打贏網(wǎng)絡偷襲戰(zhàn)

2019年6月24日，蘭德公司網(wǎng)站發(fā)布題為“Fighting and Winning the Undeclared Cyber War”的博客文章，作者是高級工程師艾薩克R.波切三世。博文指出，缺乏國際規(guī)范意味著許多網(wǎng)絡攻擊都落入了低于全面戰(zhàn)爭門檻的灰色地帶。利用這種不確定性的國家行為者對美國的安全構(gòu)成嚴重威脅。

奧地利詩人英格堡·巴赫曼說，“戰(zhàn)爭將不宣而戰(zhàn)”：網(wǎng)絡戰(zhàn)正將這一詩句轉(zhuǎn)化為現(xiàn)實。

美國城市每天都在與網(wǎng)絡犯罪分子和邪惡的外國行為者作斗爭。最近一個月，巴爾的摩市政府資產(chǎn)接二連三地遭到網(wǎng)絡攻擊。這些攻擊是由網(wǎng)絡勒索者精心策劃的，他們利用過時的軟件安全機制來凍結(jié)數(shù)千臺計算機和基本通信功能，導致幾個關鍵的市政運營中斷。

雖然仍未識別出該行動背后的黑客，但這些相同的漏洞代表了州、聯(lián)邦和國家基礎設施向以國家為主體的網(wǎng)絡攻擊敞開了大門。在當前的環(huán)境下，即使是黑客新手也很容易選擇性地攻擊美國的目標，更不用說國家行為者了。

在許多方面，國家之間的網(wǎng)絡戰(zhàn)已經(jīng)在進行之中。缺乏既定的國際規(guī)范意味著許多網(wǎng)絡攻擊都落入了低于全面戰(zhàn)爭門檻的灰色地帶。通過利用這種不確定性，俄羅斯、伊朗等國家行為者繼續(xù)對美國的國家安全構(gòu)成嚴重威脅，包括對支持運輸、食品配送、公用事業(yè)和商業(yè)的關鍵基礎設施(CI)資產(chǎn)的威脅。

即使短時間內(nèi)失去水或電力也會對人們的安全感造成沖擊。此外，任何對國家選舉過程的任何真實或預計的篡改都可能同樣破壞美國人的自由感。

美國政府一直面臨著實施可持續(xù)網(wǎng)絡安全戰(zhàn)略的必要性，以確保在不斷變化的網(wǎng)絡戰(zhàn)爭環(huán)境中實現(xiàn)國家安全目標。本文討論的重點仍然是3個問題：誰是這個領域的主要威脅行為者？為什么CI資產(chǎn)越來越容易受到攻擊？美國可以采取哪些行動或政策來實現(xiàn)該領域更全面的安全保障？

俄羅斯的網(wǎng)絡攻擊似乎是對美國關鍵基礎設施的最大威脅。俄羅斯黑客行動包括網(wǎng)絡戰(zhàn)活動的主要組成部分，包括網(wǎng)絡間諜活動和影響力行動。其中一些黑客單位是作為俄羅斯聯(lián)邦安全局的一部分運作的，而另一些則得到了俄羅斯軍事情報機構(gòu)GRU的支持。

據(jù)美國國土安全部和聯(lián)邦調(diào)查局報告，至少自2011年以來，俄羅斯政府已經(jīng)蓄意入侵美國的CI。這些系統(tǒng)不僅包括政府實體和能源基礎設施，還包括商業(yè)設施、水資源工廠和航空機構(gòu)。

在俄羅斯網(wǎng)絡戰(zhàn)機構(gòu)的深處是一個名為26165單位的組織。該單位是GRU信號情報部門內(nèi)的一個專門小組。該組織致力于通過“魚叉式網(wǎng)絡釣魚”電子郵件和其他計算機入侵攻擊積極瞄準軍事、政治、政府和非政府組織。26165單位的代理者已在國際上運作，通過對目標組織的Wi-Fi網(wǎng)絡進行現(xiàn)場攻擊等方式進行黑客攻擊。

正如穆勒報告所指出的那樣，即使是小規(guī)模的邪惡活動也能感受到顯著的效果。2017年，美國國土安全部宣布，2016年俄羅斯針對美國的21個州努力破壞其選舉制度。在其中的7個州，俄羅斯黑客得以進入系統(tǒng)更改和刪除選民登記數(shù)據(jù)。

2018年7月，穆勒起訴GRU的12名俄羅斯軍事情報人員闖入民主黨全國委員會的電子郵件服務器，竊取信息并通過特殊的在線網(wǎng)站以及維基解密將其泄露。2019年4月，聯(lián)邦調(diào)查局局長克里斯托弗·雷談到俄羅斯可能干預2020年美國大選所帶來的“重大反間諜威脅”。這些黑客加上俄羅斯公司——互聯(lián)網(wǎng)研究機構(gòu)的社交媒體影響力運作，對美國民主進程構(gòu)成了持續(xù)威脅。

俄羅斯黑客攻擊行動也充分利用了美國電廠網(wǎng)絡防御中的漏洞。在許多電廠中，物理和手動控制系統(tǒng)已升級為電子操作系統(tǒng)，IT已納入所有流程。一旦在系統(tǒng)中采用了IT，就必須保持最新的IT及最新的IT安全性。

正如巴爾的摩事件表明的那樣，這種缺陷當然可以在用于維持治理的市政IT系統(tǒng)中找到。為了提高效率，許多基礎設施，如水處理廠，現(xiàn)在可以通過互聯(lián)網(wǎng)遠程操作。隨著這種物聯(lián)網(wǎng)在工業(yè)控制領域的不斷擴大，邪惡行為者的攻擊面呈指數(shù)級增長。雖然許多CI組織利用新技術(shù)和連接解決方??案來提高運營效率，但在許多情況下，防火墻和入侵檢測系統(tǒng)等基本網(wǎng)絡安全保護措施尚未得到有效優(yōu)先排序和整合。

美國國土安全部工業(yè)控制系統(tǒng)網(wǎng)絡應急響應小組強調(diào)了3個主要的網(wǎng)絡安全漏洞，這些漏洞已被用于攻擊美國國內(nèi)的CI。

第1個漏洞是缺乏有效的軟件安全性。許多CI系統(tǒng)缺乏必要程度的安全軟件設計和編碼，結(jié)果導致“中間人”攻擊，未經(jīng)驗證的用戶輸入以及通過易受攻擊的自定義CI Web服務泄漏信息。

第2個漏洞存在于操作系統(tǒng)的不正確配置和維護當中。當IT安全人員無法為操作系統(tǒng)提供所需的補丁或忽略正確的安全選項時，系統(tǒng)變得更容易受到惡意行為者的攻擊。此外，使用弱密碼和默認密碼以及過度特權(quán)的用戶可能會導致訪問受損和代理入侵。

第3個漏洞處于網(wǎng)絡安全當中。由于使網(wǎng)絡連接保持開放或無法在不斷擴展的物聯(lián)網(wǎng)中有效實施網(wǎng)絡分段，CI信息系統(tǒng)已經(jīng)出現(xiàn)了更大的攻擊面并且更容易成為黑客的犧牲品。此外，遠程登錄策略執(zhí)行不力會產(chǎn)生重大漏洞，黑客可以由此利用不安全網(wǎng)絡(例如開放式Wi-Fi熱點)訪問用戶連接。

最近，在喬治城大學網(wǎng)絡安全法研究所，網(wǎng)絡安全和基礎設施安全局局長克里斯托弗·克雷布斯向國土安全部發(fā)表了講話，談到保護工業(yè)控制系統(tǒng)免受網(wǎng)絡威脅的重要性。他稱國內(nèi)CI信息技術(shù)基礎設施是網(wǎng)絡威脅環(huán)境中的“真正前沿”。在CI網(wǎng)絡安全中獲得更強的基礎可能取決于評估以及對系統(tǒng)性風險和能力差距的理解。鑒于CI受損產(chǎn)生的巨大安全性、經(jīng)濟和社會影響，對相關網(wǎng)絡威脅的防護和響應仍然是美國政策制定者和情報機構(gòu)的關鍵優(yōu)先事項。

如果上述問題看似勢不可擋，那是因為就純粹的防御角度而言，前景確實很糟。由于意外因素和技術(shù)更新的步伐繼續(xù)創(chuàng)造新的后門，進攻性網(wǎng)絡作戰(zhàn)相對于(大部分)防御性作戰(zhàn)保持了優(yōu)勢。然而，正如“紐約時報”最近的一篇文章所述，美國現(xiàn)在正在積極回應俄羅斯對美國CI的入侵，并對俄羅斯發(fā)電廠進行攻擊。正如著名的政治學家羅伯特·阿克塞爾羅德所說，這是針鋒相對的，實際可能在理論上有效。

國土安全部提供了正確的指導，旨在為美國制定更強大的網(wǎng)絡安全戰(zhàn)略，重點關注更好的防御措施。具體而言，國土安全部提議美國政府尋求與工業(yè)界建立更深層次的伙伴關系，以促進一致的網(wǎng)絡安全生態(tài)系統(tǒng)。這種伙伴關系可以促進更有效的協(xié)作和信息共享。

此外，國土安全部鼓勵加速使用創(chuàng)新和新興技術(shù)，如人工智能和機器學習，著眼于保護CI。國土安全部已經(jīng)確定，通過建立全面的手冊來統(tǒng)一政府在國防、國土安全、執(zhí)法、情報和國家機構(gòu)中的行動，可以更好地減輕CI受網(wǎng)絡攻擊的影響。這可以推動整個國家安全企業(yè)采取一致行動來采取防御措施。

所有這一切都很好。但是，對于今天與俄羅斯進行不宣而戰(zhàn)(但盛行)的網(wǎng)絡戰(zhàn)爭，自信和積極的進攻行動(以及增強的防御行動)可能是美國巧妙反擊并獲勝的一種方式。