本文讲的是 破坏性网络攻击的三大趋势,不断增长
国家支持
极少用到超出基本工具之外的技术
然而,对私营产业而言,更令人忧虑的,是缺乏对运动战术语中所谓“连带伤害”的关注度缺失。
Cybereason,波士顿一家威胁狩猎公司,分析了35年来的破坏性网络攻击,从1982年软件触发的西伯利亚天然气管道大爆炸事件,到最近的NotPetya和Industroyer攻击。Cybereason的结论并未令业界放下心来。
攻击复杂度随时间变化图显示出了两个主要特征。大部分攻击自2012年起出现,且相对不算复杂。
3大高端攻击是:
1998年美国军队攻击塞尔维亚防空系统
2010年对伊朗核项目实施的震网攻击
2016年对乌克兰电网进行的CrashOverride/Industroyer攻击
这3大复杂攻击都有一个共性:都被认为是针对关键/军事基础设施的国家攻击。
大部分低端攻击针对私营产业。Cybereason几乎没看到政府对此有任何干预,担忧此类攻击会继续增长:这实际上就是官方不承认的非受控网络战。
其中一些攻击可能是民族国家黑客在测试他们的网络武器。2015年法国电视台TV5Monde遭到的攻击,就被认为是这一类;英国情报机构认定,这可能是越来越激进的俄罗斯,通过APT28/奇幻熊黑客组织,测试网络战的各种形式。
其他攻击就是纯政治性的了,包括伊朗黑客对沙特阿拉伯石油生产的多次攻击。有些可被理解为国家政治/报复,比如朝鲜2013年对韩国电视和银行业的“黑暗首尔”攻击,以及2014年的索尼影业数据泄露事件。
Cybereason认为,各国政府不能(或许是不愿)抗击网络威胁。
在报告中,Cybereason解释道:“国家政府没有阻止此类行为的动机。他们可以表示不满,彼此回敬,或者秘密进行破坏性网络行动而不认账。互联网上国际打击的相对容易性,结合上报复打击的相对缺乏,催生了各国继续试验并加大网络攻击步伐的环境。
至于私营产业的问题,则是运动战与网络战的根本差别了。大国间通过信息行动相互威胁对方关键基础设施的想法,如果以运动战的方式实现,将会令人无法容忍,造成严重后果。
但在网络领域,各国政府都不太愿意像在运动战领域一样一受挑衅就反击,怕网络冲突会最终升级成现实世界战争。结果就是,网络连带伤害在政府看来很大程度上是可以接受的,而该连带伤害往往就落在私营产业头上。
在没能力,甚或没意愿劝阻民族国家破坏性攻击的情况下,私营产业就是最终付出代价的人。他们常常成为这些攻击的受害者,因为他们不仅没有政府网络防护良好,从遭到报复的立场出发,也常被认为是“安全”的攻击目标。
有鉴于此,Cybereason认为,相对不那么高级的民族国家攻击,将会一年比一年多。受害者也将继续是作为拉动敌对国家利益有用目标的非政府机构。
但是,同样的战术被非国家攻击者利用的担忧也不无道理。
目前,DDoS是激进黑客和意图打击特定实体的黑客最容易也最常用的工具。但随着更多破坏性工具被使用,随着社会对新攻击报道的麻木,网络罪犯和激进黑客会更愿意进军该领域。对希望扩展业务模型的网络黑手而言,造成更大影响的能力,与通过破坏信息系统并扫清取证证据所获得的更大混淆能力,将变得更加诱人。
简单讲,Cybereason认为,私营产业攻击者会更多地将破坏用作他们攻击方式的一部分。建议私营产业防御者在风险管理中融入攻击性破坏的考量。
“拒绝性吓阻”是行不通的,无论是政府发起的报复威胁,还是私营产业的“反黑”。政府不愿挑起前者,而后者只会导致更多黑客活动,更不安全的网络,公司网络按更短却更艰难的生命周期。
Cybereason建议私营产业采取两种行动。首先,理解并认清自身当前可能是民族国家打击的目标,将来也可能遭受激进黑客的破坏性攻击。这表明,有效灾难恢复不应再被认为是奢侈品,而是绝对的必需品。其次,将要被动防御切换成主动威胁狩猎,在对手发起破坏性攻击前就将其检测并封锁。
2017年6月,Cybereason收获1亿美元D轮融资,总融资额达1.89亿美元。