从NotPetya勒索软件的全球爆发到朝鲜对金融机构的数字掠夺,国家支持的网络攻击如今已成为有些企业高管的首要考虑。那么,该如何抵御此类攻击呢?
2月16日,美国司法部起诉13名俄罗斯人涉嫌干扰2016年美国大选。同样是在上周,包括美国、英国、加拿大、澳大利亚和丹麦在内的多个国家指控俄罗斯策划了去年夏天的NotPetya勒索软件攻击。
白宫新闻秘书沙拉·桑德斯说:“NotPetya是俄罗斯政府对乌克兰持续颠覆行动的一部分,它进一步彰显出俄罗斯的此类阴谋。而且,这也是一次会造成国际性后果的鲁莽而无差别的网络攻击。”
虽然2016美国大选网络安全事件和NotPetya勒索软件攻击都带有政治目的,但最终的受害者名单却不仅仅局限于政治团体和关键基础设施提供商。迈克菲CTO史蒂夫·格罗布曼说:“NotPetya不仅对预定政治目标造成了重大影响,还中断了全球范围内成千上万民间组织的IT系统和运营。我们必须让发起攻击的国家对所造成的全面损害负责。”
被国家支持的黑客攻击或受到其连带伤害的民间组织在指认攻击者方面是处于弱势地位的。而政府不仅可借助网络取证还拥有传统情报数据,因而更易于识别此类攻击背后的凶手。
网络战中,每个人都是目标
国家支持的攻击者通常盯上的是政治性目标,比如民主党全国委员会(DNC)、政府机构、关键基础设施和国防承包商。但事实证明,任何公司、任意行业都可能受到影响,要么遭到蓄意攻击,要么承受大范围攻击的连带伤害。
正如CrowdStrike情报副总裁亚当·梅耶斯所言:“私营实体每天都在黑客视线中。”NotPetya这样的攻击活动可能打击到任何规模的任意公司,针对性高级攻击也可以袭击任意行业任一公司。
朝鲜已经盯上了比特币交易所和全球金融机构。有的黑客组织则关注特殊医疗硬件和其他技术的生产商。随便哪个行业都有黑客对其下手。
今年的冬奥会也分享到了黑客的青睐。公共事业公司、显示屏生产商、奥运场馆建筑公司、媒体公司和电信公司遭到了黑客攻击。
俄罗斯对美国大选的攻击完美展现了此类攻击的目标范围能有多广,而政府支持的调查活动又能调用多么巨大的资源。除了上周的起诉,美国司法部还于本周二(2月20日)宣布成立新的网络安全专案组,调查俄罗斯进行的种种恶意活动,包括:利用互联网传播暴力意识形态并招募追随者;大量盗取公司、政府和个人信息;用技术手段规避或挫败司法;大规模利用计算机和其他数字设备漏洞以攻击美国公民和公司。
谁在进行网络战?所有人
俄罗斯在全球网络战新时代中并不孤单。2月20日,火眼公司报告称,朝鲜正在以零日漏洞和数据清除软件扩张其网络武器库,目标是韩国及日本、越南和中东的各个垂直行业。伊朗和中国的网络间谍团队也在火眼的追踪范围之内。
网络攻击并非民族国家的专利。美国和以色列就曾联手炮制了震网病毒,摧毁了伊朗的核反应堆。前美军参谋长联席会议副主席卡特莱特上将承认自己在泄密问题上对FBI撒了谎。
在网络黑客问题上,人们很容易想到俄罗斯或者朝鲜,但他们肯定不是网络战的唯一玩家,网络战是个世界性的问题。
网络空间里,你可以从任何国家任何城市任意房间中对另一个组织、国家或企业发起攻击。
这是第三次世界大战?各个国家都在测试底线,看看会收到什么样的反应。或许还不能称之为战争状态,但类似于冷战或战前预备期。从事网络攻击的国家还在试图掩盖其身份。
外包网络战赋予了常规攻击者战争能力
即便没有自己的研发能力或资源,一些国家也可以用钱雇到很多犯罪组织或表面上的网络安全公司为自己效力。这又给世界再加了一重网络战的不良影响——民族国家大力投资攻击和漏洞利用工具,但这些工具可能会流入广大地下犯罪世界,威胁世界人民的网络、隐私及金融安全。
比如说,著名的黑客组织“影子经纪人”就曾泄露过偷自NSA的黑客工具。这些技术和工具很快就传播到普通犯罪分子手中,被直接用于各种网络攻击或改造后发起勒索软件攻击等网络犯罪活动。
通过代理人进行网络战让归因溯源更加困难
民族国家还会通过代理人来打响他们的网络战。比如说,上周的起诉中,美国司法部就点了“互联网研究机构”的名。这是一个位于俄罗斯圣彼得堡的著名网络水军豢养机构,被称为“巨魔工厂”。
这是新形式的代理人战争。在过去,世界超级大国在战争中利用小国家充当代理人。今天,他们采用各种各样的外部组织或机构充当代理人,比如咨询公司和犯罪团伙。
这些国家对代理人的控制程度不一。有些国家采取放羊吃草策略,只要代理人支持该国战略目标,不对国内目标下手,他们就放任不管。有些国家则对代理人干预较多,会协调各代理人之间的行动。其他国家则将代理人视为承包商,对其行动严密控制。
这就使得对网络攻击行为追责特别困难。如果攻击被追踪溯源到隶属某国的组织,我们是要诉该国对攻击活动失察吗?在网络事件的问责问题上,至今尚无定论。
各国对网络攻击的定义意见不一
网络攻击是什么?围绕这一点还存在一些敏感问题有待解决。比如说,在某些国家,传播特定文化信息或政治信息都算犯罪。甚至将网络攻击局限在针对关键基础设施的攻击上都可能引发争议。
在联合国商讨该问题的外交官们刻意回避了关键基础设施的确切定义,因为不同国家对关键基础设施的重视程度不同。但是,有些明显越界的事情是达成了共识的,比如说,电网受攻击造成电力中断,或者金融系统被攻击,又或者医院之类性命攸关的地方被黑客控制了系统。电网、金融系统和医院,这些领域是即便没有说出口也被大家公认的关键基础设施。
同时,即便可以归因溯源、起诉、制裁或加诸其他问责动作,对网络攻击的反应也往往太过迟缓,遭攻击的个人和公司所受损失已经补不回来了。
如何防御民族国家攻击?
安全专家往往对民族国家攻击束手无策。民族国家拥有几乎无限的资源,老实说,私营企业不太可能扛得住此类攻击。
只要你手中握有某种形式的有价值资产,被黑不过是时间问题,你没办法拦住国家支持的黑客。
毕竟,民族国家拥有各种各样的网络武器和资源,包括零日漏洞利用程序、最顶尖的人才、各类间谍机构、广泛的通信窃听,以及对硬软件技术供应链的控制。矢志攻击的黑客总能绕过当前网络防御措施。
期待国际社会行动不太现实。俄罗斯和朝鲜这种已经作恶多端的国家早已身处制裁之下。如果朝鲜都能发射洲际弹道导弹而不受惩处,我们又如何能期待民族国家为网络攻击负责?
对作恶者同样施以网络反击也不可取。因为往往没有明确的目标能够达到报复或遏阻的效果。比如说,别人中断了你的电网,但你不能也去搞摊人家的电网,因为那会影响到平民,不符合道义。
不过,这并不意味着公司企业就不能反击。相反,公司企业应配备用于发现零日漏洞和未知攻击的技术及过程。机器学习和人工智能工具有助于发现可疑行为。另外,公司的安全团队也有理由认为自己已经被盯上了,因而应该主动追捕自家系统里的潜在入侵者。
因为民族国家黑客并未抛弃传统网络攻击工具,所以公司企业还需做好基本安全防护动作,比如保证所有软件都打上了补丁,保持系统和应用更新等等。
最后,做好人防。很多数据泄露事件都涉及到人为失误,而该人为失误就让攻击者有了在公司网络中建立桥头堡的机会。世界上最好的安防系统都防不住主人家直接就把大门开启。
与其他黑客一样,民族国家攻击者也是会对目标排个三六九等的。如果某潜在目标明显比其他防护弱,那必须先攻击它,其他的可以再等等。
甚至即便公司不可能防住所有高级攻击者,也可以通过增强防御来降低被黑客看中的风险。同时,即便攻击者已经侵入网络,也有大把机会可以降低所受损失。
比如说,民族国家攻击者寻求知识产权之类敏感信息的时候,降低这些信息的价值就是很有效的防护办法。这里所说的降低价值指的是加密,将他们试图偷取的东西加密,就能让这些东西对黑客而言毫无用处。
公司企业通常会加密具备商业价值的信息,比如信用卡和身份证号。但民族国家想找的可能是有关工业过程、战略性商业交易的信息,甚至是可被用于勒索或分裂的丑闻。此类信息可能防护不周,或者毫无防护,甚或与缺乏良好安全过程的小型服务提供商共享。
现实生活中没那么多解密专家,加密确实能有效保护信息。如果使用的是安全的加密方法,无论是谁都很难破解。小黑客破解密码这种场景仅出现在科幻小说里。
如果加密没用,那通常是实现和配置上出了问题。你得确保配置正确,采用恰当的安全等级,还要经常注意加密的状态。
另一种能提供有效防护的手段是微分隔。微分隔甚至能让已侵入网络的攻击者无功而返。虚拟化是改变游戏规则的黑科技。用虚拟机隔离应用,恶意软件就失去了用处,黑客无处可去,偷不到任何东西,而企业却可以正常工作。
未来是怎样的?
前景并不乐观,不远的将来会迎来更多更复杂的攻击。我们不是正朝着各国互相攻击的网络混战状态迈进,我们已经深陷此种情境。有些攻击,特别是涉及关键基础设施的那些,都是非常严重,可能很快就会被认为是战争行为的。
不过,长远看,也不是没有希望的曙光。最初最重大的一步已经迈出——承认存在网络战问题。思想已经开始转变,网络攻击归因逐步走向公开化。在过去,美国情报机构即便已经高度确信特定攻击的作恶者是谁,也不会将这些归因信息公之于众,现在则不然。
接下来就是行动了。联合国将会采纳一项决议,赋予受害国自我防护的权利;美国也将发出声明,明确立场。
起草了《武装冲突法》的那些国际势力将在网络环境下继续彰显自身的存在,混战状态并非各国的长期利益考虑。