2019年6月24日,兰德公司网站发布题为“Fighting and Winning the Undeclared Cyber War”的博客文章,作者是高级工程师艾萨克R.波切三世。博文指出,缺乏国际规范意味着许多网络攻击都落入了低于全面战争门槛的灰色地带。利用这种不确定性的国家行为者对美国的安全构成严重威胁。
奥地利诗人英格堡·巴赫曼说,“战争将不宣而战”:网络战正将这一诗句转化为现实。
美国城市每天都在与网络犯罪分子和邪恶的外国行为者作斗争。最近一个月,巴尔的摩市政府资产接二连三地遭到网络攻击。这些攻击是由网络勒索者精心策划的,他们利用过时的软件安全机制来冻结数千台计算机和基本通信功能,导致几个关键的市政运营中断。
虽然仍未识别出该行动背后的黑客,但这些相同的漏洞代表了州、联邦和国家基础设施向以国家为主体的网络攻击敞开了大门。在当前的环境下,即使是黑客新手也很容易选择性地攻击美国的目标,更不用说国家行为者了。
在许多方面,国家之间的网络战已经在进行之中。缺乏既定的国际规范意味着许多网络攻击都落入了低于全面战争门槛的灰色地带。通过利用这种不确定性,俄罗斯、伊朗等国家行为者继续对美国的国家安全构成严重威胁,包括对支持运输、食品配送、公用事业和商业的关键基础设施(CI)资产的威胁。
即使短时间内失去水或电力也会对人们的安全感造成冲击。此外,任何对国家选举过程的任何真实或预计的篡改都可能同样破坏美国人的自由感。
美国政府一直面临着实施可持续网络安全战略的必要性,以确保在不断变化的网络战争环境中实现国家安全目标。本文讨论的重点仍然是3个问题:谁是这个领域的主要威胁行为者?为什么CI资产越来越容易受到攻击?美国可以采取哪些行动或政策来实现该领域更全面的安全保障?
俄罗斯的网络攻击似乎是对美国关键基础设施的最大威胁。俄罗斯黑客行动包括网络战活动的主要组成部分,包括网络间谍活动和影响力行动。其中一些黑客单位是作为俄罗斯联邦安全局的一部分运作的,而另一些则得到了俄罗斯军事情报机构GRU的支持。
据美国国土安全部和联邦调查局报告,至少自2011年以来,俄罗斯政府已经蓄意入侵美国的CI。这些系统不仅包括政府实体和能源基础设施,还包括商业设施、水资源工厂和航空机构。
在俄罗斯网络战机构的深处是一个名为26165单位的组织。该单位是GRU信号情报部门内的一个专门小组。该组织致力于通过“鱼叉式网络钓鱼”电子邮件和其他计算机入侵攻击积极瞄准军事、政治、政府和非政府组织。26165单位的代理者已在国际上运作,通过对目标组织的Wi-Fi网络进行现场攻击等方式进行黑客攻击。
正如穆勒报告所指出的那样,即使是小规模的邪恶活动也能感受到显著的效果。2017年,美国国土安全部宣布,2016年俄罗斯针对美国的21个州努力破坏其选举制度。在其中的7个州,俄罗斯黑客得以进入系统更改和删除选民登记数据。
2018年7月,穆勒起诉GRU的12名俄罗斯军事情报人员闯入民主党全国委员会的电子邮件服务器,窃取信息并通过特殊的在线网站以及维基解密将其泄露。2019年4月,联邦调查局局长克里斯托弗·雷谈到俄罗斯可能干预2020年美国大选所带来的“重大反间谍威胁”。这些黑客加上俄罗斯公司——互联网研究机构的社交媒体影响力运作,对美国民主进程构成了持续威胁。
俄罗斯黑客攻击行动也充分利用了美国电厂网络防御中的漏洞。在许多电厂中,物理和手动控制系统已升级为电子操作系统,IT已纳入所有流程。一旦在系统中采用了IT,就必须保持最新的IT及最新的IT安全性。
正如巴尔的摩事件表明的那样,这种缺陷当然可以在用于维持治理的市政IT系统中找到。为了提高效率,许多基础设施,如水处理厂,现在可以通过互联网远程操作。随着这种物联网在工业控制领域的不断扩大,邪恶行为者的攻击面呈指数级增长。虽然许多CI组织利用新技术和连接解决方案来提高运营效率,但在许多情况下,防火墙和入侵检测系统等基本网络安全保护措施尚未得到有效优先排序和整合。
美国国土安全部工业控制系统网络应急响应小组强调了3个主要的网络安全漏洞,这些漏洞已被用于攻击美国国内的CI。
第1个漏洞是缺乏有效的软件安全性。许多CI系统缺乏必要程度的安全软件设计和编码,结果导致“中间人”攻击,未经验证的用户输入以及通过易受攻击的自定义CI Web服务泄漏信息。
第2个漏洞存在于操作系统的不正确配置和维护当中。当IT安全人员无法为操作系统提供所需的补丁或忽略正确的安全选项时,系统变得更容易受到恶意行为者的攻击。此外,使用弱密码和默认密码以及过度特权的用户可能会导致访问受损和代理入侵。
第3个漏洞处于网络安全当中。由于使网络连接保持开放或无法在不断扩展的物联网中有效实施网络分段,CI信息系统已经出现了更大的攻击面并且更容易成为黑客的牺牲品。此外,远程登录策略执行不力会产生重大漏洞,黑客可以由此利用不安全网络(例如开放式Wi-Fi热点)访问用户连接。
最近,在乔治城大学网络安全法研究所,网络安全和基础设施安全局局长克里斯托弗·克雷布斯向国土安全部发表了讲话,谈到保护工业控制系统免受网络威胁的重要性。他称国内CI信息技术基础设施是网络威胁环境中的“真正前沿”。在CI网络安全中获得更强的基础可能取决于评估以及对系统性风险和能力差距的理解。鉴于CI受损产生的巨大安全性、经济和社会影响,对相关网络威胁的防护和响应仍然是美国政策制定者和情报机构的关键优先事项。
如果上述问题看似势不可挡,那是因为就纯粹的防御角度而言,前景确实很糟。由于意外因素和技术更新的步伐继续创造新的后门,进攻性网络作战相对于(大部分)防御性作战保持了优势。然而,正如“纽约时报”最近的一篇文章所述,美国现在正在积极回应俄罗斯对美国CI的入侵,并对俄罗斯发电厂进行攻击。正如著名的政治学家罗伯特·阿克塞尔罗德所说,这是针锋相对的,实际可能在理论上有效。
国土安全部提供了正确的指导,旨在为美国制定更强大的网络安全战略,重点关注更好的防御措施。具体而言,国土安全部提议美国政府寻求与工业界建立更深层次的伙伴关系,以促进一致的网络安全生态系统。这种伙伴关系可以促进更有效的协作和信息共享。
此外,国土安全部鼓励加速使用创新和新兴技术,如人工智能和机器学习,着眼于保护CI。国土安全部已经确定,通过建立全面的手册来统一政府在国防、国土安全、执法、情报和国家机构中的行动,可以更好地减轻CI受网络攻击的影响。这可以推动整个国家安全企业采取一致行动来采取防御措施。
所有这一切都很好。但是,对于今天与俄罗斯进行不宣而战(但盛行)的网络战争,自信和积极的进攻行动(以及增强的防御行动)可能是美国巧妙反击并获胜的一种方式。(郭道平)
声明:本文来自航空简报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。