风险低回报高,如何才能阻止黑客行为?

2015年春天,美国面对的外部网络攻击频率和严重程度不断增加,奥巴马做了一项重要声明。

总统称,针对美国的网络攻击、破坏行为给国家安全、外交策略和经济带来了“非同寻常”的威胁,他宣布国家进入应对此类威胁的紧急状态。这项行政命令允许当局对那些攻击美国关键基础设施的人或是窃取美国机密的人实施制裁。

从那时起,美国的国家紧急状态被延长了三次(每年都必须重新确认),但是针对美国及其盟友的攻击仍在继续。

事实上,正在进行的国家紧急状态并没能阻止近几年针对美国日益增长的黑客活动:2016年俄罗斯干扰美国大选就是一例。

俄罗斯并非唯一用网络攻击达到目的的国家——而且并无停止迹象:美国政府及其盟友一直在抱怨中国、伊朗和朝鲜的行为。

虽然有多年的制裁、诉讼和其它打击黑客的尝试,但是黑客行为仍在继续。专家警告称,要想这种情况得到控制,或许需要20年时间。那么为何如此难以阻止黑客呢?

政府如何阻止黑客?

并非美国没有试过去阻止黑客,不过美国及其盟友所利用的技巧效果不佳。火眼公司网络情报团队负责人里德(Benjamin Read)称:“黑客的入侵活动和入侵尝试一直持续。”

当然,网络安全对政治家们而言是一个棘手的概念。外国机构潜入电脑系统窃取机密已经够疯狂了;如果是敌对国入侵本国电脑来控制关键基础设施,比如控制发电站造成破坏,着实令他们觉得恐怖。

但是,政治家们试图在缺乏清晰合法架构的情况下尝试“网络”的概念,黑客和间谍机构在对他们的尝试进行试验,看自己能做什么、不能做什么。正是这种不确定性和规则的缺乏,以及明显的威慑,导致了网络乱象。

网络攻击成本是如此的低廉:不需要大型武器,只需要一小队聪明的黑客和一些电脑,就可以实施令大国头痛的网络攻击。对于没什么选择余地的国家而言,网络攻击就是其潜在武器。

而令网络攻击具有诱惑力的另一原因是,很难揪出对攻击负责的人。很多国家通常会把这类入侵任务外包给一些雇佣黑客,这些人善于掩盖自己的行踪,很难被抓住。例如,此前对法国TV5Monde电视台的一次入侵,最初被认为是与ISIS组织有关的“Cyber Caliphate”所为,但是现在又被指责与俄罗斯背景的黑客有关系。

常被遗忘的复杂现实是,所有的国家都存在间谍行为。即便是对盟友也不例外,其目的是知己知彼(有一条不成文规定,在涉及间谍、数据等时,国防承包商和政府机构被认为是平等竞争)。

对于西方政府而言,很难区分国家管理的必要行为和无法接受的行为——如,工业间谍活动,干扰选举,网络攻击甚至是网络战。

攻击既廉价又容易,所以黑客没有拒绝的理由。更何况还那么难被追踪。

如何建立网络威慑?

现实情况很复杂,而西方政府却想打造某种威慑网络攻击的模式。

“制裁之根本在于提升黑客的犯罪成本,”皇家联合服务研究所(RUSI)高级调查员罗森(Ewan Lawson)说。他此前在联合军队司令部负责网络战的研究。他还说:“我们此前倾向于以两种方式来制裁网络攻击行为,一是是增加网络攻击成本,二是增加惩罚力度。”

加强防御应该是容易做到的。许多低级攻击(如美国FBI和英国GCHQ最近警告俄罗斯对路由器和网络基础设施攻击)很容易被基础安全措施抵御,如更改默认密码。

然而,虽然政府对自己的系统有更多的控制权,但却不能强制要求企业和个人改善其网络安全,这才是真正糟糕的事情。它意味总会有后门等待黑客开启。

据统计,英国超过三分之二的关键基础设施在过去两年遭遇过IT中断,其中有三分之一很有可能是网络攻击造成。鲜少有公司在遭受黑客持续攻击后能幸存,更少有公司能抵御国家支持型攻击的强度。

2017年美国国防部对网络制裁的报告上就指出:“一个令人遗憾的事实是,至少未来五到十年,我们最强大的潜在对手的网络攻击能力有望远超美国的防御能力,以及加强关键基础设施弹性的能力。”

解决威慑的另一种尝试是增加黑客的攻击成本——已经变得更复杂。

今年早些时候,美国国家情报局主任寇池(Dan Coates)曾警告称,俄罗斯、中国、伊朗和朝鲜将利用网络实现战略目标,除非他们的网络活动造成明显的不良后果。

然而,有效的威慑方法仍在寻找中。

一些国家支持型黑客在寻找商业机密,一些在寻找可用于未来攻击的漏洞,一些在伺机偷钱——还有一些则在搅浑水。一些黑客还想把这些都包揽。这些动机都需要不同的响应机制。

“为了找到有利于美国的有效威慑方法,我们不仅要思考网络安全的防御和攻击,还要考虑各国的文化差异及其动机,” 美国新任安全官员鲁道夫(Trevor Rudolph)说。他曾在奥巴马政府期间任职美国行政管理和预算局的网络和国家安全司司长。

在去年下半年,美国及其盟友尝试过各种阻止国家支持型黑客的方法,包括公开信息、制裁和起诉,甚至是对入侵者实施网络攻击。

政府对传统军事打击有很多响应措施,因为自有国家以来,他们就在处理这类情况,但要应对网络攻击却不那么容易。安全公司CrowdStrike CTO阿佩洛维奇(Dmitri Alperovitch)说:“最终并不是用网络方法响应网络攻击,而是要综合所有的国家工具进行打击,包括外交、经济、军事等。”

网络威慑中的试验与错误

美国多年来尝试了许多不同的打击策略。

2016年3月,美国指控七名伊朗人对美国多家公司实施DDoS攻击;一名伊朗人还被指控非法访问美国大坝的控制系统。2018年3月,美国司法部指控九名伊朗人从140多个美国大学和30个美国公司处窃取了超过31TB的文件和数据。

美国还试过对朝鲜实施制裁,因为后者攻击了索尼影业,这是美国首次对网络间谍实施制裁。

尽管不明朗,但是美国或许已经对朝鲜攻击索尼影业一事做出回击,而回击方式就是对朝鲜实施短时间断网,即便如此,对朝鲜网络活动的控制也收效甚微。

而朝鲜仍在利用网络攻击获取情报,特别是窃取资金。

虽然对中国、伊朗和朝鲜网络活动的控制效果有限,但目前美国面对的最大挑战还是来自俄罗斯。

俄罗斯被指责攻击过民主党全国委员会,继而造成后者邮件泄露。俄罗斯支持的黑客团体还被指控在2016年美国大选期间,在社交媒体上利用谣言编造一些评论削弱民众对美国政治体系的信任。

俄罗斯对此进行了否认。普京总统否认俄罗斯干扰了美国大选,不过他没有排除俄罗斯黑客是否牵涉其中。

2017年,普京总统再次告诉记者:“如果他们爱国,可能会继续攻击行为,因为他们相信这是为俄罗斯匡扶正义。”2018年3月,普京再次否认了俄政府参与其中,并向NBC新闻台表示:“你们凭什么说俄罗斯当局让人来做这个事情?”

美国情报局警告称,俄罗斯情报和安全服务部门会继续入侵美国的关键基础设施,并针对美国、北约及其盟友,以便进一步了解美国的政策。对俄罗斯的干预似乎收效甚微。

时任NSA海军上将罗杰斯(Mike Rogers)在2018年2月向CNN表示,代表俄罗斯的网络活动并未发生改变。黑客付出的代价不足以改变他们的行为。

2016年12月,奥巴马总统对此作出的回应是驱逐了两名俄罗斯外交官,并关闭了两处俄罗斯大使馆。而特朗普总统在2018年3月则补充了新的制裁措施——这些制裁在七个月前就已被国会通过——并指控俄罗斯试图攻击美国的能源网。批评家认为这些制裁还不够。

众议院情报委员会的高级民主党人希夫(Adam Schiff)称:“这些制裁令人失望,且其制裁效果远远低于网络攻击对我们民主的损害。”(5月份出台了更多对俄制裁。)

事实上,特朗普对黑客活动的反应加大了威慑俄罗斯的复杂性。在大选期间,他曾开玩笑邀请俄罗斯网络攻击希拉里,而在赢得大选后,他最初并不愿意指责俄罗斯干扰大选。

公开指责的局限性

美国取得成功的一些策略就是公开俄罗斯的攻击行为;这也需要协调其他国家。鲁道夫称:“美国政府利用自身资源和方法单方面称,‘这个国家干了坏事’,其做法会引起争议。我认为更有效的方法是,某个国际组织和国家组织站出来并说明谁干了什么事。”

2018年2月,七个国家——美国、英国、丹麦、立陶宛、爱沙尼亚、加拿大和澳大利亚——指责俄罗斯利用勒索软件NotPetya进行攻击,而新西兰、挪威、拉脱维亚、瑞典和芬兰都表示支持。2018年4月,美、英和澳大利亚还抱怨俄罗斯干扰了路由器和互联网基础设施。

建立更广泛的联盟使得一个国家更难脱身。但是公开指责或许对一些国家的工业网络间谍有用(至少短期有效),但是对俄罗斯的攻击似乎没有特别的效果。俄罗斯政府好像对此无所谓。

而且,俄方一再否认执行过此类攻击,也不在乎公开指责。

鲁道夫说:“如果你看看俄罗斯政府,你就必须将单方面制裁和国际制裁以及真正的报复性威胁相结合。奥巴马政府期间对俄罗斯干扰大选的响应措施做得不够。”

网络安全专家辛格(Peter Singer)更是在今年1月的一篇文章指出:“在国家能力和具有引导性的全球准则融合的过程中,建立网络威慑,一直是美国网络安全的基石。目前,这一情况不仅是遇到挑战而已,而是彻底崩塌。”

那么强硬的打击应该是怎样呢?RUSI的罗森建议,瞄准俄罗斯的寡头及其财富可能是有效的。他说:“这有一定的风险,而我们现在做的不太好的一点就是接受风险。没有什么是百分之百有回报的,但是啥也不做也不行。”“目前俄罗斯做这些是没什么后果要承担的。对普京亦然,”“目前,西方政府有过什么措施对俄罗斯奏效吗?”“没有什么有效方法,而我跟俄罗斯人聊过之后,他们也有同感。”

不过鲁道夫看到了一些积极改进。美国计划加大投资以确定攻击主导者的身份。2017年出版的《国家安全战略》特别提到,美国计划投资提高美国对网络攻击追根溯源的能力,且现在越来越意识到没有万金油式的方法。

鲁道夫称:“特朗普政府开始做出改变了,我相信他们会推出不同的响应方案,而且会针对不同的国家,这是以前所没有的。”

网络威慑下一步往何处发展?

各个国家可以随时改变他们的网络攻击和入侵方法。

北约“锁盾”军演参与者。多种模式被用于不同突发事件的响应。 图片来源: 北约

2009年的时候,俄罗斯热衷于与美国签订有关网络武器使用的条约。这样可以禁止一些国家在其他国家的系统中嵌入代码,而且禁止使用欺骗手段掩饰网络攻击源。然而,美国当时并不感兴趣。特朗普在2017年的时候也有过此想法,希望美俄建立一个“牢不可破的网络安全部门”以阻止针对选举进行的攻击,但未果。

鲁道夫说:“对于我们能否制订出有意义或有效的威慑策略,我表示怀疑,”或许要几年,甚至几十年的时间,才能对网络间谍和网络战实施有效管控,所以各个国家会继续找准定位,直到建立规范。如果不尽力建立可接纳的界线,那么意外升级的威胁仍然存在;如果界定的标准不清晰,那么一次相对小型的网络攻击可能迅速演变为全面对抗。跟让人担心的是,政府要对抗的网络攻击还会因时而变。随着社会对科技的依赖越来越深——如物联网——发生大规模网络攻击灾难的风险将增加。

2017年的网络威慑报告指出:“对国内关键基础设施发起的大规模网络攻击可能以切断电源、资金源、通信源、燃料和水源的方式的方式制造混乱。因此,我们目前还只见到网络攻击之影响的冰山一隅。”

政府或许会选择用最大型的军事武器阻止最大型的攻击。最近,有人认为,破坏程度极高的网络攻击可能导致核反应,并非所有人都觉得这种说法很牵强。

鲁道夫说:“我认为,在思考大规模网络攻击的范围和规模,及其后果时,国家安全圈缺少创造力,所以我认为核威慑是有意思的一种说法——这是真正有效威慑发展的一部分。虽目前尚不可知,但二十年后就不好说了。”

未来的一个复杂之处是,竞争对手对于国家安全的定义以及维护国家安全方式不同——而理解这种差异将是创建合作规则的关键。因此,网络战的关键是人与人之间沟通,而非简单的电脑代码。

RUSI的罗森认为,西方政府的对手没有遵照相同的规则行事,所以保持对话是很有必要的,至少要开始寻找彼此的界线。

例如,俄罗斯非常担心西方国家通过互联网影响其国民,重蹈过去用广播电台影响其国民的覆辙,而自身干扰他国大选的行为却是可以接受的。罗森说:“这就需要继续对话,” “如果要20年的时间来出台规范,那某种程度上也是我们自己不参与导致。” 

但是,现在,许多国家都认为,用黑客实施间谍、破坏、转移注意力和窃取对手信息是一种便宜有效,相对没什么风险的选择。除非这种想法发生改变,否则这种情况会继续维持。

网络威慑简史

过去几年,美国等国家做过多种尝试来阻止俄罗斯、中国、朝鲜和伊朗等国的网络攻击。

2014年12月

在奥巴马表示美国将针对朝鲜攻击索尼影业一事以自己的方式作出回应后,朝鲜被断网了一段时间。如果这就是美国的回击,那么这是美国第一次针对网络攻击进行公开反击。

2015年1月

针对朝鲜2014年11月和12月的破坏性网络攻击,美国政府对朝鲜实施制裁。这是第一次以制裁的方式回应网络攻击.

2015年4月

奥巴马宣布了国家网络进入紧急状态以应对网络攻击,并表示:“来自美国本土或外部的恶意网络活动十分猖獗和严重,对美国国家安全,外交政策和经济带来了不寻常的威胁。” 一道行政命令授权制裁那些在网络上攻击美国并带来严重威胁的个人和组织,而且允许当局冻结其资产,或者制裁那些使用被盗商业机密的公司。

2016年3月 

针对七名伊朗人提起诉讼,因为2011年末到2013年中,这七人对美国46家公司实施过DDoS攻击,这些公司大多属于金融行业。还有一人被指控在2013年8-9月期间非法入侵鲍曼大坝的监测控制和数据采集(SCADA)系统。

2016年12月

美国针对俄罗斯干扰美国大选发起制裁。白宫表示:“俄罗斯的网络活动意图影响大选,这有损公众对美国民主机构的信任,让公众怀疑选举过程的完整性,而且也公众对没够政府机构的信心。这些行为不可接受亦不可容忍。” 2015年4月的一项行政命令授权制裁那些“以干扰或破坏大选或美国机构为目的,篡改信息或导致信息不对称的人。”

2017年2月


国防部国防科学委员会就网络威慑发出警告,称“显然,美国急需更具前瞻性,更系统化的方法来遏制网络威慑。”

2017年3月

国家网络紧急状态被延长。时任白宫新闻发言人的斯派瑟(Sean Spicer)说:“总统认为,网络活动一直为美国的国家安全和经济繁荣带来不寻常的威胁,因此他决定延长国家紧急状态。”

2017年11月


三名华侨被指控于2011年-2017年5月间,实施网络攻击,窃取贸易机密,盗用美国和外国雇员身份,以及金融、工程和技术行业雇员电脑。

2017年12月

《美国国家安全战略》称:“美国将让那些实施恶意网络活动的外国政府和罪犯付出沉重代价”。比补充道:“我们会加大投资提升美国追踪网络攻击的能力。” 

2018年2月

美英两国以为NotPetya谴责俄罗斯,并表示:“这是克里姆林宫让乌克兰动荡不安的一部分,而且也更明显地表明俄罗斯参与了这种冲突。这种鲁莽不计后果的网络攻击将导致国际影响。”

2018年3月

美国对俄罗斯干扰大选和NotPetya勒索软件施加更多制裁。美国财政部部长努钦(Steven Mnuchin)说:“美国政府正在对抗和打击俄罗斯的恶意网络活动,包括他们试图对美国选举进行的干扰,破坏性的网络攻击和针对关键基础设施的入侵。”

2018年3月 

美国司法部指控9名伊朗人,称他们执行了一次大规模网络盗窃活动,从140所美国大学和30家美国公司处窃取了超过31TB的文件和数据。

2018年3月

国家网络紧急状态再次被延长。特朗普说:“来自美国本土或外部的恶意网络活动十分猖獗和严重,对美国国家安全,外交政策和经济带来了非比寻常的威胁。

2018年4月

美英对俄罗斯的网络攻击行为提出更多指控。白宫网络安全协调员乔斯(Rob Joyce)说:“我们确信俄罗斯有计划地入侵了全球一些企业路由,SOHO办公人员的路由器,还有居民家的路由以及交换机和连接器。”

2018年5月

美国国务院公布了一份有关网络威慑的文件,警告称“需要从根本上反思。

2018年6月

美国财政部宣布对五家俄罗斯公司及三名个人实行进一步制裁,这是打击俄罗斯恶意网络活动的一部分。财政部表示,此次制裁针对俄罗斯的网络和水下能力,俄罗斯在追踪海底通讯电缆方面非常积极,因为海底电缆承载了全球大量电信通讯数据。"

本文由安全内参翻译自TechRepublic

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。