聊聊网络安全行业(一)

有网络才有网络攻击,有攻击才有网络安全。攻击是安全行业发展的根本动力。

从第一个病毒——Creeper于1971年被无意间开发出来到今天,网络攻击手段越来越丰富,根据技术原理,可大致分为两类:直接攻击和间接攻击。直接攻击是攻击者渗透进目标主机后直接执行恶意操作,典型的有黑客攻击、内部人攻击,统称入侵者威胁。间接攻击是攻击者将恶意代码通过某种媒介部署到目标终端,由恶意代码自主实施打击,典型的有我们熟知的病毒、木马、蠕虫(统称为“恶意软件”),还有Web攻击、DDoS攻击、APT攻击。

这些攻击除技术原理不一样外,造成的损失、攻击频率也不一样。基于DREAD模型可以对不同攻击的风险程度排序,将APT(危害程度大数量多)与入侵者攻击(危害程度大)归为高风险攻击,DDoS归为中度风险攻击,恶意软件与Web攻击归为低风险攻击:

1.恶意软件以office、exe文件为媒介向终端传播恶意代码,劫持系统资源。比如CPU内存占用、文件加密、带宽占用等,一般很少造成直接损失,比如“熊猫烧香”,感染了国内大量电脑,其制作者李俊(高中都没上的打工青年)不但没有获利反而被关了几年。此类攻击是最传统的攻击类型,手法灵活多样,所以数量多。根据CNCERT,2019年捕获的恶意程序样本数量6200万。但危害性在降低,2015年感染主机数量1978万台,2019年582万台。值得注意的是随着比特币出现,勒索病毒可以直接获利成为热点,2019年样本数量73.1万个,比2018年增长4倍。

2.Web攻击以天然开放的网站为媒介将恶意代码传播给客户浏览器或服务器,主要目标是篡改网站内容或窃取用户数据。一般不造成直接损失,影响范围也限于单个终端或网页。因为网站数量多,此类攻击数量也多。根据CNCERT,2019年篡改网站(包括“暗链”)18.6万个(其中政府网站515个),仿冒网站8.5万个,网站后门8.5万个;2015年篡改网站2.5万个(其中政府网站898个),仿冒网站18万个,网站后门3万多个。

3.DDoS攻击是在恶意软件的基础上发展出来的攻击方式,利用已经被恶意软件劫持的终端(“肉鸡”),集中访问目标服务器致崩溃。原理简单粗暴,目的明确。对DNS服务器、电商、网游等互联网应用的威胁特别直接,其危害是系统级的。比如我国发生过DNSPod服务器、新疆DNS服务器被攻击事件,造成区域或省内用户上网受影响。由于“肉鸡”资源可以在网上轻易获得,所以DDoS攻击门槛低,导致数量多。2019年峰值超过10Gbps的攻击数量平均每日220起,同比增加40%。

4.入侵者攻击是攻击者利用操作系统漏洞、弱口令,或社会工程学获取他人账号密码,甚至是内部员工,直接操控目标系统实施的打击。此类攻击的主要目的是窃取或篡改数据。入侵者攻击也是传统攻击方式之一,数量比较多,根据CNCERT,2019年我国重要数据泄露事件3000余起。这些事件可分为两类,一类是自身秘密泄露,比如波音被内部人窃取工程文档。另一类是第三方数据,比如Facebook、万豪等泄露了大量用户个人数据,比如315晚会曝光APP非法收集用户数据。第二类特别受关注,欧洲2018年出GDPR、中国《个人隐私信息保护法》正在制定中。被关注的原因是大量的个人数据不仅用来诈骗,还被用来影响政治舆论。这一点在Facebook的案例中集中体现:Cambridge Analytics被证明利用从FB获取的5000万用户数据进行个性分析(psychographic modeling),然后针对性得推送信息,进而影响美国16年大选。另有证据证明CA还参与了英国脱欧公投事件。这家公司18年停止运营但核心团队创建了一家新公司Emerdata。

5.APT攻击是恶意软件与入侵者攻击的结合实现定向攻击。会同时使用“鱼叉邮件”与“0day”漏洞等高级手段。这类攻击有很强的政治诉求,比如获取国家机密或破坏关键基础设施。攻击者有国家背景,会长期对特定目标实施攻击。比如美国Equation Group攻击伊朗核设施,越南“海莲花”组织窃取我国海事和科研单位信息。此类攻击的数量很多,根据CNCERT,2019年我国重要党政机关遭受钓鱼邮件攻击数量达50多万次。

通过分析攻击过程,可以发现防御的核心是拦截“渗透”或阻止恶意代码“执行”。其中渗透是执行的必要条件,而执行是损失的必要条件:

1.恶意软件能够造成损失,首先需要“渗透”——恶意代码附着在文件中,这些文件再通过U盘、邮件等传播到不特定目标。还需要“执行”——文件启动时恶意代码自动运行。

2.Web攻击能够造成损失,首先需要“渗透”——恶意代码上传目标网站服务器。还需要“执行”——用户对网站执行Get操作时恶意代码自动运行。

3.DDoS攻击能够造成损失,“渗透”与“执行”过程合一——控制“肉鸡”向特定目标服务器发送请求。

4.入侵者攻击能够造成损失,首先需要“渗透”——利用心怀不满的员工、暴力破解得来的账号密码、操作系统的远程登陆漏洞,直接登录目标终端。还需要“执行”——对文件进行读、写操作。

5.APT攻击能够造成损失,首先需要“渗透”——利用“鱼叉邮件”和恶意软件将恶意代码传播给特定目标。还需要“执行”——文件启动时恶意代码自动运行。

主权债务危机如何产生的

观察拉美墨西哥和阿根廷上世纪60~80年代的悲剧,发现有一个核心主题是其经济被美国通过“债务危机”的形式收割,其链条如下:

美元加息️——资金回流️——汇率贬值️——还不上美元贷款️——低价卖资产&政府军队裁撤——收下当狗

这个链条要成立,前提条件:

1. 美国加息一定造成资金回流
2. 资金回流一定造成汇率贬值
3. 只有通过本币换美元来偿债

加息为什么会造成资本回流?
一旦加息会怎么样?首先,如果你有借款,加息会导致利息成本增加(浮动利率)。加息还会导致金融资产贬值(贴现率增加)。那么,美国一旦加息,所有美元计价的债务成本都会增加,然后美国国内资产价值下降,股市、债市下降,把钱存进银行更有吸引力。

可是,加息为什么导致资金回流美国?

金融资产贬值,资金回美国抄底么,常识来说这种资金量不会特别大而且不稳定。

利息成本增加,无论你的收入或储备是不是是美元,都得还更多美元利息。如果你的收入或储备货币不是美元,你就需要把本币换成美元再还钱。而这本身就导致一定的美金回流。

对于中石油这类企业,外部采购内部销售,一旦有外债,并且利息增加,必然要把更多的人民币换成美元。类似的还有万达,国内房地产政策限制后,借不到人民币,只能借外债,但收入大部分来自于国内。对于金融机构来说更是如此。

对于出口类企业,赚美金,国内消费,赚取的美金大部分要换成人民币。如果有美元债,并且加息,也需要把更多人民币换成美金,只不过有美元现金流或储备,更灵活一些。

无论如何,一个国家有外债(企业+国家),都需要更多得将本币换成美金,导致资金回流。

说人是资金回流是因为加息导致还款加速,我不认同。这种说法力图解释为什么有那么大量回流。但我认为这是不必要的也不现实。不必要是因为外债规模足够大,利息稍微一调整,回流就足够大。比如中国外债规模将尽2万亿美元,外汇储备3万亿美元,利息调整一个点,每年就要多流出近1%。中国还属于长期国际贸易顺差的国家,对于那些长期贸易逆差的国家(拉美),一旦升息,外汇储备马上枯竭。不现实是因为,你觉得对企业来说,会因为升息马上就还本金么?有这个现金流和国内资产,你借什么外债?

美元回流必然导致汇率贬值?
交易对手方是谁?一般是企业与央行,对于外汇自由交易国家来说,还有外资金融机构。对于我国这种外汇管制国家,基本就是央行。

当你国内企业需要更多美元时候,来找央行或外资金融机构兑,供需肯定出现短暂波动。对于自由市场,外资机构肯定随行就市,给出一个他认为合理的汇率价格,这个价格就已经是美元升值,本币贬值的了。由于对美元的需求太刚性,这个时候外资机构可以借机敲个竹杠,汇率就会迅速走高,进一步恶化加息带来的成本增加。

对于管制国家,央行一般不会敲自己孩子竹杠,但外汇储备又很难一下子满足所有需求(外汇储备还要在国际上买石油、芯片、矿产等一个国家没有的资源),为了调节需求依然会涨些价,同时会进行一定的管制。由于管制,抑制了部分企业和个人的外汇需求,免不了跑到外面去换,造成离岸与在岸汇率不一致(这都不是决定性的)。但总体上,本币都会贬值,管制国家不会急涨,自由市场会急涨。而急涨带来的情绪会形成传导作用,加剧对外汇储备的挤兑。

如果美元加息我也跟着加,汇率能否稳定?首先美元外流不能避免,外流造成的贬值是因为还息这个刚需导致,并不是预期导致的。本币加息并不会导致还美元债的需求减少,反而会使没有美元债务的国内企业遭受完全没来由的额外成本。从另一方面,本币加息会收回国内流通的资金,使得存量本币减少,导致外储的美元与国内流通本币的量稳定在一个比例上。但是,我的疑问是,汇率决定于供需,而不是量,即使本币缩量,如果拿者本币都要交换美元,那还是无法避免本币跌价。

除了本币之外还有没有其他方法偿还美债?
卖海外资产换美金。