全球網絡戰升溫：企業該怎么做？

Maria Korolov Charles

從NotPetya造成的全球性的破壞，到朝鮮對金融機構的數字掠奪，業界領導們應密切關注國家支持的網絡攻擊。本文介紹了怎樣抵御這類攻擊。

前不久，美國司法部起訴了13名俄羅斯人和三家俄羅斯公司干涉美國2016年大選。幾乎與此同時，包括美國、英國、加拿大、澳大利亞和丹麥在內的一些國家指責俄羅斯是去年夏天NotPetya攻擊的幕后黑手。

白宮新聞秘書Sarah Sanders指出，“NotPetya是克里姆林宮一直在破壞烏克蘭穩定所開展的一部分工作，它非常清楚地證明了俄羅斯參與了目前的這些沖突。這也是一次不計后果、不加選擇的網絡攻擊，將會帶來嚴重的國際后果。”

盡管這些攻擊都有政治目標，但最終受害者并不限于政治組織和關鍵基礎設施提供商。McAfee首席技術官Steve Grobman說：“NotPetya的實際影響遠遠超出了預期的政治目標，擾亂了全球數千個民間組織的IT系統及其運營。最終應該讓某些國家對這些攻擊造成的全面破壞負責，這一點非常重要。”

如果民間組織被國家支持的攻擊當成了攻擊目標，或者遭受了附帶損害，那么這些民間組織在識別攻擊者時會處于非常不利的地位。Grobman說，政府在識別這類攻擊幕后黑手方面處于較有利的地位，因為政府不僅能獲得網絡取證信息，還可以訪問傳統的情報數據。

在網絡戰中，人人都是目標

民族國家攻擊者通常會尋求政治目標：民主黨全國委員會、政府機構、關鍵基礎設施和國防承包商。越來越清楚的是，任何一家公司，任何一個行業，都可能會受到影響——無論是作為故意的目標，還是在更廣泛的攻擊中遭受了附帶損害。

像NotPetya這樣的攻擊活動會去打擊任何規模的任何公司，那些有意的、有針對性的、更高級的攻擊會打擊任何行業。CrowdStrike的情報副總裁Adam Meyers評論說：“私營實體每天都在被攻擊。”

他指出，朝鮮的目標是比特幣交易所和全球金融機構。還有一些組織則以制造專門醫療硬件和其他技術的公司為目標。他說：“您隨便說出一個行業，我就能告訴您有哪些參與者針對這一行業發起過威脅攻擊。”

今年的冬奧會也遭受了網絡攻擊。他說，被攻擊的企業包括電廠、顯示屏制造商、參與奧運相關建筑項目的建筑公司、媒體公司和電信公司等。

俄羅斯對美國選舉的攻擊是另一個攻擊的例子，攻擊的目標范圍非常廣泛，政府發起的調查能夠揭示出重要的信息。例如，美國司法部近日還宣布成立一個新的網絡安全工作組。除其他事項外，工作組將調查俄羅斯“利用互聯網傳播暴力意識形態，并招募追隨者；大規模盜竊企業、政府和私人信息；利用技術規避或者阻撓執法；大規模利用計算機和其他數字設備來攻擊美國公民和企業。”

誰能進行網絡戰？幾乎人人都可以

俄羅斯并不是新一代全球網絡戰的唯一參與者。FireEye報道稱，朝鮮正在利用零日漏洞和Wiper惡意軟件等工具來增強其網絡能力，瞄準的目標是韓國以及日本、越南和中東的各個縱向行業。FireEye還追蹤了與伊朗有關的網絡間諜組織。

網絡攻擊是把雙刃劍。美國和以色列針對伊朗核項目合作發起了Stuxnet攻擊，這是一起非常著名的事件。James Cartwright將軍和奧巴馬的前參謀長聯席會議副主席，對此次行動泄秘而向聯邦調查局撒謊一事承認有罪。

Cyberbit公司首席執行官Adi Dar說：“大家很容易看到俄羅斯干的事，但我認為它不是唯一這樣做的國家。真的該結束了。”

當談到網絡空間時，他說，世界真的非常非常小。“你可以在任何一個國家，任何一座城市，任何建筑物里，去攻擊另一個組織、國家或者企業——無論它們在哪里。”

這是第三次世界大戰嗎？IntSights聯合創始人兼CPO Alon Arvatz表示：“各國正在進行極限測試，看看他們能得到什么樣的反應。我不會說我們處于戰爭中，但卻在某種冷戰或者戰前狀態中。各國仍在試圖隱藏自己的身份。”

外包網絡戰武裝了傳統的攻擊者

即使一個國家沒有自己的內部資源，很多犯罪集團或者可疑的網絡安全公司都愿意做這項工作——只要他們能得到報酬。這與全球網絡戰的另一種潛在影響有關——民族國家正在大舉投資工具和漏洞，然后會把這些東西泄露給更多的地下犯罪組織。Corero網絡安全公司的首席執行官Ashley Stephenson說：“這些工具和技術的使用無疑已經擴展到了商業領域。”

最值得注意的是，黑客組織“影子經紀人（Shadow Brokers）”已經發布了從美國國家安全局竊取的工具。他說：“這些技術和工具很快就被擴散開來，落到一般的犯罪分子手里。”

通過代理發起的網絡戰更難追溯犯罪份子

民族國家也使用代理來發起他們的網絡戰。例如，在前不久的起訴中，美國司法部特別提到了“互聯網研究機構”，這是一家位于俄羅斯圣彼得堡的組織。

Tim Maurer是卡耐基國際和平基金會網絡政策倡議的共同負責人，也是劍橋大學出版社上個月出版的《網絡傭兵：國家、黑客和權力》一書的作者，他指出，這是一種新型的代理戰爭。過去，全球超級大國在戰爭中利用小國作為其代理人。他說，如今，他們利用了各種各樣的外部組織，例如，咨詢公司和犯罪集團。

他補充說，他們控制的數量因國家而異，某些國家采取了不太干涉的方式，只要這些組織支持國家的戰略目標，不會尋找內部目標，就聽之任之。一些國家加強了監督，協調各組織之間的活動。而有的國家則把他們視為轉包商，并嚴格控制他們的活動。

Maurer說，這使得查找責任變得非常困難。如果攻擊能夠被追溯到某一國家的某個組織，僅僅指出這個國家本來可以阻止攻擊，但卻沒有，這就足夠了嗎？他說：“在網絡事件上，我們還沒有進行過這方面的討論。”

網絡攻擊還沒有標準定義

圍繞什么是網絡攻擊還有一些敏感的問題。例如，在一些國家，傳播某些文化或者政治信息是犯罪行為。甚至限制對關鍵基礎設施的網絡攻擊的討論也可能會帶來問題。

Maurer說：“在聯合國進行談判的外交官們都刻意回避了定義關鍵基礎設施意味著什么，因為不同的國家對關鍵基礎設施有不同的優先考慮。但是，不同領域的人們也有一些共同的期望：如果沒電了，或者金融系統和醫院成為攻擊目標，導致人死亡，這會意味著什么——有些領域是有共識的，即使沒有被闡明。”他說，國際社會需要時間才能弄清楚標準是什么。

在此期間，即使有了追溯、起訴、制裁或者其他行動，對網絡攻擊的反應通常來得太遲，對受影響的人和企業來說，也沒有什么好處。

怎樣抵御民族國家的攻擊？

安全專家常常在面對民族國家攻擊時舉手投降。RedLock首席執行官兼聯合創始人Varun Badhwar說：“民族國家幾乎擁有無限的資源。事實上，我認為私營組織無法保護他們的基礎設施免受所有這些類型的攻擊。”

STEALTHbits技術公司產品戰略副總裁Gabriel Gumbs評論說：“如果你的東西被人盯上了，那早晚都會被人攻破。你很難抵御那些由國家支持的攻擊。”

畢竟，民族國家有各種各樣的工具可供利用，包括利用零日漏洞，他們還有一流的智囊和間諜機構，有臥底和線人，還能攔截通信，使用硬件和軟件技術供應鏈。Bromium的歐洲、中東和非洲市場首席技術官Fraser Kyne評論說：“一名下了狠心的犯罪分子很容易繞過當前的網絡防御。”

如果等待國際社會去采取行動，那短期內可能不會有太大幫助。俄羅斯和朝鮮這些發起惡性攻擊的國家已經受到了制裁。CloudPassage聯合創始人兼首席技術官Carson Sweet表示：“如果朝鮮能夠肆無忌憚地發射洲際彈道導彈，我們又怎么能指望一個民族國家被追究網絡攻擊的責任呢？”

在網絡空間中進行反擊是有其自身缺陷的。Sweet說：“通常沒有明確的目標能讓人覺得報復成功，或者更重要的是，起到威懾作用。例如，不能摧毀對手的電網，因為這會影響到平民。”

但這并不意味著企業根本無法反擊。InSights的Arvatz指出，相反，他們應該有適當的技術和流程來識別零日漏洞和未知的攻擊。機器學習和人工智能工具可以幫助發現可疑的行為。此外，有理由相信被攻擊目標的企業安全部門在積極尋找系統中可能潛伏的入侵者時，已經發現了這些行為。

而且，企業還需要重視基礎工作，例如，給所有軟件打上補丁，及時進行更新。Arvatz說：“民族國家的攻擊者也使用傳統的工具進行攻擊。”

最后，還有人的因素。很多漏洞都是由員工犯錯導致的，而攻擊者利用這種錯誤獲得了第一個入侵點。Experian的消費者保護副總裁Mike Bruemmer指出：“你可能擁有最好的防盜警報器，但如果把前門打開，犯罪分子就會進來。”

與所有其他國家一樣，民族國家攻擊者也有自己的優先考慮。他說，如果一個潛在目標的防御能力遠低于另一個目標，那么他們首先會從最弱的那個目標開始。

即使一家企業可能無法保證他們能把所有老練的攻擊者都拒之門外，他們也能大幅度提升勝算。與此同時，一旦攻擊者進入，企業其實有很多機會減少攻擊者可能造成的損失。

Enveil的創始人兼首席執行官Ellison Anne Williams曾在國家安全局做過12年的研究員，他指出，當民族國家的攻擊者想要獲取知識產權等某些敏感信息時，貶值這些信息會有一定的效果。她澄清說，這意味著加密。她說：“把他們想偷的東西拿出來，告訴他們，這其實毫無用處。”

企業通常側重于加密具有商業價值的信息，例如信用卡和社保號碼等信息。然而，民族國家可能正在尋找有關工業過程、具有戰略意義的商業交易的信息，甚至是可以用來勒索或者破壞的令人尷尬的個人信息。這類信息可能沒有受到良好的保護，或者根本沒有受到保護，甚至在沒有良好安全流程的情況下共享給了小服務提供商。

Williams盡管不方便評論她在國家安全局的具體工作，但她的確提到，除了電影和電視，加密確實有效。她說：“如果使用了良好的加密措施，不管是誰都很難攻破它。青少年能夠攻破真正加密的情形只是科幻小說而已。”

她補充道，如果加密失敗了，通常是由于執行和配置的問題。她說：“你必須確保配置正確，使用適當的比特級安全措施，并一直監視它。”

即使攻擊者進入了系統也能夠幫助保護系統的另一項技術是微分段技術。Bromium的Kyne表示：“虛擬化改變了游戲規則。通過隔離虛擬機中的所有應用程序，惡意軟件變得毫無用處——黑客無處可去，偷不到什么東西，企業還可以照常開展業務。”

下一步會怎樣？

隨著越來越多的攻擊出自越來越復雜的來源，近期形勢看起來非常嚴峻。瞻博網絡的威脅研究主管Mounir Hahad指出：“我們不希望進入混戰的狀態，各個國家互相攻擊，我們都陷入相互攻擊的局面。但其實我們已經這樣了。”他補充說：“其中一些攻擊，特別是涉及到關鍵基礎設施的情況，是非常嚴重的，很可能很快就會被視為是戰爭行為。”

然而，從長遠來看，前途還是光明的。已經邁出了最關鍵的第一步，即，承認存在問題。Hahad說：“我認為美國情報機構心態有所轉變，傾向于公開指責攻擊。過去，他們會非常自信地知道某一具體攻擊的肇事者是誰，但這些信息不會公開。”

他說，接下來就是行動。聯合國將通過一項決議，賦予受害國保護自己的權利，美國也將發表聲明，表明自己是清白的。

Cylance副總裁John McClurg曾擔任聯邦調查局監管特工，他說：“曾經推動武裝沖突法發展的國際力量也將在這個環境中發揮作用。混戰這種局面并不符合民族國家的長遠利益。”