從NotPetya勒索軟件的全球爆發(fā)到朝鮮對(duì)金融機(jī)構(gòu)的數(shù)字掠奪，國家支持的網(wǎng)絡(luò)攻擊如今已成為有些企業(yè)高管的首要考慮。那么，該如何抵御此類攻擊呢?

[[220534]]

2月16日，美國司法部起訴13名俄羅斯人涉嫌干擾2016年美國大選。同樣是在上周，包括美國、英國、加拿大、澳大利亞和丹麥在內(nèi)的多個(gè)國家指控俄羅斯策劃了去年夏天的NotPetya勒索軟件攻擊。

白宮新聞秘書沙拉·桑德斯說：“NotPetya是俄羅斯政府對(duì)烏克蘭持續(xù)顛覆行動(dòng)的一部分，它進(jìn)一步彰顯出俄羅斯的此類陰謀。而且，這也是一次會(huì)造成國際性后果的魯莽而無差別的網(wǎng)絡(luò)攻擊。”

雖然2016美國大選網(wǎng)絡(luò)安全事件和NotPetya勒索軟件攻擊都帶有政治目的，但最終的受害者名單卻不僅僅局限于政治團(tuán)體和關(guān)鍵基礎(chǔ)設(shè)施提供商。邁克菲CTO史蒂夫·格羅布曼說：“NotPetya不僅對(duì)預(yù)定政治目標(biāo)造成了重大影響，還中斷了全球范圍內(nèi)成千上萬民間組織的IT系統(tǒng)和運(yùn)營。我們必須讓發(fā)起攻擊的國家對(duì)所造成的全面損害負(fù)責(zé)。”

被國家支持的黑客攻擊或受到其連帶傷害的民間組織在指認(rèn)攻擊者方面是處于弱勢地位的。而政府不僅可借助網(wǎng)絡(luò)取證還擁有傳統(tǒng)情報(bào)數(shù)據(jù)，因而更易于識(shí)別此類攻擊背后的兇手。

網(wǎng)絡(luò)戰(zhàn)中，每個(gè)人都是目標(biāo)

國家支持的攻擊者通常盯上的是政治性目標(biāo)，比如民主黨全國委員會(huì)(DNC)、政府機(jī)構(gòu)、關(guān)鍵基礎(chǔ)設(shè)施和國防承包商。但事實(shí)證明，任何公司、任意行業(yè)都可能受到影響，要么遭到蓄意攻擊，要么承受大范圍攻擊的連帶傷害。

正如CrowdStrike情報(bào)副總裁亞當(dāng)·梅耶斯所言：“私營實(shí)體每天都在黑客視線中。”NotPetya這樣的攻擊活動(dòng)可能打擊到任何規(guī)模的任意公司，針對(duì)性高級(jí)攻擊也可以襲擊任意行業(yè)任一公司。

朝鮮已經(jīng)盯上了比特幣交易所和全球金融機(jī)構(gòu)。有的黑客組織則關(guān)注特殊醫(yī)療硬件和其他技術(shù)的生產(chǎn)商。隨便哪個(gè)行業(yè)都有黑客對(duì)其下手。

今年的冬奧會(huì)也分享到了黑客的青睞。公共事業(yè)公司、顯示屏生產(chǎn)商、奧運(yùn)場館建筑公司、媒體公司和電信公司遭到了黑客攻擊。

俄羅斯對(duì)美國大選的攻擊完美展現(xiàn)了此類攻擊的目標(biāo)范圍能有多廣，而政府支持的調(diào)查活動(dòng)又能調(diào)用多么巨大的資源。除了上周的起訴，美國司法部還于本周二(2月20日)宣布成立新的網(wǎng)絡(luò)安全專案組，調(diào)查俄羅斯進(jìn)行的種種惡意活動(dòng)，包括：利用互聯(lián)網(wǎng)傳播暴力意識(shí)形態(tài)并招募追隨者;大量盜取公司、政府和個(gè)人信息;用技術(shù)手段規(guī)避或挫敗司法;大規(guī)模利用計(jì)算機(jī)和其他數(shù)字設(shè)備漏洞以攻擊美國公民和公司。

誰在進(jìn)行網(wǎng)絡(luò)戰(zhàn)?所有人

俄羅斯在全球網(wǎng)絡(luò)戰(zhàn)新時(shí)代中并不孤單。2月20日，火眼公司報(bào)告稱，朝鮮正在以零日漏洞和數(shù)據(jù)清除軟件擴(kuò)張其網(wǎng)絡(luò)武器庫，目標(biāo)是韓國及日本、越南和中東的各個(gè)垂直行業(yè)。伊朗和中國的網(wǎng)絡(luò)間諜團(tuán)隊(duì)也在火眼的追蹤范圍之內(nèi)。

網(wǎng)絡(luò)攻擊并非民族國家的專利。美國和以色列就曾聯(lián)手炮制了震網(wǎng)病毒，摧毀了伊朗的核反應(yīng)堆。前美軍參謀長聯(lián)席會(huì)議副主席卡特萊特上將承認(rèn)自己在泄密問題上對(duì)FBI撒了謊。

在網(wǎng)絡(luò)黑客問題上，人們很容易想到俄羅斯或者朝鮮，但他們肯定不是網(wǎng)絡(luò)戰(zhàn)的唯一玩家，網(wǎng)絡(luò)戰(zhàn)是個(gè)世界性的問題。

網(wǎng)絡(luò)空間里，你可以從任何國家任何城市任意房間中對(duì)另一個(gè)組織、國家或企業(yè)發(fā)起攻擊。

這是第三次世界大戰(zhàn)?各個(gè)國家都在測試底線，看看會(huì)收到什么樣的反應(yīng)。或許還不能稱之為戰(zhàn)爭狀態(tài)，但類似于冷戰(zhàn)或戰(zhàn)前預(yù)備期。從事網(wǎng)絡(luò)攻擊的國家還在試圖掩蓋其身份。

外包網(wǎng)絡(luò)戰(zhàn)賦予了常規(guī)攻擊者戰(zhàn)爭能力

即便沒有自己的研發(fā)能力或資源，一些國家也可以用錢雇到很多犯罪組織或表面上的網(wǎng)絡(luò)安全公司為自己效力。這又給世界再加了一重網(wǎng)絡(luò)戰(zhàn)的不良影響——民族國家大力投資攻擊和漏洞利用工具，但這些工具可能會(huì)流入廣大地下犯罪世界，威脅世界人民的網(wǎng)絡(luò)、隱私及金融安全。

比如說，著名的黑客組織“影子經(jīng)紀(jì)人”就曾泄露過偷自NSA的黑客工具。這些技術(shù)和工具很快就傳播到普通犯罪分子手中，被直接用于各種網(wǎng)絡(luò)攻擊或改造后發(fā)起勒索軟件攻擊等網(wǎng)絡(luò)犯罪活動(dòng)。

通過代理人進(jìn)行網(wǎng)絡(luò)戰(zhàn)讓歸因溯源更加困難

民族國家還會(huì)通過代理人來打響他們的網(wǎng)絡(luò)戰(zhàn)。比如說，上周的起訴中，美國司法部就點(diǎn)了“互聯(lián)網(wǎng)研究機(jī)構(gòu)”的名。這是一個(gè)位于俄羅斯圣彼得堡的著名網(wǎng)絡(luò)水軍豢養(yǎng)機(jī)構(gòu)，被稱為“巨魔工廠”。

這是新形式的代理人戰(zhàn)爭。在過去，世界超級(jí)大國在戰(zhàn)爭中利用小國家充當(dāng)代理人。今天，他們采用各種各樣的外部組織或機(jī)構(gòu)充當(dāng)代理人，比如咨詢公司和犯罪團(tuán)伙。

這些國家對(duì)代理人的控制程度不一。有些國家采取放羊吃草策略，只要代理人支持該國戰(zhàn)略目標(biāo)，不對(duì)國內(nèi)目標(biāo)下手，他們就放任不管。有些國家則對(duì)代理人干預(yù)較多，會(huì)協(xié)調(diào)各代理人之間的行動(dòng)。其他國家則將代理人視為承包商，對(duì)其行動(dòng)嚴(yán)密控制。

這就使得對(duì)網(wǎng)絡(luò)攻擊行為追責(zé)特別困難。如果攻擊被追蹤溯源到隸屬某國的組織，我們是要訴該國對(duì)攻擊活動(dòng)失察嗎?在網(wǎng)絡(luò)事件的問責(zé)問題上，至今尚無定論。

各國對(duì)網(wǎng)絡(luò)攻擊的定義意見不一

網(wǎng)絡(luò)攻擊是什么?圍繞這一點(diǎn)還存在一些敏感問題有待解決。比如說，在某些國家，傳播特定文化信息或政治信息都算犯罪。甚至將網(wǎng)絡(luò)攻擊局限在針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的攻擊上都可能引發(fā)爭議。

在聯(lián)合國商討該問題的外交官們刻意回避了關(guān)鍵基礎(chǔ)設(shè)施的確切定義，因?yàn)椴煌瑖覍?duì)關(guān)鍵基礎(chǔ)設(shè)施的重視程度不同。但是，有些明顯越界的事情是達(dá)成了共識(shí)的，比如說，電網(wǎng)受攻擊造成電力中斷，或者金融系統(tǒng)被攻擊，又或者醫(yī)院之類性命攸關(guān)的地方被黑客控制了系統(tǒng)。電網(wǎng)、金融系統(tǒng)和醫(yī)院，這些領(lǐng)域是即便沒有說出口也被大家公認(rèn)的關(guān)鍵基礎(chǔ)設(shè)施。

同時(shí)，即便可以歸因溯源、起訴、制裁或加諸其他問責(zé)動(dòng)作，對(duì)網(wǎng)絡(luò)攻擊的反應(yīng)也往往太過遲緩，遭攻擊的個(gè)人和公司所受損失已經(jīng)補(bǔ)不回來了。

如何防御民族國家攻擊?

安全專家往往對(duì)民族國家攻擊束手無策。民族國家擁有幾乎無限的資源，老實(shí)說，私營企業(yè)不太可能扛得住此類攻擊。

只要你手中握有某種形式的有價(jià)值資產(chǎn)，被黑不過是時(shí)間問題，你沒辦法攔住國家支持的黑客。

畢竟，民族國家擁有各種各樣的網(wǎng)絡(luò)武器和資源，包括零日漏洞利用程序、最頂尖的人才、各類間諜機(jī)構(gòu)、廣泛的通信竊聽，以及對(duì)硬軟件技術(shù)供應(yīng)鏈的控制。矢志攻擊的黑客總能繞過當(dāng)前網(wǎng)絡(luò)防御措施。

期待國際社會(huì)行動(dòng)不太現(xiàn)實(shí)。俄羅斯和朝鮮這種已經(jīng)作惡多端的國家早已身處制裁之下。如果朝鮮都能發(fā)射洲際彈道導(dǎo)彈而不受懲處，我們又如何能期待民族國家為網(wǎng)絡(luò)攻擊負(fù)責(zé)?

對(duì)作惡者同樣施以網(wǎng)絡(luò)反擊也不可取。因?yàn)橥鶝]有明確的目標(biāo)能夠達(dá)到報(bào)復(fù)或遏阻的效果。比如說，別人中斷了你的電網(wǎng)，但你不能也去搞攤?cè)思业碾娋W(wǎng)，因?yàn)槟菚?huì)影響到平民，不符合道義。

不過，這并不意味著公司企業(yè)就不能反擊。相反，公司企業(yè)應(yīng)配備用于發(fā)現(xiàn)零日漏洞和未知攻擊的技術(shù)及過程。機(jī)器學(xué)習(xí)和人工智能工具有助于發(fā)現(xiàn)可疑行為。另外，公司的安全團(tuán)隊(duì)也有理由認(rèn)為自己已經(jīng)被盯上了，因而應(yīng)該主動(dòng)追捕自家系統(tǒng)里的潛在入侵者。

因?yàn)槊褡鍑液诳筒⑽磼仐墏鹘y(tǒng)網(wǎng)絡(luò)攻擊工具，所以公司企業(yè)還需做好基本安全防護(hù)動(dòng)作，比如保證所有軟件都打上了補(bǔ)丁，保持系統(tǒng)和應(yīng)用更新等等。

最后，做好人防。很多數(shù)據(jù)泄露事件都涉及到人為失誤，而該人為失誤就讓攻擊者有了在公司網(wǎng)絡(luò)中建立橋頭堡的機(jī)會(huì)。世界上最好的安防系統(tǒng)都防不住主人家直接就把大門開啟。

與其他黑客一樣，民族國家攻擊者也是會(huì)對(duì)目標(biāo)排個(gè)三六九等的。如果某潛在目標(biāo)明顯比其他防護(hù)弱，那必須先攻擊它，其他的可以再等等。

甚至即便公司不可能防住所有高級(jí)攻擊者，也可以通過增強(qiáng)防御來降低被黑客看中的風(fēng)險(xiǎn)。同時(shí)，即便攻擊者已經(jīng)侵入網(wǎng)絡(luò)，也有大把機(jī)會(huì)可以降低所受損失。

比如說，民族國家攻擊者尋求知識(shí)產(chǎn)權(quán)之類敏感信息的時(shí)候，降低這些信息的價(jià)值就是很有效的防護(hù)辦法。這里所說的降低價(jià)值指的是加密，將他們?cè)噲D偷取的東西加密，就能讓這些東西對(duì)黑客而言毫無用處。

公司企業(yè)通常會(huì)加密具備商業(yè)價(jià)值的信息，比如信用卡和身份證號(hào)。但民族國家想找的可能是有關(guān)工業(yè)過程、戰(zhàn)略性商業(yè)交易的信息，甚至是可被用于勒索或分裂的丑聞。此類信息可能防護(hù)不周，或者毫無防護(hù)，甚或與缺乏良好安全過程的小型服務(wù)提供商共享。

現(xiàn)實(shí)生活中沒那么多解密專家，加密確實(shí)能有效保護(hù)信息。如果使用的是安全的加密方法，無論是誰都很難破解。小黑客破解密碼這種場景僅出現(xiàn)在科幻小說里。

如果加密沒用，那通常是實(shí)現(xiàn)和配置上出了問題。你得確保配置正確，采用恰當(dāng)?shù)陌踩燃?jí)，還要經(jīng)常注意加密的狀態(tài)。

另一種能提供有效防護(hù)的手段是微分隔。微分隔甚至能讓已侵入網(wǎng)絡(luò)的攻擊者無功而返。虛擬化是改變游戲規(guī)則的黑科技。用虛擬機(jī)隔離應(yīng)用，惡意軟件就失去了用處，黑客無處可去，偷不到任何東西，而企業(yè)卻可以正常工作。

未來是怎樣的?

前景并不樂觀，不遠(yuǎn)的將來會(huì)迎來更多更復(fù)雜的攻擊。我們不是正朝著各國互相攻擊的網(wǎng)絡(luò)混戰(zhàn)狀態(tài)邁進(jìn)，我們已經(jīng)深陷此種情境。有些攻擊，特別是涉及關(guān)鍵基礎(chǔ)設(shè)施的那些，都是非常嚴(yán)重，可能很快就會(huì)被認(rèn)為是戰(zhàn)爭行為的。

不過，長遠(yuǎn)看，也不是沒有希望的曙光。最初最重大的一步已經(jīng)邁出——承認(rèn)存在網(wǎng)絡(luò)戰(zhàn)問題。思想已經(jīng)開始轉(zhuǎn)變，網(wǎng)絡(luò)攻擊歸因逐步走向公開化。在過去，美國情報(bào)機(jī)構(gòu)即便已經(jīng)高度確信特定攻擊的作惡者是誰，也不會(huì)將這些歸因信息公之于眾，現(xiàn)在則不然。

接下來就是行動(dòng)了。聯(lián)合國將會(huì)采納一項(xiàng)決議，賦予受害國自我防護(hù)的權(quán)利;美國也將發(fā)出聲明，明確立場。

起草了《武裝沖突法》的那些國際勢力將在網(wǎng)絡(luò)環(huán)境下繼續(xù)彰顯自身的存在，混戰(zhàn)狀態(tài)并非各國的長期利益考慮。