我们很难确定“反攻击”是否是可接受的企业防御做法,特别是当我们不知道这个术语的具体含义。
在RSA 2013信息安全大会的讨论组中,由Akamai技术公司的安全情报主管Joshua Corman带领的专家小组试图确定攻击式安全保护的模糊概念,他们将其宽泛地定义为反过来对付攻击者(或者潜在攻击者)的各种努力,主要通过渗透其网络或者禁用其系统。 这个话题曾经在很大程度上属于理论范畴,但在后期,特别是在Mandiant公司发布了造成轰动的APT1后,它有了更实用的意义。
Mandiant公司在RSA大会之前刚刚发布了这份报告,该公司提供了令人信服的证据来说明受外国政府支持的军事团体已经侵入企业多年,并窃取知识产品,而且几乎不用承担任何后果。
Corman表示他注意到最近在业界讨论中越来越多地涉及攻击式安全保护是否可接受。主动防御供应商CrowdStrike公司的首席执行官George Kurtz表示,企业对他们无法阻止高级攻击,特别是那些由民族国家发起的攻击,感到越来越受挫。
“在我们的客户中,在过去几年中遭受过持续和主动攻击的大多数客户都已经厌倦了漏洞利用、取证检查、捕捉内存、扁平化服务器以及重新开始,大家的挫败感在攻击安全的讨论中展漏无疑,”Kurtz表示,“人们都在说,‘政府不保护我们,我们能做些什么呢?’”
然而,企业如何对其IT基础设施的保护从防守转变为进攻呢?安全供应商Sourcefire公司云技术组首席架构师Adam O’Donnell表示,当企业的保护工作涉及穿越到另一个企业的网络边界来进行改变时,企业就不再只是防守。
O'Donnell担心越来越多的企业可能会考虑对攻击者采用“反攻击”方法,但他表示,私人机构不应该承担联邦政府的责任,并且追踪可能受外国政府资助或与之相关的恶意行为是很危险的事情。“你用代码来回应对手时,而他们已经习惯了用子弹来回应,”O'Donnell表示,“他们并不只是简单地要破坏你的主机和污损你的网站,他们还会回来射杀,如果你要开始反攻击的话,你最好考虑清楚这些问题。”
瞻博网络公司高级主管兼首席安全架构师Christopher Hoff则持有不同的观点。他提出了一个假设情况,攻击者试图访问受害者的网站,抱着破坏的目的,进行“授权的、明确的连接”。如果企业可以检测到这个攻击企图,那么,企业采用类似的敌对数据包来回应是很合理的。Hoff表示:“如果有人直接连接到我,我发回一个响应,无论我回应的方式是否是他们意料之中,这都不是渗透;这只是以授权的方式回复一个请求。”
虽然一些小组成员似乎对Hoff的说法有些不满,但与不少业内人士一样,他们都不愿意提出与之抗衡的关于“反攻击”的定义。在这种情况下,Corman试图让小组成员来为观众定义该术语,而这就像烫手的山芋一样被抛来抛去,Hoff最终建议应该对攻击者进行攻击,而这超出了上述他的例子中的“请求-响应”的说法。 O'Donnell表示,反攻击是追踪不受其控制的机器,而主动防御是追踪不属于自己的机器。
这个功能规范如此难以界定的部分原因在于法律规范同样不清楚。专家组成员斯坦福大学法学院研究员兼律师Andrew Woods表示,监管这些行为的主要美国法律是1984年计算机欺诈和滥用法案(CFAA)。
该法案对任何故意逾越授权网络访问范围的人进行处罚。然而,多年来,法院对访问有广泛的定义,起初它意味着对计算机的物理访问,后来是指在任何特定网络的范围开始和结束的访问。
在CFAA法律下,哪些行为是被允许的呢?Woods举出了一些例子,包括阻止网络入侵者、使用虚假数据混淆他们以及误导他们到假目标。然而,使用工具来影响攻击者的网络可能违反CFAA,而当攻击者位于美国司法管辖区以外时,该法律几乎没有提供指导。“攻击式安全保护是一个很大的说法,”Woods表示,“鉴于监管法律的模糊性,这种安全保护也是复杂的。”
Kurtz说:“虽然刑事法规有显著的影响,但企业管理人员往往更关心的是民事和金融方面的影响。他表示,首席信息官议会的第一个问题应该是进攻安全是否合法,而他们的第二个问题应该是企业是否可能被起诉。”
不是直接地反击攻击者,Kurtz提供了更好的方法来对付攻击者,即他所谓的“阻止和摆脱”以及“观察和包含”双管齐下的方法。他表示,有针对性的攻击者就像白蚁一样,在某些情况下,有必要“包围整个房间”,而在其他情况下,就像是有针对性的攻击,企业应该将自己定位为观察者,观察攻击者的行为,通过埋伏虚假信息来了解他们想要什么以及原因。
“对于高端民族国家级IP盗窃,信息被大量收集,并有人在键盘的另一端来检查这些信息,”Kurtz表示,“如果他们不知道什么是真正有价值的信息,这将会提高其成本。所以,你应该采取主动,但并不破坏某些东西。”