從NotPetya勒索軟件的全球爆發(fā)到朝鮮對(duì)金融機(jī)構(gòu)的數(shù)字掠奪，國(guó)家支持的網(wǎng)絡(luò)攻擊如今已成為有些企業(yè)高管的首要考慮。那么，該如何抵御此類攻擊呢?

[[220534]]

2月16日，美國(guó)司法部起訴13名俄羅斯人涉嫌干擾2016年美國(guó)大選。同樣是在上周，包括美國(guó)、英國(guó)、加拿大、澳大利亞和丹麥在內(nèi)的多個(gè)國(guó)家指控俄羅斯策劃了去年夏天的NotPetya勒索軟件攻擊。

白宮新聞秘書(shū)沙拉·桑德斯說(shuō)：“NotPetya是俄羅斯政府對(duì)烏克蘭持續(xù)顛覆行動(dòng)的一部分，它進(jìn)一步彰顯出俄羅斯的此類陰謀。而且，這也是一次會(huì)造成國(guó)際性后果的魯莽而無(wú)差別的網(wǎng)絡(luò)攻擊。”

雖然2016美國(guó)大選網(wǎng)絡(luò)安全事件和NotPetya勒索軟件攻擊都帶有政治目的，但最終的受害者名單卻不僅僅局限于政治團(tuán)體和關(guān)鍵基礎(chǔ)設(shè)施提供商。邁克菲CTO史蒂夫·格羅布曼說(shuō)：“NotPetya不僅對(duì)預(yù)定政治目標(biāo)造成了重大影響，還中斷了全球范圍內(nèi)成千上萬(wàn)民間組織的IT系統(tǒng)和運(yùn)營(yíng)。我們必須讓發(fā)起攻擊的國(guó)家對(duì)所造成的全面損害負(fù)責(zé)。”

被國(guó)家支持的黑客攻擊或受到其連帶傷害的民間組織在指認(rèn)攻擊者方面是處于弱勢(shì)地位的。而政府不僅可借助網(wǎng)絡(luò)取證還擁有傳統(tǒng)情報(bào)數(shù)據(jù)，因而更易于識(shí)別此類攻擊背后的兇手。

網(wǎng)絡(luò)戰(zhàn)中，每個(gè)人都是目標(biāo)

國(guó)家支持的攻擊者通常盯上的是政治性目標(biāo)，比如民主黨全國(guó)委員會(huì)(DNC)、政府機(jī)構(gòu)、關(guān)鍵基礎(chǔ)設(shè)施和國(guó)防承包商。但事實(shí)證明，任何公司、任意行業(yè)都可能受到影響，要么遭到蓄意攻擊，要么承受大范圍攻擊的連帶傷害。

正如CrowdStrike情報(bào)副總裁亞當(dāng)·梅耶斯所言：“私營(yíng)實(shí)體每天都在黑客視線中。”NotPetya這樣的攻擊活動(dòng)可能打擊到任何規(guī)模的任意公司，針對(duì)性高級(jí)攻擊也可以襲擊任意行業(yè)任一公司。

朝鮮已經(jīng)盯上了比特幣交易所和全球金融機(jī)構(gòu)。有的黑客組織則關(guān)注特殊醫(yī)療硬件和其他技術(shù)的生產(chǎn)商。隨便哪個(gè)行業(yè)都有黑客對(duì)其下手。

今年的冬奧會(huì)也分享到了黑客的青睞。公共事業(yè)公司、顯示屏生產(chǎn)商、奧運(yùn)場(chǎng)館建筑公司、媒體公司和電信公司遭到了黑客攻擊。

俄羅斯對(duì)美國(guó)大選的攻擊完美展現(xiàn)了此類攻擊的目標(biāo)范圍能有多廣，而政府支持的調(diào)查活動(dòng)又能調(diào)用多么巨大的資源。除了上周的起訴，美國(guó)司法部還于本周二(2月20日)宣布成立新的網(wǎng)絡(luò)安全專案組，調(diào)查俄羅斯進(jìn)行的種種惡意活動(dòng)，包括：利用互聯(lián)網(wǎng)傳播暴力意識(shí)形態(tài)并招募追隨者;大量盜取公司、政府和個(gè)人信息;用技術(shù)手段規(guī)避或挫敗司法;大規(guī)模利用計(jì)算機(jī)和其他數(shù)字設(shè)備漏洞以攻擊美國(guó)公民和公司。

誰(shuí)在進(jìn)行網(wǎng)絡(luò)戰(zhàn)?所有人

俄羅斯在全球網(wǎng)絡(luò)戰(zhàn)新時(shí)代中并不孤單。2月20日，火眼公司報(bào)告稱，朝鮮正在以零日漏洞和數(shù)據(jù)清除軟件擴(kuò)張其網(wǎng)絡(luò)武器庫(kù)，目標(biāo)是韓國(guó)及日本、越南和中東的各個(gè)垂直行業(yè)。伊朗和中國(guó)的網(wǎng)絡(luò)間諜團(tuán)隊(duì)也在火眼的追蹤范圍之內(nèi)。

網(wǎng)絡(luò)攻擊并非民族國(guó)家的專利。美國(guó)和以色列就曾聯(lián)手炮制了震網(wǎng)病毒，摧毀了伊朗的核反應(yīng)堆。前美軍參謀長(zhǎng)聯(lián)席會(huì)議副主席卡特萊特上將承認(rèn)自己在泄密問(wèn)題上對(duì)FBI撒了謊。

在網(wǎng)絡(luò)黑客問(wèn)題上，人們很容易想到俄羅斯或者朝鮮，但他們肯定不是網(wǎng)絡(luò)戰(zhàn)的唯一玩家，網(wǎng)絡(luò)戰(zhàn)是個(gè)世界性的問(wèn)題。

網(wǎng)絡(luò)空間里，你可以從任何國(guó)家任何城市任意房間中對(duì)另一個(gè)組織、國(guó)家或企業(yè)發(fā)起攻擊。

這是第三次世界大戰(zhàn)?各個(gè)國(guó)家都在測(cè)試底線，看看會(huì)收到什么樣的反應(yīng)。或許還不能稱之為戰(zhàn)爭(zhēng)狀態(tài)，但類似于冷戰(zhàn)或戰(zhàn)前預(yù)備期。從事網(wǎng)絡(luò)攻擊的國(guó)家還在試圖掩蓋其身份。

外包網(wǎng)絡(luò)戰(zhàn)賦予了常規(guī)攻擊者戰(zhàn)爭(zhēng)能力

即便沒(méi)有自己的研發(fā)能力或資源，一些國(guó)家也可以用錢雇到很多犯罪組織或表面上的網(wǎng)絡(luò)安全公司為自己效力。這又給世界再加了一重網(wǎng)絡(luò)戰(zhàn)的不良影響——民族國(guó)家大力投資攻擊和漏洞利用工具，但這些工具可能會(huì)流入廣大地下犯罪世界，威脅世界人民的網(wǎng)絡(luò)、隱私及金融安全。

比如說(shuō)，著名的黑客組織“影子經(jīng)紀(jì)人”就曾泄露過(guò)偷自NSA的黑客工具。這些技術(shù)和工具很快就傳播到普通犯罪分子手中，被直接用于各種網(wǎng)絡(luò)攻擊或改造后發(fā)起勒索軟件攻擊等網(wǎng)絡(luò)犯罪活動(dòng)。

通過(guò)代理人進(jìn)行網(wǎng)絡(luò)戰(zhàn)讓歸因溯源更加困難

民族國(guó)家還會(huì)通過(guò)代理人來(lái)打響他們的網(wǎng)絡(luò)戰(zhàn)。比如說(shuō)，上周的起訴中，美國(guó)司法部就點(diǎn)了“互聯(lián)網(wǎng)研究機(jī)構(gòu)”的名。這是一個(gè)位于俄羅斯圣彼得堡的著名網(wǎng)絡(luò)水軍豢養(yǎng)機(jī)構(gòu)，被稱為“巨魔工廠”。

這是新形式的代理人戰(zhàn)爭(zhēng)。在過(guò)去，世界超級(jí)大國(guó)在戰(zhàn)爭(zhēng)中利用小國(guó)家充當(dāng)代理人。今天，他們采用各種各樣的外部組織或機(jī)構(gòu)充當(dāng)代理人，比如咨詢公司和犯罪團(tuán)伙。

這些國(guó)家對(duì)代理人的控制程度不一。有些國(guó)家采取放羊吃草策略，只要代理人支持該國(guó)戰(zhàn)略目標(biāo)，不對(duì)國(guó)內(nèi)目標(biāo)下手，他們就放任不管。有些國(guó)家則對(duì)代理人干預(yù)較多，會(huì)協(xié)調(diào)各代理人之間的行動(dòng)。其他國(guó)家則將代理人視為承包商，對(duì)其行動(dòng)嚴(yán)密控制。

這就使得對(duì)網(wǎng)絡(luò)攻擊行為追責(zé)特別困難。如果攻擊被追蹤溯源到隸屬某國(guó)的組織，我們是要訴該國(guó)對(duì)攻擊活動(dòng)失察嗎?在網(wǎng)絡(luò)事件的問(wèn)責(zé)問(wèn)題上，至今尚無(wú)定論。

各國(guó)對(duì)網(wǎng)絡(luò)攻擊的定義意見(jiàn)不一

網(wǎng)絡(luò)攻擊是什么?圍繞這一點(diǎn)還存在一些敏感問(wèn)題有待解決。比如說(shuō)，在某些國(guó)家，傳播特定文化信息或政治信息都算犯罪。甚至將網(wǎng)絡(luò)攻擊局限在針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的攻擊上都可能引發(fā)爭(zhēng)議。

在聯(lián)合國(guó)商討該問(wèn)題的外交官們刻意回避了關(guān)鍵基礎(chǔ)設(shè)施的確切定義，因?yàn)椴煌瑖?guó)家對(duì)關(guān)鍵基礎(chǔ)設(shè)施的重視程度不同。但是，有些明顯越界的事情是達(dá)成了共識(shí)的，比如說(shuō)，電網(wǎng)受攻擊造成電力中斷，或者金融系統(tǒng)被攻擊，又或者醫(yī)院之類性命攸關(guān)的地方被黑客控制了系統(tǒng)。電網(wǎng)、金融系統(tǒng)和醫(yī)院，這些領(lǐng)域是即便沒(méi)有說(shuō)出口也被大家公認(rèn)的關(guān)鍵基礎(chǔ)設(shè)施。

同時(shí)，即便可以歸因溯源、起訴、制裁或加諸其他問(wèn)責(zé)動(dòng)作，對(duì)網(wǎng)絡(luò)攻擊的反應(yīng)也往往太過(guò)遲緩，遭攻擊的個(gè)人和公司所受損失已經(jīng)補(bǔ)不回來(lái)了。

如何防御民族國(guó)家攻擊?

安全專家往往對(duì)民族國(guó)家攻擊束手無(wú)策。民族國(guó)家擁有幾乎無(wú)限的資源，老實(shí)說(shuō)，私營(yíng)企業(yè)不太可能扛得住此類攻擊。

只要你手中握有某種形式的有價(jià)值資產(chǎn)，被黑不過(guò)是時(shí)間問(wèn)題，你沒(méi)辦法攔住國(guó)家支持的黑客。

畢竟，民族國(guó)家擁有各種各樣的網(wǎng)絡(luò)武器和資源，包括零日漏洞利用程序、最頂尖的人才、各類間諜機(jī)構(gòu)、廣泛的通信竊聽(tīng)，以及對(duì)硬軟件技術(shù)供應(yīng)鏈的控制。矢志攻擊的黑客總能繞過(guò)當(dāng)前網(wǎng)絡(luò)防御措施。

期待國(guó)際社會(huì)行動(dòng)不太現(xiàn)實(shí)。俄羅斯和朝鮮這種已經(jīng)作惡多端的國(guó)家早已身處制裁之下。如果朝鮮都能發(fā)射洲際彈道導(dǎo)彈而不受懲處，我們又如何能期待民族國(guó)家為網(wǎng)絡(luò)攻擊負(fù)責(zé)?

對(duì)作惡者同樣施以網(wǎng)絡(luò)反擊也不可取。因?yàn)橥鶝](méi)有明確的目標(biāo)能夠達(dá)到報(bào)復(fù)或遏阻的效果。比如說(shuō)，別人中斷了你的電網(wǎng)，但你不能也去搞攤?cè)思业碾娋W(wǎng)，因?yàn)槟菚?huì)影響到平民，不符合道義。

不過(guò)，這并不意味著公司企業(yè)就不能反擊。相反，公司企業(yè)應(yīng)配備用于發(fā)現(xiàn)零日漏洞和未知攻擊的技術(shù)及過(guò)程。機(jī)器學(xué)習(xí)和人工智能工具有助于發(fā)現(xiàn)可疑行為。另外，公司的安全團(tuán)隊(duì)也有理由認(rèn)為自己已經(jīng)被盯上了，因而應(yīng)該主動(dòng)追捕自家系統(tǒng)里的潛在入侵者。

因?yàn)槊褡鍑?guó)家黑客并未拋棄傳統(tǒng)網(wǎng)絡(luò)攻擊工具，所以公司企業(yè)還需做好基本安全防護(hù)動(dòng)作，比如保證所有軟件都打上了補(bǔ)丁，保持系統(tǒng)和應(yīng)用更新等等。

最后，做好人防。很多數(shù)據(jù)泄露事件都涉及到人為失誤，而該人為失誤就讓攻擊者有了在公司網(wǎng)絡(luò)中建立橋頭堡的機(jī)會(huì)。世界上最好的安防系統(tǒng)都防不住主人家直接就把大門開(kāi)啟。

與其他黑客一樣，民族國(guó)家攻擊者也是會(huì)對(duì)目標(biāo)排個(gè)三六九等的。如果某潛在目標(biāo)明顯比其他防護(hù)弱，那必須先攻擊它，其他的可以再等等。

甚至即便公司不可能防住所有高級(jí)攻擊者，也可以通過(guò)增強(qiáng)防御來(lái)降低被黑客看中的風(fēng)險(xiǎn)。同時(shí)，即便攻擊者已經(jīng)侵入網(wǎng)絡(luò)，也有大把機(jī)會(huì)可以降低所受損失。

比如說(shuō)，民族國(guó)家攻擊者尋求知識(shí)產(chǎn)權(quán)之類敏感信息的時(shí)候，降低這些信息的價(jià)值就是很有效的防護(hù)辦法。這里所說(shuō)的降低價(jià)值指的是加密，將他們?cè)噲D偷取的東西加密，就能讓這些東西對(duì)黑客而言毫無(wú)用處。

公司企業(yè)通常會(huì)加密具備商業(yè)價(jià)值的信息，比如信用卡和身份證號(hào)。但民族國(guó)家想找的可能是有關(guān)工業(yè)過(guò)程、戰(zhàn)略性商業(yè)交易的信息，甚至是可被用于勒索或分裂的丑聞。此類信息可能防護(hù)不周，或者毫無(wú)防護(hù)，甚或與缺乏良好安全過(guò)程的小型服務(wù)提供商共享。

現(xiàn)實(shí)生活中沒(méi)那么多解密專家，加密確實(shí)能有效保護(hù)信息。如果使用的是安全的加密方法，無(wú)論是誰(shuí)都很難破解。小黑客破解密碼這種場(chǎng)景僅出現(xiàn)在科幻小說(shuō)里。

如果加密沒(méi)用，那通常是實(shí)現(xiàn)和配置上出了問(wèn)題。你得確保配置正確，采用恰當(dāng)?shù)陌踩燃?jí)，還要經(jīng)常注意加密的狀態(tài)。

另一種能提供有效防護(hù)的手段是微分隔。微分隔甚至能讓已侵入網(wǎng)絡(luò)的攻擊者無(wú)功而返。虛擬化是改變游戲規(guī)則的黑科技。用虛擬機(jī)隔離應(yīng)用，惡意軟件就失去了用處，黑客無(wú)處可去，偷不到任何東西，而企業(yè)卻可以正常工作。

未來(lái)是怎樣的?

前景并不樂(lè)觀，不遠(yuǎn)的將來(lái)會(huì)迎來(lái)更多更復(fù)雜的攻擊。我們不是正朝著各國(guó)互相攻擊的網(wǎng)絡(luò)混戰(zhàn)狀態(tài)邁進(jìn)，我們已經(jīng)深陷此種情境。有些攻擊，特別是涉及關(guān)鍵基礎(chǔ)設(shè)施的那些，都是非常嚴(yán)重，可能很快就會(huì)被認(rèn)為是戰(zhàn)爭(zhēng)行為的。

不過(guò)，長(zhǎng)遠(yuǎn)看，也不是沒(méi)有希望的曙光。最初最重大的一步已經(jīng)邁出——承認(rèn)存在網(wǎng)絡(luò)戰(zhàn)問(wèn)題。思想已經(jīng)開(kāi)始轉(zhuǎn)變，網(wǎng)絡(luò)攻擊歸因逐步走向公開(kāi)化。在過(guò)去，美國(guó)情報(bào)機(jī)構(gòu)即便已經(jīng)高度確信特定攻擊的作惡者是誰(shuí)，也不會(huì)將這些歸因信息公之于眾，現(xiàn)在則不然。

接下來(lái)就是行動(dòng)了。聯(lián)合國(guó)將會(huì)采納一項(xiàng)決議，賦予受害國(guó)自我防護(hù)的權(quán)利;美國(guó)也將發(fā)出聲明，明確立場(chǎng)。

起草了《武裝沖突法》的那些國(guó)際勢(shì)力將在網(wǎng)絡(luò)環(huán)境下繼續(xù)彰顯自身的存在，混戰(zhàn)狀態(tài)并非各國(guó)的長(zhǎng)期利益考慮。