美国需要新的网络安全战略:进攻性网络行动并非答案
自从中国"盐台风"黑客行动针对美国电信网络的攻击被曝光后,关于"黑客反击"的讨论就层出不穷。但究竟什么构成黑客反击仍是个谜。有人认为美国应该对中国采取对等措施,而另一些人则认为应该更进一步,对中国基础设施发动进攻性网络行动作为威慑。
了解"台风"行动
“台风"是微软命名体系的一部分,用于指代中国国家支持的黑客组织。前缀则是用来区分不同中国支持的行动的随机词汇。每个安全厂商都有自己的命名体系来分类和区分恶意行为者或活动。
盐台风行动
盐台风是最高调的"台风"行动之一,导致了2024年8月披露的重大美国电信网络入侵。攻击者通过利用路由器和交换机等网络硬件中的漏洞,几乎入侵了所有美国主要电信公司。调查仍在进行中,但攻击似乎针对的是与《1994年通信协助执法法案》(CALEA)相关的系统。
CALEA系统提供两种监听能力:
- 记录通话和短信元数据
- 实时监控电话和短信
盐台风成功入侵了几家主要电信公司的CALEA系统,使他们能够:
- 查看当前被监控的电话号码
- 拦截他们选择的目标的电话和短信
- 访问记录通话或短信时间的元数据
- 查看通信来源的基站,揭示目标的大致位置
伏特台风行动
伏特台风主要针对美国及其领土内的关键基础设施组织和主要行业。与盐台风完全专注于间谍活动不同,伏特台风的某些活动暗示了更具军事目的的目标。在许多报告的入侵中,该组织被发现对运营技术(OT)网络进行侦察,并搜索有关灾难恢复计划的信息。
伏特台风的活动让人想起俄罗斯早期对乌克兰电力基础设施的入侵。黑客花费数年时间侵入这些网络,绘制连接系统图,了解其操作程序、安全措施和恢复计划。获取的情报和访问权限使他们能够构建BlackEnergy3和Industroyer两种恶意软件,用于在乌克兰造成大规模停电。
隐蔽代理网络
中国黑客面临的一个问题是,许多安全的美国网络都在密切监控(甚至完全阻止)来自中国的网络流量。历史上,中国黑客通过从美国云提供商处购买服务器来解决这个问题。最近,包括中国在内的几个国家通过构建被入侵设备网络(通常称为僵尸网络)来解决这个问题。
这些隐蔽代理网络的一个巨大优势是有源源不断的不安全设备可供入侵。大公司、云提供商和政府机构通常有大量安全监控预算,但消费者和小型企业则没有。因此,威胁行为者可以简单地入侵安全性差的美国系统,然后利用这些系统入侵更安全的网络。
为什么我对"以牙还牙"的黑客威慑持怀疑态度
我见过的一个常见说法是,美国可以通过对等回应来威慑中国黑客。这是我最怀疑的断言。虽然我不了解任何美国情报行动,因此无法确认他们在做什么或没做什么,但我们可以参考2014年的斯诺登泄密事件来获得一些见解。
根据公开已知的黑客行动背景:
- 社会主义行动:这是GCHQ主导的一项行动,入侵了比利时最大的电信公司Belgacom。泄露的细节与盐台风入侵美国电信公司惊人地相似。
- 巨人射击行动:纽约时报报道的这项行动详细描述了NSA针对中国科技巨头华为的行动。
- NSA的拦截计划:拦截计划是NSA一系列专注于供应链入侵的行动集合。
因此,如果美国情报合作伙伴在2010年就对盟友进行类似盐台风的攻击,NSA几十年来一直在路由器中植入后门,并且有公开已知的NSA入侵中国网络和中国公司的案例,我猜测如果NSA没有对中国进行类似盐台风的入侵,那是因为他们根本不需要或不想这样做。
进攻性网络行动与威慑
什么是进攻性网络行动?
进攻性网络行动(OCO)是一个经常被军事和情报领域之外的人混淆的术语。黑客行为本身是进攻性的,而不是防御性的,因此许多人错误地将OCO与一般的黑客行为混为一谈。然而,在军事术语中,黑客行为,或更具体地说计算机网络利用(CNE),本身并不被视为OCO。
在黑客行为的背景下,进攻性网络行动是指使用CNE来拒绝、降低、破坏或摧毁对手的计算机系统或行动。它需要有造成破坏的意图,而不仅仅是破坏作为二阶效应。
为什么进攻性网络行动如此令人困惑?
我在最近的演讲《网络攻击的未来》中讨论过,公众普遍认为针对美国的国家支持的进攻性网络行动已经很常见。普通美国人并不将这些入侵视为各国相互进行网络间谍活动的情况,而是视为对美国的无端攻击。
我认为公众对OCO的普遍困惑源于两个不同因素的结合:
- “网络攻击"一词被通俗地用作任何形式的网络入侵的统称。
- 在网络入侵方面存在隐性和显性的信息不对称。
进攻性网络行动能威慑中国吗?
施加成本
在网络安全中你经常听到的一个流行词是"施加成本”,这只是"使对手的行动更加昂贵"的一种说法,理想情况下希望完全阻止他们,或者至少减少其影响和频率。有两种主要方法来对对手施加成本:防御性和进攻性。
当涉及到针对网络犯罪行为的进攻性网络行动时,这是一个简单得多的等式。毕竟,网络犯罪是一种业务,经济动机的威胁行为者只关心利润。然而,对国家行为者施加成本则完全是另一回事。
国家行为的成本效益分析
国家行为的计算可能非常复杂,并且经常被误解。一个最近的例子是俄罗斯入侵乌克兰。在入侵前夕,许多知名智库甚至外国政府都在反驳美国政府关于入侵迫在眉睫的评估。他们论点的核心是,俄罗斯因国际制裁而可能失去的比入侵成功可能获得的要多得多。但令许多人惊讶的是,他们还是这样做了。
同样,朝鲜和伊朗尽管受到严厉的国际制裁,仍继续发展核武器。美国和其盟友不断对伊朗的核计划进行进攻性网络行动和常规军事行动,但他们仍未被阻止。就朝鲜而言,制裁已经削弱了他们的经济,以至于他们开始从事国家支持的网络犯罪,但仍继续追求其核野心。
对中国来说,可能没有太大的成本。正如我前面提到的,伏特台风的目标很可能是帮助中国建立破坏美国关键基础设施的能力。鉴于拜登总统曾表示,如果中国入侵台湾,美军将保卫台湾,因此中国的能力很可能是为了威慑美国。
如果有成本,我们能负担得起吗?
假设确实存在某种程度的进攻性网络行动会导致中国停止或减少其对美国的网络行动。那么问题就变成了,美国能负担得起这个成本吗?正如参议员沃纳所说,更换老化和脆弱的网络设备可能会让电信公司花费数百亿美元,而将中国人从美国庞大的电话系统的每个角落驱逐出去可能需要5万人和完全关闭网络12小时。
虽然我找不到采访的完整记录,也不清楚沃纳参议员是否打算用这一点作为美国需要对中国更强硬的论据,但Lawfare博客文章是这样表述的。我个人则完全持相反观点,认为这是不要冒险与中国升级的好理由,至少现在不要。
从防御者的角度看
虽然我不声称自己对美国的进攻能力了解多少,但我对网络防御非常熟悉,因为这一直是我的主要关注领域。为了提供对美国网络防御不足的一些见解,我将借鉴我处理过的几起重大网络事件。
Mirai
我的网络安全职业生涯始于Mirai时代。Mirai恶意软件带来了一个全新的网络安全时代。在此之前,犯罪黑客主要专注于攻击桌面和服务器系统,但Mirai针对的是物联网设备。
Mirai表面上非常简单。开发者发现许多物联网设备暴露了供管理员远程控制它们的协议;通常是SSH或telnet。大多数设备所有者甚至不知道这些协议的存在,更不用说设备默认自动将它们暴露在互联网上。
许多此类设备都带有默认的管理员登录信息,如用户名:“admin”,密码:“admin”,这些信息设计为由所有者在设置设备时更改。当然,对于一个你甚至不知道存在的账户,很难更改密码。
结果是有史以来最大、最强大的DDoS僵尸网络。这个僵尸网络如此强大,在一次试图使Minecraft服务器离线的尝试中,操作者使互联网最大的DNS提供商之一的系统过载,导致全球互联网中断。
尽管这发生在近十年前,但问题仍然存在。英国通过了一项法律,要求物联网设备如果有默认密码,则必须对每个设备都是唯一的。而美国则没有通过任何有意义的法规作为回应。
WannaCry
可能是我最不喜欢和最常被讲述的故事,但即使到今天,WannaCry仍然是有史以来最具破坏性的网络攻击,它带来了一些重要的教训。
WannaCry是由朝鲜国家支持的黑客创建的勒索软件。它的独特之处在于它使用了一个极其强大的Windows漏洞来自动从一台计算机传播到另一台计算机,完全无需人工干预。
正如你们许多人知道的,我是通过激活其杀死开关来阻止WannaCry网络攻击的人。随着时间的推移,我还可以跟踪有多少网络仍然没有安装漏洞修复程序,尽管WannaCry的严重性和全球媒体关注。
即使是现在,近8年过去了,仍有数千个网络没有安装安全补丁。讽刺的是,由于我自己跟踪的限制,我可能永远不知道WannaCry的真正规模。
Log4j
可能是我处理过的最混乱的事件之一是Log4j。它既不是最大的,也不是最严重的,但由于Log4j漏洞不在单个软件中,而是在一个软件库中,因此它特别复杂。
软件库有点像食谱中的成分。一批坏面粉可能使从蛋糕到饼干的许多不同产品变得不安全,而软件库漏洞对软件也是如此。由于Log4j被数百万应用程序使用,这是一个巨大的问题。
网络安全要点
虽然我不能讨论我职业生涯中处理过的许多其他事件,但它们都让我回到了几个核心问题:
- 组织由于成本原因不愿更新过时的硬件和软件。
- 组织安装安全修复程序的速度很慢,并且经常禁用自动安装安全修复程序的内置功能,因为有时会导致系统不稳定。
- 联邦政府没有制定任何广泛适用的有意义的网络安全或数据隐私立法,只有针对特定部门高度特定问题的法律。
- 许多用户甚至不知道他们拥有或控制的系统中的安全漏洞,而且不存在可靠的框架来通知他们或为他们解决问题。
- 随着软件供应链变得越来越复杂,修复其中的漏洞也变得复杂,但我们的修复策略没有跟上发展。
- 安全软件、设备和员工都很昂贵,即使是最基本的网络安全卫生也设置了很高的门槛。
- 许多技术部门采用"快速行动,打破常规"的心态,旨在尽快将产品推向市场,通常没有建立长期的弹性。
为什么最好的防御不是好的进攻
在足球中,你也许可以用好的进攻来替代差的防守,因为只有一个球。即使在常规战争中,也可以说这种说法有一定道理。军事资产是有形的物品,可以预先摧毁以限制对手的响应能力。
网络安全则非常不同。一旦网络能力被开发出来,它们可以随时从任何地方部署。发动WannaCry或Mirai不需要机场或坦克工厂,只需要世界上任何地方的一个人和一台计算机。
现在,我们可能可以假设美国的进攻性网络能力超过中国,因为美国有巨大的先发优势。然而,看到中国技术在各个领域的快速进步,我对此越来越不确定。无论如何,我认为这实际上并不重要。没有任何数量的进攻性网络行动能物理上阻止中国入侵或破坏美国网络。
最理想的情况是美国的进攻性网络行动或其威胁简单地吓阻中国停止。鉴于中国很可能将其网络能力视为在与美国发生军事对抗时获胜的关键,我认为这极不可能。更现实的结果是美国创造了一个新规范,即超越间谍活动的网络行动现在在和平时期是被允许的,而中国也会相应回应。这也可能导致其他美国对手的升级。
经济、政治与网络安全之间的斗争
中国政府的简要介绍
在不深入探讨中国制度的历史和细节的情况下,可以将其视为一个单一政党的单一制国家。西方民主国家倾向于选择某种权力分立(通常在司法和立法/行政部门之间,或者在美国的情况下,所有三个部门之间),而中国则选择了一个更加集中和统一的政府。
尽管中国允许其人民参与资本主义,但政府非常小心,避免私营企业或个人积累足够的权力来威胁其权威。因此,中共在通过甚至非常广泛的立法时遇到的阻力要小得多,他们利用这一点通过了几项全面的法律来管理网络安全、数据隐私和国家安全。
美国
在某种程度上,美国几乎与中国完全相反,其政府形式非常刻意地设计为避免集中和不受制约的权力。宪法将一些权力委托给联邦政府,而其他权力则保留给各州。然后在联邦层面和大多数州,政府分为独立的行政、立法和司法部门。
这种对权力的分离导致数百个不同的联邦机构拥有不同但有时重叠的权限,这在大多数情况下运作得相当好,尽管效率极低。然而,网络攻击影响一切。从发电站到银行,州到联邦政府系统,国内公司和国际企业,间谍活动和战争。
那么在美国,网络安全是谁的责任?没有人,也是每个人。没有中央机构来监管网络安全,每个人基本上都要为自己的房子负责。本应是全面的国家网络安全立法和国家网络防御能力的东西,只是一个分散的生态系统,分布在私营行业、监管机构以及从地方到联邦的各级政府之间。
注定失败的计划
我个人认为,试图通过进攻性网络行动来威慑中国不仅不会成功,而且是一个巨大的错误。我并不是说美国应该向中国低头,或者它不应该能够自卫,只是说在没有防御能力支持的情况下增加进攻性网络行动是一个可怕的想法。
在舆论战争中,网络力量开辟了一个全新的战线
当你看看美国参与的以往战争时,很明显,击败美国军队从来都不现实也不可能,但一个可行的策略就是等待他们退出。从越南到阿富汗,有很多这样的例子。最终,公众对战争失去兴趣,美国撤军。
最近,所有人的目光都集中在乌克兰。协助乌克兰防御俄罗斯对美国来说既是道德立场,也是战略有利立场。以不到美国GDP百分之一的成本,美国能够阻止非法入侵,摧毁大部分俄罗斯军队,并通过国际制裁削弱俄罗斯经济。然而,仅仅三年后,公众舆论就已经崩溃。多年的无端全球干预和国内不稳定已经使公众舆论退回到孤立主义。
鉴于中国入侵台湾的野心,他们可能一直在密切关注。似乎公众对外国战争甚至军事援助的支持,无论是否合理,几乎为零。当我们深入研究美国人观点背后的一些原因时,很多都归结为他们对自己感知的安全和稳定的日益关注。
这使得中国破坏美国基础设施的能力变得更加宝贵。他们很可能不仅将其视为威慑,也视为削弱公众对任何干预支持的手段。因此,美国需要施加的成本来迫使中国放弃这些能力可能是无限的。
美国需要认真努力制定网络安全立法
虽然我要重申,我并不是说美国不能也不应该自卫,或者在不久的将来不能采取进攻行动,但政策制定者需要在没有适当的防御框架的情况下承诺增加进攻性网络行动之前深思熟虑。
目前,美国:
- 没有任何有效的网络安全立法。
- 没有一个强大的中央组织能够快速或轻松地解决网络安全缺陷。
- 没有能力修复已经发生的网络攻击。
- 基础设施极其分散、过时且难以防御。
- 在技术上比中国依赖得多。
- 在社会和文化上都对重大网络攻击或经济破坏毫无准备。
此外,将网络安全责任下放给各州的提议简直是无稽之谈。大多数州既没有资金、资源,也没有动力来实施有效的网络安全立法和控制。网络安全是一个具有国家后果的国家问题,而不是可以因州而异的问题。
前进方向
在一个完美的世界里,我们不会期望公司防御其网络免受国家支持的网络攻击,就像我们不会期望他们建立防空系统来防御导弹袭击一样。但是,如果做不到这一点,我们至少可以考虑一些有意义的网络安全立法,以降低中小型企业的成本,并提高对资金充足的企业的期望。
还有许多问题可以更接近源头解决。立法工作越多地投入到使软件和设备在设计上更安全,每个人处理后果的成本就越低。公司不应该因为物联网设备制造商想将默认密码设置为"password"而不得不抵御破纪录的DDoS攻击。
美国不需要拥有完美的网络防御,但如果政策制定者希望将进攻性网络行动作为一种威慑形式,就需要开始投入更多努力通过全面的网络安全立法。