从NotPetya的全球破坏到朝鲜数字化的金融机构掠夺,国家支持的网络攻击应该成为商界领袖的头等大事。
2月中,美国司法部以干涉2016年大选为由起诉了 13名俄罗斯人和三家俄罗斯公司。同样在上周,包括美国,英国,加拿大,澳大利亚和丹麦在内的一些国家指责俄罗斯是去年夏天的NotPetya攻击时间的幕后黑手。
“[NotPetya]是克里姆林宫不断努力破坏乌克兰稳定的一部分,它更加清楚地表明了俄罗斯参与正在进行的冲突”,白宫新闻秘书Sarah Sanders称, “这也是一个鲁莽和不分青红皂白的网络攻击,将会造成严重的国际影响。”
尽管这两起袭击都有政治目标,但受害者的最终名单并不仅限于政治组织和关键基础设施提供者。McAfee的首席技术官Steve Grobman说:“NotPetya的影响超出了预期的政治目标,破坏了全球数千个民间组织的IT系统和运营。最终让国家对这种袭击所造成的综合损害负责才是至关重要的。”
面临国家攻击或遭受附带损害的民间组织在识别攻击者方面处于劣势。格罗布曼说,政府能够更好地确定这些袭击背后的凶手,因为他们不仅可以访问网络取证,还可以获取传统情报数据。
在网络战中,每个人都可以成为目标
民族国家的袭击者通常会追随政治目标:民主党全国委员会,政府机构,关键基础设施和国防承包商。越来越明确的是,任何行业中的任何公司都可能受到影响,无论是作为确定的目标还是作为广泛攻击中的无辜受害者。
像NotPetya这样的运动可以击中任何规模的公司,甚至有意识的,有针对性的高级攻击可能会影响到任何行业。CrowdStrike的情报副总裁Adam Meyers说:“私营实体每天都在被攻击。”
他表示,朝鲜目标是比特币交易所和全球金融机构。中国团体针对制造专业医疗硬件和其他技术的公司。“你说出一个行业,我可以告诉你一个我们已经看到的威胁行动者。”他说。
今年的冬季奥运会也受到了网络攻击。他表示,目标公司包括公用事业公司,显示屏制造商,参与奥运相关建筑项目的建筑公司,媒体公司和电信公司。
俄罗斯袭击美国大选是另一个袭击事件的例子,这次袭击发生在一系列广泛的目标之后,政府主持的调查可以带来大量资源。例如,除了上周的起诉书,司法部本周二宣布了一个新的网络安全工作组。该工作组将调查俄罗斯“利用互联网传播暴力意识形态和招募追随者;大规模盗窃企业、政府和私人信息;使用技术来避免或阻挠执法;以及大规模利用计算机和其他数字设备攻击美国公民和企业”。
谁进行网络战争?几乎所有人
俄罗斯并不是全球网络战争新时代的唯一参与者。本周二,FireEye报道称,朝鲜正在利用诸如零日漏洞和雨刮恶意软件等工具扩大其网络能力,目标是瞄准韩国以及日本,越南和中东的各种垂直行业。FireEye还跟踪与伊朗和中国有关的网络间谍团队。
网络攻击是双向的。美国和以色列在Stuxnet对伊朗核计划的攻击方面进行了著名的合作。James Cartwright和工作人员的奥巴马在参谋长联席会议前副主席,承认关于泄露机密的事对FBI说谎并且认罪。
Cyberbit公司首席执行官Adi Dar说:“一些人很容易看到像俄罗斯或中国存在这种网络攻击案例,但我不相信他们是唯一一个这样做的国家。”
谈到网络空间时,他说,世界是一个非常非常小的地方。“你可以坐在任何国家,任何城市,任何建筑和攻击另一个组织,国家或企业,无论它在哪里。”
这是第三次世界大战吗?IntSights联合创始人兼首席运营官Alon Arvatz表示:“各国正在测试这些限制,看看他们将会得到什么反应。我不会说我们正在参加战争,但是在某种类型的冷战或战前,国家仍然试图隐藏自己的身份。”
外包网络战武器常规攻击者
即使一个国家没有自己的内部资源,许多犯罪集团或黑幕网络安全公司也愿意在获得报酬的情况下开展工作。这与全球网络战争的另一个潜藏影响联系在一起,这些国家正在大量投资工具和漏洞,然后泄漏到更广泛的地下犯罪领域。“这些工具和技术的使用已经传播到商业领域,”Corero Network Security首席执行官Ashley Stephenson说。
最值得注意的是,黑客团体Shadow Brokers发布了从NSA窃取的工具。“技术和工具迅速传播,并与一般的坏人群混合”,他说。
通过代理进行的网络战争使得定性更加困难
民族国家也使用代理来打击他们的网络战争。例如,在上周的起诉书中,司法部挑选了位于俄罗斯圣彼得堡的网络研究机构,一个臭名昭着的troll farm。
这是一种新型的代理战争,卡内基国际和平网络政策倡议联合主任,上个月出版的“网络雇佣军:国家,黑客和权力”一书的作者Tim Maurer说。过去,全球超级大国在战争中使用小国作为代理。今天,他们使用各种各样的外部组织,例如咨询公司和其它犯罪装备。
他补充说,各国的控制程度因国家而异,一些国家采取了一种完全不干涉的方式,只要这些组织支持国家的战略目标,避免追求内部目标,他们就会采取另一种方式。一些国家加强监督,协调各组织之间的活动。另一些人则把他们当作转包商,对他们的活动严加管束。
这使得分配责任极其困难,Maurer说。如果攻击可以追溯到与某个国家有联系的集团,国家是不是可以阻止这种袭击,但是却没有呢?他说,我们在网络事件方面没有进行过这方面的讨论。
什么构成了网络攻击?国家对这一定义持不同意见
围绕网络攻击还有一些敏感问题。例如,在一些国家,传播某些文化或政治信息是犯罪行为。甚至限制对那些反对关键基础设施的网络攻击的讨论也会有问题。
他说:“在联合国进行谈判的外交官们非常有目的地回避定义关键基础设施的含义,因为不同的国家对关键基础设施的优先次序是不同的。但是在有一些领域存在默认共识,即使没有明确说明,例如如果停电,或者金融系统成为目标,或者医院以及人会死等等。”
国际社会需要时间来制定出这些标准是什么。与此同时,即使有了归属、起诉、制裁或其他行动,对网络攻击的反应通常来得太迟,无法为受影响的民众和公司带来太多好处。
如何抵御民族国家的攻击?
安全专家经常在面对民族国家的袭击时举手投降。“民族国家拥有几乎无限的资源,”RedLock的首席执行官兼联合创始人瓦伦巴代说。“实际上,我不认为,私人组织可以保护他们的基础设施不受所有这些类型的攻击。”
“如果你对某种形式或形式感兴趣,那么你是否会被突破,但当你将被突破时,就不是那么重要了,”隐形技术公司产品策略副总裁加布里埃尔古布斯说。“你不能让那个国家支持的攻击者出局。”
毕竟,各个国家有各种各样的工具可供支配,包括“零日漏洞”、“顶尖人才”、“间谍机构”、“鼹鼠”和“告密者”、“截获的通讯”、以及“硬件和软件技术供应链”。“一个意志坚定的执行者可以轻易地绕过当前的网络防御,”Bromium首席技术官弗雷泽•凯恩表示。
等待国际社会采取行动,短期内不会有多大帮助,对俄罗斯和朝鲜最严重的袭击负责的国家已经受到了制裁。“如果朝鲜能够不受惩罚地发射洲际弹道导弹,我们怎么能指望一个民族国家被控制来应对网络攻击呢?”cloud过道的联合创始人兼首席技术官卡森斯威特说。
在网络空间进行反击有其自身的缺陷。Sweet说:“通常没有明确的目标会影响报复感,更重要的是,它会起到威慑作用。例如,你不能攻击对手的电网,因为这会影响到平民。
但这并不意味着企业根本就无法反击。相反,他们应该有技术和流程来识别零日和未知的攻击,InSights公司的阿瓦兹说。机器学习和人工智能工具可以帮助发现可疑行为,此外,那些有理由相信自己正被特定目标锁定的公司的安全团队应该积极地在他们的系统中寻找可能的入侵者。
公司还需要涵盖基础知识,例如保持所有软件的补丁和更新。阿瓦茨说:“民族国家的演员们也在使用传统的工具进行攻击。最后,还有人的因素。”很多违规行为都涉及到员工犯错,而这个错误让攻击者获得了第一个立足点。Experian消费者保护副总裁Mike Bruemmer说:“你可以有最好的防盗报警器,但如果你把前门打开,罪犯就会进来。”
与其他国家一样,民族国家的攻击者也将优先考虑。他说,如果一个潜在的目标比另一个潜在的目标要少得多,那么先去追求最弱的一个目标是有意义的。即使一家公司可能无法保证他们会将所有老练的攻击者排除在外,他们也可以显著地改变他们的优势。与此同时,一旦攻击者进入,公司就有大量机会减少他们可能造成的损害。
Enveil公司创始人兼首席执行官埃里森安妮威廉姆斯说,当民族国家的攻击者在追逐敏感信息时,比如知识产权,对信息的贬低是有效的。她曾在美国国家安全局担任过12年的研究员。她澄清说,这意味着加密。“拿他们想要偷的东西,让他们没用,”她说。
公司通常专注于加密具有商业价值的信息,比如信用卡和社会保险号码。然而,民族国家可能正在寻找有关工业过程的信息、具有战略重要性的商业交易、甚至是令人尴尬的个人信息,这些信息可以用来勒索或破坏。这类信息可能不太受保护,或者根本不受保护,甚至在没有良好安全流程的情况下,甚至与小型服务提供者共享。
威廉姆斯不愿就她在美国国家安全局的工作细节发表评论,但她说加密确实有效。她说:“如果你使用的是安全、加密,无论你是谁,都很难被破解。青少年破坏真实加密的图像只是幻想。”
当加密失败时,通常是由于实现和配置的问题,她补充道。“你必须确保它的配置正确,使用适当的安全级别,并监控它,”她说。
另一种技术可以帮助保护系统,即使攻击者进入的是微分割。“虚拟化是游戏规则的改变者,”Bromium的Kyne表示。“通过将所有应用程序隔离在虚拟机中,恶意软件变得毫无用处——黑客无处可去,没有东西可偷,组织也可以像往常一样开展业务。”
下一步是什么?
随着来自更成熟的消息来源的更多攻击,近期的前景看起来很严峻。“我们不会陷入一场混战的局面,各国互相攻击,我们都被卷入了交火中。”我们已经在那里了,”瞻博网络的威胁研究主管Mounir Hahad说。他补充说:“一些攻击,特别是涉及关键基础设施的袭击,是非常严重的,可能很快就会被认为是战争行为。”
然而长期来看,隧道尽头有光线。已经采取了承认存在问题的第一大步骤。哈哈德说:“我认为美国情报界正在转向公开归因攻击的心态转变。” “过去,他们会高度自信地知道特定攻击的肇事者是谁,但这些信息不会公开。”
然而,从长远来看,隧道的尽头还是有亮光的。
第一步,承认存在问题,已经采取了行动。“我认为,美国情报界有一种心态上的转变,倾向于公开地将攻击归于自己,”哈哈德说。“在过去,他们会非常自信地知道谁是袭击的肇事者,但这些信息不会被公开。”
下一步,他说,将会有行动。要么联合国将通过一项决议,赋予受害国自卫的权利,要么美国将发表一份声明,在沙地上划一道线。“推动武装冲突法发展的国际力量同样会在这种环境中维护自己,”Cylance的副总裁约翰•麦克拉尔说。他曾是FBI的一名监管特别特工。“混战并不符合任何国家的利益。”
*参考来源:CSOonline,FB小编Andy编译。
声明:本文来自freebuf,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。