信息來源:secdoctor
不斷增長(zhǎng)
國(guó)家支持
極少用到超出基本工具之外的技術(shù)
然而���,對(duì)私營(yíng)產(chǎn)業(yè)而言���,更令人憂慮的���,是缺乏對(duì)運(yùn)動(dòng)戰(zhàn)術(shù)語中所謂“連帶傷害”的關(guān)注度缺失。
Cybereason���,波士頓一家威脅狩獵公司,分析了35年來的破壞性網(wǎng)絡(luò)攻擊���,從1982年軟件觸發(fā)的西伯利亞天然氣管道大爆炸事件���,到最近的NotPetya和Industroyer攻擊。Cybereason的結(jié)論并未令業(yè)界放下心來���。
攻擊復(fù)雜度隨時(shí)間變化圖顯示出了兩個(gè)主要特征���。大部分攻擊自2012年起出現(xiàn),且相對(duì)不算復(fù)雜���。
3大高端攻擊是:
-
1998年美國(guó)軍隊(duì)攻擊塞爾維亞防空系統(tǒng)���;
-
2010年對(duì)伊朗核項(xiàng)目實(shí)施的震網(wǎng)攻擊���;
-
2016年對(duì)烏克蘭電網(wǎng)進(jìn)行的CrashOverride/Industroyer攻擊。
這3大復(fù)雜攻擊都有一個(gè)共性:都被認(rèn)為是針對(duì)關(guān)鍵/軍事基礎(chǔ)設(shè)施的國(guó)家攻擊���。
大部分低端攻擊針對(duì)私營(yíng)產(chǎn)業(yè)���。Cybereason幾乎沒看到政府對(duì)此有任何干預(yù),擔(dān)憂此類攻擊會(huì)繼續(xù)增長(zhǎng):這實(shí)際上就是官方不承認(rèn)的非受控網(wǎng)絡(luò)戰(zhàn)���。
其中一些攻擊可能是民族國(guó)家黑客在測(cè)試他們的網(wǎng)絡(luò)武器���。2015年法國(guó)電視臺(tái)TV5Monde遭到的攻擊,就被認(rèn)為是這一類;英國(guó)情報(bào)機(jī)構(gòu)認(rèn)定���,這可能是越來越激進(jìn)的俄羅斯���,通過APT28/奇幻熊黑客組織,測(cè)試網(wǎng)絡(luò)戰(zhàn)的各種形式���。
其他攻擊就是純政治性的了���,包括伊朗黑客對(duì)沙特阿拉伯石油生產(chǎn)的多次攻擊���。有些可被理解為國(guó)家政治/報(bào)復(fù),比如朝鮮2013年對(duì)韓國(guó)電視和銀行業(yè)的“黑暗首爾”攻擊���,以及2014年的索尼影業(yè)數(shù)據(jù)泄露事件���。
Cybereason認(rèn)為,各國(guó)政府不能(或許是不愿)抗擊網(wǎng)絡(luò)威脅���。
在報(bào)告中,Cybereason解釋道:“國(guó)家政府沒有阻止此類行為的動(dòng)機(jī)���。他們可以表示不滿���,彼此回敬,或者秘密進(jìn)行破壞性網(wǎng)絡(luò)行動(dòng)而不認(rèn)賬���?��;ヂ?lián)網(wǎng)上國(guó)際打擊的相對(duì)容易性���,結(jié)合上報(bào)復(fù)打擊的相對(duì)缺乏,催生了各國(guó)繼續(xù)試驗(yàn)并加大網(wǎng)絡(luò)攻擊步伐的環(huán)境���。
至于私營(yíng)產(chǎn)業(yè)的問題���,則是運(yùn)動(dòng)戰(zhàn)與網(wǎng)絡(luò)戰(zhàn)的根本差別了。大國(guó)間通過信息行動(dòng)相互威脅對(duì)方關(guān)鍵基礎(chǔ)設(shè)施的想法���,如果以運(yùn)動(dòng)戰(zhàn)的方式實(shí)現(xiàn)���,將會(huì)令人無法容忍,造成嚴(yán)重后果���。
但在網(wǎng)絡(luò)領(lǐng)域���,各國(guó)政府都不太愿意像在運(yùn)動(dòng)戰(zhàn)領(lǐng)域一樣一受挑釁就反擊,怕網(wǎng)絡(luò)沖突會(huì)最終升級(jí)成現(xiàn)實(shí)世界戰(zhàn)爭(zhēng)���。結(jié)果就是���,網(wǎng)絡(luò)連帶傷害在政府看來很大程度上是可以接受的���,而該連帶傷害往往就落在私營(yíng)產(chǎn)業(yè)頭上。
在沒能力���,甚或沒意愿勸阻民族國(guó)家破壞性攻擊的情況下���,私營(yíng)產(chǎn)業(yè)就是最終付出代價(jià)的人。他們常常成為這些攻擊的受害者���,因?yàn)樗麄儾粌H沒有政府網(wǎng)絡(luò)防護(hù)良好���,從遭到報(bào)復(fù)的立場(chǎng)出發(fā),也常被認(rèn)為是“安全”的攻擊目標(biāo)���。
有鑒于此,Cybereason認(rèn)為���,相對(duì)不那么高級(jí)的民族國(guó)家攻擊���,將會(huì)一年比一年多。受害者也將繼續(xù)是作為拉動(dòng)敵對(duì)國(guó)家利益有用目標(biāo)的非政府機(jī)構(gòu)。
但是���,同樣的戰(zhàn)術(shù)被非國(guó)家攻擊者利用的擔(dān)憂也不無道理���。
目前,DDoS是激進(jìn)黑客和意圖打擊特定實(shí)體的黑客最容易也最常用的工具���。但隨著更多破壞性工具被使用���,隨著社會(huì)對(duì)新攻擊報(bào)道的麻木,網(wǎng)絡(luò)罪犯和激進(jìn)黑客會(huì)更愿意進(jìn)軍該領(lǐng)域���。對(duì)希望擴(kuò)展業(yè)務(wù)模型的網(wǎng)絡(luò)黑手而言���,造成更大影響的能力,與通過破壞信息系統(tǒng)并掃清取證證據(jù)所獲得的更大混淆能力���,將變得更加誘人���。
簡(jiǎn)單講,Cybereason認(rèn)為���,私營(yíng)產(chǎn)業(yè)攻擊者會(huì)更多地將破壞用作他們攻擊方式的一部分���。建議私營(yíng)產(chǎn)業(yè)防御者在風(fēng)險(xiǎn)管理中融入攻擊性破壞的考量���。
“拒絕性嚇阻”是行不通的,無論是政府發(fā)起的報(bào)復(fù)威脅���,還是私營(yíng)產(chǎn)業(yè)的“反黑”���。政府不愿挑起前者,而后者只會(huì)導(dǎo)致更多黑客活動(dòng)���,更不安全的網(wǎng)絡(luò)���,公司網(wǎng)絡(luò)按更短卻更艱難的生命周期。
Cybereason建議私營(yíng)產(chǎn)業(yè)采取兩種行動(dòng)���。首先���,理解并認(rèn)清自身當(dāng)前可能是民族國(guó)家打擊的目標(biāo)���,將來也可能遭受激進(jìn)黑客的破壞性攻擊���。這表明���,有效災(zāi)難恢復(fù)不應(yīng)再被認(rèn)為是奢侈品,而是絕對(duì)的必需品���。其次���,將要被動(dòng)防御切換成主動(dòng)威脅狩獵,在對(duì)手發(fā)起破壞性攻擊前就將其檢測(cè)并封鎖���。
2017年6月���,Cybereason收獲1億美元D輪融資,總?cè)谫Y額達(dá)1.89億美元���。
