背景
近年来,网络安全事件呈指数级增长。虽然企业投入了庞大的资源构建其网络安全防御措施以保护其数字化资产免受恶意入侵,然而日益增长的网络空间威胁仍然让企业越来越感到压力,由此很多网络安全从业人员呼吁采取更积极的网络防御措施,他们将之称为主动防御,其概念还包括积极防御、对抗、反制等不同表达方式。关于网络安全主动防御的思想可谓“百家争鸣、百花齐放”,由于法系、文化传统、道德观念等因素的不同,对于网络安全主动防御的观点也多姿多彩。然而,企业是否应该使用主动防御模式,或者他们是否会因此牵涉到非法行为?本文是在阅读了一些网络安全主动防御相关文章后,进行的学习整理,其中观点并非笔者之观点,仅用于知识点学习。
主动防御
业界存在着很多种针对网络防御的分类方法, “主动防御”和“被动防御”的可见率仍然非常高。在本文中,我们采用Denning 和 Strawser的定义“主动防御”—“direct defensive action taken to destroy, nullify, or reduce the effectiveness of cyber threats (…)”(为摧毁、消除网络威胁或降低网络威胁(……)的有效性而采取的任何直接防御行动)和“被动防御” —“all measures, other than active cyber defence, taken to minimise the effectiveness of cyber threats” (除主动网络防御外,采取的所有措施最小化网络威胁的有效性)概念。
被动网络防御措施,例如:防火墙、防病毒软件或加密程序,通常不会违反任何法律,因为它们不会产生任何负面影响;某些网络防御措施属于灰色地带,是否合法取决于它们的使用方式和当地的法律要求,例如蜜罐、蜜网、蜜标等;而未经授权访问计算机系统或“Hacking Back”(“回黑”)在大多数国家都是非法的。因此,我们的分类形成三个不同的组,如下表:
由于全球化缺失明确的网络安全主动防御法律依据,因此网络安全主动防御能够参考的是物理领域的自卫权原则。然而从自卫的角度来审视网络安全,得到的结论是:被动防御和主动防御的分类方法不能支撑对特定防御措施的法律或道德的正当性进行彻底分析。因此主流观点推荐采用依据特定网络安全措施的效果进行分类,分类还结合了企业将自卫权应用于网络空间的能力和限制。
但是,如果我们以自卫权来审视网络防御,那么主动防御和被动防御之间的区别就变得不那么相关了,因为原则上它们都可以根据自卫权合法化。在谈论自卫权时,需要注意刑法定义的自卫权旨在规范公民个人的行为,而国际公法中的自卫则规定了国家在应对武装袭击时使用武力的权利。
然而,为物理领域而起草的自卫条款没有预料到网络安全主动防御的场景,自卫的物理范式不适合在法律认为可接受的网络防御措施和法律禁止的网络防御措施之间划清界限。直到今天,自卫这一概念还没有被法律体系所覆盖,无论是大陆法系还是海洋法系。这就是为什么我们仍然不能确定自卫权是否以及如何适用于企业的网络防御。
那么,企业应该应用主动防御吗? 让我们看看影响自卫权合法化的因子。
影响因子
- 跨境
高度互联化的网络空间,允许使用主动防御技术可能会导致拥有主动防御技术的组织跨越其本国管辖范围并在其他国家实施攻击。
- 速度
网络攻击的一个特点是其速度快,通常超过依赖人类介入的网络防御体系。例如:一些勒索软件可以在入侵后不到 1 分钟内完成加密,即使在加密完成之前检测到入侵,任何依赖人类的网络防御系统都不太可能在这种情况下及时采取行动。因此,此类网络攻击速度的技术特征证明任何网络防御行为“迫在眉睫”的可能性几乎是不可能的。考虑到企业在其自身网络之外收集情报的合法可能性的限制,企业不太可能意识到对自己的计划攻击,以至于做出预防性反击可以符合“迫在眉睫”的自卫的要求。
- 辅助性和比例性
认定一个行为是否防御性的,需要考虑到当时的情况是否是适当的。行为的适当性一般采用辅助性和相称性的概念来衡量。
在实践中,如果有可以有效阻止攻击而不会对第三方造成损害的方案,那么企业就无法证明使用任何更具侵入性的网络防御措施是合理的;比例性的证明是相当具有挑战性的,因为比例方程需要考虑所有普遍的情况,所以无法划定一般的界限;相称性要求企业在需要避免的迫在眉睫的损害与对无辜的第三方造成的损害以及可能的初始攻击者之间取得平衡,这绝非易事。
- 无辜的第三方
自卫权需要明确攻击者和无辜的第三方之间的区别,即回答谁应对攻击负责以及因此可以采取的防御措施应对谁负责的问题。然而网络空间的特性使得攻击者特别容易通过劫持第三方系统发起攻击以隐藏他们的真实身份。
值得一提的是,考虑到网络空间中错误归因的风险,即使自卫权可以规避针对第三方的防御行为的刑事责任,企业仍可能需要承担对无辜的第三方造成的损害的经济责任。
示例
有观点认为,网络安全主动防御措施的特殊性在于它们是服务于组织用来处置可能发生在未来的攻击或者是报复攻击者,因此它们不是防御性的。它们认为应对网络攻击的正确解决方法是将问题交由执法部门处理。
以上观点意味着合法的防御行为必须能够阻止迫在眉睫的不公正攻击。如果主动防御的应用技术不能阻止迫在眉睫的不公正攻击,那么它就不被视为是防御性的,而是可能被视为进攻性的。
为了说明以上这一点,让我们看看用于归因的主动防御技术,即识别黑客攻击的肇事者。在多数情况下,此类技术在攻击发生后应用,并可用于向有关机构报告或者向攻击者发送威慑信息。因此,这种用于将初始攻击归咎于肇事者的主动网络防御技术可以说主要具有主要惩罚或报复性质,而不是防御性质。因此,称其为自卫是不合理的。然而,如果网络攻击被认为是正在进行的,并且如果为了结束攻击而应用归因措施,则判断结果不同。此外,如果我们考虑阻止来自恶意 IP 地址的流量,那么这种主动措施原则上可能是防御性的。
自卫条款的目标是可靠地在防御措施和报复措施之间划清界限,为了定义一个行为的防御性要素,它必须包含几个指示性要素。因此,只有满足自卫要求的行为才能被视为自卫案例,即:
- 它是对迫在眉睫的非法攻击的直接反应 ;
- 有必要抵御攻击;以及
- 保留的利益与对攻击者造成的伤害不成比例。
小结
虽然原则上无法完全排除某个具体的网络防御案例可能属于自卫,但网络防御的性质,例如:网络归属的不确定性和损害第三方的可能性,对网络空间自卫的概念提出了重大挑战。因此,应用有异议的网络防御措施对企业来讲会带来额外的风险,例如:企业需要注意可能导致伤害第三方(财产、人身伤害等)所需承担的责任;应用灰色地中的一系列主动防御措施对完成安全战略或有帮助,但仍需要注意应用它们所带来的任何负面影响。
对企业而言,放弃使用有异议的防御措施的决定并不容易做出,因为这意味着企业需要接受重大损害并接受犯罪分子进行恶意攻击后逃脱。为了补偿不使用有异议的防御措施,企业需要投入更多的资源来加强被动防御能力,例如:加密措施(防窃取)、备份措施(防勒索攻击)等。
如果企业希望应用主动防御就需要对其进行充分地评估,包括影响范围(自有网络内、外)、规模(地域性、经济性)、时间效用(临时或永久,可逆或破坏性影响)、相关性(直接的、次要的)等因素。因此,应用主动防御措施的决定不应当是网络安全人员或团队的责任,而应当是在获得管理层的支持的前提下充分咨询专家并且考虑到相关情况后作出的决定。
最后,就网络安全来讲,没有任何安全技术是完美的,网络犯罪分子总是想方设法绕过防御措施进行入侵,这需要立法来补充网络安全的防线。
参考资料:
- 《The Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Good and Technologies》
- 《The Ethics Of Cybersecurity》