至暗時刻:如何應對全球網絡安全威脅?
作為全球互聯網科技的領導者,美國近期遭遇歷史級別的網絡攻擊。攻擊目標不僅包括美國政府機構,還包括網絡安全以及科技企業。發動這種級別網絡攻擊需要具備全球頂級網絡攻擊能力,這無疑是國家級別的攻擊行動。
攻擊事件給國際社會敲響了警鐘:現在要以清醒的眼光看待所面臨的日益增長的網絡安全威脅,并致力于加強網絡安全國際合作,以及政府和科技企業之間的深入協作,采取強有力和協調一致的全球網絡安全對策。
一、全球網絡安全威脅演變的三個趨勢
2020年可謂網絡安全的分水嶺之年。全球網絡安全威脅正在朝三個方面不斷演變。首先,國家級網絡攻擊的決心和復雜性正在持續上升,全球的網絡安全風險正在不斷增加。其次,國家級網絡攻擊借助私營企業蔓延至政府機構,甚至一些私營企業助長了國家級攻擊。第三,在全球新冠大流行背景之下,攻擊者仍然毫無禁忌。三種趨勢疊加起來,全球網絡安全威脅態勢正在變得更加嚴峻。
1. 國家級網絡攻擊的決心和復雜性持續上升
國家級的網絡攻擊具有波及范圍廣、復雜性高和影響力顯著的特點,故從波及范圍、復雜性和影響力等三個方面分析這起歷史級的網絡攻擊事件。
從波及范圍上來看,這起網絡攻擊事件使得全球的技術供應鏈面臨風險。受害者不僅包括政府機構,也包括網絡安全公司、科技企業以及非政府組織。這起網絡攻擊事件中,FireEye作為美國政府的網絡安全服務公司,其供應鏈軟件中包含了太陽風(SolarWinds)公司的網絡管理軟件,而攻擊者已經事先將惡意軟件嵌入到這款網絡管理軟件產品中。此外,該產品同時被全球超過17000家的公司客戶安裝,成為全球技術供應鏈脆弱性的重要來源,波及了除俄羅斯之外的諸多國家,而且數量正在不斷增加。
從復雜性上來看,這起網絡攻擊事件反映了復雜的軟件供應鏈安全問題。針對軟件供應鏈的攻擊相對于傳統的針對軟件漏洞的攻擊相比, 軟件的攻擊面由軟件本身的邊界擴大為軟件本身以及內部的所有代碼、模塊和服務的邊界, 以及與這些模塊相關的供應鏈上游供應商的編碼過程, 開發工具和設備的邊界。
此外,國家級網絡攻擊的復雜性還體現在人工智能化的趨勢上,攻擊者正在利用人工智能將個人相關的大量被盜數據武器化,并利用短信和加密短信應用程序傳播有針對性的造謠信息。值得注意的是,這種攻擊需要國家儲備高端人才,能夠真正支撐這種復雜攻擊的國家的數量有限。
從影響力上來看,這起攻擊是一種基于間諜活動的網絡攻擊,表面看起來實施的主要目標是美國政府以及相關的網絡安全公司和科技企業,竊取的是美國政府機密信息。但是,攻擊者的目的在于構建國家級的情報機構,從影響力上來說,此次攻擊事件是對全球關鍵基礎設施的信任和可靠性的攻擊,有力地提醒國際社會,每個國家的人民都處于網絡安全威脅之中。
2. 國家級網絡攻擊正與私營企業的技術融合
私營部門攻擊者(Private Sector Offensive Actor,PSOA)這一名稱的誕生反映著網絡攻擊的私有化趨勢。總部位于以色列的NSO集團是網絡攻擊私有化的典型代表,目前牽涉美國訴訟之中。NSO研發了一款名為Pegasus的應用程序,并將其出售給政府,用戶只要通過WhatsApp調用設備即可將該應用程序安裝在設備上,中間不需要用戶許可。目前,NSO已經使用Pegasus非法訪問了1400多個移動設備。這一事件背后反映了私營企業的技術和國家級網絡攻擊之間的日益融合。多倫多大學發現了超過100例濫用NSO技術的案例。此外還有越來越多的企業正在加入這一高達120億美元的技術市場。
3. 國家級網絡攻擊正在與社會危機交叉結合
全球范圍的新冠疫情大流行已經導致數百萬人喪命,人們或許想當然的認為新冠疫情會使得世界范圍內的網絡攻擊停下腳步。然而,事實并非如此。
國家級的網絡攻擊鎖定了醫院和公共衛生部門,從地方政府到世界衛生組織。當人類社會正在爭先恐后地研發疫苗時,一些國家級網絡攻擊者卻將目標轉向了直接參與新冠疫苗和治療研究的著名公司。2020年4月,世界衛生組織發表聲明稱,疫情期間遭受網絡攻擊數量急劇增加,攻擊數量同比增長5倍。約有450個世衛組織及數千名相關工作人員的郵箱、密碼遭到泄露 。
二、全球網絡安全威脅應對措施
總的來說,全球網絡空間治理需要有效的國家和全球戰略。該戰略強調網絡空間治理的國內外合作,即對內要加強政府與企業之間合作,對外加強國家之間的合作。通過國內外合作共享情報信息和最佳實踐,不僅僅是網絡安全保護方面,而且在防御措施和應對措施方面進行協調。
1. 加強和完善網絡安全威脅情報共享和分析能力
在美國9·11事件20周年即將來臨之際,或許國際社會應當銘記一個深刻教訓——美國當時所有的政府機構都無法將數據單點連接起來建立整體的知識庫。因此,該事件調查委員會的一項建議特別強調“統一戰略情報”,情報信息不僅“需要知道”而且要“需要共享”。
要充分認識到網絡安全威脅情報要比傳統的國家安全威脅情報信息更為分散的特點,不僅需要在政府機構之間共享,而且也需要在企業之間、政府和企業之間進行共享。當出現重大網絡安全威脅時,各個組織和機構更加需要共享信息和集體評估。因此,要以網絡安全國家和全球戰略為基礎,加強和完善國內外的網絡威脅情報共享和分析能力,采取切實有力的措施,促使各個國家或地區、各個組織或機構協調一致地行動。
2. 建立和健全網絡安全國際準則和法律體系
網絡安全沒有國界,國際社會應當共同努力應對全球網絡安全威脅。各個國家不僅要建立健全國內網絡安全法律體系,而且還要推動國際社會建立健全網絡安全國際準則和法律體系,填補網絡安全國際法空白,為網絡空間制定明確且具有約束力的法律義務,約束不計后果的國家行為。
此次歷史級的網絡攻擊事件發生后,一些美國專家呼吁美國及國際社會要吸取教訓,以現有經驗為基礎,優先考慮關鍵領域,制定網絡安全國際規則。例如,明確禁止類似于針對太陽風公司及其客戶的廣泛和不計后果的攻擊活動,這些活動篡改了合法軟件,威脅到全球軟件供應鏈的穩定。此外,需要采取強有力國際規則明確禁止針對醫療機構和疫苗供應商的攻擊行為。
這些美國專家特別提到聯合國政府專家組2015年的一份報告,該報告于2019年在聯合國獲得廣泛認可,并得到了全球網絡空間穩定委員會(GCSC)這一多方利益相關者的支持。并呼吁美國政府及其盟友明確表明他們的觀點,即這種供應鏈攻擊不屬于國際法的范疇。
此外,各國政府應當采取協調一致的措施,阻止私營部門攻擊者PSOA的崛起。如前所述,以色列的NSO集團等這種類型企業實際上已經構建了一個新的網絡攻擊生態系統,以支持國家級的網絡攻擊。
3. 建立強有力的網絡安全國際聯合執法機構
國際社會應當建立類似于國際刑警組織的強有力的網絡安全國際聯合執法機構,懲治國家級的網絡攻擊的行為體,維護網絡空間秩序。近年來,一些國家的政府和私有企業采取了強有力的措施,要求國家級網絡攻擊行為體負責。但需要特別注意的是,網絡安全國際聯合執法的前提是要在聯合國框架內,以公正的網絡安全國際法為準繩,以事實為依據,要堅決反對出于政治目的無端指責,堅決反對濫用國內法對別國內政進行橫加干涉、妄加制裁的行為。
三、2021迎來全面提升的機會
SolarWinds攻擊事件不僅展示了傳統間諜行動不斷采用的最新技術,還反映數字供應鏈以及我們重要經濟和政治機構的廣泛危險性。
在數字技術創造的世界,顯然不能依靠政府獨自的行動達到有效的目標。維護數字世界安全需要政府機構和科技公司以新的方式合作——共享信息、加強防御和應對攻擊。新的一年的到來,提供了全面進步的機會。
