11月21日消息，就在俄軍進(jìn)入烏克蘭領(lǐng)土的幾周之后，美國知名安全公司曼迪安特（Mandiant）的一名代表撥通了烏克蘭最大國有石油及天然氣公司Naftogaz的高管電話，提出一個(gè)不同尋常的建議：Naftogaz是否愿意讓曼迪安特幫助他們檢查網(wǎng)絡(luò)當(dāng)中存在的安全隱患？

多年以來，俄羅斯黑客針對Naftogaz系統(tǒng)的入侵嘗試從未停歇，因此在聽說曼迪安特愿意免費(fèi)部署搜索團(tuán)隊(duì)、檢測網(wǎng)絡(luò)中是否潛伏安全隱患時(shí)，這家能源公司表示十分樂意。

這項(xiàng)提議是西方科技企業(yè)的廣泛努力之一，希望幫助烏克蘭在戰(zhàn)時(shí)保護(hù)自己免受俄方網(wǎng)絡(luò)攻擊影響。從曼迪安特到微軟，來自美國網(wǎng)絡(luò)安全、威脅情報(bào)及科技領(lǐng)域的數(shù)十家公司聯(lián)合組建了一支網(wǎng)絡(luò)志愿團(tuán)隊(duì)，放棄中立態(tài)度，直接介入俄烏沖突。

他們自稱為網(wǎng)絡(luò)防御援助協(xié)作組織（CDAC），這個(gè)創(chuàng)意由摩根大通前首席信息安全官Greg Rattray最早提出。幾個(gè)月來，他一直努力建立公私合作關(guān)系，希望對抗破壞性網(wǎng)絡(luò)攻擊。本文是他第一次公開深入討論此項(xiàng)倡議。

多年來，美國官員一直希望通過公私合作伙伴關(guān)系來打擊破壞性網(wǎng)絡(luò)攻擊。這個(gè)思路背后的邏輯是：美國國安局和網(wǎng)絡(luò)司令部經(jīng)常在網(wǎng)絡(luò)攻擊發(fā)生之前或期間，掌握關(guān)于攻擊活動的情報(bào)，美國網(wǎng)絡(luò)安全企業(yè)則擁有阻止攻擊的專業(yè)知識。如果能夠成功協(xié)同合作，有望更好地抵御破壞性網(wǎng)絡(luò)攻擊。

而CDAC倡議的與眾不同之處，在于其合作伙伴并非華盛頓，而是基輔。這也成為公私合作的難得測試場景，可以檢驗(yàn)構(gòu)想中的聯(lián)合，最終能不能在美國本土發(fā)揮作用。

Rattray在接受采訪時(shí)表示，“俄烏沖突在周四（2月24日）正式爆發(fā)，我從周一起就開始四處溝通?！焙芸炀陀卸嗉颐绹髽I(yè)迅速簽署了協(xié)議，愿意提供許可證、人員和專業(yè)知識，幫助烏克蘭捍衛(wèi)自己的網(wǎng)絡(luò)空間。

Rattray解釋稱，“在我看來，俄羅斯方面的粗暴進(jìn)軍成為團(tuán)結(jié)各家企業(yè)、簽署合作協(xié)議的最大助力。大家都愿意以烏克蘭為實(shí)驗(yàn)場，看看自己到底能夠?yàn)榫W(wǎng)絡(luò)安全做點(diǎn)什么。”

黑客的天然目標(biāo)

Naftogaz公司擁有龐大的供應(yīng)商、子公司和在線計(jì)費(fèi)系統(tǒng)網(wǎng)絡(luò)，眾多設(shè)施環(huán)節(jié)使其成為俄羅斯黑客們的天然攻擊目標(biāo)。而一旦有攻擊者成功突入防線，Naftogaz的內(nèi)部設(shè)施就可能被攪成一團(tuán)亂麻，阻礙烏克蘭天然氣輸送系統(tǒng)的正常運(yùn)行、甚至將能源系統(tǒng)徹底關(guān)停。

早在2015年，俄羅斯就曾經(jīng)在電網(wǎng)身上動過類似的手腳。當(dāng)時(shí)俄方黑客侵入了烏克蘭電網(wǎng)，導(dǎo)致基輔周邊近25萬居民陷入黑暗長達(dá)六個(gè)小時(shí)。人們普遍認(rèn)為，如果俄羅斯能讓烏克蘭停電一次，那在雙方開戰(zhàn)期間就絕對能讓烏克蘭停電第二次、第三次。

正是這樣的壓力，促使曼迪安特首席技術(shù)官Ron Bushar致電Naftogaz，詢問對方是否愿意讓曼迪安特的獨(dú)家軟件程序掃描其運(yùn)營網(wǎng)絡(luò)。Bushar解釋稱，行業(yè)普遍懷疑Naftogaz網(wǎng)絡(luò)當(dāng)中已經(jīng)潛伏有俄方黑客，迫切需要一場大“掃蕩”、大“搜捕”。

網(wǎng)上的搜捕隊(duì)就如同循著犯案線索努力跟進(jìn)的警察：他們查找電子“指紋”、清點(diǎn)盜竊行為，并認(rèn)真觀察入侵者可能留下的一切痕跡——比如惡意代碼。

Bushar表示，“我們以極快的速度對成千上萬的系統(tǒng)進(jìn)行了掃描。一旦有所發(fā)現(xiàn)，我們就會繼續(xù)深挖，對該系統(tǒng)展開進(jìn)一步研究。”

但問題是，他們并沒有太多發(fā)現(xiàn)：確實(shí)找到了能擦除硬盤信息的惡意代碼，也掃描出了黑客“埋設(shè)”在此以待日后激活的預(yù)置惡意軟件，可并不存在能造成大規(guī)模系統(tǒng)中斷的“暴雷”。

Bushar回憶道，“我們沒有檢測到明顯的攻擊性活動，只發(fā)現(xiàn)惡意黑客已經(jīng)獲得了訪問權(quán)限，并正在內(nèi)部環(huán)境中移動的證據(jù)。”

于是，他們排查到了入侵的缺口并將惡意黑客拒之門外。

俄烏戰(zhàn)爭爆發(fā)初期，俄羅斯黑客在全烏范圍內(nèi)發(fā)動了一系列緩慢推進(jìn)的低級別攻擊，并未特別針對Naftogaz。他們擦除了硬盤數(shù)據(jù)并癱瘓掉身份驗(yàn)證系統(tǒng)，導(dǎo)致員工們無法登錄。

但在Naftogaz保護(hù)并強(qiáng)化了自身網(wǎng)絡(luò)邊界之后，擦除類惡意軟件仍在以某種方式不斷出現(xiàn)在系統(tǒng)當(dāng)中，密碼和登錄信息盜竊也一刻未停。研究人員們能意識到出了問題，但卻無法解釋原因。突然之間，Bushar他們頓悟般想通了一切：必須用軍事思維審視問題。

內(nèi)部威脅

事實(shí)證明，戰(zhàn)爭期間的網(wǎng)絡(luò)安全保護(hù)工作有其特殊性。Busahr和他的團(tuán)隊(duì)意識到，需要保護(hù)的邊界一直處于變化之中。如今占領(lǐng)烏克蘭小塊領(lǐng)土的俄羅斯軍隊(duì)已經(jīng)奪取到了部分天然氣設(shè)施，并試圖通過終端侵入其運(yùn)營系統(tǒng)。

Bushar指出，“在烏克蘭東部地區(qū)，俄軍已經(jīng)占據(jù)了部分領(lǐng)土和相應(yīng)的關(guān)鍵基礎(chǔ)設(shè)施。”其中就包括Naftogaz公司的數(shù)據(jù)中心和當(dāng)?shù)仉娦偶靶姓k公室?！罢頂痴紖^(qū)各點(diǎn)位上的系統(tǒng)和IP地址，證明這些就是我們所看到攻擊的確切來源?！?

事實(shí)上，有時(shí)候攻擊看起來像是源自Naftogaz內(nèi)部。他們發(fā)現(xiàn)這并不是因?yàn)槎矸酵黄屏税踩吔?，而是“他們已?jīng)占據(jù)了Naftogaz的數(shù)據(jù)中心及相關(guān)系統(tǒng)，這樣就能正常訪問系統(tǒng)并攻擊設(shè)施內(nèi)的其他部分……整個(gè)過程類似于應(yīng)對內(nèi)部威脅?！?

于是援助人員們調(diào)整了防御策略，開始切斷俄占區(qū)內(nèi)的業(yè)務(wù)系統(tǒng)?！拔覀兲岢鼋ㄗh，如果烏方?jīng)Q定從某省撤退，Naftogaz就應(yīng)該在系統(tǒng)落入敵軍手中之前，主動將這些系統(tǒng)從網(wǎng)絡(luò)中斷離開來?！?

建議最終轉(zhuǎn)化成了實(shí)踐。Naftogaz開始指示員工在城鎮(zhèn)被俄軍攻占時(shí)聯(lián)系主管，切斷當(dāng)?shù)氐木W(wǎng)絡(luò)訪問。而在逃離敵占城市時(shí)，員工們還會向Naftogaz總部呼叫確認(rèn)。這套新策略貫徹下去之后，Naftogaz就能及時(shí)調(diào)整防御姿態(tài)以反映各地戰(zhàn)況。Bashar表示，神秘的內(nèi)部威脅也就此消散無蹤。

技術(shù)實(shí)力

在CDAC創(chuàng)始人Rattray著手為合作倡議物色志愿者時(shí)，他的第一個(gè)電話就打給了RSA Security前CEO Art Coviello。RSA Security是網(wǎng)絡(luò)安全與加密領(lǐng)域的先驅(qū)之一。如今的Coviello則經(jīng)營著一家風(fēng)險(xiǎn)投資基金，專門為網(wǎng)絡(luò)安全企業(yè)提供資金支持。

他表示，“烏克蘭人有這個(gè)技術(shù)實(shí)力。不少公司都在烏克蘭設(shè)有軟件開發(fā)分部，這本身就說明那里的技術(shù)儲備和教育水平都比較到位。他們只是沒有機(jī)會，或者沒有像美國本土這樣的金融資源來建設(shè)自己的網(wǎng)安防御體系?！?

而CDAC的參與，應(yīng)該有助于彌合這個(gè)缺口。

Coviello提到，這項(xiàng)努力并不單純是為了響應(yīng)戰(zhàn)爭。烏克蘭以外的人們也應(yīng)當(dāng)保持警惕，畢竟俄羅斯對烏克蘭使用的網(wǎng)絡(luò)武器，也可能被用于攻擊其他目標(biāo)?！拔医^對不會低估俄羅斯人的能力。”

Coviello強(qiáng)調(diào)，“人們可能沒有意識到，美國人民其實(shí)生活在世界上最大的數(shù)字玻璃屋內(nèi)。我們受到的影響最大、承擔(dān)的損失最重，因?yàn)槲覀冎g的聯(lián)系非常緊密、對技術(shù)的依賴性極高。我們的一切關(guān)鍵基礎(chǔ)設(shè)施和業(yè)務(wù)構(gòu)成都受到了這種技術(shù)轉(zhuǎn)型的影響。”

Rattray則提到，烏克蘭用行動震驚了全世界——這種成就不僅來自正面戰(zhàn)場，也來自網(wǎng)絡(luò)空間。烏克蘭方面極為敏捷，能夠快速將系統(tǒng)遷移至云端，而云數(shù)據(jù)不會受到本土轟炸和一般黑客攻擊的影響。烏克蘭人的技術(shù)專長讓他們能夠在受到攻擊時(shí)迅速轉(zhuǎn)向，并充分運(yùn)用來自科技界的巨大助力。

Rattray總結(jié)道，“俄羅斯人并不像我們想象中那么擅長網(wǎng)絡(luò)作戰(zhàn)。他們在數(shù)字空間中的行動跟我們的預(yù)期基本相符，比如信息戰(zhàn)競爭、用傳統(tǒng)方式通過網(wǎng)絡(luò)空間收集監(jiān)控情報(bào)之類。但我們預(yù)想中的破壞性攻擊并沒有出現(xiàn)?！?