“黑回去”，也可稱之為“主動防御”理論的支持者和反對者一如幾十年前剛剛興起時一樣，針鋒相對，難分上下。看起來也沒有很快結(jié)束的樣子。

[[133726]]

正方：斯圖爾特·貝克爾——前美國國家安全局總顧問，前美國國土安全部政策助理部長，現(xiàn)世強(qiáng)律師事務(wù)所(Steptoe & Johnson LLP)網(wǎng)絡(luò)安全業(yè)務(wù)合伙人兼博客作家。

多年來，他一直在宣揚(yáng)一種理念：“防御是不夠的”，有效應(yīng)對網(wǎng)絡(luò)犯罪的唯一途徑是通過反擊攻擊者讓網(wǎng)絡(luò)犯罪成本更高。

反方：《華盛頓郵報》去年秋天的報道警告那些哪怕只是稍微想一下“黑回去”的人：《計算機(jī)欺詐與濫用法案》(CFAA)下絕大多數(shù)形式的“黑回去”都違法，而且“報復(fù)將會引爆全面網(wǎng)絡(luò)戰(zhàn)爭，造成全互聯(lián)網(wǎng)范圍內(nèi)的連帶傷害”。

但這種論調(diào)從未說服過貝克爾。“現(xiàn)在這種網(wǎng)絡(luò)安全危機(jī)情況下我們根本不能從防御中找到出路，”他在博客中寫道。“這是因?yàn)閷⑺蓄A(yù)防犯罪的責(zé)任推到受害者身上極少能獲得成功。明擺著的一個選擇是識別出攻擊者并施以懲罰。”

[[133727]]

斯圖爾特·貝克爾

貝克爾還表示，法律風(fēng)險正在消退——政府官員更傾向于支持那些黑回去的人而不是起訴他們。“政府在一點(diǎn)一點(diǎn)地默默讓步，他們表現(xiàn)得更為開放了。”

實(shí)際上，這一局面的形成有部分是由于五角大樓首次公開宣稱攻擊性網(wǎng)絡(luò)行動也是其對敵沖突中的一種選擇。

最新的網(wǎng)絡(luò)安全戰(zhàn)略文件中稱，國防部“應(yīng)該有能力采取網(wǎng)絡(luò)行動摧毀敵方的命令與控制網(wǎng)絡(luò)、軍事相關(guān)關(guān)鍵基礎(chǔ)設(shè)施和武器的功能。”

正方：白帽安全公司白帽子實(shí)驗(yàn)室副總裁羅伯特·漢森認(rèn)為，執(zhí)行CFAA 的另一個難題在于“該法案目前相當(dāng)不完善，以致于我們當(dāng)下在網(wǎng)上所做的事幾乎沒幾件是合法的。因此，如果不事事咨詢律師，完全有可能啥都沒做就違法了——參與犯罪、故意疏忽、事后共犯，諸如此類。”

反方：安 東尼·迪貝羅，他是全球計算機(jī)調(diào)查與取證先驅(qū)Guidance Software的戰(zhàn)略伙伴關(guān)系負(fù)責(zé)人，近期在信息技術(shù)安全領(lǐng)域新聞資訊網(wǎng)站Dark Reading上發(fā)表的一篇中反復(fù)警告道：“黑回去”，或者某些人聲稱的“主動防御”，是對禁止“非法侵入”另一個計算機(jī)網(wǎng)絡(luò)的CFAA的違反。

除了這個，他還爭辯道：防御確實(shí)已經(jīng)足夠，而且防御做得好了，是比“自我意識驅(qū)動的報復(fù)戰(zhàn)”更有效果的。

在一次采訪中，迪貝羅說，那些不同意他的觀點(diǎn)的人在他的文章后回復(fù)說，“覺得沒有足夠的法律途徑可以求援。”

防御比‘自我意識驅(qū)動的報復(fù)戰(zhàn)’更有效果。他對此表示同意，并提到，聯(lián)邦調(diào)查局網(wǎng)絡(luò)部只有1000名探員，“他們已經(jīng)傾盡全力疲于奔命，某種意義上說，讓受害者不得不考慮親自出馬教訓(xùn)攻擊者。”

但是，他同時也引用他公司的總顧問馬克·哈林頓(“黑回去”的支持者)的話說：“‘黑回去’也是非法入侵的一種形式，我不認(rèn)為短期內(nèi)非法入侵會被列入合法范疇。”

安東尼·迪貝羅

迪貝羅和其他人主張，公司企業(yè)在考慮反攻回去之前需要深入理解自身環(huán)境以偵測出入侵者的存在，這些入侵者可是能夠在偷運(yùn)數(shù)據(jù)或引發(fā)其他傷害之前在公司網(wǎng)絡(luò)中靜靜潛伏數(shù)月甚至數(shù)年之久的。

事實(shí)上，近期在舊金山召開的RSA大會上，麥克林風(fēng)險伙伴公司(MacLean Risk Partners)創(chuàng)始人兼首席執(zhí)行官容達(dá)·麥克林就在一次小組座談中宣稱，大多數(shù)組織都應(yīng)該假定他們已經(jīng)被侵入了。“如果有公司告訴你他們沒有被侵入，那只是他們不知道而已。”

然而，要在這個問題上進(jìn)行有意義的爭論，需要對某些術(shù)語進(jìn)行定義。有些專家認(rèn)為使用“主動防御”作為“黑回去”的委婉說法是不恰當(dāng)?shù)摹?/p>

反方：互聯(lián)網(wǎng)安全公司Accuvant解決方案研究與開發(fā)負(fù)責(zé)人拉法·洛斯說，他相信主動防御是一件好事，當(dāng)且僅當(dāng)主動防御的意思是指“防御團(tuán)隊在自身系統(tǒng)/網(wǎng)絡(luò)上采取的保護(hù)自身的行動，絕對不是反攻攻擊者來保護(hù)他們自身及其資產(chǎn)。”

換句話說，在他看來，主動防御依然意味著防御。

洛斯說，他相信如果防御者作了攻擊者一直以來在做的事——了解對手的戰(zhàn)術(shù)、能力和工具，那他們將會在防御上更加成功。

但要做到這一點(diǎn)，他與迪貝羅持相同意見：防御者需要對自身環(huán)境了解更多。

“不事先了解清楚自身弱點(diǎn)和關(guān)鍵資產(chǎn)所在就妄圖應(yīng)對敵人比徒勞無功更糟糕。如果不清楚自身內(nèi)部情況，再了解外部因素也完全無用。”

反方：信息安全創(chuàng)業(yè)公司Dragos Security聯(lián)合創(chuàng)始人羅伯特·李，他與洛斯在使用“主動防御”描述“黑回去”上持類似的觀點(diǎn)。

李反對“黑回去”戰(zhàn)略有部分原因是因?yàn)樗J(rèn)為大多數(shù)組織不是太擅長這個。 “如果公司企業(yè)不能有效運(yùn)行防御程序并解決安全基本問題，他們同樣不能有效運(yùn)行進(jìn)攻程序。”他說。

進(jìn)攻比大眾想象的要難，進(jìn)攻回報的價值也不如切實(shí)加強(qiáng)安全來得高。他還提到，進(jìn)入網(wǎng)絡(luò)小偷的網(wǎng)絡(luò)可不像沖進(jìn)小偷的家里要求歸還贓物那么簡單。

“一旦知識產(chǎn)權(quán)在一次諜報行動中被盜，它就再也不能尋回了。它可不像大多人鼓吹那樣能從對手的網(wǎng)絡(luò)中刪除。”

除了法律問題，爭論還延伸到了溯源、連帶傷害和矛盾升級。

反方：溯源，即準(zhǔn)確識別攻擊者，幾乎是不可能的，因?yàn)楣粽呦胍[藏他們的蹤跡實(shí)在是太容易了。而且還會造成連帶傷害——報復(fù)目標(biāo)被引向了無辜的組織——被真正的攻擊者利用了其網(wǎng)絡(luò)的無辜路人。

他們還說道，反攻擊只會導(dǎo)致沖突升級，有引發(fā)會帶來重大連帶傷害的全面網(wǎng)絡(luò)戰(zhàn)的風(fēng)險。

“舉例來說，如果我是一個受國家支持的攻擊者。”洛斯說，“很顯然，我要是想攻擊你，會先搞定你的主要對手，再以他們?yōu)樘?，借他們的網(wǎng)絡(luò)來攻擊你。”

“然后，如果你盲目反黑回來，你攻擊的就是你的對手，而我，一箭雙雕。首先，我達(dá)成了我的目的，十有八九是通過偷取想要的東西。其次，現(xiàn)在你主動陷入與對手的戰(zhàn)爭了。”

正方：貝克不同意這個觀點(diǎn)，他堅稱，攻擊者沒有公眾認(rèn)為的那么聰明。

他在文章中寫道，“所有讓我們的安全無法保障的人類弱點(diǎn)也同樣給攻擊者制造了麻煩。他們會在被拋棄了的命令與控制計算機(jī)上留下代碼蹤跡。他們也會重復(fù)使用密碼、電子郵件地址和電腦。他們的遠(yuǎn)程訪問工具充滿了漏洞。”

這些，他說，讓調(diào)查員們得以追蹤溯源到用來實(shí)施攻擊的命令與控制計算機(jī)上，然后，進(jìn)一步摸到黑客的老巢和辦公室。

他將之稱為貝克法則：“我們的安全很爛，他們的也一樣。”

喬·哈丁，退役軍事情報官，信息戰(zhàn)專家，博主。他表示，用來追蹤攻擊者的工具已經(jīng)大幅改進(jìn)了。

“溯源真的很難，但情況正變得越來越好。以前常常要耗費(fèi)數(shù)周或幾個月的時間?，F(xiàn)在，我們的工具能在幾秒到幾分鐘內(nèi)告訴我們答案。”

漢森，盡管不是一個“黑回去”的絕對支持者，也同意這樣的觀點(diǎn)：至少足以破壞攻擊的歸因是可及的。

“大多數(shù)案例里，我得說，實(shí)時取證幾乎毫無精準(zhǔn)度可言，但大多數(shù)壞家伙無非就是用洋蔥頭路由(Tor)、代理或者肉雞來隱藏自身蹤跡。”

“如果你看到有機(jī)器在黑你，有可能那臺機(jī)器本身就已經(jīng)被黑了。反黑回去并讓它宕機(jī)實(shí)際上并不能阻止你的敵人，但卻可以使你敵人在用的武器失效，還有可能提供你的真正敵人是誰的線索。”

漢森對矛盾升級理論也持懷疑態(tài)度。“我從沒見過此類案例，所以我也不確定這一理論是從何而來的。”

但是反對者依然沒有被說服。

洛斯說：“這就相當(dāng)于去捅馬蜂窩。是的，對手很可能比你火力強(qiáng)大，因此，出演反派角色真不是公司的最佳選擇。”

李說：“你還冒著擾亂政府對敵行動的風(fēng)險，一旦真擾到了政府，你的樂子就大了。總會有二階三階效應(yīng)——我看不出來公司反黑回去有什么價值。”

哈丁稱，價值來自于僅防御戰(zhàn)略從來不是刀槍不入。他說：“進(jìn)攻方總是占據(jù)優(yōu)勢的。事實(shí)是，如果你真的沒有漏洞，那他們也不會瞄上你。問題在于，你的整個IT部門都忙于給系統(tǒng)和網(wǎng)絡(luò)打補(bǔ)丁。但漏洞總是出在人身上，所以說防御就夠了總是比做防御要難。”

對于這一點(diǎn)，防御支持者說，要做到更好也不是那么難。郵報那篇文章中提到的一個技術(shù)，叫做“信標(biāo)”，相當(dāng)于數(shù)字世界的被劫現(xiàn)金爆破染色包，可以幫助受害者“定位被盜物品并確定是誰悄悄從互聯(lián)網(wǎng)上偷走了它。”

漢森說他在很多案例里見識過信標(biāo)的有效性，并補(bǔ)充道：“用壞數(shù)據(jù)在對手那里種下種子總是個好辦法，可以更容易地順藤摸瓜直搗黃龍。蜜標(biāo)技術(shù)在這方面是非常有用的。”

但是李仍不為所動。“是的，這種戰(zhàn)術(shù)可以很有效，但鼓吹和施行這種戰(zhàn)術(shù)的人可沒他們自認(rèn)為的那么的有效。”

洛斯認(rèn)為，整個業(yè)界應(yīng)該將焦點(diǎn)從感染指標(biāo)(IOC，indicators of compromise，經(jīng)常變，且攻擊者可能非常隱蔽而沒有留下感染指征)轉(zhuǎn)向攻擊指標(biāo)(IOA，indicators of attack)。

“攻擊者沒法改變的是他們的目的，比如說必須提升權(quán)限以潛入公司。能達(dá)成這一目的的方法很少——這些就是我們需要監(jiān)測的地方了。”他說。

原文地址：http://www.aqniu.com/news/7643.html