美国网络安全新战略:为何进攻性网络行动并非良策

本文深入分析了美国面临的网络安全威胁,包括中国"盐台风"和"伏特台风"黑客行动,探讨了进攻性网络行动作为威慑手段的局限性,并指出美国网络安全防御体系的根本缺陷与立法不足。

美国网络安全新战略:更多进攻性网络行动并非良策

自中国"盐台风"针对美国电信网络的黑客行动被曝光以来,关于"黑客反击"的讨论不绝于耳。实际上,“黑客反击"的定义本身就是一个谜。有人认为美国应该以其人之道还治其人之身,而另一些人则认为应该更进一步,对中国基础设施发动进攻性网络行动作为威慑。

了解"台风”

“台风"是微软命名规范的一部分,是他们对中国的国家支持威胁行为者的分类器。前缀似乎是区分不同中国支持行动的随机词。每个供应商都有自己的命名规范,用于分类和区分恶意行为者或活动。

盐台风

可以说是最知名的台风,盐台风对2024年8月披露的重大美国电信漏洞负责。该威胁行为者能够入侵几乎每个主要美国电信公司,主要是通过利用路由器和交换机等网络硬件中的漏洞。

虽然调查仍在进行中,入侵的全部范围尚不清楚,但预期目标似乎是与《1994年通信协助执法法案》(CALEA)相关的系统。CALEA旨在促进对处于主动监视下的目标进行法院授权的窃听。

盐台风成功入侵了几家主要电信公司的CALEA系统,基于对该系统的公开了解,这将授予他们以下能力:

  • 查看当前处于监视下的电话号码
  • 拦截他们选择目标的电话和短信
  • 访问跟踪通话或短信时间及对象的元数据
  • 查看通信来自哪个蜂窝塔,揭示目标的近似位置

伏特台风

主要针对美国及其领土内的关键基础设施组织和主要行业的威胁行为者。虽然盐台风似乎完全专注于间谍活动,但伏特台风的一些活动暗示了更具军事性质的目标。

在许多报告的入侵中,该组织被发现对运营技术(OT)网络进行侦察,并搜索有关灾难恢复计划的信息。OT网络是负责控制工业系统的计算机集合,如装配线、发电站和水处理厂。

伏特台风的活动让人想起俄罗斯早期入侵乌克兰电力基础设施的行为。黑客花费数年时间闯入这些网络,绘制连接系统图,了解其操作程序、故障安全和恢复计划。

隐蔽代理网络

中国威胁行为者面临的一个问题是,许多安全的美国网络密切监视(甚至完全阻止)来自中国的网络流量。历史上,中国黑客通过从美国云提供商购买服务器来绕过这一点,从那里进行入侵。

最近,几个国家(不仅是中国)通过构建受损设备网络(通常称为僵尸网络)来解决这个问题。互联网上充满了不安全的互联网连接设备。通过大规模入侵这些系统,黑客可以使用它们在互联网上隐蔽地路由流量,而不被检测到。

为何我对"以牙还牙"黑客作为威慑持怀疑态度

我经常看到的一个说法是,美国可以通过对等回应来威慑中国黑客。这是我最怀疑的断言。

基于公开已知黑客行动的重要背景

社会主义行动

这是由GCHQ领导的操作,入侵了比利时最大的电信公司Belgacom。关于该行动的泄露细节与盐台风入侵美国电信公司惊人相似,不仅公司的IT系统被入侵,还包括构成其核心网络的路由器。

行动Shotgiant

详细描述了NSA针对中国科技巨头华为的行动。泄露信息表明,NSA入侵华为服务器有两个不同的目标:首先,美国想证明华为与中国军方有联系;其次,收集关于华为产品的情报,使NSA能够更好地入侵它们。

NSA的拦截计划

拦截计划是NSA专注于供应链入侵的操作集合。泄露信息表明,NSA会拦截运送给目标的计算机硬件(如服务器和路由器)的运输,将它们重定向到一个秘密设施,在那里拆箱、安装后门,然后发送给原始客户。

那么,美国需要自己的盐台风吗?

虽然我不能肯定NSA正在对中国网络进行盐台风风格的入侵,但泄露信息告诉了我们很多。如果美国情报合作伙伴在2010年对自己的盟友进行盐台风式攻击,NSA几十年来一直在路由器上安装后门,并且有NSA入侵中国网络和中国公司的公开已知案例,我敢猜测,如果NSA没有对中国进行盐台风式入侵,那只是因为他们根本不需要或不想。

对等回应能作为威慑吗?

从国家安全的角度来看,美国极不可能披露此类能力或缺乏此类能力,因此我们可以假设他的声明只是为了建立对网络威慑的支持,知道目标受众不太可能问"但我们不是已经在这样做了吗?"。

进攻性网络行动与威慑

什么是进攻性网络行动?

进攻性网络行动(OCO)是一个经常被军事和情报领域之外的许多人混淆的术语。黑客本身是进攻性的,而不是防御性的,因此许多人错误地将OCO与一般黑客活动混为一谈。

然而,在军事术语中,黑客攻击,或更具体地说计算机网络利用(CNE),本身不被视为OCO。在黑客攻击的背景下,进攻性网络行动是使用CNE来拒绝、降级、破坏或摧毁对手计算机系统或行动。它需要造成破坏的意图,而不是破坏仅仅是二阶效应。

为什么进攻性网络行动如此混乱

公众普遍认为,针对美国的国家支持进攻性网络行动已经很常见。普通美国人不将这些入侵视为各国相互进行网络间谍活动,而是对美国的无端攻击。

那么,进攻性网络行动会威慑中国吗?

施加成本

你在网络安全中经常听到的一个流行词是"施加成本”,这只是"使对手的行动更昂贵"的一种说法,理想情况下希望完全威慑他们,或至少减少其影响和频率。

国家成本效益分析

国家层面的计算可能极其复杂,且经常被误解。一个最近的例子是俄罗斯入侵乌克兰。在入侵前夕,许多知名智库甚至外国政府都在反驳美国政府关于入侵迫在眉睫的评估。他们论点的核心是,俄罗斯因国际制裁而损失的利益比入侵成功可能获得的利益要多得多。但令许多人惊讶的是,他们还是这样做了。

对中国来说,可能没有成本太高

正如我前面提到的,伏特台风的目标很可能是帮助中国建立破坏美国关键基础设施的能力。鉴于美国是一个在80多个国家拥有前沿基地的军事超级大国,中国在纯动能冲突中将处于极端劣势。然而,网络能力可能使事情向有利于他们的方向转变。

如果有成本,我们负担得起吗?

参议员沃纳绝对正确,盐台风发生且尚未修复的原因之一是修复的极端成本。许多这些电信公司运行的硬件已经超过寿命终止,因此不再受供应商支持。这意味着没有可用的安全更新来修复中国利用入侵这些设备的缺陷。

从防御者的角度看

虽然我不声称对美国的进攻能力了解多少,但我非常熟悉网络防御,因为这一直是我的主要关注领域。

米拉伊

我的网络安全职业生涯始于米拉伊时代。米拉伊恶意软件带来了一个全新的网络安全时代。在此之前,犯罪黑客主要专注于攻击桌面和服务器系统,但米拉伊针对物联网。

想哭

可能是我最不喜欢和最常被讲述的故事,但即使到今天,想哭仍然是有史以来最具破坏性的网络攻击,它带来了一些重要的教训。

Log4j

可能是我处理过的最混乱的事件之一。它既不是最大的,也不是最严重的,但由于Log4j漏洞不在单个软件中,而是在软件库中,因此独特复杂。

网络安全要点

虽然我不能讨论我职业生涯中处理过的许多其他事件,但它们都不断将我引向几个核心问题:

  • 组织由于成本原因不愿更新过时的硬件和软件
  • 组织安装安全修复程序缓慢,并且经常禁用自动安装安全修复程序的内置功能,因为有时可能导致系统不稳定
  • 联邦政府没有创建任何广泛适用的有意义的网络安全或数据隐私立法,只有针对特定部门高度具体问题的激光聚焦法律
  • 许多用户甚至不知道他们拥有或控制的系统中的安全缺陷,并且没有可靠的框架来通知他们或为他们解决问题
  • 随着软件供应链变得越来越复杂,修复其中的漏洞也变得复杂,但我们的修复策略尚未发展以跟上
  • 安全软件、设备和员工昂贵,为即使是基本的网络卫生创造了高门槛
  • 许多技术部门以"快速行动、打破常规"的心态运作,旨在尽快将产品推向市场,通常不建立长期弹性

为什么最好的防御不是好的进攻

在足球中,你可能能够用好的进攻替代差的防守,因为只有一个球。即使在常规战争中,也可以说仍有某种合理性。军事资产是有形物品,可以预先摧毁以限制对手的响应能力。

网络安全则相反。一旦网络能力被开发,它们可以随时从任何地方部署。发动想哭或米拉伊不需要机场或坦克工厂,只需要世界上任何地方的一个人和一台计算机。

经济、政治和网络安全之间的战斗

中国政府体系简介

可以将其视为单一政党制国家。虽然中国允许其人民参与资本主义,但政府非常小心,避免私营企业或个人积累足够权力威胁其权威。

中华人民共和国网络安全法

对ISP、在线平台、企业网络运营商等的要求:

  • 组建内部安全团队,指定负责处理网络安全问题和实施网络安全政策的员工
  • 采取防止网络攻击和入侵的技术措施
  • 记录网络日志以及网络安全事件,至少存储六个月
  • 立即修复安全缺陷,并及时通知用户及相关当局
  • 建立同一行业内组织间威胁共享和网络安全协作机制
  • 创建网络安全事件应急响应计划,并在调用时通知相关当局
  • 在维护国家安全和调查犯罪活动方面向政府提供技术支持和协助
  • 鼓励行业组织建立同一行业内网络安全协作的标准化机制

美国

在某种程度上,美国几乎是中国的对立面,其政府形式被刻意设计为避免中央化和不受制约的权力。宪法将某些权力授予联邦政府,而其他权力则保留给各州。

理解美国网络防御有多么分散,我将简要概述一些机构。

国家安全局

作为美国主要的信号情报机构,NSA的主要角色是渗透外国网络并收集情报。

美国网络司令部

网络司令部是一个作战司令部,隶属于国防部,负责协调不同军事分支的网络行动。

联邦调查局

虽然听起来不像网络防御机构,但FBI在网络安全中扮演关键角色。

网络安全和基础设施安全局

建立是因为美国政府觉得机构名称不够长,CISA是美国的主要网络安全机构。

网络统一协调组

权力分离的一个缺点是不同机构可以相互协助的方式有很多限制。

我们防御中的差距

最终,美国的网络安全感觉像是试图拼凑一个拼图;除了,盒子上没有图片,每个拼图块已分发给随机实体,一半实体甚至不愿意披露他们有任何拼图块,没有人确定谁应该是实际构建拼图的人。

注定失败的计划

个人认为,试图通过进攻性网络行动威慑中国不仅不会成功,而且是一个巨大的错误。我并不是主张美国应该向中国低头,或者它不应该能够自卫,只是认为在没有防御能力支持的情况下增加进攻性网络行动是一个可怕的想法。

在舆论战争中,网络力量开辟了全新战线

当你看看美国参与的先前战争时,很明显击败美国军队既不现实也不可能,但可行的策略只是等待他们退出。从越南到阿富汗,有很多这样的例子。最终,公众对战争失去兴趣,美国撤军。

美国需要在网络安全立法上付出认真努力

虽然重申,我并不是建议美国不能也不应该自卫,或者不能在不久的将来采取进攻,但政策制定者需要在承诺增加进攻性网络行动之前,在没有适当防御框架的情况下,长期认真思考。

目前,美国:

  • 没有任何有效的网络安全立法
  • 没有强大的中央组织可以快速或轻松地解决网络安全缺陷
  • 没有能力修复已经发生的网络攻击
  • 基础设施极其分散、过时且难以防御
  • 比中国更依赖技术
  • 在社会和文化上都未准备好应对重大网络攻击或经济破坏

前进方向

在完美世界中,我们不会期望公司防御其网络免受国家支持的网络攻击,就像我们不会期望他们建立防空系统来防御导弹袭击一样。但是,如果做不到这一点,我们至少可以思考一些有意义的网络安全立法,以降低中小型企业的成本,并增加对资金充足的企业的期望。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次