一、摘要
网络威胁中的高级威胁,即APT,是指有组织、有背景的网络威胁行为,通常是得到国家支持、甚至是国家力量直接参与的网络行动。面对这样的一种国家行为,能够与之对抗的,通常也只有国家行为。因此,从力量对比的角度出发,解决这类高级网络威胁问题,需要由国家来主导。
由国家主导高级网络威胁问题的解决,也是安全的需要。APT针对的不是普通用户,而是涉及国家根本利益的重要目标或重要网络。出于安全等方面的考虑,普通人员是不能随意接触这些涉事目标或网络的。但是,解决APT问题,又需要有涉事目标或网络的相关数据,以及对涉事目标或网络开展现场调查。如果将这些数据交给一般人员去分析,或者将调查工作交由普通的安全公司去做,就会产生新的安全风险。因此,从安全方面考虑,解决高级网络威胁也应该由国家(或政府)相关部门来承担。
下面,我们看一下美国在解决高级网络威胁方面是如何做的。
二、具体操作
2.1、美国各政府部门积极参与高级网络威胁事件
可以发现,在美国发生高级网络威胁事件时,不仅NSA(国家安全局)、FBI(联邦调查局)、DHS(国土安全部)这样的国家强力部门每次都会介入,就是商务部、能源部、司法部等部门也会经常参与。这样大规模的投入国家力量,反映出了美国政府对于高级网络威胁的高度重视。
2.2、有政府背景的企业在解决高级网络威胁事件中扮演主要角色
表面上看,美国的网络安全市场是开放的,在解决高级网络威胁问题上各家企业是机会对等的。但实际上,出于安全等方面的考虑,进入美国的重要网络是有“门槛”限制的,能够真正对高级网络威胁开展调查的,都是有国家背景的企业。
美国最重要的信息基础设施被称为NSS(National Security System,国家安全系统),它的应急响应和入侵检测工作,是由NSA负责的。NSA通过NSCAP(National Security Cyber Assistance Program,国家安全网络支援计划),设定了CIRA(Cyber Incident Response Assistance,网络应急响应支援)认证资质, 保证只有政府信得过的企业才能参与其重要网络的防御。以下是2019年的CIRA企业名单:
可以发现,在网络威胁对抗中表现抢眼的一些美国企业,比如提出杀伤链模型的Lockheed Martin,发表过“惊人”报告的Northrup Grumman,以及多次发布有“分量”APT调查报告的Mandiant 、CrowdStrike、Symantec等,都在该名单之列。
2.3、政府资助的科研机构是高级网络威胁基础研究的主力
提起高级网络威胁方面的基础研究,很容易就想到MITRE,像CVE、CWE、ATT&CK、STIX这些经常被用到的网络安全术语,就全都出自于它。而这个被网络安全界经常挂在嘴上的MITRE,实际上是MITRE公司名下多个FFDRC(Federally Funded Research and Development Center,联邦资助研发中心)中的一个。它也是美国唯一的一个网络安全方面的FFDRC—国家网络安全FFDRC(National Cybersecurity FFDRC,NCF)。名义上归MITRE管理,实际上是NIST下属的科研机构,本质上相当于是美国的网络安全国家重点实验室。从它在网络安全界的地位,可以看出,主导美国高级网络威胁基础研究的,也是政府。
三、总结
可以说,美国在解决高级网络威胁问题上,各个方面都是政府在主导。从美国的做法上,可以看出,对抗高级网络威胁这样的问题,需要由国家来主导。
声明:本文来自国家网络威胁情报共享开放平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。