伊朗核设施遭袭背后，重温 “震网” 事件：攻击没那么神，防御没那么难（下）

《伊朗核设施遭袭背后，重温 “震网” 事件：攻击没那么神，防御没那么难（上）》

03

安天历史分析工作的几点缺失和遗憾

在“震网”事件出现后，全球网络安全业界的主要厂商（包括卡巴斯基、赛门铁克等）都投入了“震网”分析的一场技术竞赛当中。通过持续性地关注和深度分析，逐渐将这起超级复杂的网络攻击活动的全貌解释出来。在“震网”的分析中，卡巴斯基、赛门铁克等国际厂商都表现出了极大的战略耐性、定力和分析实力。在“震网”事件之后的数年内依然贡献了更多持续不断的分析成果和技术博客。安天本身也是在这场分析接力中投入资源并长期跟进分析的中国安全企业。但所有的工作在获取经验的同时，也必然有不足和教训，我们回溯安天自身的分析工作，依然有几点遗憾与缺失，值得总结。

3.1 我们在历史分析报告中的一处失误

我们在2010年9月26日所发布的分析报告中，对“震网”的扩散绘制的图示存在一处严重错误，即将MS10-061图示为向打印机发起的攻击，实际上这一是针对Windows系统打印服务的攻击。由于“震网”模块众多，功能异常复杂，当时我们主要关注放在“震网”本身的样本运行机理等方向上，加之团队人员当时日常均以恶意代码分析为主，所以在当时并没有准确去分析每一个漏洞的具体机理。针对打印服务利用漏洞上，报告编写人员望文生义误以为这是一个针对打印机的攻击，因此在绘图上将这个漏洞利用的攻击目标设定为打印机。这是一个严重的技术错误，该漏洞攻击点为Windows的打印服务，而非打印机。这样一个图示会导致阅读者以为打印机本身是“震网”攻击中的一个过程目标，并且可以作为连锁扩散的桥头堡，从而带来相关认知误解。令我们感觉非常不安及遗憾的是，由于国内多篇其他方分析报告、报道和出版物都引用参考了安天的报告，导致这一错误传递到了多份文献和书籍中。虽然在反思此事时，也有业内同仁诙谐地说这种错误是安天在报告中留下的反抄袭的暗记，但从我们的角度来看，这是一个不可被原谅的技术失误，这也反映我们要以更大的严谨、求实的态度面对分析工作。

我们绘制错误的原图（3-1）与更新后的图片（3-2）对比。

图3-1 出现严重错误的“震网”传播路径图

图3-2 “震网”的多种传播路径（修正后）

3.2 分析工作的频谱缺失

对于“震网”以及与“震网”同源关联的火焰（Flame）、毒曲（Duqu）、高斯（Gauss）等攻击，安天历史上形成了十余篇分析报告，但回看历史报告，对其内网横向移动扩散、网络数据的分析是不足的。对这个主题，网络安全企业、研究机构和个人研究者已经贡献了数十篇高质量研究文献。这些研究文献从多个层面整体覆盖了“震网”的方方面面。但回看这些文献，也一定程度存在和安天类似的问题。

由于“震网”攻击是依托高度复杂的恶意代码来实施的，在当时分析的主体角色，自然是有深度反病毒积累的安全厂商作为主角，但这本身也导入了我们作为反病毒企业的工作的方法和路径依赖，整个分析工作整体上围绕着动静态混合的代码反汇编分析来展开，辅助补充了部分对其作用机理的复盘和还原等。从目前现有成果的丰富度上来看，对整个的模块、功能、漏洞利用相关的代码解析及作用机理的代码解析是非常丰富的，但对其在内网横向移动、扩散所形成的分析显然是不够的。尽管我们在《震网事件的九年再复盘与思考》中对其为何会形成扩散传播进行了相关的论述和展开，但就其整个内网横向移动的作业规律所能形成的扩散地图等方面成为了历史分析工作中较重的一个缺损点。由于各种条件限制，相关分析并没有有效地扩展到相关的关联环节，如被“震网”盗用的相关证书机构，其签发证书、签发环境的实际情况，为什么美方能够持续作业实现证书的盗取，甚至包括证书窃取的位置究竟是在具体的软硬件企业还是有可能在签发机构或是证书发放的路径，都没有看到更有效的相关的分析。

3.3 分析竞赛并未真正驱动防御规律的提炼

另一项需要反思的是，我们在这一系列的分析工作中，一定程度上存在和卡巴斯基、赛门铁克等国际优秀企业的“分析竞赛”心态。

作为国内最早参与“震网”分析的安全团队之一。我们搭建了两版本“震网”的环境沙盘模型，试图还原攻击的全貌，从初始感染到横向移动，从payload投递到最终破坏，每一个环节都试图用技术分析来填补信息空白，包括仅在USB摆渡的条件和控制逻辑上，就进行了极为细粒度的分析。然而，当我们越是深入分析，就越发现一个现实：“震网”并非一个传统意义上的“病毒”或蠕虫、木马，其背后是一个超级的软件工程。它的全貌，基于逆向分析角度，几乎无法完全揭示。这使得“震网”系列的分析必然成为一个不收敛的过程，每一次新的分析都可能发现新的问题，对其全部细节永不会有完整的答案。我们投入了大量人力物力进行马拉松式的持续分析，驱动了部分的引擎检测、防御能力提升。但在分析频谱和能力研发频谱上，存在资源争抢。当分析团队花费数年时间追踪样本间的同源和变种演进关系时，当研究人员在某个漏洞的利用机理上反复推敲时，我们是否曾经在某种程度上把“分析”当作了“防御”的替代品？

我们在“震网”分析中积累的沙盘模型和技术沉淀，固然是宝贵的技术成果。但这些成果的价值，最终应该体现在能够指导防御实践的方法论上，而非仅仅停留在技术研究的层面。深入了解攻击威胁，要驱动真正的安全进步，是让防御体系有效地抵御攻击。

图3-3 安天用于“震网”分析的两版工控沙盘

由于“震网”本身的复杂和全球舆论的重点关注，使“震网”主要的分析方向服务于更深入揭示样本和攻击的细节，各主要分析主体比拼揭示出的关键细节质量。但从整个的攻击过程链条上如何构建起更有效的防御，反而缺少高质量的系统输出。没有及时驱动高质量、体系化、结构化防御框架的形成。一些单点技术和方法，以能防住“震网”的话术自说自话宣传推广，被夸大为“银弹”。

04

“震网”事件对网络安全防御的长期教益

“震网”攻击本身确实是一个跨时代的事件。其恶意代码的机理复杂性完整分析，几乎超出了当时所有分析团队的能力；而其利用漏洞数量之多，也体现出一种按照范弗里特饱和式攻击的方式使用技术资源的特点——这些特点确实远远超出了当时业界对恶意代码和网络攻击的整体认知水平。正是在这种背景下，“震网”类型的攻击是一个不可防御的“神话”这种观点开始广泛流传。认为面对如此复杂、精巧的国家级攻击，各种防御措施都是徒劳的——攻击者拥有无限的资源和技术能力，防御者只能“听天由命”。这种观点忽视了防御者的布防主动性与能动性，误导防御工作的方向，制造的虚无主义困境。

关于“震网”历史分析研究及本报告的内容恰恰揭示了，作为拥有绝对供应链优势的美方，其在实施攻击行动中也同样需要长期策划、研发攻击载荷，编排攻击杀伤链，寻觅作业窗口，精密实施和管理攻击活动。而即使放到“震网”所发生的时代背景，相关攻击虽然是难以实现实时发现并阻断的，但如果带有有效的安全能力部署和运维条件，也是一个可能被及时发现、并响应阻断的攻击。“震网”在传播和运行过程中产生的大量可观测行为——异常的进程创建、可疑的注册表修改、与外部C2服务器的通信——这些行为在具备完善检测能力的系统中都是可以被捕获的。这说明即使攻击技术再复杂，只要留下痕迹，就有可能被发现和分析。并可以提炼安全规律，调整防御部署。

“震网”的复杂性和分析揭示难度，并不等同于防御难度。攻击者投入大量资源开发复杂的攻击武器，并不意味着防御者需要完全理解攻击武器的每一个技术细节才能进行有效防御。防御是依托体系化的防护框架，构建防御能力的系统部署，形成协同运行能力，特别是落实好对攻击活动的“关键控制点”，无论攻击载荷多么复杂，如果无法在目标环境中成功投放和运行，其威力就无从发挥。其次，“震网”的复杂性很大程度上是为了达成破坏机理的可行性，而非单纯赋予于突防和实现绝对隐蔽。攻击者需要精确了解离心机型号、运行逻辑和工作参数，需要编写针对西门子WinCC系统、和PLC逻辑控制器的专用payload，需要设计复杂的攻击链和判定逻辑来确保到达目标，这些复杂性是攻击本身的内在需求，但从防御侧来说，这些恰恰是攻击者在对抗层面的“包袱”和负担，这是安天CERT对攻击致效层面的对“Payload（载荷即负载）”的新理解。将攻击的技术复杂度等同于防御的难度，是一个根本性的逻辑错误，这种认知偏差可能导致防御者的无效投入和自我放弃。

对于真实网络攻击活动的拒止，应该更多地把重心放在载荷投放和运行过程，而不是放在最后对其行为的约束上。试图检测和阻止每一次可能的破坏行为是期望的，但让攻击载荷难以达到目标环境及在达到目标环境中无法获得运行入口，使攻击武器载荷无法实现运行耦合——这才是防御的关键点。

4.2 不应只关注毁瘫后果，更要关注带有长期隐蔽性的威胁

作为具有里程碑意义的“网络战”事件，“震网”让人们普遍认为网络攻击的最大风险是造成关键基础设施毁瘫。“造成物理空间后果会导致更大损失”这个判断本身并没有错，但“震网”本身并非单纯的网络攻击事件，而是一起与“凋零利刃”类似的打击型作战行动。例如，洛克希德·马丁（Lockheed
Martin,
LMT）研究员马歇尔（Michael）就提出“震网不是APT”的观点——APT攻击追求的是长期潜伏和隐蔽性以达成持续性信息获取，而“震网”直接造成了物理设施毁瘫，事实上已经构成了一个作战行动。其观点具有重要启示意义。

“震网”事件引出了一个关键区别：及CE/CNE（网络情报行动）和CA/CNA（网络攻击行动）的差异。在西方定义中，网络入侵构建连接、持续性信息获取被称为CNE，而只有转化为物理空间影响的才为CNA。一旦到达CNA阶段，就具备了军事作战行动的特点。那么，这两种样式的本质区别在哪里？关键在于常态化的低烈度对抗阶段中，高等级网络空间攻击活动的核心影响究竟是什么？是持续性的信息与情报窃取，还是基础设施的毁瘫？这个问题上，连发动“震网”攻击的美方亦有反思。2023年9月13日，美国智库新美国安全中心（CNAS）举行“网络韧性：解读2023年美国国防部网络战略”网络研讨会上，美国国防部太空政策助理部长约翰
F・普拉姆博士（John F. Plumb）指出，他们“曾认为网络空间最严重的威胁是关键设施毁瘫，但后来认识到在常态下，更大的安全风险来自持续性的情报获取”。然而，由于“震网”的巨大轰动效应，在相当长的时间内，我们把高等级网络攻击的后果简单等同于关键基础设施大规模毁瘫。这种认知偏差导致在同样致命甚至更为隐蔽的威胁——持续性的信息与情报窃取方面，关注度和投入是不足的。这种认知偏差的危害在于：在网络攻击导致关键设施大规模毁瘫上，由于我国并未发生同等级别（或影响力）事件，容易产生麻痹心理。这一方面可能反映出我们关键基础设施网络安全有较好的防御基础；另一方面，也来自我国强大国力和军事实力的威慑，导致一些对手不敢实施这种活动。但我们需要看到，这种阶段性的“和平状态”可能让我们对真正的威胁视而不见。其带来的严重后果：一旦攻击者建立了持续性的隐蔽控制能力，转化为破坏能力只是一个指令和条件触发的问题。攻击者可以掌握系统权限、长期保持静默，持续收集情报、测绘资产拓扑——是否发动破坏完全取决于攻击者的战略意图，这种“不确定性”本身就构成巨大的“威慑”。更关键的是，在高烈度的冲突与战争中，网络入侵和情报获取扮演的更大价值可能不是目标毁伤作用，而是为火力打击指引目标、创造更有利打击条件和打击效果评估。

因此，在防御实践中，各机构只关注防范显性后果事件：是否有设施损毁、是否有大规模停电，而对持续性、隐蔽的致命威胁的资源投入严重不足。这种防御重心的偏移将导致在错误方向消耗大量资源。正确的防御思路应该是：在常态网络安全防御中，以防御入侵、窃取为主要目标，把攻击者持久化落地、系统控制权失窃、信息、情报等数据被获取，作为常态的最重大和高等级的安全事件来看待。基础的系统和数据安全治理、威胁检测和实时拒止能力构建、持续性威胁的检测发现、基于底线化敌情想定构建的响应流程等。这些日常工作，都是能够有效应对持续性隐蔽威胁的关键，有效的防御应该在威胁尚处于隐蔽潜伏阶段就能够发现和遏制。

4.3 APT攻击有高昂的成本，防御侧更需要投入保障

我们在对“震网”此前的研究中引入了“震网”攻击与“巴比伦行动”的相关对比，用以说明在可以达成等效作用的时候，网络攻击是一个低成本的手段。但是，网络攻击低成本的概念是相较于实施火力的打击的物理成本和社会影响成本而言的，网络攻击本身是需要规模化的成本支撑的。

以“震网”攻击为例，需要高水平的架构师和开发工程师团队编写高度复杂的恶意代码。形成多个高水平的漏洞利用工具，需要具备漏洞分析挖掘研究能力，或者从相关渠道进行采集、采购。特别是由于最终要作用到实际的离心机物理设备，且先后使用了调整阀门压力和调整转速的两种方式，其必然需要构建相关的实物环境，形成整体的一套高度拟真的工控靶场来进行相应的验证。这些都说明高水平的网络攻击是需要巨大成本的。

从安全防御的角度来看，面对高水平持续性的网络攻击必然是一个成本对抗。从物理空间来看，通常防御者所需要付出的成本是攻击者的数倍。这是因为防御需要覆盖所有可能的攻击面，而攻击者只需要选择一个薄弱点突破——这种不对称性在网络空间中同样存在，甚至更为突出。

我们很难想象，依托价格战甚至免费所驱动出来的安全体系能够有效地防御这种通过长时间规划和高昂成本准备所形成的攻击。安全产品的价值不在于价格标签，而在于它能否真正降低风险。如果一套便宜的安全系统无法有效检测和阻断攻击，那么它的“便宜”实际反而是代价高昂的，甚至其“安全产品不安全”本身构成安全危险。

高质量的防御需要相应的投入，包括自身的安全规划，持续安全运营，采购高质量的安全产品和服务等。这些都需要持续的资金和资源投入，安全从来不是一次性的投入，而是一个持续的过程。将安全单纯视为“成本中心”而非“保障性投资”的思维，是导致安全预算不足的重要原因。当安全预算被反复压缩，当安全团队被视为“花钱的部门”而非“创造价值的部门”时，防御能力的下降几乎是必然的结果。

认识到APT攻击本身高成本和长周期准备特性，有助于我们更理性地评估安全投入的必要性。真正的安全不是“合规就行”，而是需要基于自身的敌情想定，与面临的威胁级别相匹配。当对手投入巨资研发攻击时，安全投入也必须达到相应的水平——这不是“过度投入”，而是“对等制衡”。

网络攻防对抗也是一种非对称的“军备竞赛”，在这场竞赛中，固然不能认为可以单纯由投入多寡决定胜负，但投入不足必然导致先天的被动。

4.4 有效防御必须人防、物防、技防结合

“震网”事件给我们的一个重要启示是：高价值目标所面临的威胁行为体活动往往是以人、物、技相结合的方式发动复合攻击。单维的技术手段、特别是单纯依靠网络空间的技术手段，不足以应对这种复合的攻击——这个教训在网络安全领域已经反复出现。从“震网”攻击的过程来看，攻击者动用了多种维度：在人的维度上，通过运维人员直达目标节点；在物的层面，构建目标靶场，使用移动设备作为载荷载体，使用复杂攻击载荷；在技的层面，则开发运用了高度复杂的恶意代码。对应这种攻击，防御体系也必须是多维度的。任何单一维度的防御手段——无论技术多么先进——都无法有效应对这种立体化攻击。

单纯技术手段是有局限的。再先进的安全产品也难以阻止内部人员被收买；再完善的网络入侵检测机制也难以防范人员的物理介入；再严格的访问控制也难以防范供应链上游的安全风险。技术手段可以解决技术问题，但无法解决人和管理的问题。

人既是最大的能动性要素，也是最大的风险短板。我们当前的人防体系更多是基于防范失误事故和不正确的操作来建立的，而不是基于极限化的敌情想定，基于情报对抗和极限响应来构建机制再严格的安全培训也无法完全消除人员被渗透的可能性；再完善的审计制度也无法发现经过精心伪装的恶意行为；再高频的系统安全检查也无法阻止内部人员绕过规定流程。在面对国家级攻击者的作业时，这种被动的、免责为主导的人防体系显然是不够的。

物理安全同样存在漏洞。再坚固的机房也挡不住获得授权的维护人员；再严格的门禁也防不住被买通的内部人员；再完善的设备检查也无法发现精心隐藏的硬件后门。“震网”事件中，攻击者正是通过物理接触的方式将病毒植入目标系统，这说明物防的任何疏漏都可能成为攻击的入口。

因此，人防、物防、技防“三结合”是构建完整防御体系的基本前提。这三个维度不是简单的叠加，而是要形成相互支撑、相互弥补的有机整体。技术手段可以弥补人员和物理管理的不足，人员的安全意识可以减少技术手段无法覆盖的风险，物理安全措施可以为技术和人员管理提供基础保障。

4.5 物理隔离是有效的，迷信隔离是极度有害的，完全隔离是不可能的

在整个信息化和应用发展中，物理隔离长期作为一种非常重要的合规管理手段，起到了关键的作用。但同时由于其带来的阻断信息连接、影响工作效率等方面的弊端，又往往为人所深入诟病。

“震网”本身证明了物理隔离防线是可以被跨越入侵的，但同时也体现出物理隔离（包括严格的人员出入管理）作为一种安全手段本身的效用，可以提升攻击的实施难度。如果物理隔离没有作用，也就不存在“震网”的攻击者需要买通相关的人员去进行抵近作业。但物理隔离能够产生效用的历史条件是因为网络空间作为一种人造空间，是基于物理设施为基础存在的。在“震网”时代，信息资产形态更多的是按照内外网清晰分布的，而内网资产又承载于机构的物理边界之内。因此基于物理隔离手段的非连续性，能够有效约束网络空间连接，从而起到一定的攻击拒止作用。但显然，其只是对高价值防御目标的必要性手段之一。基于前文所指出的，“震网”并不是传说中那样的神不知鬼不觉，无论是在网络流量侧还是在主机环节上都有重大的可观测异常。而被攻击方所面临的问题是，认为物理隔离形成了一道固若金汤的防线，从而没有在内网构建有效的安全机制，没有在主机上形成安全的防护和相关的观察能力，也没有及时修复系统的补丁漏洞，而导致物理隔离被突破之后让其横行无忌，达成作战效能。

当前必须正视的是，面对日趋庞大的现代信息基础设施，特别是人工智能时代的数字化演进，包括工业体系，必然不可避免地依赖于高效的信息交换、供应链供给和人员的交互，其已经构成了一个多点开放式的相关体系。物理隔离不可能约束所有的攻击活动，但其本身却形成了对安全响应能力闭合和安全赋能分发的阻塞。因此，如何既能够把物理隔离整合到效能导向的防御能力框架，在核心场景中有效发挥物理隔离的作用，又能减少物理隔离对安全响应能力的处置闭环和能力分发的影响，杜绝物理隔离带来的心理麻痹，是我们当前必须解决的问题。

4.6 防御基石应首先围绕端点构建，而不是草率的能力泛化

“震网”攻击揭示了现代工业系统所能遭遇的攻击风险，相关事件无疑驱动了我国在工业系统的防御能力改进，也一定程度上拉动了工控安全相关的技术和产品的发展，但这个过程又创造了若干新的“盒子”。

我们将“震网”开始的系列攻击深入梳理，依然会发现绝大部分的高级网络攻击整体攻击重心依然是围绕着关键计算节点（PC、服务器、智能终端，或其他工作负载）所展开的，因此整体的防御基石应该构建在主机系统和工作负载侧，从而使其成为一个最小化的安全边界，实现系统环境塑造治理、威胁检测引擎部署、主动防御和拒止能力构建、全面数据采集和汇聚以支撑联动分析与响应处置相关支撑。而事实上我们看到的是，在整个能力布局上，在产业发展中始终没有把端、云主机和工作负载的系统安全防护作为投入的主要方向。反病毒软件、主机安全软件、工作负载安全等因其是纯软件Agent形态，一直是安全预算投入不足的重灾区。安全防御的资源被泛化摊薄在超长的各类盒子型产品清单中，幻想依靠安全网关或网闸御敌于城门之外，但事实上是网络攻击在应用普遍的端到端形态下，在加密流量中，轻易地穿透这种盒子堆砌式的防御而直达最终终端。在安全防御上，还有更虚幻的期望是叠加“人工智能”就可以一抓就灵的幻想。在威胁不能通过安全能力部署实现留痕可见，也不能有效细粒度实施目标资产的防御动作时，安全AI就会成为既没有有效感知输入，也没有行动手脚的“缸中之脑”。

因此，防御的投入需要围绕着真实攻击范式和战术针对性进行系统梳理，而不是简单地进行领域能力投入泛化。需要基于安全边界面向系统到运行对象实现最小化保护，并依托人工智能赋能，依靠运营体系，构建弹性自适应的智能安全防线。

4.7 网络攻击需要成为异常事件风险排查必选项并融入流程

在现代工业体系中，安全生产一直是关键要素。各行各业都建立了完善的质量管理和事故处置流程，这套体系经过长期实践检验，形成了科学演进的体系。但这套质量流程体系的基本思想，是在没有网络攻击活动的时代形成的，它的设计初衷是应对设备故障、操作失误、材料缺陷等传统风险，并未将网络攻击纳入考量。这意味着，当生产过程中出现异常时，质量管理体系会按既定路径分析——检查设备状态、审查操作记录——但很少第一时间考虑“是否存在网络攻击”。而网络威胁响应排查的流程体系则更多的在信息化部门，尚未与质量体系融合起来。

网络攻击已深入工业控制系统腹地。网络安全如果单纯追求独立闭环，就会在整个工业场景中形成两套机制的问题。网络安全团队与质量管理部门各自为政，缺乏有效协同。而在这个过程中，更合理的解决方案是能够在出现相关的异常事件过程中，首先把网络入侵是较高的风险可能的想定纳入到传统的质量管理和归零体系中，将其作为一个需要优先排查的选项。这样才能在遭遇网络入侵后快速走入正确的全局分支当中。与此同时，在真正的质量事故中排除掉网络攻击的干扰项，也能够使原有流程可以更好地运行。

将网络入侵纳入安全生产和事故排查的必选项和优先想定，是将原有的偏于内化的风险意识上升到综合的威胁意识。它不意味着要改变现有的质量管理体系，而是要在现有体系的基础上增加一个新的思考维度，让质量流程更加完备。

4.8 攻击过程中并不必然利用漏洞，也不要幻想存在无漏洞的复杂系统

在讨论网络安全攻击时，一个常见的认知误区是：攻击必然依赖于漏洞利用。这种观点认为，没有漏洞，攻击就无法成功——漏洞是攻击的必要前提。

攻击者达成效果，是完成一个过程的链条——从初始访问到权限获取，从横向移动到目标达成。在这个链条中，漏洞利用只是其中一种可以利用的手段，而非必须利用手段。被攻击目标存在漏洞，会为攻击者带来可乘之机，但其并不是攻击实施成功的前提条件。

攻击者可以直接投放攻击载荷，基于用户操作执行；可以通过社会工程学获取用户凭证；可以通过物理接触直接插入设备；可以通过供应链污染植入后门；还可以通过威胁利诱买通内部人员——这些攻击方式都不依赖于传统意义上的漏洞利用。漏洞只是攻击者在特定场景下的一种选择，而非必然选择。从防御的角度来看，漏洞的存在并不等于攻击的成功。即使存在漏洞，如果攻击载荷无法成功投递到目标环境、无法在目标系统上正常运行、无法突破各种安全检测机制——那么漏洞的“价值”就无法实现。这个道理看似简单，却往往被忽视。

安天此前在执行体和运行对抗的研究中指出：网络攻击致效的前提是目标系统的可用性，而非脆弱性（含漏洞），绝大多数网络攻击，是系统运行和处理的同构行为，而非脆弱性利用行为。脆弱性（含漏洞）为攻击者提供了单向可用性和行为隐蔽性，当然要给予重点关注。需要通过遏制脆弱性来缓解攻击，但并不能幻想通过消亡脆弱性来杜绝攻击。

漏洞并不是武器，其是防御目标的一种属性，漏洞利用代码和工具才是武器，其数量在恶意代码攻击武器中只占很小的占比。漏洞的自我修复和缓解和防范漏洞利用，其是相关联的但并不同质化的防御动作。因此，防御的重点要关注漏洞的发现和修复，但不能将其作为防御的全部，更不要幻想通过穷尽发现漏洞，确保“绝对”安全。安全防御不单纯是一个内化的自强过程，更是一个与威胁行为体外化的交互/交战过程。在检测防御能力的部署中，无论是否存在漏洞，都要确保攻击载荷难以成功投递、运行。包括有效进行应用软件和供应链的入口治理，加强终端防护能力和恶意代码检测能力，强化网络监控能力发现异常通信，加强行为分析能力以识别可疑活动等等——这些措施直接针对攻击链条的各个环节进行防御。这并不意味着漏洞修复不重要——它当然重要。但我们不应该仅仅依赖漏洞修复来保障安全。在漏洞利用之外，恶意代码等攻击载荷的投递和运行更是攻击必要的关键环节。关注载荷的检测和阻断与关注漏洞的发现和修复，都很重要，甚至在某些场景下更为重要。期待我们的观点能让防御者们重视和思考。

从“震网”使用了多个0day漏洞的角度看，所谓的“已知”和“未知”并不是一个有效的面向防御能力的概念。这个概念在实践中往往带来更多的混淆而非清晰。“已知”、“未知”本身是一个相对的概念，是以被攻击目标的具体检测和响应能力为参照系，受到其自身和安全能力供给方的影响，而不存在统一的度量衡。

漏洞曝光并不等同于获得防御机构的关注和修复。漏洞被公开，却未及时修补，对攻击者而言是更便利的攻击入口——这一事实常被忽视：无论漏洞是否曝光，只要目标系统存在漏洞且未修复，攻击者便可加以利用。更进一步，曝光并不意味着可检测，可检测也不意味着可防御。漏洞公开后，若防御者未更新检测规则或缺乏有效响应机制，该漏洞对攻击者仍是可用的。因此，防御漏洞利用的有效性并不取决于漏洞是否曝光或拥有CVE编号，而在于当前场景下是否存在该漏洞、是否已修补、以及能否有效阻止其利用。

从恶意代码防御角度来看，不同反病毒企业的恶意样本的从后端的感知、采集、分析、特征工程运营能力有巨大差异，引擎的预处理、检测能力和更新频度也有巨大差异。由于捕获并不一致，分析处理流程的效率并不一致，检测的机理并不一致。一个恶意代码对于厂商来说是“已知”恶意代码还是“未知”恶意代码由该厂商本身的能力所决定，并没有统一的标准。而对于更多的安全企业来说，其没有独立的恶意代码采集分析和引擎能力，其产品检测识别能力取决于其运用的第三方引擎能力。这些都意味着，即使对同一个恶意代码样本，在不同安全厂商和产品中其“已知”、“未知”、是否可检测、是否可防，都会存在差异。检测到了恶意代码，如果缺乏有效的处置能力，检测本身也没有实际价值。而产品放到具体用户场景中，又与用户使用策略和配置，是否及时更新相关。

因此，对抗中的“知”与“行”问题是从具体的资产场景的安全防护运营水平和对应安全厂商企业的产品能力所界定的，在这层次上，从不存在统一的“已知”和“未知”评价标准。过度强调“已知”与“未知”，实际上是一种“以知代行”。如果没有有效的持续的关注跟进和投入，未治理的“已知”漏洞是更为有效的攻击入口，不能检测防护的已知“恶意代码”是成本更低的攻击武器，已经发生的恶意代码感染，恰恰是系统防护能力不足的证明，这些基本事实常常被忽视。因此，忽略对已知脆弱性和恶意代码的治理，而幻想通过一套新兴的创新机制，一劳永逸地解决所有问题的思维方式是一种寻找“银弹”思维。这种不切实际的想法在防御场景和安全行业中并不罕见。已知的不等于已经做好防护的，未知的不等于无法防御的。真正的安全实践应该是：必须优先进行已知脆弱性的分类分级治理，必须优先进行已经发生的恶意代码感染事件的响应和归零归因。无论漏洞是已知还是未知，无论恶意代码是否被曝光，都要持续建设检测和防御能力。关键不在于风险和威胁是否“已知”，而在于是否实施了有效治理，防御是否有效，这才是朴素而正确的道理。

4.10 防御战争行动需要以战争的思维

回顾“震网”攻击更需要指出的是：尽管“震网”被作为APT事件的代表，但如果按照美方关于CNE/CE（网络情报行动）和CNA/CA（网络攻击行动）的定义，“震网”是基于APT手段实施的CNA/CA战争行动。

从作业视角来看，CNE（网络情报行动）更强调隐蔽性、持续性的情报获取，其核心目标是长期潜伏、收集情报、维持访问能力——APT（高级持续性威胁）活动更多属于CNE的频谱。然而，“震网”的目标就是转化对物理空间不可逆的影响，对伊朗核设施造成了实质性的破坏。战争行动所追求的是以暴力手段实现让对手屈从于自身意志，是达成对物理和社会空间的既定杀伤损毁目标。与情报行动不同，战争行动的“规则”和“底线”约束更少——攻击方可以动用一切必要手段，达成预定的作战目标。“震网”正是这种逻辑的产物：它是基于网络情报间谍能力的作战行动。

这意味着我们不能仅仅用网络攻防的视角来审视“震网”事件，不能仅仅从防范技术攻击的思维来构建防御体系。应对战争行动，首先需要战争的思维。这是我们在完成本系列报告《技术篇》的同时，也编写了《战术篇》和《战略篇》的关键原因。

我们深信：

好战必亡，忘战必危！

附录一：参考资料

[1]新华社.以色列对伊朗发动袭击　伊朗最高领袖办公室附近遭袭.(2026-2-28)

https://www.news.cn/20260228/fcf17e0d48754f9b827234de6e5e09e1/c.html

[2]Intelligence firms watch for uptick in Iran cyber activity after US, Israel strikes.(2026.3-2)

https://www.nextgov.com/cybersecurity/2026/03/how-cyber-command-contributed-operation-epic-fury-against-iran/411818/

[3]安天.对Stuxnet蠕虫攻击工业控制系统事件的综合分析报告[R/OL]. (2010-9-27)

https://www.antiy.com/response/stuxnet/Report_on_the_Worm_Stuxnet_Attack.html

[4]安天.对Stuxnet蠕虫的后续分析报告[R/OL]. (2010-10-11)

https://www.antiy.cn/research/notice&report/research_report/20101011.html

[5]安天. WinCC之后发生了什么？——浅析攻击工业控制系统对现场设备的影响过程[R/OL]. (2012-1-17)

https://www.antiy.cn/research/notice&report/research_report/20120117.html

[6]安天.Flame蠕虫样本集分析报告[R/OL]. (2012-5-31)

https://www.antiy.com/response/flame/Analysis_on_the_Flame.html

[7]安天.探索Duqu木马身世之谜[R/OL]. (2013-9-23)

https://www.antiy.cn/research/notice&report/research_report/261.html

[8]安天.“震网”事件的九年再复盘与思考[R/OL]. (2019-9-30)

https://www.antiy.com/response/20190930.html

[9]安天.美军入侵委内瑞拉背后的网络作业能力频谱猜测与关联分析[R/OL]. (2026-1-6)

https://www.antiy.com/response/US_military_cyber_ops_in_Venezuela_spectrum_speculation-analysis.html

[10]Yahoo.Revealed: How a secret Dutch mole aided the U.S.-Israeli Stuxnet cyberattack on Iran(2019.9)

https://www.yahoo.com/news/revealed-how-a-secret-dutch-mole-aided-the-us-israeli-stuxnet-cyber-attack-on-iran-160026018.html

[11] IO+.Operation Stuxnet: the cyber attack that changed warfare forever.(2024.11-15)

https://ioplus.nl/en/posts/operation-stuxnet-the-cyber-attack-that-changed-warfare-forever

[12]ESET.Stuxnet Under the Microscope[R/OL]. (2011.1)

https://web-assets.esetstatic.com/wls/en/papers/white-papers/Stuxnet_Under_the_Microscope.pdf

[13]langner.To Kill a Centrifuge[R/OL]. (2013.11)

https://www.langner.com/wp-content/uploads/2017/03/to-kill-a-centrifuge.pdf

[14]isis-online.Did Stuxnet Take Out 1,000 Centrifuges at the Natanz Enrichment Plant? [R/OL].（2010.12）

https://isis-online.org/isis-reports/did-stuxnet-take-out-1000-centrifuges-at-the-natanz-enrichment-plant/

[15]BBC.Iran arrests 'nuclear spies' accused of cyber attacks .(2010.10）

https://www.bbc.com/news/world-middle-east-11459468

[16]Virtual Event | Cyber Resiliency: Discussing the 2023 DoD Cyber Strategy.（2023.9.23）

https://www.cnas.org/events/virtual-event-cyber-resiliency-discussing-the-2023-dod-cyber-strategy

[17]安天病毒百科.Worm/Win32.Stuxnet

https://www.virusview.net/malware/Worm/Win32/Stuxnet

[18]Sans.Why Stuxnet Isn't APT. (2011.3.4)(已失效)

https://digital-forensics.sans.org/blog/2011/03/24/digital-forensics-stuxnet-apt

[19]Symantec.W32.Stuxnet[R/OL].(2010.7)

https://docs.broadcom.com/docs/security-response-w32-stuxnet-dossier-11-enhttps://www.symantec.com/security-center/writeup/2010-071400-3123-99

[20]安天.从Duqu病毒与Stuxnet蠕虫的同源性看工业控制系统安全

安天技术文章汇编（五）工控卷