导读
近年来,大大小小的网络攻击行为充斥着人们的日常生活,其中不乏对国家、企业或个人造成巨大破坏的网络间谍行动。2022年4月29日,美国智库兰德公司发布报告,详细分析了近几年美国政府机构或企业遭到“网络间谍攻击”的案例以及美国政府采取的措施,并对未来应如何应对网络间谍行动提出了建议。本文以2020年“太阳风”事件为例,结合兰德公司报告内容,对网络间谍行动进行简单的介绍,并对我国应如何应对网络间谍行动得出一些启示,供感兴趣的读者参考。
图1 兰德公司报告
01 事件介绍
2020年12月8日,美国著名网络安全公司“火眼”(FireEye)宣布自己遭受了一次网络入侵,而该公司正是以向政府部门或企业提供网络安全防护而闻名。很显然,火眼公司自己的红队(网络安全术语,特指网络攻防演练中的攻击方。译者注。)工具已经被来源不明的黑客窃取,用来学习如何利用这些工具渗透进火眼公司的内部网络。一周后的2020年12月13日,火眼公司终于追踪到该漏洞出自于美国著名网络与系统管理公司“太阳风”(SolarWinds)的信息技术基础设施管理软件工具Orion的一个更新,而该漏洞至少从2020年春天开始就一直存在。2020年12月15日,美国白宫紧急组建了一个网络统一协调小组,商讨对此次“太阳风”入侵事件的应对措施。分析师们很快就发现,许多政府机构和私营公司都是受害者,并且认为这次攻击行动很有可能来自俄罗斯的APT(网络安全术语,指高级持续性威胁。译者注。)组织。据拜登政府官方统计,有9个政府机构和超过100家公司遭到攻击,包括财政部、美国国家核安全管理局和国土安全部这样重要的政府机构都没能幸免。
图2 “火眼”公司
“太阳风”公司的软件带有高危漏洞的消息引起了全球的广泛关注。微软总裁布拉德·史密斯称这一攻击行动是“鲁莽的”,它将成千上万的太阳风客户置于危险之中;参议员理查德·德宾甚至认为“这实际上就是俄罗斯对美国的宣战”。不过,也有不少人认为这就是一次是普通的网络间谍活动,没必要用“战争行为”来定性。在“太阳风事件”之后,白宫发布了两项行政命令,其中2021年4月15日的一项就是旨在解决来自俄罗斯的“有害行动”。不过,该命令也没有直截了当地指出俄罗斯进行了“网络间谍行动”。
事实上,这并不是美国政府第一次成为大规模网络入侵的受害者,当然也不会是最后一次。第一个有据可查的计算机网络间谍案发生在20世纪80年代中期,当时美国政府发现一个归属地为西德的网络黑客入侵了劳伦斯·伯克利国家实验室的网络,窃取核机密并将其传递给苏联情报部门。随着人们越来越依赖网络进行工作,网络间谍活动也在增加。对此,兰德公司提出了许多问题:为什么网络间谍能持续成功地进攻美国政府系统和网络?美国是否能够通过有效的应对措施对这种行为产生实质性的阻拦效果?美国在未来应该如何应对这些事件?鉴于近年来各国政府或重要公司的系统和网络都在持续遭到攻击,上述这些问题值得提起所有国家和公司的重视。
图3 “太阳风”被曝出漏洞
02 网络间谍行动、威慑与回应
近年来,网络间谍已经成为一个政治热点问题。人们的观点言论可能非常激烈,甚至过度夸大,诸如“网络战争”、“战争行为”等其他类似术语被会被用来描述这些事件。前美国国家安全局局长、陆军上将基斯·亚历山大称由网络引发的知识产权盗窃是“史上最大的财富转移”。公开承认互联网会被利用作为收集情报的手段可追溯到1996年,当时国防调查局(现在的国防反间谍和安全局)警告说,互联网正在迅速成为间谍行动的媒介。
同样的,反间谍行动在历史上很普遍,网络空间的反间谍行动也一直是学术界研究的主题。2020年,美国发布《国家反间谍战略》,提出“打击外国情报网络和技术行动”的目标,不过,除了更好地整合整个政府的情报和安全职能、增加训练有素的网络反情报专业人员队伍、增加网络反情报窃取能力之外,它并没有说清楚究竟该如何进行反间谍行动。
图4 美国《国家反间谍战略》
网络间谍行动给国家政府带来了巨大的麻烦,因为它可以对国家安全造成相当大的破坏,所需的投资却相对较少。互联网计算机的普及、信息存储更加集中、跨系统或网络的连接越来越多……这些现实使得网络进攻造成的破坏规模可以非常大,犯罪者甚至不需要踏上被攻击国家的领土就可以对暴露在互联网上的计算机进行攻击,还可以利用海量信息及技术手段突破到内部网络中。网络间谍可以在他们自己的国家安全运作,而这些国家通常也会保护他们免受传统反情报行动的影响。
“太阳风”事件促使美国政府开展了大量行动,去填补其网络安全防御系统中的漏洞。拜登政府发布了一项关于美国网络安全优先事项的行政命令,指示联邦部门和机构制定计划,准备建设“零信任网络架构”(网络安全术语,指将网络防御的边界缩小到单个或更小的资源组,其中心思想是企业不应自动信任内部或外部的任何人/事/物、不应该根据物理或网络位置对系统授予完全可信的权限,应在授权前对任何试图接入企业系统的人/事/物进行验证。译者注。)。显然,改善政府系统的网络安全态势是非常必要的,但这样做仍不足以防止未来的攻击事件发生。
兰德公司建议,美国政府可以采取以下一系列措施来应对网络间谍行动:
● 经济措施:对政府官员、个体黑客和私人组织进行制裁,比如实行旅行限制等(单边实施或与其他国家联合)。
● 政治/外交措施:警告、驱逐对应国家政府官员、召回大使。
● 情报:跟踪APT组织,进行秘密的反间谍行动,发布敌人使用的恶意软件的信息。
● 执法行动:资产扣押、拆除基础设施、民事诉讼等。
● 军事行动:网络武力展示,针对政府系统和灰色地带进行防御性网络行动、针对敌对黑客组织和基础设施进行进攻性网络行动,以及传统军事行动等。
03 对我国的启示
(一)促成国际统一的网络空间行为规范
多年来,网络空间的国际行为规范引发了大量关注,而美国在网络空间的行为造成了这样一种局面:美国不愿意考虑某些反网络间谍的应对措施,因为美国自身就是网络间谍最多的国家。因此,我国需要加大外交努力,促成国际社会为网络空间行动建立明确的准则。我国可以广泛开展合作,形成一个统一战线,并呼吁对可能产生巨大影响的网络间谍行动多加关注。
图5 联合国网络空间负责人国家行为框架和规范
(二)完善网络间谍相关法律法规
我国已相继出台了《国家安全法》《反间谍法》《保密法》与《境外非政府组织境内活动管理法》等涉及国家安全的法律,对传统间谍行为的防范具有重要作用。虽然具有全面规范网络空间安全管理方面的《网络安全法》和对个人信息安全具有重要意义的《个人信息保护法》已经颁布实施,但是,现有法律对网络间谍还未有明确的表述。网络间谍在计算机技术上的优势显著,手段复杂多样、后果破坏性巨大,因此,关于针对网络间谍方面的法律内容,应予以细化和补充。
(三)构建能够快速反应的网络防御架构
当前,网络攻击无时无刻不在发生,这是一个持续的、无法完全避免的问题。无论敌方网络访问的手段是复杂的还是简单的,如果我们不能迅速发现对手,对手就有时间在系统中移动、识别它希望窃取的关键信息,并且往往可以在移动中掩盖其踪迹。所以,应当努力构建能够快速反应的网络防御架构,在确保关键信息不会被很快窃取的前提下,力争做到提前感知、预先反应和尽快消除威胁,达到“动态平衡”的相对安全态势。美国已经在更广泛地扩大和部署其网络猎手团队,国会赋予了网络安全和基础设施安全局(CISA)新的权限,允许其与相关企业合作共同为盟友国家提供网络进攻服务,加强我国的网络防御能力已是刻不容缓。
(四)发展并使用网络反间谍技术
最常见的网络反间谍技术之一就是蜜罐,它通过模拟一个或多个易受攻击的主机或服务来吸引攻击者,捕获攻击流量与样本,发现网络威胁、提取威胁特征,从而在真正需要保护的目标上加以针对性的防护。第二个就是在网络上暴露虚假信息,创造看似合法、重要的虚假信息和数据,使对手分析得出错误的结论,或者对是真是假感到困惑。此外,我国还应在网络间谍问题上与其他志同道合的国家合作,积极开展网络溯源。
文字 | 秦中南(国防科技大学)
图片 | 来源于原报告和网络
编辑 | 张如意
审阅 | 陈雨淼
友情支持 | NUDT战略研究俱乐部
声明:本文来自军事高科技在线,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。