2020年11月3日,英国国家网络安全中心(The National Cyber Security Centre,NCSC)发布2020年度(2019年9月1日至2020年8月31日)网络安全年度报告。NCSC隶属于GCHQ,是英国应对网络威胁的技术权威机构。NCSC创建于2016年,被作为政府的“五年国家网络安全战略”的一部分,其一直致力于使英国成为最安全的在线生活和工作场所。本次报告为机构创立后的第四个年度报告,报告对最新发展情况进行了汇总,对亮点信息进行总结。
该报告共分为七个部分,分别为:应对冠状病毒大流行、捍卫民主、建设一个有弹性的国家、主动参与、全天候保卫数字家园、提升网络技能和国际影响。报告指出,每一个人都是被攻击的目标,因此,保护自身安全被认为是应对网络攻击的有效方式。而要想抵御网络威胁需要政府、行业、学术界、个人的协同,因此,维护和保障网络安全又是一项团队运动。
报告显示,在上一个年度NCSC处理的安全事件中,大约30%都与冠状病毒有关,其通过创建“可疑电子邮件报告服务”的方式来消除这些在线威胁。为了对在家使用IT设备办公的员工进行风险管理提供指导,并降低政府部门系统中的网络安全漏洞风险,NCSC还设计了一个使用新加密技术的协议允许公共服务查询云上的敏感数据库。为提升英国整体的网络安全水平,NCSC与国防部、北约和其他合作伙伴进行合作,完成整个英国国家密码密钥企业所需的转型,在威胁和事件管理、高级加密和提供专家支持方面也都提供了关键支持。
该报告还对过去一年勒索软件的攻击情况以及未来发展趋势进行分析,指出除非防御措施得到改进,否则勒索软件将在全球和英国增加,犯罪分子将开发新技术来规避网络防御。因此,必须从全局出发,提升网络技能,培养网络安全人才,提升网络安全培养水平,创新网络安全培养内容和方式。培养下一代网络安全专家以及培养当今的从业者是当前的关键优先事项。
提升网络安全水平,不仅要立足英国国内,还要放眼全球,NCSC应当利用自身专业知识和能力优势,共享信息和与国际合作伙伴合作,提升英国海外影响力,增强英国网络安全和恢复力工作,推动网络安全问题得到最有效地解决。此外,还要了解新兴技术给英国带来的风险和机遇,创造一个网络安全蓬勃发展的环境。
本期简报对该报告中与密码相关的内容进行翻译整理如下:
一、让英国成为最安全的在线生活和工作场所
1、捍卫民主
报告第二部分“捍卫民主”指出,NCSC有助于提高国家和地方政府的网络弹性水平,确保公共部门能够依靠对基本服务、网络和数据的安全访问。在上一年度的主要活动中,NCSC所提出的建议已被作为“一个政府云战略”的一部分,同时就如何对在家工作使用IT设备的员工进行风险管理提供指导,并缓解政府部门系统中的网络安全漏洞,还通过设计了一个使用新加密技术的协议允许公共服务查询云上的敏感数据库。
2、建设一个有弹性的国家
报告的第三部分“建设一个有弹性的国家”指出,为了应对快速且不断变化的国家和国际安全威胁,NCSC通过已建立的合作伙伴关系,从保护公民、企业和慈善机构,到保护关键国家基础设施、国防和安全资产与运营等方面帮助英国尽可能地恢复活力。具体内容包括:
(1)国防、安全和弹性
NCSC与国防部(Ministry of Defence ,MOD)密切合作,以确保英国武装部队能够根据英国和国际合作伙伴安全共享的可靠信息自信地开展行动。英国最敏感的信息和最重要的国家能力都是通过使用NCSC的加密密钥(一种加密管理系统)进行保护,因为NCSC作为英国网络安全技术权威,其拥有的专业知识为这些技术的落实和开展提供了强有利的专业技术支撑。NCSC致力于确保国防部无论是现在还是未来在这一领域能力的实现。在过去的一年中,NCSC与国防部、北约和其他合作伙伴进行合作,完成整个英国国家密码密钥企业所需的转型,而这一重要合作还将继续进行。
(2)英国密钥生产管理局
NCSC安全工作的核心是为政府、军事、工业和盟国创建高度安全、加密通信所需的专业知识,保护最敏感的数据和能力,利用世界领先的加密专业知识和对竞争对手威胁的了解,在改进系统方面的努力也促进了密钥的重大新发展,实现了旧的纸质实践向现代数字实践的转变。如今,英国密钥生产管理局(the UK Key Production Authority ,UKKPA)作为NCSC的一部分,已经取代了在穿孔纸带上生产加密密钥的加密方法,更高效地以电子、高度安全的格式生产和分发密钥,满足了国家和国际防务伙伴的先进要求。
(3)保卫国家
NCSC致力于保护军事人员和国家最重要的陆、海、空资产,为安全事件和威胁报告提供支持,并对工作人员进行培训。此外,NCSC就网络安全风险和政策向海上持续威胁(the Continuous At Sea Deterrent ,CASD)提供建议,包括缓解任何潜在的供应链漏洞。
NCSC将继续巩固英国在北约中的思想领导地位,继续支持相关网络安全和加密技术等专业知识,以帮助该NCSC保护通信和信息基础设施。NCSC还领导制定了保护其安全通信免受未来量子计算威胁的北约行动计划,并为北约实施其计划提供持续援助。
战略司令部指挥官帕特里克·桑德斯将军评述:“英国战略司令部和NCSC经常携手合作,加强国防部的安全态势,并在战斗中保护国家网络和关键国家信息免受持续攻击。网络空间是最活跃的领域,NCSC在威胁和事件管理、高级加密和专家支持方面提供了关键支撑。”
二、加密勒索软件新趋势及应对
报告第五部分“全天候保卫数字家园”强调,NCSC的核心目标是使英国成为在线生活和工作最安全的地方,因此,NCSC致力于寻求帮助英国以安全可靠的方式享受数字时代。要做到这一点,首先要采取措施消除漏洞并防止尽可能多的攻击。虽然NCSC与合作伙伴全天候合作以防止网络攻击,但仍然无法完全避免网络攻击的存在。在过去的一年里,NCSC处理了723起网络安全事件,涉及近1200名受害者。这是自NCSC成立以来最高的年度总数。而由NCSC处理的加密勒索事件数量是去年的三倍多,造成了相当大的破坏和损失。
勒索软件是一种阻止受害者访问其设备或其上存储数据的恶意软件,一旦恶意软件出现在网络上,犯罪分子可以对可能影响组织服务的数据进行加密,然后将其扣留直到付款。由此,系统本身可能被锁定,或者系统上的数据可能被窃取、删除或加密。一些勒索软件还试图感染网络上的其他设备——例如2017年5月影响NHS的WannaCry恶意软件——这意味着勒索软件是无目标的,并且可能会传播病毒。如今,勒索软件攻击的方式也发生了重大变化,犯罪分子不是简单地阻止访问数据,而是窃取数据并威胁将最敏感的部分公开泄露。勒索软件攻击显然对商业更加敏感,长期以来人们都担心该类犯罪被低估。
传统上,受害者被告知无法访问自己的数据,这些数据在他们以加密货币(如比特币)付款之前不会恢复。如今,勒索软件表现出比以往任何时候都更具针对性和攻击性的新趋势:
1、介入更早
越来越多的罪犯在勒索软件部署之前就已经潜伏在网络上进行搜索,甚至寻找受害者不愿公开的特定敏感数据——如秘密专利或员工工资信息。
2、风险更高
犯罪分子更多地威胁要公开泄露最有价值的信息,而不仅仅是试图隐瞒数据。这种新的敲诈勒索趋势意味着:即使受害者已经备份了相关数据,他们仍然会面临数据被泄露的风险。
3、开发新技术迫在眉睫
现有数据表明,英国并不是最易受攻击的国家,主要是因为英国受害者比世界其他地区的受害者更不可能支付赎金。然而,通过对趋势的分析,除非防御措施得到改进,否则勒索软件将在全球和英国增加,犯罪分子将开发新技术来规避网络防御。
三、创新密码人才培养方式
报告在第六部分“提升网络技能”指出,英国网络安全未来的一个关键因素是提高技能以保护国家所依赖的服务和机构,并创造机会和优势使英国及其子孙后代受益。NCSC在实现这一战略目标方面发挥着重要作用,培养下一代网络安全专家以及培养当今的从业者是该组织的一个关键优先事项。密码人才培养的具体措施包括:
1、建立人才管道
NCSC未来技能议程中最重要的项目之一是CyberFirst,它鼓励和支持年轻人进入网络安全领域。每年夏天,英国各地的大学都会提供1100个为期五天的免费住宿课程名额,课程分三个级别提供;捍卫者(14至15岁)、未来者(15至16岁)和高级者(16至17岁)——旨在帮助学生发展网络安全领域运作所需的数字和问题解决技能。在过去的一年,成千上万的团队和中专本科生参加了相关课程和比赛,如数字取证、道德黑客、密码学和网络安全挑战。
2、提供女性指导(Girl Guides)
作为提高女性在网络安全技能中持续努力的一部分,NCSC与英国Girlguiding西南部部门合作,开发了一个名为“在网上”的活动。该倡议于2月在西英格兰大学(the West of England,UWE)发起,其中100名年龄在12至14岁之间的女孩被邀请了解网络安全以及网络技能如何能在网络安全中带来职业机会,会议主题涵盖网站定制、大数据的使用、数字取证和加密。虚构场景帮助参与者了解所学技能的相关性,也了解了学习计算机科学可以带来各种网络安全工作和职业道路。
四、推动国际加密合作
报告在第七部分“国际影响”对英国未来在国际范围的密码行动和目标提出几点要求:
1、全球视野
NCSC的技术专长为英国提供了重要的思想领导力和海外影响力来源。与合作伙伴的国际合作仍然是NCSC加强英国网络安全和恢复力工作的核心组成部分。NCSC将网络安全视为一个全球问题,可以帮助网络安全问题得到最有效地解决。通过共享信息和与国际合作伙伴合作,NCSC不仅可以更好地保护英国,还可以影响和帮助其合作伙伴为自己的国家做同样的事情。例如:网络事件关键时间应急响应协作;在全球论坛上就政策事项与网络安全领导人进行接触;与海外网络安全机构分享操作技术的最佳实践;与总部设在海外、与英国有联系的公司合作,确保其网络安全措施稳健;共享ACD服务。
2、共同强大
英国、美国、加拿大、澳大利亚和新西兰有着长期的安全联盟,被称为“五只眼”。国家之间的协调有助于在广泛的网络安全问题上实现更大程度的信息共享。这种密切工作关系的一个情况就是创建一个适用于尽可能广泛的国家和情况的事件应对手册。在NCSC领导下,利用其在事件管理方面的经验和技能,提供一种海外组织或机构可以在危机期间“现货供应”的产品,提供启动调查的最佳实践。随着网络威胁越来越多、技术越来越多样化以及破坏性越来越大,NCSC将继续推动国际合作议程,帮助增强其战略伙伴的恢复力,并帮助阻拦英国的对手。NCSC还将继续就云安全、加密和密码学以及选举安全等重要且具有挑战性的主题相互分享知识和威胁信息,将继续扩大彼此关于重大网络威胁的通知,以提高对各自国家不断演变的威胁的新认识。
3、针对事件的集体行动
NCSC自豪地与全球合作伙伴进行合作,检测和解除共享威胁,其在国际合作中的一个关键优势是网络事件管理和响应,其中与国际合作伙伴合作的能力至关重要。例如,在调查英国以前从未出现过的勒索软件感染报告时调查显示,类似的勒索软件此前已被波兰NCSC等效机构CERT Polska解密。NCSC联系了CERT Polska团队,以获取有关勒索软件变体的进一步信息,以及关于其开发的解密工具的信息。CERT Polska的团队对合作持开放态度,并向NCSC提供了解密器背后的代码,解释了如何将其转化为可用于支持英国受害者的独立工具。NCSC的密码架构师使用CERT Polska解密器构建了一个概念验证,该工具已投入实际使用。与英国受害者认证网络安全事件响应提供商——NCC Group合作,NCSC能够提供相应的解密密钥来创建该工具的多个版本,从而增加同时解密的数量,以支持受害者的恢复。
NCSC与国际和行业合作伙伴之间的运营合作示例意味着NCSC可以扩大在任何时间运行解密作业的数量——这在处理多个不同的勒索软件事件时至关重要,每个事件都有一个单独的解密密钥。这还证明了英国与海外合作伙伴的事件应对价值倾向——将受害者置于应对的中心。
附:参考资料
Annual Review 2020 Making the UK the safest place to live and work online
https://www.ncsc.gov.uk/annual-review/2020/docs/ncsc_2020-annual-review_s.pdf
(本期翻译、撰稿:冯潇洒,校对:马宁)
声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。