“黑回去”,也可称之为“主动防御”理论的支持者和反对者一如几十年前刚刚兴起时一样,针锋相对,难分上下。看起来也没有很快结束的样子。
正方:斯图尔特·贝克尔——前美国国家安全局总顾问,前美国国土安全部政策助理部长,现世强律师事务所(Steptoe & Johnson LLP)网络安全业务合伙人兼博客作家。
多年来,他一直在宣扬一种理念:“防御是不够的”,有效应对网络犯罪的唯一途径是通过反击攻击者让网络犯罪成本更高。
反方:《华盛顿邮报》去年秋天的报道警告那些哪怕只是稍微想一下“黑回去”的人:《计算机欺诈与滥用法案》(CFAA)下绝大多数形式的“黑回去”都违法,而且“报复将会引爆全面网络战争,造成全互联网范围内的连带伤害”。
但这种论调从未说服过贝克尔。“现在这种网络安全危机情况下我们根本不能从防御中找到出路,”他在博客中写道。“这是因为将所有预防犯罪的责任推到受害者身上极少能获得成功。明摆着的一个选择是识别出攻击者并施以惩罚。”
斯图尔特·贝克尔
贝克尔还表示,法律风险正在消退——政府官员更倾向于支持那些黑回去的人而不是起诉他们。“政府在一点一点地默默让步,他们表现得更为开放了。”
实际上,这一局面的形成有部分是由于五角大楼首次公开宣称攻击性网络行动也是其对敌冲突中的一种选择。
最新的网络安全战略文件中称,国防部“应该有能力采取网络行动摧毁敌方的命令与控制网络、军事相关关键基础设施和武器的功能。”
正方:白帽安全公司白帽子实验室副总裁罗伯特·汉森认为,执行CFAA 的另一个难题在于“该法案目前相当不完善,以致于我们当下在网上所做的事几乎没几件是合法的。因此,如果不事事咨询律师,完全有可能啥都没做就违法了——参与犯罪、故意疏忽、事后共犯,诸如此类。”
反方:安 东尼·迪贝罗,他是全球计算机调查与取证先驱Guidance Software的战略伙伴关系负责人,近期在信息技术安全领域新闻资讯网站Dark Reading上发表的一篇中反复警告道:“黑回去”,或者某些人声称的“主动防御”,是对禁止“非法侵入”另一个计算机网络的CFAA的违反。
除了这个,他还争辩道:防御确实已经足够,而且防御做得好了,是比“自我意识驱动的报复战”更有效果的。
在一次采访中,迪贝罗说,那些不同意他的观点的人在他的文章后回复说,“觉得没有足够的法律途径可以求援。”
防御比‘自我意识驱动的报复战’更有效果。他对此表示同意,并提到,联邦调查局网络部只有1000名探员,“他们已经倾尽全力疲于奔命,某种意义上说,让受害者不得不考虑亲自出马教训攻击者。”
但是,他同时也引用他公司的总顾问马克·哈林顿(“黑回去”的支持者)的话说:“‘黑回去’也是非法入侵的一种形式,我不认为短期内非法入侵会被列入合法范畴。”
安东尼·迪贝罗
迪贝罗和其他人主张,公司企业在考虑反攻回去之前需要深入理解自身环境以侦测出入侵者的存在,这些入侵者可是能够在偷运数据或引发其他伤害之前在公司网络中静静潜伏数月甚至数年之久的。
事实上,近期在旧金山召开的RSA大会上,麦克林风险伙伴公司(MacLean Risk Partners)创始人兼首席执行官容达·麦克林就在一次小组座谈中宣称,大多数组织都应该假定他们已经被侵入了。“如果有公司告诉你他们没有被侵入,那只是他们不知道而已。”
然而,要在这个问题上进行有意义的争论,需要对某些术语进行定义。有些专家认为使用“主动防御”作为“黑回去”的委婉说法是不恰当的。
反方:互联网安全公司Accuvant解决方案研究与开发负责人拉法·洛斯说,他相信主动防御是一件好事,当且仅当主动防御的意思是指“防御团队在自身系统/网络上采取的保护自身的行动,绝对不是反攻攻击者来保护他们自身及其资产。”
换句话说,在他看来,主动防御依然意味着防御。
洛斯说,他相信如果防御者作了攻击者一直以来在做的事——了解对手的战术、能力和工具,那他们将会在防御上更加成功。
但要做到这一点,他与迪贝罗持相同意见:防御者需要对自身环境了解更多。
“不事先了解清楚自身弱点和关键资产所在就妄图应对敌人比徒劳无功更糟糕。如果不清楚自身内部情况,再了解外部因素也完全无用。”
反方:信息安全创业公司Dragos Security联合创始人罗伯特·李,他与洛斯在使用“主动防御”描述“黑回去”上持类似的观点。
李反对“黑回去”战略有部分原因是因为他认为大多数组织不是太擅长这个。 “如果公司企业不能有效运行防御程序并解决安全基本问题,他们同样不能有效运行进攻程序。”他说。
进攻比大众想象的要难,进攻回报的价值也不如切实加强安全来得高。他还提到,进入网络小偷的网络可不像冲进小偷的家里要求归还赃物那么简单。
“一旦知识产权在一次谍报行动中被盗,它就再也不能寻回了。它可不像大多人鼓吹那样能从对手的网络中删除。”
除了法律问题,争论还延伸到了溯源、连带伤害和矛盾升级。
反方:溯源,即准确识别攻击者,几乎是不可能的,因为攻击者想要隐藏他们的踪迹实在是太容易了。而且还会造成连带伤害——报复目标被引向了无辜的组织——被真正的攻击者利用了其网络的无辜路人。
他们还说道,反攻击只会导致冲突升级,有引发会带来重大连带伤害的全面网络战的风险。
“举例来说,如果我是一个受国家支持的攻击者。”洛斯说,“很显然,我要是想攻击你,会先搞定你的主要对手,再以他们为跳板,借他们的网络来攻击你。”
“然后,如果你盲目反黑回来,你攻击的就是你的对手,而我,一箭双雕。首先,我达成了我的目的,十有八九是通过偷取想要的东西。其次,现在你主动陷入与对手的战争了。”
正方:贝克不同意这个观点,他坚称,攻击者没有公众认为的那么聪明。
他在文章中写道,“所有让我们的安全无法保障的人类弱点也同样给攻击者制造了麻烦。他们会在被抛弃了的命令与控制计算机上留下代码踪迹。他们也会重复使用密码、电子邮件地址和电脑。他们的远程访问工具充满了漏洞。”
这些,他说,让调查员们得以追踪溯源到用来实施攻击的命令与控制计算机上,然后,进一步摸到黑客的老巢和办公室。
他将之称为贝克法则:“我们的安全很烂,他们的也一样。”
乔·哈丁,退役军事情报官,信息战专家,博主。他表示,用来追踪攻击者的工具已经大幅改进了。
“溯源真的很难,但情况正变得越来越好。以前常常要耗费数周或几个月的时间。现在,我们的工具能在几秒到几分钟内告诉我们答案。”
汉森,尽管不是一个“黑回去”的绝对支持者,也同意这样的观点:至少足以破坏攻击的归因是可及的。
“大多数案例里,我得说,实时取证几乎毫无精准度可言,但大多数坏家伙无非就是用洋葱头路由(Tor)、代理或者肉鸡来隐藏自身踪迹。”
“如果你看到有机器在黑你,有可能那台机器本身就已经被黑了。反黑回去并让它宕机实际上并不能阻止你的敌人,但却可以使你敌人在用的武器失效,还有可能提供你的真正敌人是谁的线索。”
汉森对矛盾升级理论也持怀疑态度。“我从没见过此类案例,所以我也不确定这一理论是从何而来的。”
但是反对者依然没有被说服。
洛斯说:“这就相当于去捅马蜂窝。是的,对手很可能比你火力强大,因此,出演反派角色真不是公司的最佳选择。”
李说:“你还冒着扰乱政府对敌行动的风险,一旦真扰到了政府,你的乐子就大了。总会有二阶三阶效应——我看不出来公司反黑回去有什么价值。”
哈丁称,价值来自于仅防御战略从来不是刀枪不入。他说:“进攻方总是占据优势的。事实是,如果你真的没有漏洞,那他们也不会瞄上你。问题在于,你的整个IT部门都忙于给系统和网络打补丁。但漏洞总是出在人身上,所以说防御就够了总是比做防御要难。”
对于这一点,防御支持者说,要做到更好也不是那么难。邮报那篇文章中提到的一个技术,叫做“信标”,相当于数字世界的被劫现金爆破染色包,可以帮助受害者“定位被盗物品并确定是谁悄悄从互联网上偷走了它。”
汉森说他在很多案例里见识过信标的有效性,并补充道:“用坏数据在对手那里种下种子总是个好办法,可以更容易地顺藤摸瓜直捣黄龙。蜜标技术在这方面是非常有用的。”
但是李仍不为所动。“是的,这种战术可以很有效,但鼓吹和施行这种战术的人可没他们自认为的那么的有效。”
洛斯认为,整个业界应该将焦点从感染指标(IOC,indicators of compromise,经常变,且攻击者可能非常隐蔽而没有留下感染指征)转向攻击指标(IOA,indicators of attack)。
“攻击者没法改变的是他们的目的,比如说必须提升权限以潜入公司。能达成这一目的的方法很少——这些就是我们需要监测的地方了。”他说。
作者:nana
来源:51CTO