心理问题等因素都有可能引发内鬼行为。例如，2020年初，国内某知名大型互联网公司的一个供应商的开发人员，因与公司发生矛盾，在后台恶意删除了大量用户数据，直接导致该互联网公司上千万名用户的相关服务被中断。

违规风险大多是由员工的不当操作引起的，主要原因是员工的安全意识不足，如滥用U盘、错发邮件、误删数据等。相比于内鬼风险，绝大多数违规风险的损失会小一些，但发生的概率要大得多。

内部威胁并非不可防御，通过零信任、大数据、行为分析等方法，可以对内部威胁进行有效的监测和响应。针对此类问题的解决方案，还有一个比较专业的说法，即UEBA(User Entity Behavior Analysis)，中文为用户实体行为分析。

来自供应链的网络威胁

攻击者在发动攻击前，一般会对攻击目标的整体防御措施做一个初步的试探和评估，如果目标本身的防御措施较完备，试探攻击未达到预期效果，则攻击者常常会采用间接的攻击方式，从攻击目标日常作业流程中薄弱的环节入手，这个薄弱的环节通常是与攻击目标有业务合作的第三方机构。例如，近年来攻击者更愿意从数据产业链的下游发起攻击，窃取数据。由于业务合作需要共享数据，而下游合作企业的数据保护意识或数据保护能力存在不足，更容易被攻击，从而导致数据泄露。

由于外包业务的不断发展，外包服务商逐渐成为企业另一种形式的“内部人”，也成了新的安全威胁。大多数企业的网络是由不同供应商、承包商及分包商建立的，系统建设成后，又多数会委托给第三方机构来运营。整个过程给攻击者提供了植入安全漏洞或利用安全漏洞的机会，只要其中的任意环节遭到利用或攻击，就会引起连锁反应，对企业造成一定的威胁。

近年来，我们观察到了大量基于软硬件供应链的攻击案例。例如，针对Xshell后门污染的攻击原理是攻击者入侵软件厂商的网络修改构建环境，植入特洛伊木马;针对苹果公司的集成开发工具Xcode的攻击原理则是通过编译环境间接攻击产出的软件产品。这些攻击案例最终影响了数十万甚至上亿名软件产品用户，造成了用户隐私、数字资产被盗取，设备被植入木马等后果。

来自供应链的网络威胁具有威胁对象种类多、极端隐蔽、涉及维度广、攻击成本低(回报高)、检测困难等特性，近年来供应链安全事件频繁发生。