Maria Korolov Charles

從NotPetya造成的全球性的破壞，到朝鮮對(duì)金融機(jī)構(gòu)的數(shù)字掠奪，業(yè)界領(lǐng)導(dǎo)們應(yīng)密切關(guān)注國(guó)家支持的網(wǎng)絡(luò)攻擊。本文介紹了怎樣抵御這類(lèi)攻擊。

前不久，美國(guó)司法部起訴了13名俄羅斯人和三家俄羅斯公司干涉美國(guó)2016年大選。幾乎與此同時(shí)，包括美國(guó)、英國(guó)、加拿大、澳大利亞和丹麥在內(nèi)的一些國(guó)家指責(zé)俄羅斯是去年夏天NotPetya攻擊的幕后黑手。

白宮新聞秘書(shū)Sarah Sanders指出，“NotPetya是克里姆林宮一直在破壞烏克蘭穩(wěn)定所開(kāi)展的一部分工作，它非常清楚地證明了俄羅斯參與了目前的這些沖突。這也是一次不計(jì)后果、不加選擇的網(wǎng)絡(luò)攻擊，將會(huì)帶來(lái)嚴(yán)重的國(guó)際后果?！?/p>

盡管這些攻擊都有政治目標(biāo)，但最終受害者并不限于政治組織和關(guān)鍵基礎(chǔ)設(shè)施提供商。McAfee首席技術(shù)官Steve Grobman說(shuō)：“NotPetya的實(shí)際影響遠(yuǎn)遠(yuǎn)超出了預(yù)期的政治目標(biāo)，擾亂了全球數(shù)千個(gè)民間組織的IT系統(tǒng)及其運(yùn)營(yíng)。最終應(yīng)該讓某些國(guó)家對(duì)這些攻擊造成的全面破壞負(fù)責(zé)，這一點(diǎn)非常重要?！?/p>

如果民間組織被國(guó)家支持的攻擊當(dāng)成了攻擊目標(biāo)，或者遭受了附帶損害，那么這些民間組織在識(shí)別攻擊者時(shí)會(huì)處于非常不利的地位。Grobman說(shuō)，政府在識(shí)別這類(lèi)攻擊幕后黑手方面處于較有利的地位，因?yàn)檎粌H能獲得網(wǎng)絡(luò)取證信息，還可以訪問(wèn)傳統(tǒng)的情報(bào)數(shù)據(jù)。

在網(wǎng)絡(luò)戰(zhàn)中，人人都是目標(biāo)

民族國(guó)家攻擊者通常會(huì)尋求政治目標(biāo)：民主黨全國(guó)委員會(huì)、政府機(jī)構(gòu)、關(guān)鍵基礎(chǔ)設(shè)施和國(guó)防承包商。越來(lái)越清楚的是，任何一家公司，任何一個(gè)行業(yè)，都可能會(huì)受到影響——無(wú)論是作為故意的目標(biāo)，還是在更廣泛的攻擊中遭受了附帶損害。

像NotPetya這樣的攻擊活動(dòng)會(huì)去打擊任何規(guī)模的任何公司，那些有意的、有針對(duì)性的、更高級(jí)的攻擊會(huì)打擊任何行業(yè)。CrowdStrike的情報(bào)副總裁Adam Meyers評(píng)論說(shuō)：“私營(yíng)實(shí)體每天都在被攻擊?！?/p>

他指出，朝鮮的目標(biāo)是比特幣交易所和全球金融機(jī)構(gòu)。還有一些組織則以制造專(zhuān)門(mén)醫(yī)療硬件和其他技術(shù)的公司為目標(biāo)。他說(shuō)：“您隨便說(shuō)出一個(gè)行業(yè)，我就能告訴您有哪些參與者針對(duì)這一行業(yè)發(fā)起過(guò)威脅攻擊?！?/p>

今年的冬奧會(huì)也遭受了網(wǎng)絡(luò)攻擊。他說(shuō)，被攻擊的企業(yè)包括電廠、顯示屏制造商、參與奧運(yùn)相關(guān)建筑項(xiàng)目的建筑公司、媒體公司和電信公司等。

俄羅斯對(duì)美國(guó)選舉的攻擊是另一個(gè)攻擊的例子，攻擊的目標(biāo)范圍非常廣泛，政府發(fā)起的調(diào)查能夠揭示出重要的信息。例如，美國(guó)司法部近日還宣布成立一個(gè)新的網(wǎng)絡(luò)安全工作組。除其他事項(xiàng)外，工作組將調(diào)查俄羅斯“利用互聯(lián)網(wǎng)傳播暴力意識(shí)形態(tài)，并招募追隨者；大規(guī)模盜竊企業(yè)、政府和私人信息；利用技術(shù)規(guī)避或者阻撓執(zhí)法；大規(guī)模利用計(jì)算機(jī)和其他數(shù)字設(shè)備來(lái)攻擊美國(guó)公民和企業(yè)?！?/p>

誰(shuí)能進(jìn)行網(wǎng)絡(luò)戰(zhàn)？幾乎人人都可以

俄羅斯并不是新一代全球網(wǎng)絡(luò)戰(zhàn)的唯一參與者。FireEye報(bào)道稱(chēng)，朝鮮正在利用零日漏洞和Wiper惡意軟件等工具來(lái)增強(qiáng)其網(wǎng)絡(luò)能力，瞄準(zhǔn)的目標(biāo)是韓國(guó)以及日本、越南和中東的各個(gè)縱向行業(yè)。FireEye還追蹤了與伊朗有關(guān)的網(wǎng)絡(luò)間諜組織。

網(wǎng)絡(luò)攻擊是把雙刃劍。美國(guó)和以色列針對(duì)伊朗核項(xiàng)目合作發(fā)起了Stuxnet攻擊，這是一起非常著名的事件。James Cartwright將軍和奧巴馬的前參謀長(zhǎng)聯(lián)席會(huì)議副主席，對(duì)此次行動(dòng)泄秘而向聯(lián)邦調(diào)查局撒謊一事承認(rèn)有罪。

Cyberbit公司首席執(zhí)行官Adi Dar說(shuō)：“大家很容易看到俄羅斯干的事，但我認(rèn)為它不是唯一這樣做的國(guó)家。真的該結(jié)束了。”

當(dāng)談到網(wǎng)絡(luò)空間時(shí)，他說(shuō)，世界真的非常非常小。“你可以在任何一個(gè)國(guó)家，任何一座城市，任何建筑物里，去攻擊另一個(gè)組織、國(guó)家或者企業(yè)——無(wú)論它們?cè)谀睦??！?/p>

這是第三次世界大戰(zhàn)嗎？IntSights聯(lián)合創(chuàng)始人兼CPO Alon Arvatz表示：“各國(guó)正在進(jìn)行極限測(cè)試，看看他們能得到什么樣的反應(yīng)。我不會(huì)說(shuō)我們處于戰(zhàn)爭(zhēng)中，但卻在某種冷戰(zhàn)或者戰(zhàn)前狀態(tài)中。各國(guó)仍在試圖隱藏自己的身份?！?/p>

外包網(wǎng)絡(luò)戰(zhàn)武裝了傳統(tǒng)的攻擊者

即使一個(gè)國(guó)家沒(méi)有自己的內(nèi)部資源，很多犯罪集團(tuán)或者可疑的網(wǎng)絡(luò)安全公司都愿意做這項(xiàng)工作——只要他們能得到報(bào)酬。這與全球網(wǎng)絡(luò)戰(zhàn)的另一種潛在影響有關(guān)——民族國(guó)家正在大舉投資工具和漏洞，然后會(huì)把這些東西泄露給更多的地下犯罪組織。Corero網(wǎng)絡(luò)安全公司的首席執(zhí)行官Ashley Stephenson說(shuō)：“這些工具和技術(shù)的使用無(wú)疑已經(jīng)擴(kuò)展到了商業(yè)領(lǐng)域?！?/p>

最值得注意的是，黑客組織“影子經(jīng)紀(jì)人（Shadow Brokers）”已經(jīng)發(fā)布了從美國(guó)國(guó)家安全局竊取的工具。他說(shuō)：“這些技術(shù)和工具很快就被擴(kuò)散開(kāi)來(lái)，落到一般的犯罪分子手里?！?/p>

通過(guò)代理發(fā)起的網(wǎng)絡(luò)戰(zhàn)更難追溯犯罪份子

民族國(guó)家也使用代理來(lái)發(fā)起他們的網(wǎng)絡(luò)戰(zhàn)。例如，在前不久的起訴中，美國(guó)司法部特別提到了“互聯(lián)網(wǎng)研究機(jī)構(gòu)”，這是一家位于俄羅斯圣彼得堡的組織。

Tim Maurer是卡耐基國(guó)際和平基金會(huì)網(wǎng)絡(luò)政策倡議的共同負(fù)責(zé)人，也是劍橋大學(xué)出版社上個(gè)月出版的《網(wǎng)絡(luò)傭兵：國(guó)家、黑客和權(quán)力》一書(shū)的作者，他指出，這是一種新型的代理戰(zhàn)爭(zhēng)。過(guò)去，全球超級(jí)大國(guó)在戰(zhàn)爭(zhēng)中利用小國(guó)作為其代理人。他說(shuō)，如今，他們利用了各種各樣的外部組織，例如，咨詢(xún)公司和犯罪集團(tuán)。

他補(bǔ)充說(shuō)，他們控制的數(shù)量因國(guó)家而異，某些國(guó)家采取了不太干涉的方式，只要這些組織支持國(guó)家的戰(zhàn)略目標(biāo)，不會(huì)尋找內(nèi)部目標(biāo)，就聽(tīng)之任之。一些國(guó)家加強(qiáng)了監(jiān)督，協(xié)調(diào)各組織之間的活動(dòng)。而有的國(guó)家則把他們視為轉(zhuǎn)包商，并嚴(yán)格控制他們的活動(dòng)。

Maurer說(shuō)，這使得查找責(zé)任變得非常困難。如果攻擊能夠被追溯到某一國(guó)家的某個(gè)組織，僅僅指出這個(gè)國(guó)家本來(lái)可以阻止攻擊，但卻沒(méi)有，這就足夠了嗎？他說(shuō)：“在網(wǎng)絡(luò)事件上，我們還沒(méi)有進(jìn)行過(guò)這方面的討論。”

網(wǎng)絡(luò)攻擊還沒(méi)有標(biāo)準(zhǔn)定義

圍繞什么是網(wǎng)絡(luò)攻擊還有一些敏感的問(wèn)題。例如，在一些國(guó)家，傳播某些文化或者政治信息是犯罪行為。甚至限制對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊的討論也可能會(huì)帶來(lái)問(wèn)題。

Maurer說(shuō)：“在聯(lián)合國(guó)進(jìn)行談判的外交官們都刻意回避了定義關(guān)鍵基礎(chǔ)設(shè)施意味著什么，因?yàn)椴煌膰?guó)家對(duì)關(guān)鍵基礎(chǔ)設(shè)施有不同的優(yōu)先考慮。但是，不同領(lǐng)域的人們也有一些共同的期望：如果沒(méi)電了，或者金融系統(tǒng)和醫(yī)院成為攻擊目標(biāo)，導(dǎo)致人死亡，這會(huì)意味著什么——有些領(lǐng)域是有共識(shí)的，即使沒(méi)有被闡明。”他說(shuō)，國(guó)際社會(huì)需要時(shí)間才能弄清楚標(biāo)準(zhǔn)是什么。

在此期間，即使有了追溯、起訴、制裁或者其他行動(dòng)，對(duì)網(wǎng)絡(luò)攻擊的反應(yīng)通常來(lái)得太遲，對(duì)受影響的人和企業(yè)來(lái)說(shuō)，也沒(méi)有什么好處。

怎樣抵御民族國(guó)家的攻擊？

安全專(zhuān)家常常在面對(duì)民族國(guó)家攻擊時(shí)舉手投降。RedLock首席執(zhí)行官兼聯(lián)合創(chuàng)始人Varun Badhwar說(shuō)：“民族國(guó)家?guī)缀鯎碛袩o(wú)限的資源。事實(shí)上，我認(rèn)為私營(yíng)組織無(wú)法保護(hù)他們的基礎(chǔ)設(shè)施免受所有這些類(lèi)型的攻擊?！?/p>

STEALTHbits技術(shù)公司產(chǎn)品戰(zhàn)略副總裁Gabriel Gumbs評(píng)論說(shuō)：“如果你的東西被人盯上了，那早晚都會(huì)被人攻破。你很難抵御那些由國(guó)家支持的攻擊?！?/p>

畢竟，民族國(guó)家有各種各樣的工具可供利用，包括利用零日漏洞，他們還有一流的智囊和間諜機(jī)構(gòu)，有臥底和線人，還能攔截通信，使用硬件和軟件技術(shù)供應(yīng)鏈。Bromium的歐洲、中東和非洲市場(chǎng)首席技術(shù)官Fraser Kyne評(píng)論說(shuō)：“一名下了狠心的犯罪分子很容易繞過(guò)當(dāng)前的網(wǎng)絡(luò)防御。”

如果等待國(guó)際社會(huì)去采取行動(dòng)，那短期內(nèi)可能不會(huì)有太大幫助。俄羅斯和朝鮮這些發(fā)起惡性攻擊的國(guó)家已經(jīng)受到了制裁。CloudPassage聯(lián)合創(chuàng)始人兼首席技術(shù)官Carson Sweet表示：“如果朝鮮能夠肆無(wú)忌憚地發(fā)射洲際彈道導(dǎo)彈，我們又怎么能指望一個(gè)民族國(guó)家被追究網(wǎng)絡(luò)攻擊的責(zé)任呢？”

在網(wǎng)絡(luò)空間中進(jìn)行反擊是有其自身缺陷的。Sweet說(shuō)：“通常沒(méi)有明確的目標(biāo)能讓人覺(jué)得報(bào)復(fù)成功，或者更重要的是，起到威懾作用。例如，不能摧毀對(duì)手的電網(wǎng)，因?yàn)檫@會(huì)影響到平民?！?/p>

但這并不意味著企業(yè)根本無(wú)法反擊。InSights的Arvatz指出，相反，他們應(yīng)該有適當(dāng)?shù)募夹g(shù)和流程來(lái)識(shí)別零日漏洞和未知的攻擊。機(jī)器學(xué)習(xí)和人工智能工具可以幫助發(fā)現(xiàn)可疑的行為。此外，有理由相信被攻擊目標(biāo)的企業(yè)安全部門(mén)在積極尋找系統(tǒng)中可能潛伏的入侵者時(shí)，已經(jīng)發(fā)現(xiàn)了這些行為。

而且，企業(yè)還需要重視基礎(chǔ)工作，例如，給所有軟件打上補(bǔ)丁，及時(shí)進(jìn)行更新。Arvatz說(shuō)：“民族國(guó)家的攻擊者也使用傳統(tǒng)的工具進(jìn)行攻擊?！?/p>

最后，還有人的因素。很多漏洞都是由員工犯錯(cuò)導(dǎo)致的，而攻擊者利用這種錯(cuò)誤獲得了第一個(gè)入侵點(diǎn)。Experian的消費(fèi)者保護(hù)副總裁Mike Bruemmer指出：“你可能擁有最好的防盜警報(bào)器，但如果把前門(mén)打開(kāi)，犯罪分子就會(huì)進(jìn)來(lái)。”

與所有其他國(guó)家一樣，民族國(guó)家攻擊者也有自己的優(yōu)先考慮。他說(shuō)，如果一個(gè)潛在目標(biāo)的防御能力遠(yuǎn)低于另一個(gè)目標(biāo)，那么他們首先會(huì)從最弱的那個(gè)目標(biāo)開(kāi)始。

即使一家企業(yè)可能無(wú)法保證他們能把所有老練的攻擊者都拒之門(mén)外，他們也能大幅度提升勝算。與此同時(shí)，一旦攻擊者進(jìn)入，企業(yè)其實(shí)有很多機(jī)會(huì)減少攻擊者可能造成的損失。

Enveil的創(chuàng)始人兼首席執(zhí)行官Ellison Anne Williams曾在國(guó)家安全局做過(guò)12年的研究員，他指出，當(dāng)民族國(guó)家的攻擊者想要獲取知識(shí)產(chǎn)權(quán)等某些敏感信息時(shí)，貶值這些信息會(huì)有一定的效果。她澄清說(shuō)，這意味著加密。她說(shuō)：“把他們想偷的東西拿出來(lái)，告訴他們，這其實(shí)毫無(wú)用處。”

企業(yè)通常側(cè)重于加密具有商業(yè)價(jià)值的信息，例如信用卡和社保號(hào)碼等信息。然而，民族國(guó)家可能正在尋找有關(guān)工業(yè)過(guò)程、具有戰(zhàn)略意義的商業(yè)交易的信息，甚至是可以用來(lái)勒索或者破壞的令人尷尬的個(gè)人信息。這類(lèi)信息可能沒(méi)有受到良好的保護(hù)，或者根本沒(méi)有受到保護(hù)，甚至在沒(méi)有良好安全流程的情況下共享給了小服務(wù)提供商。

Williams盡管不方便評(píng)論她在國(guó)家安全局的具體工作，但她的確提到，除了電影和電視，加密確實(shí)有效。她說(shuō)：“如果使用了良好的加密措施，不管是誰(shuí)都很難攻破它。青少年能夠攻破真正加密的情形只是科幻小說(shuō)而已?！?/p>

她補(bǔ)充道，如果加密失敗了，通常是由于執(zhí)行和配置的問(wèn)題。她說(shuō)：“你必須確保配置正確，使用適當(dāng)?shù)谋忍丶?jí)安全措施，并一直監(jiān)視它?！?/p>

即使攻擊者進(jìn)入了系統(tǒng)也能夠幫助保護(hù)系統(tǒng)的另一項(xiàng)技術(shù)是微分段技術(shù)。Bromium的Kyne表示：“虛擬化改變了游戲規(guī)則。通過(guò)隔離虛擬機(jī)中的所有應(yīng)用程序，惡意軟件變得毫無(wú)用處——黑客無(wú)處可去，偷不到什么東西，企業(yè)還可以照常開(kāi)展業(yè)務(wù)。”

下一步會(huì)怎樣？

隨著越來(lái)越多的攻擊出自越來(lái)越復(fù)雜的來(lái)源，近期形勢(shì)看起來(lái)非常嚴(yán)峻。瞻博網(wǎng)絡(luò)的威脅研究主管Mounir Hahad指出：“我們不希望進(jìn)入混戰(zhàn)的狀態(tài)，各個(gè)國(guó)家互相攻擊，我們都陷入相互攻擊的局面。但其實(shí)我們已經(jīng)這樣了。”他補(bǔ)充說(shuō)：“其中一些攻擊，特別是涉及到關(guān)鍵基礎(chǔ)設(shè)施的情況，是非常嚴(yán)重的，很可能很快就會(huì)被視為是戰(zhàn)爭(zhēng)行為?！?/p>

然而，從長(zhǎng)遠(yuǎn)來(lái)看，前途還是光明的。已經(jīng)邁出了最關(guān)鍵的第一步，即，承認(rèn)存在問(wèn)題。Hahad說(shuō)：“我認(rèn)為美國(guó)情報(bào)機(jī)構(gòu)心態(tài)有所轉(zhuǎn)變，傾向于公開(kāi)指責(zé)攻擊。過(guò)去，他們會(huì)非常自信地知道某一具體攻擊的肇事者是誰(shuí)，但這些信息不會(huì)公開(kāi)?！?/p>

他說(shuō)，接下來(lái)就是行動(dòng)。聯(lián)合國(guó)將通過(guò)一項(xiàng)決議，賦予受害國(guó)保護(hù)自己的權(quán)利，美國(guó)也將發(fā)表聲明，表明自己是清白的。

Cylance副總裁John McClurg曾擔(dān)任聯(lián)邦調(diào)查局監(jiān)管特工，他說(shuō)：“曾經(jīng)推動(dòng)武裝沖突法發(fā)展的國(guó)際力量也將在這個(gè)環(huán)境中發(fā)揮作用。混戰(zhàn)這種局面并不符合民族國(guó)家的長(zhǎng)遠(yuǎn)利益?！?/p>