我們很難確定“反攻擊”是否是可接受的企業(yè)防御做法，特別是當(dāng)我們不知道這個術(shù)語的具體含義。

在RSA 2013信息安全大會的討論組中，由Akamai技術(shù)公司的安全情報主管Joshua Corman帶領(lǐng)的專家小組試圖確定攻擊式安全保護的模糊概念，他們將其寬泛地定義為反過來對付攻擊者（或者潛在攻擊者）的各種努力，主要通過滲透其網(wǎng)絡(luò)或者禁用其系統(tǒng)。 這個話題曾經(jīng)在很大程度上屬于理論范疇，但在后期，特別是在Mandiant公司發(fā)布了造成轟動的APT1后，它有了更實用的意義。

Mandiant公司在RSA大會之前剛剛發(fā)布了這份報告，該公司提供了令人信服的證據(jù)來說明受外國政府支持的軍事團體已經(jīng)侵入企業(yè)多年，并竊取知識產(chǎn)品，而且?guī)缀醪挥贸袚?dān)任何后果。

Corman表示他注意到最近在業(yè)界討論中越來越多地涉及攻擊式安全保護是否可接受。主動防御供應(yīng)商CrowdStrike公司的首席執(zhí)行官George Kurtz表示，企業(yè)對他們無法阻止高級攻擊，特別是那些由民族國家發(fā)起的攻擊，感到越來越受挫。

“在我們的客戶中，在過去幾年中遭受過持續(xù)和主動攻擊的大多數(shù)客戶都已經(jīng)厭倦了漏洞利用、取證檢查、捕捉內(nèi)存、扁平化服務(wù)器以及重新開始，大家的挫敗感在攻擊安全的討論中展漏無疑，”Kurtz表示，“人們都在說，‘政府不保護我們，我們能做些什么呢？’”

然而，企業(yè)如何對其IT基礎(chǔ)設(shè)施的保護從防守轉(zhuǎn)變?yōu)檫M攻呢？安全供應(yīng)商Sourcefire公司云技術(shù)組首席架構(gòu)師Adam O’Donnell表示，當(dāng)企業(yè)的保護工作涉及穿越到另一個企業(yè)的網(wǎng)絡(luò)邊界來進行改變時，企業(yè)就不再只是防守。

O'Donnell擔(dān)心越來越多的企業(yè)可能會考慮對攻擊者采用“反攻擊”方法，但他表示，私人機構(gòu)不應(yīng)該承擔(dān)聯(lián)邦政府的責(zé)任，并且追蹤可能受外國政府資助或與之相關(guān)的惡意行為是很危險的事情。“你用代碼來回應(yīng)對手時，而他們已經(jīng)習(xí)慣了用子彈來回應(yīng)，”O'Donnell表示，“他們并不只是簡單地要破壞你的主機和污損你的網(wǎng)站，他們還會回來射殺，如果你要開始反攻擊的話，你最好考慮清楚這些問題。”

瞻博網(wǎng)絡(luò)公司高級主管兼首席安全架構(gòu)師Christopher Hoff則持有不同的觀點。他提出了一個假設(shè)情況，攻擊者試圖訪問受害者的網(wǎng)站，抱著破壞的目的，進行“授權(quán)的、明確的連接”。如果企業(yè)可以檢測到這個攻擊企圖，那么，企業(yè)采用類似的敵對數(shù)據(jù)包來回應(yīng)是很合理的。Hoff表示：“如果有人直接連接到我，我發(fā)回一個響應(yīng)，無論我回應(yīng)的方式是否是他們意料之中，這都不是滲透；這只是以授權(quán)的方式回復(fù)一個請求。”

雖然一些小組成員似乎對Hoff的說法有些不滿，但與不少業(yè)內(nèi)人士一樣，他們都不愿意提出與之抗衡的關(guān)于“反攻擊”的定義。在這種情況下，Corman試圖讓小組成員來為觀眾定義該術(shù)語，而這就像燙手的山芋一樣被拋來拋去，Hoff最終建議應(yīng)該對攻擊者進行攻擊，而這超出了上述他的例子中的“請求-響應(yīng)”的說法。 O'Donnell表示，反攻擊是追蹤不受其控制的機器，而主動防御是追蹤不屬于自己的機器。

這個功能規(guī)范如此難以界定的部分原因在于法律規(guī)范同樣不清楚。專家組成員斯坦福大學(xué)法學(xué)院研究員兼律師Andrew Woods表示，監(jiān)管這些行為的主要美國法律是1984年計算機欺詐和濫用法案（CFAA）。

該法案對任何故意逾越授權(quán)網(wǎng)絡(luò)訪問范圍的人進行處罰。然而，多年來，法院對訪問有廣泛的定義，起初它意味著對計算機的物理訪問，后來是指在任何特定網(wǎng)絡(luò)的范圍開始和結(jié)束的訪問。

在CFAA法律下，哪些行為是被允許的呢？Woods舉出了一些例子，包括阻止網(wǎng)絡(luò)入侵者、使用虛假數(shù)據(jù)混淆他們以及誤導(dǎo)他們到假目標(biāo)。然而，使用工具來影響攻擊者的網(wǎng)絡(luò)可能違反CFAA，而當(dāng)攻擊者位于美國司法管轄區(qū)以外時，該法律幾乎沒有提供指導(dǎo)。“攻擊式安全保護是一個很大的說法，”Woods表示，“鑒于監(jiān)管法律的模糊性，這種安全保護也是復(fù)雜的。”

Kurtz說：“雖然刑事法規(guī)有顯著的影響，但企業(yè)管理人員往往更關(guān)心的是民事和金融方面的影響。他表示，首席信息官議會的第一個問題應(yīng)該是進攻安全是否合法，而他們的第二個問題應(yīng)該是企業(yè)是否可能被起訴。”

不是直接地反擊攻擊者，Kurtz提供了更好的方法來對付攻擊者，即他所謂的“阻止和擺脫”以及“觀察和包含”雙管齊下的方法。他表示，有針對性的攻擊者就像白蟻一樣，在某些情況下，有必要“包圍整個房間”，而在其他情況下，就像是有針對性的攻擊，企業(yè)應(yīng)該將自己定位為觀察者，觀察攻擊者的行為，通過埋伏虛假信息來了解他們想要什么以及原因。

“對于高端民族國家級IP盜竊，信息被大量收集，并有人在鍵盤的另一端來檢查這些信息，”Kurtz表示，“如果他們不知道什么是真正有價值的信息，這將會提高其成本。所以，你應(yīng)該采取主動，但并不破壞某些東西。”