全球网络战升温：企业该怎么做？

Maria Korolov Charles

从NotPetya造成的全球性的破坏，到朝鲜对金融机构的数字掠夺，业界领导们应密切关注国家支持的网络攻击。本文介绍了怎样抵御这类攻击。

前不久，美国司法部起诉了13名俄罗斯人和三家俄罗斯公司干涉美国2016年大选。几乎与此同时，包括美国、英国、加拿大、澳大利亚和丹麦在内的一些国家指责俄罗斯是去年夏天NotPetya攻击的幕后黑手。

白宫新闻秘书Sarah Sanders指出，“NotPetya是克里姆林宫一直在破坏乌克兰稳定所开展的一部分工作，它非常清楚地证明了俄罗斯参与了目前的这些冲突。这也是一次不计后果、不加选择的网络攻击，将会带来严重的国际后果。”

尽管这些攻击都有政治目标，但最终受害者并不限于政治组织和关键基础设施提供商。McAfee首席技术官Steve Grobman說：“NotPetya的实际影响远远超出了预期的政治目标，扰乱了全球数千个民间组织的IT系统及其运营。最终应该让某些国家对这些攻击造成的全面破坏负责，这一点非常重要。”

如果民间组织被国家支持的攻击当成了攻击目标，或者遭受了附带损害，那么这些民间组织在识别攻击者时会处于非常不利的地位。Grobman说，政府在识别这类攻击幕后黑手方面处于较有利的地位，因为政府不仅能获得网络取证信息，还可以访问传统的情报数据。

在网络战中，人人都是目标

民族国家攻击者通常会寻求政治目标：民主党全国委员会、政府机构、关键基础设施和国防承包商。越来越清楚的是，任何一家公司，任何一个行业，都可能会受到影响——无论是作为故意的目标，还是在更广泛的攻击中遭受了附带损害。

像NotPetya这样的攻击活动会去打击任何规模的任何公司，那些有意的、有针对性的、更高级的攻击会打击任何行业。CrowdStrike的情报副总裁Adam Meyers评论说：“私营实体每天都在被攻击。”

他指出，朝鲜的目标是比特币交易所和全球金融机构。还有一些组织则以制造专门医疗硬件和其他技术的公司为目标。他说：“您随便说出一个行业，我就能告诉您有哪些参与者针对这一行业发起过威胁攻击。”

今年的冬奥会也遭受了网络攻击。他说，被攻击的企业包括电厂、显示屏制造商、参与奥运相关建筑项目的建筑公司、媒体公司和电信公司等。

俄罗斯对美国选举的攻击是另一个攻击的例子，攻击的目标范围非常广泛，政府发起的调查能够揭示出重要的信息。例如，美国司法部近日还宣布成立一个新的网络安全工作组。除其他事项外，工作组将调查俄罗斯“利用互联网传播暴力意识形态，并招募追随者；大规模盗窃企业、政府和私人信息；利用技术规避或者阻挠执法；大规模利用计算机和其他数字设备来攻击美国公民和企业。”

谁能进行网络战？几乎人人都可以

俄罗斯并不是新一代全球网络战的唯一参与者。FireEye报道称，朝鲜正在利用零日漏洞和Wiper恶意软件等工具来增强其网络能力，瞄准的目标是韩国以及日本、越南和中东的各个纵向行业。FireEye还追踪了与伊朗有关的网络间谍组织。

网络攻击是把双刃剑。美国和以色列针对伊朗核项目合作发起了Stuxnet攻击，这是一起非常著名的事件。James Cartwright将军和奥巴马的前参谋长联席会议副主席，对此次行动泄秘而向联邦调查局撒谎一事承认有罪。

Cyberbit公司首席执行官Adi Dar说：“大家很容易看到俄罗斯干的事，但我认为它不是唯一这样做的国家。真的该结束了。”

当谈到网络空间时，他说，世界真的非常非常小。“你可以在任何一个国家，任何一座城市，任何建筑物里，去攻击另一个组织、国家或者企业——无论它们在哪里。”

这是第三次世界大战吗？IntSights联合创始人兼CPO Alon Arvatz表示：“各国正在进行极限测试，看看他们能得到什么样的反应。我不会说我们处于战争中，但却在某种冷战或者战前状态中。各国仍在试图隐藏自己的身份。”

外包网络战武装了传统的攻击者

即使一个国家没有自己的内部资源，很多犯罪集团或者可疑的网络安全公司都愿意做这项工作——只要他们能得到报酬。这与全球网络战的另一种潜在影响有关——民族国家正在大举投资工具和漏洞，然后会把这些东西泄露给更多的地下犯罪组织。Corero网络安全公司的首席执行官Ashley Stephenson说：“这些工具和技术的使用无疑已经扩展到了商业领域。”

最值得注意的是，黑客组织“影子经纪人（Shadow Brokers）”已经发布了从美国国家安全局窃取的工具。他说：“这些技术和工具很快就被扩散开来，落到一般的犯罪分子手里。”

通过代理发起的网络战更难追溯犯罪份子

民族国家也使用代理来发起他们的网络战。例如，在前不久的起诉中，美国司法部特别提到了“互联网研究机构”，这是一家位于俄罗斯圣彼得堡的组织。

Tim Maurer是卡耐基国际和平基金会网络政策倡议的共同负责人，也是剑桥大学出版社上个月出版的《网络佣兵：国家、黑客和权力》一书的作者，他指出，这是一种新型的代理战争。过去，全球超级大国在战争中利用小国作为其代理人。他说，如今，他们利用了各种各样的外部组织，例如，咨询公司和犯罪集团。

他补充说，他们控制的数量因国家而异，某些国家采取了不太干涉的方式，只要这些组织支持国家的战略目标，不会寻找内部目标，就听之任之。一些国家加强了监督，协调各组织之间的活动。而有的国家则把他们视为转包商，并严格控制他们的活动。

Maurer说，这使得查找责任变得非常困难。如果攻击能够被追溯到某一国家的某个组织，仅仅指出这个国家本来可以阻止攻击，但却没有，这就足够了吗？他说：“在网络事件上，我们还没有进行过这方面的讨论。”

网络攻击还没有标准定义

围绕什么是网络攻击还有一些敏感的问题。例如，在一些国家，传播某些文化或者政治信息是犯罪行为。甚至限制对关键基础设施的网络攻击的讨论也可能会带来问题。

Maurer说：“在联合国进行谈判的外交官们都刻意回避了定义关键基础设施意味着什么，因为不同的国家对关键基础设施有不同的优先考虑。但是，不同领域的人们也有一些共同的期望：如果没电了，或者金融系统和医院成为攻击目标，导致人死亡，这会意味着什么——有些领域是有共识的，即使没有被阐明。”他说，国际社会需要时间才能弄清楚标准是什么。

在此期间，即使有了追溯、起诉、制裁或者其他行动，对网络攻击的反应通常来得太迟，对受影响的人和企业来说，也没有什么好处。

怎样抵御民族国家的攻击？

安全专家常常在面对民族国家攻击时举手投降。RedLock首席执行官兼联合创始人Varun Badhwar说：“民族国家几乎拥有无限的资源。事实上，我认为私营组织无法保护他们的基础设施免受所有这些类型的攻击。”

STEALTHbits技术公司产品战略副总裁Gabriel Gumbs评论说：“如果你的东西被人盯上了，那早晚都会被人攻破。你很难抵御那些由国家支持的攻击。”

毕竟，民族国家有各种各样的工具可供利用，包括利用零日漏洞，他们还有一流的智囊和间谍机构，有卧底和线人，还能拦截通信，使用硬件和软件技术供应链。Bromium的欧洲、中东和非洲市场首席技术官Fraser Kyne评论说：“一名下了狠心的犯罪分子很容易绕过当前的网络防御。”

如果等待国际社会去采取行动，那短期内可能不会有太大帮助。俄罗斯和朝鲜这些发起恶性攻击的国家已经受到了制裁。CloudPassage聯合创始人兼首席技术官Carson Sweet表示：“如果朝鲜能够肆无忌惮地发射洲际弹道导弹，我们又怎么能指望一个民族国家被追究网络攻击的责任呢？”

在网络空间中进行反击是有其自身缺陷的。Sweet说：“通常没有明确的目标能让人觉得报复成功，或者更重要的是，起到威慑作用。例如，不能摧毁对手的电网，因为这会影响到平民。”

但这并不意味着企业根本无法反击。InSights的Arvatz指出，相反，他们应该有适当的技术和流程来识别零日漏洞和未知的攻击。机器学习和人工智能工具可以帮助发现可疑的行为。此外，有理由相信被攻击目标的企业安全部门在积极寻找系统中可能潜伏的入侵者时，已经发现了这些行为。

而且，企业还需要重视基础工作，例如，给所有软件打上补丁，及时进行更新。Arvatz说：“民族国家的攻击者也使用传统的工具进行攻击。”

最后，还有人的因素。很多漏洞都是由员工犯错导致的，而攻击者利用这种错误获得了第一个入侵点。Experian的消费者保护副总裁Mike Bruemmer指出：“你可能拥有最好的防盗警报器，但如果把前门打开，犯罪分子就会进来。”

与所有其他国家一样，民族国家攻击者也有自己的优先考虑。他说，如果一个潜在目标的防御能力远低于另一个目标，那么他们首先会从最弱的那个目标开始。

即使一家企业可能无法保证他们能把所有老练的攻击者都拒之门外，他们也能大幅度提升胜算。与此同时，一旦攻击者进入，企业其实有很多机会减少攻击者可能造成的损失。

Enveil的创始人兼首席执行官Ellison Anne Williams曾在国家安全局做过12年的研究员，他指出，当民族国家的攻击者想要获取知识产权等某些敏感信息时，贬值这些信息会有一定的效果。她澄清说，这意味着加密。她说：“把他们想偷的东西拿出来，告诉他们，这其实毫无用处。”

企业通常侧重于加密具有商业价值的信息，例如信用卡和社保号码等信息。然而，民族国家可能正在寻找有关工业过程、具有战略意义的商业交易的信息，甚至是可以用来勒索或者破坏的令人尴尬的个人信息。这类信息可能没有受到良好的保护，或者根本没有受到保护，甚至在没有良好安全流程的情况下共享给了小服务提供商。

Williams尽管不方便评论她在国家安全局的具体工作，但她的确提到，除了电影和电视，加密确实有效。她说：“如果使用了良好的加密措施，不管是谁都很难攻破它。青少年能够攻破真正加密的情形只是科幻小说而已。”

她补充道，如果加密失败了，通常是由于执行和配置的问题。她说：“你必须确保配置正确，使用适当的比特级安全措施，并一直监视它。”

即使攻击者进入了系统也能够帮助保护系统的另一项技术是微分段技术。Bromium的Kyne表示：“虚拟化改变了游戏规则。通过隔离虚拟机中的所有应用程序，恶意软件变得毫无用处——黑客无处可去，偷不到什么东西，企业还可以照常开展业务。”

下一步会怎样？

随着越来越多的攻击出自越来越复杂的来源，近期形势看起来非常严峻。瞻博网络的威胁研究主管Mounir Hahad指出：“我们不希望进入混战的状态，各个国家互相攻击，我们都陷入相互攻击的局面。但其实我们已经这样了。”他补充说：“其中一些攻击，特别是涉及到关键基础设施的情况，是非常严重的，很可能很快就会被视为是战争行为。”

然而，从长远来看，前途还是光明的。已经迈出了最关键的第一步，即，承认存在问题。Hahad说：“我认为美国情报机构心态有所转变，倾向于公开指责攻击。过去，他们会非常自信地知道某一具体攻击的肇事者是谁，但这些信息不会公开。”

他说，接下来就是行动。联合国将通过一项决议，赋予受害国保护自己的权利，美国也将发表声明，表明自己是清白的。

Cylance副总裁John McClurg曾担任联邦调查局监管特工，他说：“曾经推动武装冲突法发展的国际力量也将在这个环境中发挥作用。混战这种局面并不符合民族国家的长远利益。”