著名网络专家表示,面对反复尝试入侵网络的网络罪犯,大型企业倍感受挫,而且他们又无法主动出击,但是,这些企业可以通过建立积极的防御,让攻击者的攻击变得更加困难。
安全工程公司CyberPoint国际实务董事总经理Paul Kurtz表示,反击技术(包括欺骗)可以对网络罪犯产生巨大的影响。最近在2012年云安全联盟大会的讨论组中,Kurtz谈到了如何更好地保护知识产权和关键基础设施。在采访中,他还谈论部署欺骗性技术的可行性,并描述了相关环境的样子。
“这并不是万能的,但这能够调整我们的‘应战’姿态,拥有一个良好的自我意识感,同时采用欺骗性的做法来甩开对手,”Kurtz表示,“我并不主张大力地回击,其实很多大型企业已经厌倦了这种回击。”
作为主动防御策略的倡导者,Kurtz拥有多年国防和情报收集方面的工作经验。他曾在克林顿政府与布什政府的白宫国家安全委员会(NSC)和国土安全委员(HSC)会担任高级职位。他在白宫的国土安全委员会是总统和关键基础设施保护高级总监的特别助理,他主要负责物理和网络安全。他曾在白宫国家安全委员会担任网络空间安全办公室国家安全高级主管,他也是总统的关键基础设施保护委员会的成员,他还负责开发国家网络空间安全战略的国际部分。在此之前,他是国家安全委员会跨国威胁办公室的反恐主管。
一些专家呼吁使用新技术创建欺骗性环境来欺骗攻击者,让攻击者更难以入侵关键系统和窃取数据。这是可行的解决方案吗?
Paul Kurtz:这是一个非常有趣的领域,企业技术人员应该认真考虑一下。我更愿意将这种防御称为基于操作的防御。我们认为,每个企业都是有生命的会呼吸的物体,不断有新用户加入它,以及旧用户离开它,它还需要应对不断涌现的新技术—BYOD(携带自己设备到工作场所)和云计算等,它不是一成不变的,它总是在不断变化。同样,威胁也总是在不断变化和发展。当我们整合企业内的技术时,我们需要以安全的方式进行整合。我们需要创造更好的可视性工具和功能以了解我们环境中正在发生的事情。
第三个方面是反击技术,包括欺骗性技术。当面对很多知道如何入侵你的系统的攻击者时,我们需要考虑是否安全地进行了整合,是否拥有更好的可视性,我们还需要接受痛苦的管理问题(这也是需要我们完善的部分)。企业应该创建这样一个环境,即在这个环境中对手不确定他们是否真的得到了想要的东西或者是否已经侵入网络,同时能够提高对手的攻击成本。
当然,与中小企业相比,大型企业和政府能够更好地运用这种方法。我喜欢这种方法的地方就是,它在系统中制造了一些停顿,这让对手不得不停下来思考,‘我真的到达目的地了吗?我真的得到了想要的东西吗?’这将真正帮助保护基础设施和知识产权资产。但这并不是万能的,它只是帮助我们调整‘应战’姿态,拥有一个良好的自我意识感,同时采用欺骗性的做法来甩开对手。我并不主张大力回击,如果说要回击,应该是由政府来进行严厉打击,但即使是这样,也存在一些很大的问题。
你能举例说明欺骗性环境的样子吗?
Kurtz:这不仅仅是设置一个蜜罐(honeypot),蜜罐有点像观察环境。我认为这更像是制造虚假数据,让攻击者认为他们得到了一些东西,然后陷入圈套,我认为这将有所帮助。然而,现在的情况基本是这样:当我进入一个网络时,我就是在网络中。我们要让攻击者停下来,提出这样的问题:这是一个假标志吗?我真的得到了想要的东西吗?还是我中圈套了?
我认为存在这样一种运行网络的方式,即你可以在你自己的网络内部运行操作来检测攻击者。企业将会与解决此类问题的政府建立有趣的关系,但现在,我并不主张这样做,不主张与政府共享所有信息。我的意思是,要像大型企业一样进行创造性的思考,我们面对着很多有趣的人,他们有着有趣的经验,我们很难判断谁是坏人。
所以,企业应该想清楚怎样甩开坏人。我并不主张大力回击,其实很多大型企业已经厌倦了这种回击。他们想要回击,而我不希望主张回击,实际上,在你扣动扳机进行射击前,还存在很大的思考空间。
这听起来有点像移动目标防御
Kurtz:在几年前,出现过很多关于移动目标防御的讨论。事实上,我们在这里讨论的方法超越了移动目标防御。我更喜欢回到我们能做什么。我认为,企业、政府和供应商本身面对的威胁都大于他们目前的防御水平。我们需要创建工具、可视性和技术来更好地对付威胁。当我想到移动目标防御时,它是调整姿态,其中部分还涉及创建一个环境,让坏人以为他到达目的地,但其实不然。我认为我们应该探索和创造这方面的一些功能。
政府能够帮助解决这个问题吗?
Kurtz:美国国家安全局能够看到美国外部网络外部发生的事情,这让他们见证了很多。但接下来的问题是,他们看到了什么呢?他们看到了内容或者恶意软件吗?我们知道,通过防病毒软件和各种引擎,能够帮助我们找出恶意软件。联邦政府(特别是国家安全机构)能够更好地了解全球网络正在发生的事情。国家政府机构则受到更大的挑战。我认为通过创新技术、可视性、程序和战术,我们可以让攻击者面对更为复杂的环境,而不一定要等政府来实现这一点。
联邦立法在短期内对网络安全有重大影响吗?
Kurtz:我并不是对政府失望,但我不认为在短期内我们能指望政府采取行动。我也很担心政府采取宏观的方式来行事,试图一次性解决很多问题,要知道,这不可能实现。政府如果试图通过综合法案来解决所有问题,这是行不通的。我们需要仔细研究问题的本质,以不同的方式来思考如何防御。
关键基础设施保护和保护关键网络的问题能够真正解决吗?
Kurtz:网络安全给我们这个时代带来最大的知识产权挑战,这是我们前所未见的,它是如此复杂、如此多层化。我们不断地寻找最终的‘灵丹妙药’,但这可能归结于痛苦的管理问题。最终我们将需要创建一个环境来管理这种痛苦,我们不要再用非白即黑的方式来讨论阻止攻击和抵御攻击。我必须接受我的网络存在的问题,我需要收集尽可能多的情报来帮助我快速管理这些问题。这并不像旧的FISMA环境—我每年进行一次认证,就能确保我的安全。那些日子已经一去不复返了。