美国需要新网络安全战略:增强进攻性网络行动并非正解
自中国"盐台风"黑客行动针对美国电信网络被曝光后,关于"黑客反击"的讨论层出不穷。然而,“黑客反击"的实际定义仍是个谜。有人认为美国需要以其人之道还治其人之身,还有人认为应该更进一步,对中国基础设施发动进攻性网络行动作为威慑。
了解各种"台风”
“台风"是微软命名体系的一部分,是其对中国国家级威胁行为者的分类器。前缀似乎是区分不同中国支持行动的随机词汇。每个供应商都有自己的命名规则,用于分类和区分恶意行为者或活动。
盐台风
可说是最知名的台风,盐台风对2024年8月披露的重大美国电信漏洞负责。该威胁行为者能够入侵几乎每个主要美国电信公司,主要通过利用路由器和交换机等网络硬件中的漏洞。
虽然调查仍在进行中,入侵的全部范围尚不清楚,但似乎目标是与《1994年通信协助执法法案》(CALEA)相关的系统。盐台风成功入侵了几家主要电信公司的CALEA系统,基于对该系统的公开了解,这将赋予他们以下能力:
- 查看当前受监控的电话号码
- 拦截他们选择目标的电话和短信
- 访问跟踪通话或短信时间及对象的元数据
- 查看通信发生的蜂窝塔,揭示目标的大致位置
伏特台风
主要针对美国及其领土内的关键基础设施组织和主要行业的威胁行为者。虽然盐台风似乎完全专注于间谍活动,但伏特台风的一些活动暗示了更具军事性质的目标。
在许多报告的黑客入侵中,该组织被发现对运营技术(OT)网络进行侦察,并搜索有关灾难恢复计划的信息。OT网络是负责控制工业系统的计算机集合,如装配线、发电站和水处理厂。
伏特台风的活动让人想起俄罗斯早期入侵乌克兰电力基础设施的行为。黑客花费数年时间侵入这些网络,映射连接系统,了解其操作程序、故障安全和恢复计划。
隐蔽代理网络
中国威胁行为者面临的一个问题是,许多安全的美国网络密切监控(甚至完全阻止)来自中国的网络流量。历史上,中国黑客通过从美国云提供商购买服务器来绕过这一点,从那里进行入侵。
最近,几个国家(不仅是中国)通过构建受感染设备网络(通常称为僵尸网络)来解决这个问题。通过大规模入侵这些系统,黑客可以使用它们以不被检测的方式在互联网上隐蔽地路由流量。
为何我对"以牙还牙"黑客行为作为威慑持怀疑态度
我经常看到的一个说法是,美国可以通过对等回应来威慑中国黑客。这是我最怀疑的断言。
虽然我不了解任何美国情报行动,因此无法确认他们在做什么/没做什么,但我们可以借鉴2014年斯诺登泄密事件来获得一些见解。
基于公开已知黑客行动的重要背景
社会主义行动:首次由The Intercept详细报道,这是GCHQ主导的行动,入侵了比利时最大的电信公司Belgacom。关于该行动的泄露细节与盐台风入侵美国电信公司惊人相似,不仅公司的IT系统被入侵,组成其核心网络的路由器也被入侵。
射巨人行动:纽约时报报道的另一项行动,详细描述了NSA针对中国科技巨头华为的行动。泄密表明NSA入侵华为服务器有两个不同目标:证明华为与中国军方有联系,以及收集关于华为产品的情报。
NSA的拦截计划:拦截计划是NSA专注于供应链入侵的行动集合。泄密表明NSA会拦截运送给目标的计算机硬件(如服务器和路由器)的货物,将它们重定向到一个秘密设施,在那里拆箱、安装后门,然后发送给原始客户。
进攻性网络行动与威慑
什么是进攻性网络行动?
进攻性网络行动(OCO)是一个经常被军事和情报领域之外的许多人混淆的术语。黑客行为本身是进攻性的,而非防御性的,因此许多人错误地将OCO与一般黑客行为混为一谈。
然而,在军事术语中,黑客行为,或更具体地说计算机网络利用(CNE),本身不被视为OCO。在黑客背景下,进攻性网络行动是使用CNE来拒绝、降级、破坏或摧毁对手计算机系统或行动。
为何进攻性网络行动存在如此多混淆
我在最近的主题演讲"网络攻击的未来"中讨论了一个事实,即公众普遍认为针对美国的国家级进攻性网络行动已经很常见。普通美国人不将这些入侵视为各国相互进行网络间谍活动,而是对美国的无端攻击。
那么,进攻性网络行动会威慑中国吗?
施加成本:在网络安全中经常听到的一个流行词是"施加成本”,这只是"使对手的行动更昂贵"的一种说法,理想情况下希望完全威慑他们,或至少减少其影响和频率。
然而,对国家级行为者施加成本完全是另一回事。除了朝鲜,国家级行为者通常不是经济动机的。事实上,网络行动通常是巨大的成本中心,各国投入数十亿美元开发网络能力和收集情报。
国家级成本效益分析:国家级行为的计算越来越复杂,且经常被误解。一个最近的例子是俄罗斯入侵乌克兰。在入侵前夕,许多知名智库甚至外国政府都反驳美国政府关于入侵迫在眉睫的评估。
同样,朝鲜和伊朗尽管受到严厉国际制裁,仍继续发展核武器。美国和其盟友持续对伊朗核计划进行进攻性网络行动和常规军事行动,但他们仍未受威慑。
对中国而言,可能没有成本太高的问题。伏特台风的目标很可能是帮助中国建立破坏美国关键基础设施的能力。鉴于美国是军事超级大国,在80多个国家设有前进基地,中国在纯动能冲突中将处于极端劣势。
从防御者角度看
虽然我不声称了解美国的进攻能力,但我非常熟悉网络防御,因为这一直是我的主要关注领域。为了提供对美国网络防御缺点的见解,我将借鉴我处理过的几个重大网络事件。
Mirai
我的网络安全职业生涯始于Mirai时代。Mirai恶意软件带来了一个全新的网络安全时代。在此之前,犯罪黑客主要专注于攻击桌面和服务器系统,但Mirai针对IoT。
Mirai表面很简单。开发人员发现许多IoT设备暴露协议供管理员远程控制它们;通常是SSH或telnet。许多此类设备带有默认管理员登录,如用户名:“admin”,密码:“admin”。
结果?有史以来最大最强大的DDoS僵尸网络。尽管这发生在近十年前,问题仍然存在。
WannaCry
可能是我最不喜欢和最常被讲述的故事,但鉴于即使在今天,WannaCry仍然是有史以来最具破坏性的网络攻击,它带来了一些重要教训。
WannaCry是朝鲜国家级黑客创建的勒索软件。它的独特之处在于使用极其强大的Windows漏洞自动在计算机间传播。尽管该漏洞的修复程序已经发布了两个月,但许多组织已禁用自动安装安全更新的Windows功能。
即使现在,近8年过去了,数千个网络仍未安装安全补丁。
Log4j
可能是我处理过的最混乱的事件之一。它既不是最大的,也不是最严重的,但由于Log4j漏洞不在单个软件中,而在软件库中,因此特别复杂。
随着软件开发成熟,我们达到了一个点,大多数软件建立在库之上的库之上的库之上。这被称为"依赖链"。普通开发人员可能知道他们的代码使用什么库,但不知道这些库使用什么库,依此类推。
网络安全要点
虽然我不能讨论我职业生涯中处理的许多其他事件,但它们都不断将我引回几个核心问题:
- 组织由于成本原因不愿更新过时的硬件和软件
- 组织安装安全修复程序缓慢,且经常禁用自动安装安全修复程序的内置功能
- 联邦政府未创建任何广泛适用的有意义的网络安全或数据隐私立法
- 许多用户甚至不知道他们拥有或控制的系统中的安全漏洞
几乎所有美国基础设施都是私有的,由营利性企业运营。历史上,甚至今天,许多网络安全漏洞给公司带来的成本低于预防它们的成本。
为何最佳防御不是良好进攻
在足球中,你或许可以用良好进攻替代糟糕防守,因为只有一个球。即使在常规战争中,也可以说仍有某种道理。军事资产是有形物品,可以先发制人地摧毁以限制对手的响应能力。
网络安全则相反。一旦网络能力被开发,它们可以随时从任何地方部署。发动WannaCry或Mirai不需要机场或坦克工厂,只需要世界上任何地方的一个人和一台计算机。
经济、政治与网络安全之间的战斗
中华人民共和国网络安全法
对ISP、在线平台、企业网络运营商等的要求:
- 组建内部安全团队,指定负责处理网络安全问题和实施网络安全政策的员工
- 采取防止网络攻击和入侵的技术措施
- 记录网络日志以及网络安全事件,至少存储六个月
- 立即修复安全漏洞,并及时通知用户及相关当局
美国
在某种程度上,美国几乎是中国的对立面,其政府形式经过精心设计以避免中央化和不受制约的权力。宪法将某些权力授予联邦政府,而其他权力则保留给各州。
这导致美国没有中央机构来监管网络安全,每个人基本上都负责自己的事务。应该是全面的国家网络安全立法和国家网络防御能力的东西,只是一个分散的生态系统,分布在私营行业、监管机构以及从地方到联邦的各级政府之间。
前进方向
在完美世界中,我们不会期望公司保护其网络免受国家级网络攻击,就像我们不会期望他们建立防空系统来保护其基础设施免受导弹袭击一样。
但是,如果做不到这一点,我们至少可以考虑一些有意义的网络安全立法,以降低中小型企业的成本,并提高对资金充足的企业的期望。
美国不需要完美的网络防御,但需要开始投入更多努力通过全面的网络安全立法,特别是如果政策制定者希望将进攻性网络行动作为一种威慑形式。