周鸿祎评武汉地震监测中心遭网络攻击：境外黑客目的是窃取地质数据

　　武汉市应急管理局地震监测中心7月26日报警称，该中心发现部分地震速报数据前端台站采集点网络设备被植入后门程序，武汉市公安局江汉分局随即对此案立案侦查，初步判定，此事件为境外具有政府背景的黑客组织和不法分子发起的网络攻击行为。

　　此次网络攻击案件背后目的是什么，取得了哪些新进展？被攻击单位从“被动”到“主动”式发布又释放了怎样的信息？对此，《环球时报》独家采访360集团创始人周鸿祎，他表示，无论是西工大，还是武汉应急管理局，面对国家级黑客攻击敢于正视的行动，都为发现、阻止国家级大规模网络攻击创造了重要机会。

　　环球时报：针对武汉市应急管理局地震监测中心被攻击事件，国家计算机病毒应急处理中心和360公司组成的联合调查组是否有新的发现？

　　周鸿祎：目前，国家计算机病毒应急处理中心和360公司组成的专家已赴武汉开展取证工作，初步证据显示，此次对武汉市地震监测中心实施的网络攻击目的是窃取地质数据。地质信息与作战地形息息相关，一旦被窃取并与军事活动关联便后患无穷。

　　环球时报：我们注意到，无论是去年的西北工业大学还是武汉市应急管理局地震监测中心，都主动对外界公开声明遭受境外网络攻击，并向公安局报警。对于被攻击单位“主动”式发布的处理方式，您如何评价？

　　周鸿祎：毫无疑问，这种行为值得高度肯定。面对国家级APT（高级长期威胁，指隐匿而持久的电脑入侵过程）组织攻击，需要政府、企业、安全厂商、组织机构等多方协同参与，形成强大的合力来共同应对。但在实际工作中很多涉事单位因为“害怕担责”，导致APT排查面临巨大阻力，造成APT调查分析不全面、不彻底，对国家应对APT攻击极为不利。

　　因此，无论是之前的西工大事件还是本次武汉市应急管理局事件，面对国家级黑客攻击敢于正视的行动为我们发现、阻止国家级大规模网络攻击创造重要机会。通过对境外网络攻击的全盘揭露，无论对维护本国网络空间国家利益，还是对保障全球网络空间和平与安全，意义重大，值得被肯定与借鉴。

　　环球时报：当下，国家级APT组织针对我国关键基础设施发起网络攻击呈现出哪些特点？

　　周鸿祎：国家级APT组织往往针对我国政府、行业龙头企业、大学、医疗机构、科研单位等进行网络攻击行动，实现窃取数据、情报、破坏等多种目的，其最大的挑战是“看不见”。

　　APT攻击具有六大特点：一、攻击者通常是专业黑客组织或国家级网军，具备国家级能力和资源；二、普遍使用未知安全漏洞等攻击手段，难以设防；三、攻击是一个持续不断的过程，通过网络上多个节点作为跳板层层渗透，形成很长的攻击链条；四、长期潜伏渗透，潜伏时间或超过十余年，隐蔽性强；五、攻击工具武器化，360公司曾在调查西北工业大学所受网络攻击行动中发现，NSA（美国国家安全局）使用了41种专用网络攻击武器装备；六、网络攻击行为呈现自动化、体系化和智能化的特征，各种攻击手法前后呼应、环环相扣。

　　环球时报：面对强大的攻击，如何高效率构建实战化安全防御体系，快速获得安全能力？

　　周鸿祎：首先，我们需要建设安全大数据，建立全网安全事件档案，帮助用户对威胁攻击有所防备。其中终端数据尤为重要，80%的APT攻击针对终端环境，终端是看见威胁的“眼睛”。

　　其次，需要提前布防，快速、及时发现安全线索，实现安全威胁早期发现、早期处置、早期止损。

　　第三，需要有AI技术提升自动化和智能化水平。为了进一步提升效率，我们需要应用人工智能技术提升自动化分析水平，对海量安全事件实现自动化分析、筛选和关联，快速发现攻击线索并采取自动响应，提升安全防御效率。

　　第四，需要有具备丰富的安全实战对抗经验的专家。我们需要组建一支漏洞挖掘、威胁检测、情报分析等各相关专业组成的多层级专家团队，具备与各国网军、黑产集团常年作战的经验，进行24小时不间断的持续发现、分析、响应、处置。

　　第五，要实现大数据分析、指挥管控、专家协同运营，需要一个具备强大全局能力的安全运营平台，支撑安全运营生命周期的全过程。通过自动化响应处置和安全专家判断相结合，建立快速响应处置能力、搭建响应处置平台、接入安全分析结果、联动安全设备，在安全事件发生后及时控制攻击局势、恢复受损系统，实现快速响应。

文字：袁  宏

编辑：黄  敏

审核：袁  野