美国国家安全局网络安全战略高级顾问罗布·乔伊斯( Rob Joyce )是DefCon安全大会的常客,但作为演讲者身份参会,他还是头一遭。并且,DefCon演讲新手的身份还必须尊崇大会的传统:第一次上台演讲的人会在台上喝一杯以向大会致敬(据说还有镇定心神的功效)。用来让观众明确演讲者的立场,表达大会对极客行为的赞同,比如公开黑掉投票机安全保护之类的行为。
“无论我们是否在这里公开破解,总有人试图找到这些投票机的漏洞。公开黑客行为的透明性对修复漏洞解决问题很有帮助。而这些漏洞正是各个民族国家将网络世界当做作战舞台,将虚拟空间取得的优势转化到现实世界中去的关键部分。
乔伊斯表示,在国家黑客的行动战场上,有4个主要的国家,俄罗斯、中国、伊朗和朝鲜。他们中每一个的目的都各不相同,所用技术也多种多样,但都会产生重大威胁。
1. 俄罗斯
俄罗斯是明摆着将网络攻击当成了国家战略的一部分。除了众所周知的大选黑客攻击,俄罗斯还频繁攻击美国政府的网络。乔伊斯称,俄罗斯的网络行动与其在现实世界中的军事行动互为呼应。他以对美国国务院网络的一次成功入侵为例,将攻击缓解工作描述成短兵相接的“肉搏战”,称攻击者会快速响应防御操作,用新的战术稳固其在系统中的位置。
2. 中国
中国在盗取知识产权上比较活跃,攻击的总量较高。不过,2015年9月,中美签署互不侵犯知识产权的协定后,入侵总数下降了近90%。但是其他攻击活动却相应增多了,比如针对互联网服务提供商(ISP)和托管服务提供商(MSP)的信息盗窃与破坏行动“Cloud Hopper”。此外乔伊斯称,中国在用网络影响大众行为和社会信誉上也非常积极。
3. 伊朗
伊朗以破坏性网络行动闻名,包括对其敌人的DDoS攻击。《巴黎核协定》生效之后,伊朗的网络攻击行动大幅减少。然后,其网络行动转向中东的目标,包括针对以色列和沙特阿拉伯的。NSA密切关注美国对伊朗恢复制裁后可能增多的网络攻击行动。
4. 朝鲜
乔伊斯将朝鲜描述为最稳定持久的国家黑客攻击者,网络活动几乎是其每个战略部署中的一环。韩国是朝鲜网络活动的一贯目标。但与前面3个民族国家不同,朝鲜的黑客行动有一个独有特征:经常以为政府盗取硬通货为目的,无论是国家发行的法定货币还是加密货币。
至于防御,乔伊斯有2个主要观点:
1. 网络安全是团队项目
政府和私营企业应共享攻击与漏洞信息,以便在网络攻防中占据优势。
2. 安全基础非常重要
类似多因子身份验证和定期软件更新这种能给攻击者增加障碍的事,不应该被忽略。他所谓的“基础”中还包括了对很多组织来说难以办到的事项:熟知自身网络。“攻击者不在意你觉得你有什么,他们只攻击真正部署在网络上的东西。”
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】