美国商务部和国土安全部报告：提高互联网和通信生态系统对僵尸网络和自动化分布式威胁的响应能力

（上海社会科学院新闻研究所）

编者按：美国商务部和国土安全部2018年1月发布报告《提高互联网和通信生态系统对僵尸网络和自动化分布式威胁的响应能力》。商务部和国土安全部要求所有感兴趣的利益相关方（包括私营行业、学术界、民间社会和其他安全专家）公开评论这份报告草案，包括对威胁形势的描述、制定的目标以及进一步实现这些目标的行动。公众意见征询期至2018年2月12日，5月11日将提交最终报告。此份报告提出的问题、预期的目标、选择的路径都比较简洁直接，其中的一些看法虽然不是特别新颖，但也非常明确，并且由于其将广泛吸引企业的意见建议，从而最终会对网络安全产业的发展导向产生影响。通过对该报告的研析，可以为国内网络安全企业在工具产品研发、技术支持服务和参与标准制定等方面提供发展启示。

《提高互联网和通信生态系统对僵尸网络和自动化分布式威胁的响应能力》（以下简称报告），旨在回应2017年5月11日特朗普总统签署的第13800号行政令中关于“加强联邦网络和关键基础设施的网络安全”的呼吁——“抵御僵尸网络和其他自动化、分布式威胁”。报告在结构上呈现层层推进：首先，报告给予物联网市场准确的定位，称物联网设备“很像上世纪90年代的台式机”，安全性不容乐观；其次，报告承认，即使消费者在商家购买了设备，又将这些设备联入家用无线网络，也不能、不应该指望他们为这些设备的网络安全负责；再者，报告明确，如果想要应对当前的僵尸网络攻击，需要美国政府、行业等多利益相关方的通力合作；然后，报告提议，美国政府应当利用自身重要采购方的角色，对美国政府环境的物联网设备采用基准安全配置，以此加快普及安全配置的进程；最后，报告建议，美国政府应当资助一场提高全民物联网安全意识的运动，让网络安全成为未来学生获得工程学学位的必修内容。

1.报告背景与说明

自动化分布式攻击所形成的威胁已经超越了任何单一公司或部门。这些威胁被用于各种恶意活动，包括分布式阻断攻击（DDoS），勒索软件攻击，计算机宣传操纵等。传统的DDoS缓解技术旨在防范预期规模的僵尸网络，但物联网的普及带来了设备数量庞大的新型僵尸网络，DDoS的攻击规模已经扩大到每秒超过1太比特，大大超出了预期。2016年秋季出现的Mirai僵尸网络，攻击时达到的持续流量水平甚至破坏了一个常用的组件域名系统。更复杂的僵尸网络也随之而来，比如收割者（Reaper）。Mirai和收割者僵尸网络清楚地表明了这种攻击的规模和范围，在未来，僵尸网络的攻击规模和复杂性都将增加。

目前，应对自动化分布式攻击的传统技术恢复时间太慢，尤其是在涉及关键性任务时，而且这些技术并不是为了减轻其他类型的恶意行为，如勒索软件或计算机宣传。随着新情况的出现，迫切需要在各利益相关方之间进行协调和协作。联邦政府之前一直与利益相关方密切合作以应对新出现的威胁，以前的努力包括：

（1）建立产业僵尸网络组（Industry Botnet Group），拟定了“减少网络空间僵尸网络影响的自愿工作原则”（2012年）;

（2）通信安全性、可靠性和互操作性委员会（CSRIC）的“反机器人行为守则”（2013年），以及“互联网服务提供商网络保护实践（2010年）”和“基于服务器的DDoS攻击修复（2014年）”的报告；

（3）司法部与其他部门也在积极行动，解决问题和重新定向（sink-holing）支持这些威胁的基础设施。

虽然这些举措取得了一些进展，但仍然存在重大挑战。本届政府和主要利益相关方希望通过努力进一步加强未来互联网和通信生态系统的复原能力。

2.技术与政策现状

报告介绍了当前互联网和通信生态系统的技术和政策领域现状，并设想未来会有所改善。其中，生态系统的技术领域现状和未来预期主要包括：

（1）基础设施：是指将其他多种技术领域连接起来的单一系统。目前基础设施的最佳实践是采用混合方法，围绕过去的危机规模建立，造价昂贵，难以管理，还需要熟练工作人员操作。未来必须通过新的自动化工具和实践更有效地检测恶意流量。

（2）企业网络：是由本地连接的设备与区域互联网注册表分配的IPv4和IPv6地址组成。过去遭遇过DDoS攻击或受其影响较大的企业和行业，往往采用基础设施提供商提供的DDoS缓解措施和企业管理的内部部署缓解措施，聚焦可用性、功能性和成本。未来企业可以通过融合最新的技术，运营和采购政策，以及IT员工和决策者教育和意识，为更有弹性的生态系统做出贡献。实现这一目标的基本步骤是广泛采用NIST网络安全框架（CSF），将大部分必要的行动归因于五个并行和连续的功能：设备识别、设施保护、流量检测、流程回应和系统修复。

（3）边缘设备：如服务器，个人电脑，移动设备和其他连接设备等。目前物联网的安全水平与20世纪90年代的台式机水平相当。要提高边缘设备技术的安全水平，需要有一个全球公认的、可被广泛理解和采用的安全标准。这些标准应该是灵活的、适时的、开放的、自愿的、工业驱动的、全球性的。

（4）家用和小型企业网络：由使用通过网络地址转换（NAT）在外部寻址的“私有地址空间”的设备组成。该部分的网络安全水平和意识同样不佳，不仅对于遭到攻击时可能准备不足，还包括对隐私、数据、设备接入的素养不足。市场力量是提升设备安全性的关键要素，智能路由和防火墙可以减轻和检测设备是否受到攻击，而用户也应当接受更为有效的教育提升技术水平。

在政策与治理领域，呈现出与技术领域相互交织的状态，要点包括：

公私伙伴关系：包含对于攻击信息的共享安排;

自愿性认证或认证过程：供应商和客户选择共同的安全目标和期望;

标准与准则：由多利益相关方论坛商议制定;

采购政策：特别是推荐在联邦政府内部推行，制定市场激励措施;

监管和立法行动：主要在联邦和州级层面展开;

多边和双边协调/协议：使得包括互联网治理在内的国际协调与合作制度化。

3.面临六大机遇挑战

报告认为，为大幅减少自动化与分布式威胁，目前面临的机遇和挑战可归纳为六大主题：

（1）自动化、分布式攻击是一个全球性问题。近期僵尸网络中的大多数受感染的设备都位于美国。增强互联网和通信生态系统抵御这些威胁需要与国际伙伴合作，采取协调一致的行动。

（2）有效的工具存在但未被广泛使用。用于显著增强互联网和通信生态系统响应能力的工具、流程和做法是广泛可用的，有些虽然不够完善，但可以在特定的市场部门经常使用。但由于各种原因，包括缺乏意识，成本规避，技术专业知识不足以及缺乏市场激励等，这些产品在其他许多领域的开发和部署并不常见。

（3）产品应当得到全生命周期保护。在部署时就易受攻击的设备，发现漏洞后却缺乏修补设施，供应商已经结束支持但仍在服役的设施，这些都使得自动化分布式威胁过于容易。

（4）需要教育和形成必要的意识。家庭、企业客户、产品开发人员、制造商和基础设施运营商之间的知识差距妨碍了使生态系统更具弹性的工具、流程和实践的部署。

（5）市场激励机制存在错位。目前可以感受到的市场激励机制与“大幅度减少自动化和分布式攻击所带来的威胁”的目标不一致。市场激励产品开发者、制造商和供应商将开发的成本和时间降至最低，而不是为了进行安全建设或提供有效的安全更新。在开发产品时，安全性和便利性之间必须有一个更好的平衡。

（6）自动化分布式攻击挑战的是整个生态系统。没有一个单一的利益相关方社区可以单独解决这个问题。

4.五大目标与行动

报告确定了五个相互支持的互补目标，每个目标下设有具体的行动路径。报告希望通过将目标和行动结合起来的方式，大大减少自动化分布式攻击的威胁，并提高生态系统的弹性。这五个目标与具体行动如下：

目标1：为建立一个适应性强，可持续和安全的技术市场确定一个明确的路径。1.1为家庭和工业应用中的物联网设备建立一个可被广泛接受的基线安全概要，并通过双边安排和使用国际标准推动该概要被国际采用。联邦政府应该在美国政府环境中增加使用基准的物联网设备安全配置文件，与传统计算的标准和实践配套，加速通过这一进程。1.2软件开发工具和流程能够显着降低商业既有软件中安全漏洞的发生率，这一点必须得到业界的广泛采用。联邦政府应与业界合作，通过提高投资回报率或为落后行业或行业组织创造市场激励措施，支持行业采用这些工具，并改善市场的采用和问责制。1.3行业应加快开发和部署预防和缓解分布式威胁的创新技术。政府应优先考虑应用研发资金和技术转型防范和缓解DDoS攻击，防止僵尸网络生成的技术。1.4政府应支持行业采用最佳实践，让社区参与以前的活动，并讨论先前的建议未得到广泛实施或不成功的原因，确定促进组织变革的适当途径，并将重点放在实用，可靠的工具和手段上，确保透明度程序在数字生态系统中得到更广泛的应用。目标2：促进基础设施创新，以适应不断变化的威胁。2.1互联网服务+提供商及其对等合作伙伴应当扩大当前的信息共享，以便在国内国际对可操作性的威胁信息有更及时有效的共享。联邦政府则可以通过通信信息共享和分析中心（ISAC）（如国家通信协调中心（NCC））通过与网络运营商团体（NOGs）建立伙伴关系，在国内推动这一活动，并通过扩大与国际同行的信息共享协议实现国际化。政府可以在这些讨论中发挥重要的作用，在需要的地方召集多方利益相关者进行讨论，提供全球视野，并确保这一进程对所有利益相关方都是公平的。2.2通过与NIST磋商，包括业界、学界和其他主题专家在内的利益相关方应共同合作开发CSF配置文件帮助企业防御和缓解DDoS，重点要关注组织网络安全的预期状态以减轻DDoS攻击。2.3联邦政府应该以身作则，评估和实施有效的方法来强制使用软件开发工具和流程，展示技术的实用性，为早期采用者创造市场激励机制。2.4作为一个重要的经验教训，NSTAC报告指出，公共和私营部门之间的合作对于减轻僵尸网络攻击至关重要。目前正在使用的信息共享协议是由联邦政府率先推出的，并得到了广泛的利益相关方的积极投入。为了满足高度复原基础设施的协调和协作需求，这些协议必须是全面和足够精确的，允许自动处理和响应。为确保达到这些目标，工业界应与联邦政府和其他利益相关方合作，加强信息共享协议，以满足利益相关者的需求，并建立国际标准以促进全球协调。2.5学术和工程师社群应该研究如何将新的工具和开发实践纳入政府框架和实施。工业界和联邦政府应以这些发现为基础，扩大对整个生态系统网络流量的管理。现有的工具和框架，比如美国的ISP反盗版行为准则，应该在与多利益相关方协商的过程中探索新的解决方案。

目标3：促进网络边缘创新，防止、监测和缓解不良行为。3.1互联网行业应扩大当前产品的开发和标准化工作，以便在家庭和企业环境中进行有效和安全的流量管理。3.2家用IT设备和物联网产品的用户界面，在设计时应最大限度地提高安全性，同时减少或消除对安全管理的知识要求。3.3企业应该迁移到网络架构，以便监测、中断和减轻自动化分布式的威胁。政府、行业和公民社会应通过伙伴关系和战略参与等进行合作，努力提高用户和企业对威胁和最佳安全实践的认识。3.4联邦政府应该调查如何扩大IPv6的部署，鼓励互联网服务提供商更快地完成向IPv6的过渡，通过在网络边缘的进一步创新，实现防御和降低风险。目标4：在世界范围内建立包含安全、基础设施和运营技术社区的联盟机构。4.1互联网服务提供商和大型企业应该增加与执法部门的信息共享，以提供有关自动化分布式威胁的更及时可行的信息。4.2联邦政府应通过双边和多边国际交流，努力促进国际上采用最佳实践和相关工具。4.3监管机构应与行业合作，以确保非欺骗性营销，促进某些部门特定的正当安全要求。4.4社区应采取具体措施限制“快速通量托管”，打击以隐藏和支持恶意、非法或犯罪活动为目的的自动快速IP地址修改行为。4.5网络安全社群应与运营技术社群保持持续的接触互动，以提高认识并加速网络安全技术的转移。目标5：提高对整个生态系统的认识和教育。5.1私营部门应建立自愿信息工具，用来管理家庭物联网设备，并辅以可扩展的和具有成本效益的评估流程，取得消费者直观的信任和理解，并为安全性产品设计开发创造市场激励。5.2私营部门应建立工业物联网应用的自愿标签计划，在可扩展的和具有成本效益的评估过程的支持下，为物联网的关键基础设施应用提供充分保证。5.3政府应鼓励学界和培训界将安全编码实践全面纳入计算机科学及相关计划。5.4学术部门应与国家网络安全教育倡议合作，将网络安全作为一项基本工作。

5.评价与启示

总体而言，该报告就“如何提高抵御自动化分布式攻击能力”这一问题，认为需要在各个国家、部门和技术层面上协调政策和治理解决方案。报告提出，有效的政策将为使用标准和最佳实践提供明确的预期，同时在防控安全风险时保持灵活性。更高水平的跨领域信息共享将提高生态系统成员抵御僵尸网络威胁。同时，一些协调模式可能需要创建新的标准、规则和指标。而对于国内企业而言，该问题可以从以下几个方面进行考量：

5.1.积极研发高效技术工具，促进产品推广与使用落地

从目前对于自动化分布式攻击的预防、检测、减轻和抵御情况来看，从基础设施到企业网络，乃至到用户级别的边缘设备等都急需高性能、易管理、成本适合且具有一定弹性的技术工具。国内企业针对这些需求具有非常有利的技术竞争优势。同时，高性能的工具设备还需要有一整套与之相对应的推广落地流程，以促进产品切实抵达关键使用节点。

5.2.强化产品技术服务支持，获取政府与市场广泛认可

自动化分布式攻击之所以具有压倒性的破坏能力，一个关键点在于利用了传统技术中保守且有限的技术能力。这其中包括产品服务提供商对于技术服务支持的时间期限，即即使一般设备服务支持期已过，一般情况下政府、企业和用户也不会马上换掉。因此对于国内企业来说，如果可以延长产品服务支持期限、扩大产品服务支持范围、强化产品服务支持质量，对于政府采购、企业引进和用户普及会有很强的正面效益，可以获取更为广泛的市场认可与用户渗透率。

5.3.抓住标准国际化窗口期，争取进一步拓展全球市场

该报告中多次指出，自动化分布式攻击在很多时候并非局限在美国本土，而是来自世界各地，因此对于自动化分布式攻击的防御需要有全球视野，信息共享协议需要实现国际化。这对于国内企业来说也是一个非常有利的政策窗口期。美国在寻求国际合作的过程中必然会考虑现有的基础设施与落地企业网络，因此如果可以实质性地参与到其安全标准与信息共享协议的制定和商议过程中，对于未来国内企业拓展美国乃至全球市场都具有深远的意义。