2.2 網(wǎng)絡(luò)威脅產(chǎn)生的位置

2.2.1 來自外部的網(wǎng)絡(luò)威脅

網(wǎng)絡(luò)威脅的首要來源是“不安全的外部空間”。保護一個目標系統(tǒng)最簡單、直接的方法就是把它與外部空間隔離開來。隔離的方法可以是軟件式的（如安全軟件），也可以是硬件式的（一個盒子或一套設(shè)備），還可以是物理式的（內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)完全沒有任何物理接觸）。

外部網(wǎng)絡(luò)（外網(wǎng)）是一個與內(nèi)部網(wǎng)絡(luò)（內(nèi)網(wǎng)）相對應(yīng)的概念。對于企業(yè)和機構(gòu)的內(nèi)網(wǎng)系統(tǒng)而言，整個互聯(lián)網(wǎng)空間都是外網(wǎng)；而對于企業(yè)內(nèi)網(wǎng)中的某一個單獨的隔離區(qū)域而言，相鄰的其他內(nèi)網(wǎng)區(qū)域也屬于外網(wǎng)；如果某些機構(gòu)共同接入了同一張業(yè)務(wù)專網(wǎng)，如醫(yī)療專網(wǎng)、教育專網(wǎng)等，那么對于專網(wǎng)上連接的所有機構(gòu)的內(nèi)網(wǎng)系統(tǒng)而言，它們都互為其他內(nèi)網(wǎng)系統(tǒng)的外網(wǎng)。正因為外網(wǎng)是一個相對的概念，所以安全工作往往需要層層隔離，步步隔離。

對于內(nèi)網(wǎng)的管理者而言，外網(wǎng)是一個完全不可控的風險空間。威脅可能來自某個攻擊者，也可能來自某個組織；可能來自某臺設(shè)備，也可能來自很多臺設(shè)備（如DDoS）；可能來自木馬病毒，也可能來自人工滲透。

早期的安全思想普遍認為，只能在內(nèi)網(wǎng)中或內(nèi)網(wǎng)的邊界上進行防御，至于攻擊者何時、何地發(fā)起何種攻擊，都是完全不可預(yù)知的，防御者只能“見招拆招”。不過，隨著威脅情報等大數(shù)據(jù)安全技術(shù)的普及，提前感知和防御來自外網(wǎng)的威脅，對外網(wǎng)威脅進行跟蹤溯源成為現(xiàn)實。

2.2.2 來自內(nèi)部的網(wǎng)絡(luò)威脅

俗話說“日防夜防，家賊難防”，對于企業(yè)和機構(gòu)而言，網(wǎng)絡(luò)威脅不一定都是來自外部的，也很有可能來自內(nèi)部。而且，來自內(nèi)部的威脅往往更具破壞力，也更加難以防御。例如，中國裁判文書網(wǎng)2011年1月—2019年10月發(fā)布的所有與數(shù)據(jù)泄露相關(guān)的典型判例中，約80%是由于內(nèi)部人員造成的。

內(nèi)部威脅的產(chǎn)生大致可以分為兩類：一類是內(nèi)鬼，另一類是違規(guī)。

內(nèi)鬼風險大多是由員工的主觀惡意行為引發(fā)的。產(chǎn)生內(nèi)鬼的原因有很多，監(jiān)守自盜、內(nèi)外勾結(jié)、挾私報復、發(fā)泄不滿、心理問題等因素都有可能引發(fā)內(nèi)鬼行為。例如，2020年初，國內(nèi)某知名大型互聯(lián)網(wǎng)公司的一個供應(yīng)商的開發(fā)人員，因與公司發(fā)生矛盾，在后臺惡意刪除了大量用戶數(shù)據(jù)，直接導致該互聯(lián)網(wǎng)公司上千萬名用戶的相關(guān)服務(wù)被中斷。

違規(guī)風險大多是由員工的不當操作引起的，主要原因是員工的安全意識不足，如濫用U盤、錯發(fā)郵件、誤刪數(shù)據(jù)等。相比于內(nèi)鬼風險，絕大多數(shù)違規(guī)風險的損失會小一些，但發(fā)生的概率要大得多。

內(nèi)部威脅并非不可防御，通過零信任、大數(shù)據(jù)、行為分析等方法，可以對內(nèi)部威脅進行有效的監(jiān)測和響應(yīng)。針對此類問題的解決方案，還有一個比較專業(yè)的說法，即UEBA（User Entity Behavior Analysis），中文為用戶實體行為分析。

2.2.3 來自供應(yīng)鏈的網(wǎng)絡(luò)威脅

攻擊者在發(fā)動攻擊前，一般會對攻擊目標的整體防御措施做一個初步的試探和評估，如果目標本身的防御措施較完備，試探攻擊未達到預(yù)期效果，則攻擊者常常會采用間接的攻擊方式，從攻擊目標日常作業(yè)流程中薄弱的環(huán)節(jié)入手，這個薄弱的環(huán)節(jié)通常是與攻擊目標有業(yè)務(wù)合作的第三方機構(gòu)。例如，近年來攻擊者更愿意從數(shù)據(jù)產(chǎn)業(yè)鏈的下游發(fā)起攻擊，竊取數(shù)據(jù)。由于業(yè)務(wù)合作需要共享數(shù)據(jù)，而下游合作企業(yè)的數(shù)據(jù)保護意識或數(shù)據(jù)保護能力存在不足，更容易被攻擊，從而導致數(shù)據(jù)泄露。

由于外包業(yè)務(wù)的不斷發(fā)展，外包服務(wù)商逐漸成為企業(yè)另一種形式的“內(nèi)部人”，也成了新的安全威脅。大多數(shù)企業(yè)的網(wǎng)絡(luò)是由不同供應(yīng)商、承包商及分包商建立的，系統(tǒng)建設(shè)成后，又多數(shù)會委托給第三方機構(gòu)來運營。整個過程給攻擊者提供了植入安全漏洞或利用安全漏洞的機會，只要其中的任意環(huán)節(jié)遭到利用或攻擊，就會引起連鎖反應(yīng)，對企業(yè)造成一定的威脅。

近年來，我們觀察到了大量基于軟硬件供應(yīng)鏈的攻擊案例。例如，針對Xshell后門污染的攻擊原理是攻擊者入侵軟件廠商的網(wǎng)絡(luò)修改構(gòu)建環(huán)境，植入特洛伊木馬；針對蘋果公司的集成開發(fā)工具Xcode的攻擊原理則是通過編譯環(huán)境間接攻擊產(chǎn)出的軟件產(chǎn)品。這些攻擊案例最終影響了數(shù)十萬甚至上億名軟件產(chǎn)品用戶，造成了用戶隱私、數(shù)字資產(chǎn)被盜取，設(shè)備被植入木馬等后果。

來自供應(yīng)鏈的網(wǎng)絡(luò)威脅具有威脅對象種類多、極端隱蔽、涉及維度廣、攻擊成本低（回報高）、檢測困難等特性，近年來供應(yīng)鏈安全事件頻繁發(fā)生。