11月21日消息,就在俄軍進(jìn)入烏克蘭領(lǐng)土的幾周之后,美國知名安全公司曼迪安特(Mandiant)的一名代表撥通了烏克蘭最大國有石油及天然氣公司Naftogaz的高管電話,提出一個(gè)不同尋常的建議:Naftogaz是否愿意讓曼迪安特幫助他們檢查網(wǎng)絡(luò)當(dāng)中存在的安全隱患?
多年以來,俄羅斯黑客針對(duì)Naftogaz系統(tǒng)的入侵嘗試從未停歇,因此在聽說曼迪安特愿意免費(fèi)部署搜索團(tuán)隊(duì)、檢測網(wǎng)絡(luò)中是否潛伏安全隱患時(shí),這家能源公司表示十分樂意。
這項(xiàng)提議是西方科技企業(yè)的廣泛努力之一,希望幫助烏克蘭在戰(zhàn)時(shí)保護(hù)自己免受俄方網(wǎng)絡(luò)攻擊影響。從曼迪安特到微軟,來自美國網(wǎng)絡(luò)安全、威脅情報(bào)及科技領(lǐng)域的數(shù)十家公司聯(lián)合組建了一支網(wǎng)絡(luò)志愿團(tuán)隊(duì),放棄中立態(tài)度,直接介入俄烏沖突。
他們自稱為網(wǎng)絡(luò)防御援助協(xié)作組織(CDAC),這個(gè)創(chuàng)意由摩根大通前首席信息安全官Greg Rattray最早提出。幾個(gè)月來,他一直努力建立公私合作關(guān)系,希望對(duì)抗破壞性網(wǎng)絡(luò)攻擊。本文是他第一次公開深入討論此項(xiàng)倡議。
多年來,美國官員一直希望通過公私合作伙伴關(guān)系來打擊破壞性網(wǎng)絡(luò)攻擊。這個(gè)思路背后的邏輯是:美國國安局和網(wǎng)絡(luò)司令部經(jīng)常在網(wǎng)絡(luò)攻擊發(fā)生之前或期間,掌握關(guān)于攻擊活動(dòng)的情報(bào),美國網(wǎng)絡(luò)安全企業(yè)則擁有阻止攻擊的專業(yè)知識(shí)。如果能夠成功協(xié)同合作,有望更好地抵御破壞性網(wǎng)絡(luò)攻擊。
而CDAC倡議的與眾不同之處,在于其合作伙伴并非華盛頓,而是基輔。這也成為公私合作的難得測試場景,可以檢驗(yàn)構(gòu)想中的聯(lián)合,最終能不能在美國本土發(fā)揮作用。
Rattray在接受采訪時(shí)表示,“俄烏沖突在周四(2月24日)正式爆發(fā),我從周一起就開始四處溝通?!焙芸炀陀卸嗉颐绹髽I(yè)迅速簽署了協(xié)議,愿意提供許可證、人員和專業(yè)知識(shí),幫助烏克蘭捍衛(wèi)自己的網(wǎng)絡(luò)空間。
Rattray解釋稱,“在我看來,俄羅斯方面的粗暴進(jìn)軍成為團(tuán)結(jié)各家企業(yè)、簽署合作協(xié)議的最大助力。大家都愿意以烏克蘭為實(shí)驗(yàn)場,看看自己到底能夠?yàn)榫W(wǎng)絡(luò)安全做點(diǎn)什么?!?
黑客的天然目標(biāo)
Naftogaz公司擁有龐大的供應(yīng)商、子公司和在線計(jì)費(fèi)系統(tǒng)網(wǎng)絡(luò),眾多設(shè)施環(huán)節(jié)使其成為俄羅斯黑客們的天然攻擊目標(biāo)。而一旦有攻擊者成功突入防線,Naftogaz的內(nèi)部設(shè)施就可能被攪成一團(tuán)亂麻,阻礙烏克蘭天然氣輸送系統(tǒng)的正常運(yùn)行、甚至將能源系統(tǒng)徹底關(guān)停。
早在2015年,俄羅斯就曾經(jīng)在電網(wǎng)身上動(dòng)過類似的手腳。當(dāng)時(shí)俄方黑客侵入了烏克蘭電網(wǎng),導(dǎo)致基輔周邊近25萬居民陷入黑暗長達(dá)六個(gè)小時(shí)。人們普遍認(rèn)為,如果俄羅斯能讓烏克蘭停電一次,那在雙方開戰(zhàn)期間就絕對(duì)能讓烏克蘭停電第二次、第三次。
正是這樣的壓力,促使曼迪安特首席技術(shù)官Ron Bushar致電Naftogaz,詢問對(duì)方是否愿意讓曼迪安特的獨(dú)家軟件程序掃描其運(yùn)營網(wǎng)絡(luò)。Bushar解釋稱,行業(yè)普遍懷疑Naftogaz網(wǎng)絡(luò)當(dāng)中已經(jīng)潛伏有俄方黑客,迫切需要一場大“掃蕩”、大“搜捕”。
網(wǎng)上的搜捕隊(duì)就如同循著犯案線索努力跟進(jìn)的警察:他們查找電子“指紋”、清點(diǎn)盜竊行為,并認(rèn)真觀察入侵者可能留下的一切痕跡——比如惡意代碼。
Bushar表示,“我們以極快的速度對(duì)成千上萬的系統(tǒng)進(jìn)行了掃描。一旦有所發(fā)現(xiàn),我們就會(huì)繼續(xù)深挖,對(duì)該系統(tǒng)展開進(jìn)一步研究?!?
但問題是,他們并沒有太多發(fā)現(xiàn):確實(shí)找到了能擦除硬盤信息的惡意代碼,也掃描出了黑客“埋設(shè)”在此以待日后激活的預(yù)置惡意軟件,可并不存在能造成大規(guī)模系統(tǒng)中斷的“暴雷”。
Bushar回憶道,“我們沒有檢測到明顯的攻擊性活動(dòng),只發(fā)現(xiàn)惡意黑客已經(jīng)獲得了訪問權(quán)限,并正在內(nèi)部環(huán)境中移動(dòng)的證據(jù)?!?
于是,他們排查到了入侵的缺口并將惡意黑客拒之門外。
俄烏戰(zhàn)爭爆發(fā)初期,俄羅斯黑客在全烏范圍內(nèi)發(fā)動(dòng)了一系列緩慢推進(jìn)的低級(jí)別攻擊,并未特別針對(duì)Naftogaz。他們擦除了硬盤數(shù)據(jù)并癱瘓掉身份驗(yàn)證系統(tǒng),導(dǎo)致員工們無法登錄。
但在Naftogaz保護(hù)并強(qiáng)化了自身網(wǎng)絡(luò)邊界之后,擦除類惡意軟件仍在以某種方式不斷出現(xiàn)在系統(tǒng)當(dāng)中,密碼和登錄信息盜竊也一刻未停。研究人員們能意識(shí)到出了問題,但卻無法解釋原因。突然之間,Bushar他們頓悟般想通了一切:必須用軍事思維審視問題。
內(nèi)部威脅
事實(shí)證明,戰(zhàn)爭期間的網(wǎng)絡(luò)安全保護(hù)工作有其特殊性。Busahr和他的團(tuán)隊(duì)意識(shí)到,需要保護(hù)的邊界一直處于變化之中。如今占領(lǐng)烏克蘭小塊領(lǐng)土的俄羅斯軍隊(duì)已經(jīng)奪取到了部分天然氣設(shè)施,并試圖通過終端侵入其運(yùn)營系統(tǒng)。
Bushar指出,“在烏克蘭東部地區(qū),俄軍已經(jīng)占據(jù)了部分領(lǐng)土和相應(yīng)的關(guān)鍵基礎(chǔ)設(shè)施?!逼渲芯桶∟aftogaz公司的數(shù)據(jù)中心和當(dāng)?shù)仉娦偶靶姓k公室?!罢頂痴紖^(qū)各點(diǎn)位上的系統(tǒng)和IP地址,證明這些就是我們所看到攻擊的確切來源?!?
事實(shí)上,有時(shí)候攻擊看起來像是源自Naftogaz內(nèi)部。他們發(fā)現(xiàn)這并不是因?yàn)槎矸酵黄屏税踩吔纾恰八麄円呀?jīng)占據(jù)了Naftogaz的數(shù)據(jù)中心及相關(guān)系統(tǒng),這樣就能正常訪問系統(tǒng)并攻擊設(shè)施內(nèi)的其他部分……整個(gè)過程類似于應(yīng)對(duì)內(nèi)部威脅。”
于是援助人員們調(diào)整了防御策略,開始切斷俄占區(qū)內(nèi)的業(yè)務(wù)系統(tǒng)?!拔覀兲岢鼋ㄗh,如果烏方?jīng)Q定從某省撤退,Naftogaz就應(yīng)該在系統(tǒng)落入敵軍手中之前,主動(dòng)將這些系統(tǒng)從網(wǎng)絡(luò)中斷離開來?!?
建議最終轉(zhuǎn)化成了實(shí)踐。Naftogaz開始指示員工在城鎮(zhèn)被俄軍攻占時(shí)聯(lián)系主管,切斷當(dāng)?shù)氐木W(wǎng)絡(luò)訪問。而在逃離敵占城市時(shí),員工們還會(huì)向Naftogaz總部呼叫確認(rèn)。這套新策略貫徹下去之后,Naftogaz就能及時(shí)調(diào)整防御姿態(tài)以反映各地戰(zhàn)況。Bashar表示,神秘的內(nèi)部威脅也就此消散無蹤。
技術(shù)實(shí)力
在CDAC創(chuàng)始人Rattray著手為合作倡議物色志愿者時(shí),他的第一個(gè)電話就打給了RSA Security前CEO Art Coviello。RSA Security是網(wǎng)絡(luò)安全與加密領(lǐng)域的先驅(qū)之一。如今的Coviello則經(jīng)營著一家風(fēng)險(xiǎn)投資基金,專門為網(wǎng)絡(luò)安全企業(yè)提供資金支持。
他表示,“烏克蘭人有這個(gè)技術(shù)實(shí)力。不少公司都在烏克蘭設(shè)有軟件開發(fā)分部,這本身就說明那里的技術(shù)儲(chǔ)備和教育水平都比較到位。他們只是沒有機(jī)會(huì),或者沒有像美國本土這樣的金融資源來建設(shè)自己的網(wǎng)安防御體系?!?
而CDAC的參與,應(yīng)該有助于彌合這個(gè)缺口。
Coviello提到,這項(xiàng)努力并不單純是為了響應(yīng)戰(zhàn)爭。烏克蘭以外的人們也應(yīng)當(dāng)保持警惕,畢竟俄羅斯對(duì)烏克蘭使用的網(wǎng)絡(luò)武器,也可能被用于攻擊其他目標(biāo)?!拔医^對(duì)不會(huì)低估俄羅斯人的能力?!?
Coviello強(qiáng)調(diào),“人們可能沒有意識(shí)到,美國人民其實(shí)生活在世界上最大的數(shù)字玻璃屋內(nèi)。我們受到的影響最大、承擔(dān)的損失最重,因?yàn)槲覀冎g的聯(lián)系非常緊密、對(duì)技術(shù)的依賴性極高。我們的一切關(guān)鍵基礎(chǔ)設(shè)施和業(yè)務(wù)構(gòu)成都受到了這種技術(shù)轉(zhuǎn)型的影響?!?
Rattray則提到,烏克蘭用行動(dòng)震驚了全世界——這種成就不僅來自正面戰(zhàn)場,也來自網(wǎng)絡(luò)空間。烏克蘭方面極為敏捷,能夠快速將系統(tǒng)遷移至云端,而云數(shù)據(jù)不會(huì)受到本土轟炸和一般黑客攻擊的影響。烏克蘭人的技術(shù)專長讓他們能夠在受到攻擊時(shí)迅速轉(zhuǎn)向,并充分運(yùn)用來自科技界的巨大助力。
Rattray總結(jié)道,“俄羅斯人并不像我們想象中那么擅長網(wǎng)絡(luò)作戰(zhàn)。他們?cè)跀?shù)字空間中的行動(dòng)跟我們的預(yù)期基本相符,比如信息戰(zhàn)競爭、用傳統(tǒng)方式通過網(wǎng)絡(luò)空間收集監(jiān)控情報(bào)之類。但我們預(yù)想中的破壞性攻擊并沒有出現(xiàn)?!?