编者按
美国大西洋理事会的肯尼思·吉尔斯、乌克兰网络防御援助合作组织的格雷格·拉特雷、华沙安全论坛的比利亚娜·莉莉、德国武装部队大学的罗伯特·科赫近期联合撰文,研究了外国私营信息技术公司在战争期间向乌克兰提供的产品和服务,以及所面临的与其援助相关的风险和机遇,总结了相关经验教训并提供了可行的政策建议。
文章称,私营IT公司日益被卷入国际冲突中;在俄乌冲突期间,外国私营IT公司向乌克兰提供了硬件、软件和网络服务,通过提供更强大的网络架构和增强的安全性帮助乌克兰在战争期间保持在线状态;私营部门向乌克兰政府和民间社会提供的支持帮助乌克兰抵御俄罗斯网络行动和网络攻击,例如分布式拒绝服务(DDoS)攻击、数据破坏和关键基础设施的操纵。文章将私营IT公司对乌克兰的援助划分为三大类别:一是硬件,涵盖计算机、手机、数据中心、关键技术和终端等,具体如亚马逊公司的“雪球”数据迁移设备、SpaceX公司的“星链”卫星通信终端等;二是软件,涵盖操作系统、应用程序、端点及网络安全、监控及安全信息和事件管理工具、漏洞管理、远程数据中心、云架构等,具体如微软云、Cloudflare反DDoS工具、谷歌“护盾计划”DDoS保护服务、谷歌协作软件Google Workspace、ESET网络安全服务、Sophos网络安全产品、Sentinel One的Singularity平台、Vectra AI网络安全软件、Avast防病毒软件、Outpost24软件、Atlas VPN等;三是网络服务,涵盖培训、威胁情报、恶意软件检测、事件响应、安全运营中心支持等,具体如微软威胁情报、谷歌威胁情报、思科威胁情报、ESET关键基础设施威胁情报和补救服务、Sentinel One威胁情报、Bitdefender威胁情报和技术咨询以及曼迪昂特提供的网络威胁情报、监控、威胁搜寻、自动防御、恶意软件检测、缓解、事件响应和入侵评估。
文章分析认为,私营企业在地缘政治冲突中开展业务是风险与机遇共存。在风险方面,战争放大了在国外部署和维护IT存在的许多传统问题,包括距离、语言、成本、熟悉程度和兼容性;公司非安全通信可能遭到民族国家的信号情报基础设施的窃听;公司及其产品可能面临通信的机密性、完整性和可用性的威胁;公司成员安全可能会成为行动性甚至物理性威胁的目标;公司的知识产权面临对手逆向工程的风险;公司可能被视为战争参与者,并成为合法打击目标,包括对基础设施和人员的物理攻击以及威胁和制裁;持续提供免费服务的公司会面临资金运营压力。在机遇方面,公司有机会在战时对其硬件、软件和网络服务进行压力测试;公司有可能接触到国家黑客的漏洞、利用、攻击、恶意软件以及策略、技术和程序(TTP),并将所收集的信息集成到自身产品中;公司可能为其业务带来积极的声誉影响。
文章总结了私营IT公司支持乌克兰的三方面经验教训:一是私营IT企业必须能够理解国家安全问题并将其纳入公司的考量;二是各国也可以集中精力获取强化政府服务和民用基础设施所需的软硬件和网络服务;三是由于国际关系中的变量众多,从俄乌战争中汲取的经验教训应用于未来的任何战争都存在局限性,包括可能的台湾战事。同时,文章提出外国私营IT公司可从4个政策框架中受益:一是“自愿性第5条款”,即私营公司本着《北大西洋条约》第5条的精神,在认为适当的情况下以自愿、有原则、不具约束力的方式向战争参与国提供支持;二是交战规则,即努力制定一般准则,为寻求向战争参与国提供网络防御援助的私营IT公司提供建议;三是多利益相关者时间响应计划,即各国通过公私伙伴关系提前为潜在冲突做好准备,加快确定、征求和提供援助的过程;四是捐赠协调,即设立授权实体协调私营IT公司的捐赠,同时与受威胁的政府进行联络,确保了解需求、快速援助、避免重复并优化捐赠。
文章提出,展望未来,尽管支持处于战争状态的国家存在相关风险,但私营IT公司仍将继续支持乌克兰,包括保护其网络和系统,并参与其重建和数字化转型;国际社会需要建立能够支持预先规划以及有效和及时提供援助的框架,尤其是在较为成熟的集体防御和多利益攸关方事件响应两个方面;鼓励IT企业放眼未来,开始规划参与乌克兰的重建。
奇安网情局编译有关情况,供读者参考。
战争中的商业行动:帮助保卫乌克兰的IT公司
摘要:在俄乌冲突期间,外国私营信息技术(IT)公司向乌克兰提供了硬件、软件和网络情报。这项援助通过提供更强大的网络架构和增强的安全性,帮助乌克兰在战争期间保持在线状态。本文研究了所涉及的具体公司、它们提供的产品和服务,以及与其援助相关的风险和机遇。作者们整理了一份经验教训清单,并提供了可行的政策建议,以便政府和IT公司能够更好地应对这场危机以及未来的类似危机。
关键词:乌克兰 俄罗斯 战争、网络安全 公私伙伴关系
一、简介
在互联网时代,信息技术(IT)公司将越来越多地发现自己在国际冲突中处于火线之中,无论是关注基础架构还是专门关注安全。在2014年乌克兰“尊严革命”以及俄罗斯随后入侵克里米亚和顿巴斯期间,发生了许多针对乌克兰政府、私营部门和民间社会的网络行动。
本文重点介绍了在当前正在进行的战争期间,私营部门对乌克兰政府和民间社会的支持,这些支持帮助基辅抵御俄罗斯网络行动和网络攻击,例如分布式拒绝服务(DDoS)、数据破坏和关键基础设施的操纵。
我们考虑三个主要类别的贡献:
一是硬件,例如计算机、手机、数据中心、关键技术和终端。
二是软件,例如操作系统、应用程序;端点安全/网络安全、监控/安全信息和事件管理(SIEM)工具和漏洞管理;远程数据中心;云架构。
三是网络服务,例如培训;威胁情报,包括高级持续威胁(APT)、攻击面管理(ASM)工具、漏洞管理;恶意软件检测,包括失陷指标(IoCs)和签名;事件响应;安全运营中心(SOC)支持。
本分析仅涵盖向乌克兰政府或民间社会提供援助的非乌克兰私营IT公司公开披露的贡献,不评估外国政府提供的援助、根据保密协议提供的贡献或一般网络情报分析。
二、私营部门IT公司及其援助
自2022年2月24日起,外国私营IT公司向乌克兰政府提供了广泛的硬件、软件和网络服务。
(一)硬件
战前一周,亚马逊回应了乌克兰政府的公开求助。2月24日,亚马逊网络服务(AWS)政府数字化转型负责人利亚姆•麦克斯韦会见乌克兰驻英国大使瓦季姆·普里斯泰科,以编制一份来自27个乌克兰部委、18所乌克兰大学和私营企业(包括乌克兰最大的私营金融机构PrivatBank)的基本数据清单。专家们与乌克兰机构建立了安全通信线路,并会面讨论了AWS“雪球”(Snowball)设备的交付问题,这是一种数据传输设备,每个设备都能够加载80TB加密数据,以促进关键信息基础设施(CII)向AWS云的传输和存储平台。3天后,第一批Snowball设备抵达乌克兰,乌克兰CII的迁移工作启动。在战争的前4个月中,AWS获取了超过10PB的数据。
据报道,战争第1天,恶意固件更新导致许多Viasat KA-SAT调制解调器无法使用。与2017年的NotPetya事件类似,整个欧洲都遭受了附带损害。美国政府将Viasat黑客事件归咎于俄罗斯。乌克兰副总理向埃隆·马斯克发送推文寻求帮助,马斯克批准立即向乌克兰提供“星链”卫星互联网服务。在战争期间,“星链”被用于无数的军事和民用通信。泽伦斯基总统使用“星链”与盟军领导人保持联系,乌克兰军事指挥官用它来呼叫战场上的炮击。“星链”的低轨道系统与背包大小的地面站协同工作,提供高速、高度加密、高度可配置的服务。“星链”经受住了日益复杂的俄罗斯黑客攻击。2022年7月,乌克兰军队使用了约4000个移动终端,并要求增加6700个。乌克兰副总理兼数字化转型部长米哈伊洛·费多罗夫表示,乌克兰每天有15万人使用该服务,费用由“一系列利益相关者”支付。乌克兰武装部队总司令扎卢日内称赞了“星链”设备的“非凡效用”。SpaceX经受住了干扰信号和计算机黑客攻击。然而,SpaceX于2023年2月上旬阻止通过“星链”控制乌克兰军用无人机,并强调其“从未打算被武器化”。
一些公司已经在协助乌克兰的重建工作。2023年1月,米哈伊洛·费多罗夫在世界经济论坛上宣布乌克兰与诺基亚签署协议,帮助重建乌克兰电信基础设施。
(二)软件
微软云使乌克兰政府能够在战争期间提供关键服务。在战前,乌克兰政府仅在位于乌克兰境内政府大楼内的服务器上运行。这些地点很容易受到导弹袭击,其物理破坏可能会使乌克兰领导层工作陷入瘫痪。认识到这一危险,乌克兰于2月17日决定将现有的本地服务器转移到公共云,以便分配其基础设施并保护其在乌克兰境外的欧洲数据中心内的数据和数字服务。乌克兰政府现在管理来自亚马逊和微软云服务的国家数据,这也有助于保护乌克兰的教育、银行、医疗保健和人道主义服务。
战争开始时,Cloudflare提供了关键的帮助。它免费提供反DDoS工具来保护当时成为俄罗斯黑客重点攻击目标的乌克兰网络。战争开始后,Cloudflare帮助保留了乌克兰网络的功能。谷歌也迅速做出反应,为乌克兰政府和全球大使馆网站提供了“护盾计划”(Project Shield)DDoS保护的扩展资格。谷歌向乌克兰政府捐赠了5万个Google Workspace许可证,其中包括一年免费使用其云优先、零信任安全模型中的Google Workspace解决方案。目前,谷歌正在努力扩大乌克兰国家Diia数字教育门户网站的规模。
许多较小的公司也提供他们的软件解决方案。ESET向乌克兰关键基础设施提供商提供了最高等级的服务,普通用户获得了过期许可证的自动延期。Sophos为乌克兰组织和消费者提供免费访问其整个网络安全产品组合的权限。Sentinel One为乌克兰企业提供了免费访问其Singularity平台的机会。Vectra AI向可能因战争而成为目标的组织提供免费的网络安全软件。Avast向乌克兰用户提供免费许可证,并为HermeticRansom数据擦除器提供免费解密器。Outpost24提供有关俄罗斯黑客组织的免费实时威胁情报。Atlas VPN向乌克兰记者免费提供其软件。
(三)网络服务
在战争爆发前,微软在收集战略情报和在近50个乌克兰机构和企业的预置破坏性恶意软件时,跟踪了6个俄罗斯APT组织和8个恶意软件家族。1月份,微软就俄罗斯恶意数据擦除软件活动向乌克兰政府发出警报,此后微软建立了一个全天时加密通道,用于与乌克兰网络安全官员进行通信。到4月份,微软每周记录两到三起“破坏性”网络攻击(包括针对核电站的1起攻击),据信这些攻击是由俄罗斯军事情报部门实施的。微软还为乌克兰关键基础设施提供实时支持。截至6月,微软发现俄罗斯网络入侵乌克兰以外42个国家/地区的128个组织。截至7月,微软已承诺提供价值2.39亿美元的技术和财务援助。11月,微软宣布将免费技术支持延长至2023年。
谷歌帮助乌克兰政府建立了一个向手机发送快速空袭警报的系统,其威胁分析小组发布了来自俄罗斯、白俄罗斯、中国、伊朗和朝鲜政府支持的威胁行为者的威胁情报,这些威胁行为者针对乌克兰和东欧的政府、国防官员、军事组织、政治家、非政府组织和记者开展活动。曼迪昂特(现已成为Google Cloud的一部分)正在向乌克兰政府提供网络威胁情报、监控、威胁搜寻、自动防御、恶意软件检测、缓解、事件响应和入侵评估。
许多其他公司也提供了网络服务。思科Talos威胁情报团队为乌克兰的关键客户提供全天时安全支持。Recorded Future提供了威胁情报门户的访问权限以及专业工程师,并计划在2025年前在乌克兰雇佣多达100名人员。ESET为关键基础设施目标提供威胁情报和补救服务,并与乌克兰计算机应急响应部门(CERT-UA)开展合作。Sentinel One为乌克兰政府提供了量身定制的威胁情报。Bitdefender提供威胁情报和技术咨询。Boldare创建了网络应用程序UASOS来帮助乌克兰难民在乌克兰境外找到交通和住宿。
表一:2022年2月以来IT行业对乌克兰的主要公开捐赠
公司 | 信息技术类 | 信息技术类 |
Amazon | 硬件、软件、网络服务 | Snowball设备、AWS云、软件、帮助儿童学习的教育设备 |
Atlas VPN | 软件 | VPN订阅 |
Avast | 软件 | 防病毒许可证 |
Bitdefender | 网络服务 | 技术咨询、威胁情报、网络安全技术 |
Boldare | 软件 | 寻找住宿和交通的应用程序 |
Cisco | 网络服务 | 威胁情报、威胁搜寻、监控 |
Cloudflare | 软件 | 抗DDoS工具 |
ESET | 网络服务 | 威胁情报、恶意软件检测、修复 |
软件、网络服务 | 技术基础设施、数字技能、资金、培训 | |
Mandiant | 网络服务 | 威胁情报、恶意软件检测、缓解、事件响应、危害评估 |
Microsoft | 软件、网络服务 | 数据中心、云迁移、存储、威胁情报、恶意软件检测、漏洞发现、修补 |
Nokia | 硬件、软件 | 软件、电信基础设施 |
Outpost24 | 软件、网络服务 | 漏洞扫描、威胁情报 |
Recorded Future | 软件、网络服务 | 网络威胁情报、关键基础设施保护 |
Sentinel One | 软件 | 端点保护 |
Sophos | 软件 | 端点保护、网络安全 |
Starlink | 硬件、网络服务 | 卫星通讯 |
Vectra AI | 软件 | 监控工具、事件响应工具 |
(四)乌克兰网络防御援助合作
许多公司加入了乌克兰网络防御援助合作组织(CDAC),该组织于2022年3月成立,旨在促进提供网络防御工具和服务、情报支持、安全运营提升和战略建议。其中包括Avast、网络威胁联盟(CyberThreat Alliance)、Looking Glass、Mandiant、Microsoft、Recorded Future、Sentinel One、Splunk和ThreatQuotient。CDAC与乌克兰国家安全与国防委员会(NSDC)和全球网络合作中心(GC3)密切合作,将政府和关键基础设施组织的援助请求传达给参与者。总体而言,CDAC估计在2022年期间已满足了来自15个以上接收者的50多个请求,涉及1500多个硬件和软件工具以及550个培训课程,估计总价值超过1000万美元。
三、保卫战时国家的风险和机遇
当私营企业在地缘政治冲突中开展业务时,他们应该为一系列通常只与政治、人道主义和军事组织相关的风险做好准备。然而,他们的参与也可能带来重大机遇。
(一)风险
在国外部署和维护IT存在许多传统问题,包括距离、语言、成本、熟悉程度和兼容性。国家间战争只会放大这些行动考虑。寻找既掌握地缘政治又掌握技术的IT专家并不容易。大公司可能熟悉将国家安全纳入企业考虑的挑战,但规模较小或较新的公司可能会面临相当大的学习曲线。
在战争中,私营企业面临的风险远远超出了典型的企业考虑。例如,所有非安全通信都会受到许多民族国家的信号情报(SIGINT)基础设施的窃听。公司及其产品可能面临通信的机密性、完整性和可用性的威胁。团队成员安全可能会成为行动性甚至物理性威胁的目标。此外,公司的知识产权遭受对手逆向工程的风险要高得多。
俄罗斯或任何其他国家可以考虑将支持乌克兰的私营IT公司视为战争参与者,并将其视为侵略行动的“合法”目标,包括对基础设施和人员的物理攻击以及威胁和制裁。俄罗斯将一些私营IT公司人员列入制裁名单,并阻止微软参加联合国网络安全开放工作组。10月27日,俄罗斯外交部官员宣布,“星链”等西方商业卫星可能成为战争目标。美国白宫发言人约翰·柯比回应称,俄罗斯对美国基础设施的任何攻击都不会没有回应。
即使资金雄厚的公司在冲突环境中运营时也可能陷入困境。10月14日,埃隆·马斯克宣布SpaceX无法“无限期”为乌克兰的互联网服务提供资金,并致函五角大楼,要求美国政府接管运营资金。他表示,战争使SpaceX损失了8000万美元和2万个“星链”终端,并且该公司遭受了多次网络攻击。乌克兰政府回应称,“星链”已经成为该国关键基础设施的一部分,帮助乌克兰在战争中幸存下来,SpaceX必须继续提供与互联网的“稳定连接”。1天后,马斯克表示他的公司将继续提供服务。
“星链”案例研究表明冲突中的政府在依赖外国私营部门信息技术援助时面临的风险之一,即政府可能会过度依赖某种特定技术,而无法保证其持续提供。在SpaceX限制乌克兰使用“星链”开展战争行动后,美国太空司令部司令詹姆斯·迪金森将此作为对美国军方日益依赖商业卫星提供商的警示。根据定义,私营公司拥有选择客户的特权。因此,乌克兰政府依赖的是外国私营企业的商誉。网络空间没有具有法律约束力的公司参与规则,也没有相当于北大西洋公约组织(NATO)第5条的私营部门规定,要求公司向盟国政府提供援助,即使该政府是无端侵略的受害者。因此,各国的明智做法是在可能的情况下采取产品和供应商多元化政策,包括使用开源解决方案。
(二)机遇
在战争中,私营IT公司将有机会对其硬件、软件和网络服务进行压力测试。他们将有可能接触到国家黑客的漏洞、利用、攻击、恶意软件以及策略、技术和程序(TTP),而公司可以将这些信息集成到他们的产品中。他们还可能为其业务带来积极的声誉影响。
作为对乌克兰支持的直接结果,微软确认了其网络防御架构的两项改进。首先,其Defender for Endpoint网络安全工具中的人工智能(AI)算法可以检测、分类和阻止俄罗斯恶意数据擦除软件,无需任何现有签名或任何人为干预。其次,微软快速地将安全软件更新分发到互联网连接的端点和基于云的资产。
四、经验教训
我们的研究表明,私营部门IT公司对乌克兰的大部分支持都是临时性的,而不是精心计划的。然而,无论哪种情况,公司都必须能够理解国家安全问题并将其纳入公司的考虑中,这一点似乎至关重要。与此同时,尽管存在固有的风险和机遇,但大多数公司显然会在很大程度上遵循各自政府的领导。
7月,乌克兰国家特殊通信和信息保护局(SSSCIP)局长尤里·什奇霍尔表示,自战争开始以来,西方国家至少向乌克兰提供了3份具有影响力的网络安全礼物。首先,“星链”对于帮助乌克兰重建被毁坏的基础设施至关重要。其次,服务器和移动数据中心使乌克兰政府能够创建整个机构的备份副本,从而使政府能够持续运作。第三,强大的软件,例如亚马逊私有云,使乌克兰政府能够安全地管理其服务。乌克兰数字化转型部长米哈伊洛·费多罗夫表示,“亚马逊AWS确实拯救了我们的数字基础设施。”
这场冲突表明,各国可以集中精力获取加强和支持政府服务和民用基础设施所需的硬件、软件和网络服务。将乌克兰政府和私营部门数据转移到云端的基础是乌克兰议会于2022年2月通过的一项法律,该法律废除了此前因战争威胁日益增加而在乌克兰境内存储数据的有效要求。乌克兰数据成功迁移到云端的基石是Diia政府智能手机应用程序,它是“为民众和企业提供公共服务的单一门户”,在战争开始前就已经在开发中。
然而,将从这场战争中汲取的经验教训应用于未来的任何战争都存在局限性。国际关系中的变量众多,无法得出太多明确的结论。例如,在台海情景下,私营IT公司以及各自的国家政府可能会犹豫是否采取如此果断的行动,因为中国经济规模大约是俄罗斯的十倍,而且潜在的经济影响要大得多。
乌克兰战争为靠近俄罗斯边境的国家提供了更清晰的教训。我们的研究表明,外国私营IT公司可以从四个政策框架的制定中受益。
自愿第5条:北约成员国签署并同意《北大西洋条约》第5条,即“火枪手条款”,并承认对一方的攻击就是对各方的攻击。各国同意采取盟国认为必要的行动来协助它们。私营部门没有与第5条同等的规定,它遵守不同的法律框架。然而,本着第5条的精神,私营IT公司可以在他们认为适当的情况下采取类似的行动。各国经常与在其领土上运营的私营公司就安全和国防问题达成国内协定。然而,这严格来说是一件主权事务,如果没有政府的明确指导以及对风险和机遇的认真审查,私营企业不太可能支持国家联盟。无论如何,私营企业的支持将是自愿的、有原则的、不具约束力的。
交战规则:至少在欧盟和北约内部,人们普遍认为网络行动受到国际人道法(IHL)相关许可、禁令和要求的限制。然而,国际人道法规则主要规范国家和有组织武装团体的行为。各国和学者对于武装冲突期间国际人道法与私营公司的关系关注有限。因此,我们应该努力制定一般准则,为寻求向战争国家提供网络防御援助的私营IT公司概述建议。
多利益攸关方事件响应计划:在危机期间,受威胁的国家需要包括私营IT公司在内的多个利益攸关方的帮助。如果各国通过公私伙伴关系提前为潜在冲突做好准备,那么确定、征求和提供援助的过程就可以加快。多利益攸关方事件响应计划可以帮助私营IT公司为地缘政治的不确定性做好准备。该计划应包括潜在的危机情景、国家需要的支持、所有相关利益攸关方以及当前的联络点。
捐赠协调:由于上述建议具有挑战性,明智的做法是设立多个授权实体来协调私营IT公司的捐赠,同时积极与受威胁的政府联络。他们的目标可能包括了解国家需求、确保快速提供援助、避免重复和优化捐赠。在这场战争期间,CDAC充当了向乌克兰提供此类支持的主要协调机构,并且可以作为未来危机的典范。
五、展望:保卫和重建乌克兰
尽管支持处于战争状态的国家存在相关风险,但私营IT公司仍继续支持乌克兰对抗俄罗斯。各利益攸关方正在积极致力于的领域包括为在冲突期间提供援助的IT公司制定网络空间参与规则,以及确保通过CDAC等组织改进援助的协调。展望未来,国际社会需要建立能够支持预先规划以及有效和及时提供援助的框架。作者认为,集体防御和多利益攸关方事件响应是2个成熟的投入领域。
即使战争仍在继续,乌克兰政府不仅专注于保卫其网络和系统,而且还致力于重建遭俄罗斯摧毁的基础设施并完成乌克兰的数字化转型。在乌克兰一些非占领区,这项工作已经开始。2023年1月,乌克兰与诺基亚签署备忘录,帮助重建乌克兰电信。乌克兰战后重建全国委员会的网站上概述了乌克兰政府当前愿景,其中包括“基础设施的恢复和发展”和“数字化”等章节。外国私营IT公司已经在帮助保护乌克兰的系统和网络免受俄罗斯网络攻击。展望未来,我们鼓励IT企业放眼未来,开始规划参与乌克兰的重建。
声明:本文来自网络空间安全军民融合创新中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
