360数字安全集团：2024美网络安全威胁能力分析报告

美网络安全威胁能力分析报告 360数字安全集团 二○二四年制 目 录 能力一：利用海缆汇聚优势具有监控全球数据流动的能力 . 3 能力二：利用掌控全球互联网根服务器和CA证书的地位来干扰各国互联网公平发展的能力 ......................... 5 能力三：利用全球销售和运营的操作系统和互联网服务具有直接获取用户敏感数据的能力 ......................... 7 能力四：利用掌控开源软件社区优势具有实施供应链攻击的便利 .............................................. 13 能力五：利用掌控商用信息化标准和协议的优势具有调配关键产品安全性的能力 ................................ 15 能力六：利用全球通用漏洞披露标准及运营机构等具有优先获取安全漏洞的条件 ................................ 18 能力七：通过多年网络武器开发具有对他国基础设施进行攻击窃密的标准化工具 ................................ 22 总结 .............................................. 26 参考文献 .......................................... 27 1 在当今日益紧张的全球地缘政治形势下，作为世界唯一超级大国的美国，将传统威慑理念引入网络安全战略领域，以网络威慑作为其追求安全利益、扩大竞争优势、重塑国际霸权的重要手段，造成了国际社会的种种动荡和不稳定。 网络威慑自2011年被正式引入美国网络安全战略以来，始终以战略形式贯穿美国网络空间政策的发展过程。美国政府过度发展网络安全威胁能力，在全球推进网络威慑战略，并倒打一耙持续炒作他国网络威胁论，激化国际紧张态势。尤其是近年美国频频利用局限性的情报和猜测拼接式的逻辑归因形成各种安全分析报告来污蔑他国政府，造成“莫须有”的网络空间对抗形势，来为自己发展网络安全威胁能力构建依据。 当前，美国正在将网络安全威胁能力更多融入现实，在军事冲突、国际纠纷和反恐等行动中使用，以达成其政治、经济、军事企图。从相关报道和曝光可以看到，这对各国发展和稳定造成了重大影响，比如针对特定国家政府制造的大规模网络舆情来实施政治攻击、针对特定国家互联网设施进行破坏或阻断而造成网络大面积中断和瘫痪、以及秘密培植高级黑客组织来对他国实施大规模持续性的网络入侵等等。 目前，美国已在全球监听、信息获取、后门植入、漏洞储备、网络武器等方面建立了一套网络安全威胁能力，成为其推行网络霸权的重要支撑： ⚫ 全球监听 2 能力一：利用海缆汇聚优势具有监控全球数据流动的能力 能力二：利用掌控全球互联网根服务器和CA证书的地位来干扰各国互联网公平发展的能力 ⚫ 信息获取 能力三：利用全球销售和运营的操作系统和互联网服务具有直接获取用户敏感数据的能力 ⚫ 后门植入 能力四：利用掌控开源软件社区优势具有实施供应链攻击的便利 能力五：利用掌控商用信息化标准和协议的优势具有调配关键产品安全性的能力 ⚫ 漏洞储备 能力六：利用全球通用漏洞披露标准及运营机构等具有优先获取安全漏洞的条件 ⚫ 网络武器 能力七：通过多年网络武器开发具有对他国基础设施进行攻击窃密的标准化工具 3 能力一：利用海缆汇聚优势具有监控全球数据流动的能力 (一) 能力的基础和构成 美国利用海缆汇聚优势具有监控全球数据流动的能力，基础在于美国是全球海缆的汇聚中心。通信海缆作为全球信息互联互通的关键基础设施，在国际通信中占据主导地位，承载着全球超95%跨国数据传输。由于IPv4的根域名服务器主要在美国，辅之Facebook、Google、亚马逊等美国互联网企业的核心地位，造就了美国的全球海底光缆中心地位。美国东西海岸分别连接欧洲和亚洲，南美的网络也多路由北美，因此太平洋和大西洋海底光缆几乎都以美国为起止点，或途经美国领土，因此美国也成为世界流量中心，欧洲-美国、亚洲-美国、拉美-美国是国际带宽最大的三个方向，即使中东、非洲也要经欧洲转接美国。这意味着美国可以通过海缆，对全球互联网的数据流量、信息传输、网络访问等进行监控和干扰。 此外，美国2023年2月通过了《海底电缆管制法案》，旨在依据《出口管制改革法案》中的具体出口管制措施，限制“外国竞争对手国家”获取与海底电缆相关的产品和技术，进而巩固并增强美国在关键经济领域和电信基础设施的控制权。 (二) 能力的应用和负面影响 美国是大规模监控全球的“惯犯”，监视他国的做法可追溯到两次世界大战期间。第一次世界大战前夕，美国作为国际权力与政治舞台的新成员，在全球范围内开始进行战略情报生产，二战时，美国重建了战略情报能力，生产了大量的全球战略情报。第一次世界大战和 4 第二次世界大战之后，新武器、新技术的快速发展也促进了情报收集工具的发展，相应的，美国制定了Black Chamber（黑室）和Project SHAMROCK（三叶草）等情报收集计划，继续进行监视。此外，美国政府还提出了数个国家安全法案，包括《爱国者法案》和《国外情报监控法案》的修正案及其中的棱镜（PRISM）计划。 Upstream计划是棱镜计划的上游项目，从“海底光缆等基础设施的收集数据，而棱镜计划则相当于“下游”项目。美国国家安全局和国防部等机构在2003年与美国环球电讯公司签署《网络安全协议》，与电信公司签署合作协议实则为保障“上游”项目的顺利实施。这项协议中规定，环球电讯公司需要在美国本土建立一个“网络运行中心”，美国政府官员可以在发出警告后的半小时内进入查访。据悉，环球电讯公司的海底光缆覆盖全球4个大洲的27个国家和地区。 5 能力二：利用掌控全球互联网根服务器和CA证书的地位来干扰各国互联网公平发展的能力 (一) 能力的基础和构成 美国能够长期保持对全球的网络威慑，关键在于美国控制了互联网骨干网的管理权和国际数字证书体系。 互联网是冷战期间美国为与苏联进行军事竞争而推动发展的技术，主要支持者是美国国防部。冷战结束后，互联网域名的分配和管理，始终掌握在最初编写互联网协议的13个根服务器的控制者手中，其中10个在美国。美国政府通过与国防部、CIA等机构密切相关的公司掌控了根服务器，也强化了对互联网地址和根区的管理权、监督权。小布什总统曾宣布，美国永久保留这一权限，这意味着美国可以切断某些国家或地区的网络连接。 虽然由于2013年“斯诺登事件”的暴发并引起世界各国公愤，导致美国政府被迫于2015年正式将互联网域名和数字地址的分配权、控制权移交给ICANN，但ICANN所享有的权力直到今天也并没有脱离美国政府的监管。其中，互联网A主根服务器的运营管理权，及其对12个根服务器的分发控制权，只是由ICANN转包给威瑞信这家美国政府的信息技术承包商，继续由其担任根区维护者。美国的单边主权，并没有受到实质触动，互联网已经成为后冷战时代美国世界权力的重要支点。 数字证书是网络空间信任体系的基石，好比是网络上的身份证或者营业执照，是网络上每一个网站、硬件、软件、芯片和文件的身份 6 证明。数字证书有两大功能，一个是身份认证，一个是数据加密，没有数字证书，网络上的网站、设备、软件就不可信，导致被欺骗或者数据被窃取，如果数字证书失效，就会导致重要系统不能工作，网络就会面临一场灾难。美国通过两方面控制了国际数字证书体系，一方面牵头成立联盟，利用谷歌牵头在国际上成立了数字证书联盟（CA/Browser Forum），成员涵盖浏览器、Web服务器、审计、密码算法、硬件网关等相关企业。另一方面制定备案制度，设立了证书透明系统（Certificate Transparency，简称“CT”），国际上所有数字证书机构在发出任何一张数字证书之前，都需要首先在此系统备案，否则联盟会对其进行封杀。 (二) 能力的应用和负面影响 美国利用互联网骨干网的管理权发起断网突袭，造成目标网络大面积中断和瘫痪，严重破坏他国社会稳定运行。 ⚫ 2003年期间，美国停止对伊拉克的域名解析，让伊拉克从互联网消失； ⚫ 2004年，美国终止对利比亚网络的解析服务，让利比亚从互联网上消失了3天。 美国利用对国际数字证书体系的掌控，对他国进行“卡脖子”，造成严重安全风险。 ⚫ 以贸易制裁为理由，拒绝颁发数字证书。针对电信、交通等关键基础设施和重要信息系统，美有能力不予颁发数字证书，使得这些系统在网络上无法运行，产品不能用，网络安全防 7 护能力下降，引发社会动荡。目前在美国的主导下，全球数字证书机构都不允许给朝鲜、古巴、伊朗等国家发数字证书。 ⚫ 利用数字证书发动网络攻击。通过给网络攻击软件颁发数字证书，助其潜伏进入关键系统。比如2010年破坏伊朗核工厂的震网病毒，就是获得了台湾硬件厂商瑞昱公司（RealTek）的数字签名，使其看起来是合法程序。 以上直接或间接的网络事件都展示了美国在网络空间里“单边主权”的任性和力量，也让全世界人民看到网络封锁战具有明显的国家行为特征，而未来网络霸权国家非常有可能继续利用这一手段打击现实世界的对手。 能力三：利用全球销售和运营的操作系统和互联网服务具有直接获取用户敏感数据的能力 (一) 能力的基础和构成 美国是全球软件产业和互联网长夜的领导者，掌握了许多核心技术和标准，在智能终端领域具有全球性优势，掌控了全球移动通信网络发展，对全球软件和互联网市场和创新有着巨大的影响力。 首先，美国通过开发大平台产品，垄断了操作系统和数据库等领域，利用其在软件和互联网产业的先发优势，牢牢控制了产业的高端业务，并通过制定一系列软件产品和互联网服务的标准，维持其在软件和互联网产业的领袖地位，常常举起商业制裁“大棒”，给软件和互联网产业多边治理和国际合作造成了严重阻碍。 8 其次，从3G到5G，美国都在通过技术创新、市场竞争、政策制定来维护其在通信领域的技术优势和监听能力，通过制裁和排斥华为中兴等竞争对手，对全球5G供应商和市场进行干预和破坏，以维护其竞争优势。 最后，美国在智能终端领域具有全球性优势，主要体现在以下几个方面：一是硬件方面，美国拥有多家世界领先的移动终端芯片企业，如高通、博通、英伟达、苹果等，可以提供从基带芯片到射频芯片到应用处理器到图形处理器等各种芯片的解决方案。二是终端操作系统方面，美国的终端操作系统iOS和Android占据的全球智能终端市场的大部分份额。三是5G网络方面，美国是世界上首批商用5G的国家之一，通过频谱拍卖、政策支持、技术演进等方式，不断推动5G网络的发展，为智能终端提供更高的带宽、更低的时延、更多的应用场景。四是终端应用方面，美国拥有全球最多的知名互联网企业、社交媒体平台、电子商务网站、视频流媒体服务等，为终端用户提供丰富的内容和服务。在这些优势的基础上，美国在全球拥有最大的智能终端用户群体。 上述优势为美国通过全球销售和运营的操作系统和互联网服务来获取用户敏感数据奠定了基础，而在实施层面，美国基于这些优势构筑了以下情报获取手段： ⚫ 通过互联网服务供应商收集情报。据斯诺登曝光，美国国安局（NSA）和联邦调查局通过“棱镜”计划可直接接入9家美国互联网公司中心服务器，挖掘数据以搜集情报。微软、雅 9 虎、谷歌、Facebook、PalTalk、美国在线、Skype、YouTube、苹果等美国互联网公司均参与了这一计划，并在不同程度上与NSA合作，有的提供了直接的后门接入，有的提供了加密密钥，有的提供了特定的数据请求。可见，美国通过Intel、微软、苹果、谷歌等互联网巨头构建了全球大数据和情报收集系统。 ⚫ 通过电话监听手段收集情报。目前已曝光的手段包括：一是借助移动运营商或者其他终端，通过植入软件、截获通话信号等方式，侵入用户的信息通信通道截取信息。全球最大的手机SIM卡生产商金雅拓(Gemalto)就曾表示，美英情报机构很有可能入侵了该公司的