原文有点长,分几次发表,这是第一部分。
摘要
在过去的几十年中,美国的私营部门已经积极参与了计算机革命和互联网的发展,并将其业务活动和业务转移到信息技术环境中。这种逐渐转向在线领域为私营部门提供了巨大的收益,可以提高业务效率,降低交易成本,建立新产品和市场,加强内部协作,提高公司衡量和评估业绩的能力。但是,随着在线领域在过去几十年的发展,新的风险也伴随着这些收益,公司越来越容易受到网络知识产权窃取或客户数据泄露以及业务中断的影响。
这些网络风险和依赖关系,近年来随着敌对国家和非国家行为者在网络空间的活动而增长,这些攻击者由于政治和经济原因攻击私营部门实体。公司加强了防御力度,联邦政府也将协助私营部门保障安全提升了优先级别,但这些措施与今天网络威胁的性质不相符合。
本文考察了一系列能力,这些能力能够帮助解决这一差距,共同定义主动防御术语:
主动防御是一种术语,是一系列主动的网络安全措施范围,处于传统的被动防御和进攻之间的。这些活动分为两大类,第一类涉及防御者和攻击者之间的技术交互。主要防御的第二类包括使防御者能够收集关于互联网上的威胁方和攻击指标的情报的行动,以及可以修改攻击者行为的其他政策工具(例如制裁,起诉,贸易救济)。主动防御术语与“hacking
back”不同,两者不能互换使用。
近年来关于主动防御措施的政策性讨论大部分归入两个阵营之一:一些认为根据现行美国法律适当禁止主动防御活动的人士,以及那些认为应该为私营部门提供更有效的工具的人士。对这个问题的讨论产生更深入讨论:什么措施属于主动防御的范围?好处和风险是什么?什么措施可能适合某些行为者使用,在什么情况下?联邦政府在制定框架和一系列支持行动的规范时,其角色是什么?如何更新政策法规来帮助私营部门的主动防御,以符合我们的价值观和利益?
换句话说,我们如何超越当前政策上的两种看法inaction vs. hacking
back,为主动防御政策制定适当的和风险驱动?本文试图进入“灰色地带”,并回答这些问题。它提出了实施主动防御框架,并提出了一套支持实施这一框架的策略的建议。
报告的前面部分提供了本次讨论的背景和背景。它首先简要介绍了目前对私营部门的网络威胁,以及私营机构和政府机构如何应对这些威胁。对威胁的这种讨论之后是美国在网络空间中的兴趣,并解释了主动防御的战略背景,特别是与网络威慑问题的关系。
报告的第二部分提供了关于“主动防御”一词的演变的历史观点,最初是在国家安全背景下,后来就是网络安全(cybersecurity)。然后,报告讨论主动防御的上下边界,并检查了主动防御的行为范围,包括蜜罐,信标(beacons)和沉没恶意流量(sinkholing
malicious
traffic)。明确指出,私营部门的某些类型的高风险主动防御活动由于附带损害和隐私相关问题的风险而不应被允许,明确地说明私营部门是否以及如何利用低风险的主动防御措施。
接下来,本文为主动防御问题提供了额外的政策背景,研究了当前美国法律(例如“Computer Fraud and Abuse Act”)的影响,评估了云计算和物联网等不断发展的技术的政策影响,概述了新的国际主动防御框架。
报告的最后一部分列出了私营部门的主动防御框架。该框架的核心是报告主动防御措施的范围,包括广泛的政策,法律,技术和治理相关考虑,为基于风险的审议和决策提供了基础,在公司内部和政府与私营部门之间。
该框架旨在最大限度地发挥私营部门保护其最有价值的数据和资产的能力的有效性。它给出一套广泛的技术和非技术工具,用户对抗私营部门的网络威胁。它试图平衡将私营部门主动防御措施与其他重要考虑(如保护个人自由,隐私和其他损害的风险)的需求平衡。该框架的另一个关键方面是一种风险驱动的方法,可用于衡量行动与不作为的风险和收益,如果有需要采取行动的话,选择和利用适当的工具。
该框架的概述之后,是框架内关键参与者的详细讨论,以及实施框架所需的内容。在本部分之后,该报告为美国行政部门,国会和私营部门提出了一套旨在促进实施和通过这一框架的近期政策建议。
行政部门的行动建议
1、司法部(The Department of Justice)应根据现行法律解释发布公共指导,说明允许私营部门进行哪些主动防御措施,表明司法部不会对这些措施采取刑事或民事诉讼。应当根据技术的不断发展,定期更新这种指导。
2、司法部和联邦贸易委员会(Federal
Trade Commission)应更新其“Antitrust Policy Statement on Cybersecurity
Information Sharing”(2014年),明确规定反垄断法不应对网络威胁主动防范的行业间协同构成障碍。
3.国土安全部(Department
of Homeland
Security)应协调制定公私部门主动防御措施的程序,利用业界领先的信息共享和分析中心(ISAC)和信息共享与分析组织(ISAOs)和DHS的国家网络安全和通信集成中心(NCCIC)等现有合作机制。
4.国家标准与技术研究所(NIST)应制定指导方针、最佳实践和核心能力,指导私营部门行动,评估主动防御措施的风险,并进行主动防御措施,制定3-5个技术的技术成熟度,或在第三方供应商的情况下,保护其他公司。这些指导方针对于不同的行业来说可能是不同的,这些应与2013-2014年NIST制定的网络安全框架相一致。
5.资助网络安全相关研究和发展的联邦机构,包括国防部,国土安全部,情报社区(Intelligence Community)和国家科学基金会,应优先研发新的主动防御措施(包括提升归属的能力) ,并评估当前主动防御措施的有效性。
6.国务院(The Department of State)应与外国合作伙伴共同制定主动防御措施的共同标准和程序。这也很重要,因为许多受网络威胁影响的大型公司在全球范围内运作,因此需要保护很多国家的系统信息。
7.私隐和公民自由监督委员会(PCLOB)应对私营部门现行和拟议的联邦政府的主动防御活动进行审查,并公布有关本次审查结果的公开报告。
8.白宫应制定一项政策,为联邦机构提供指导,指导它们何时以及如何向私营部门提供有关主动防御活动的支持,涉及到一些要素,如私营部门的成熟度、威胁方(如果知道),以及与经济和安全有关的基础设施的重要性。后一个因素可能与DHS根据行政命令第13636.128节第9节确定的“高风险的关键基础设施”列表相关联。支持类型包括信息共享、协调规划、情报支持和培训。
9.总统应发布一项指示,规定上述第1-6项的要求,并规定明确的截止日期。
美国国会的行动
10.国会应通过立法监督上述行动1-7项活动的实施情况,并加强法规的最后期限。国会还应该要求政府问责处审查这项立法的执行情况。
11.国会应重新评估CFAA和“2015年网络安全法”中的语言,,确保中低风险的主动防御措施在法规中不被直接禁止。
12.国会应研究是否以及如何利用法律规定的其他工具(例如起诉书,制裁措施,贸易救济措施)来支持保护私营部门免受恶意网络行为者的侵害。行政命令13694(“关于重大恶意网络活动的制裁”)是很好的例子,但还有其他工具可用于支持网络威慑和主动防御。
私营部门行动
13.私营部门企业应共同努力,制定部门和行业内积极防御措施的行业标准和最佳实践。
14.公司应该在C级(如CEO/CFO等)层面制定政策,是否希望采取某些类型的主动防御措施来应对未来的假设攻击,而不是在遭受数据泄露或其他形式的网络攻击之后做出响应。公司应根据对行业标准和最佳实践进行彻底的风险评估和分析,制定运营模板,将其纳入更广泛的网络战略和事件响应协议。这些政策必须纳入公司对传统网络防御计划的承诺和投资。
15.行业团体应考虑互联网服务提供商,网络托管服务和云服务提供商及其客户之间在主动防御上的协同的最佳实践,利用这些服务提供商通常具有合同、预授权访问客户网络用于日常业务目的。这样的服务提供商可能有能力对客户进行针对网络威胁的主动防御措施。
报告最后呼吁就这一问题采取行动,并简要审查未来趋势。该报告包括几个核心分析的附件,包括审查美国法律,提供全球主动防御意见(在英国,法国,爱沙尼亚和以色列)以及词汇表。
(一)网络威胁背景、威胁响应和主动防御
在过去的几年中,私营部门的顶级国家安全领导和高管认为,网络安全漏洞是其组织使命和美国国家安全的重大威胁。事实上,网络安全越来越多地被列为CEO和其他人企业高管的担忧。媒体充斥着对面向消费者公司的大规模被攻击,高级网络间谍活动和对关键基础设施的网络攻击的报道。以前,每个人只有在信用卡被攻击后,才考虑网络安全,现在,2016年2月的Gallup
poll调查显示,73%的美国人认为网络恐怖主义是对美国的一个重大威胁。
最近观察家注意到战略性恶意网络活动的频率和有效性升高。在私营部门,目标从索尼、雅虎,到政治组织。各种案例显示,各级政府组织也是网络威胁攻击者者的目标。成功的恶意网络行动数量,增加了许多传统网络安全措施的沮丧程度,并提出了哪些实体可以做些什么来充分维护网络空间的利益。由于公司损失了数十亿美元的盗窃知识产权,失去了个人信息,失去信任和安全感,目前网络防御已经失败的感觉是不可避免的。为了保持公众对互联网的信任及其潜在的实用性,21世纪的网络安全实践必须与国家安全,经济活力,隐私和人权一起改进。本报告将展示新的网络安全实践和策略如何加强私营部门的网络防御。
美国处于网络空间的拐点。美国政府机构和私营企业已经开发并从网络空间中最先进的功能中获益。但这些同样的实体容易受到破坏性网络事件的伤害,并受到各种攻击者的不断威胁。广泛努力解决这一挑战的一个关键因素是更明确地界定私营部门在网络安全方面的作用,不仅在信息共享和防御活动方面,更广泛地涉及“主动防御”,一套运行、技术、政策和法律措施是本报告的主题。
1.1 什么是网络威胁?
在讨论主动防御之前,我们首先需要考虑和评估针对私营部门的网络威胁类型。
美国最复杂的国家网络对手是俄罗斯,中国,伊朗和北韩。在某些情况下,这些国家可能会使用自己的军事和情报部门进行网络攻击,但越来越多的国家通过代理,他们在背后提供资金或其他支持。这些外国及其代理人,还有各种其他网络威胁攻击者、黑客主义者和恐怖分子对美国实体进行恶意网络活动。
使用网络手段的人在美国和其他国家利用或攻击计算机系统采取各种政治、意识形态和地缘战略的动机。恶意行为者可以寻求权力,声望,金钱或三者的组合。国家可能希望收集对手的情报,或者在冲突时期损害对手的关键基础设施。犯罪分子往往是活跃的,他们希望可以赚钱,成本低。恐怖组织利用互联网进行招募新人,希望能够进行更具破坏性的网络攻击.黑客主义者经常使用网络功能来追求政治上的结局。无论其具体的能力和动机如何,网络威胁都会破坏互联网的信任和稳定性,破坏其内在价值。
1.1.1 网络威胁国家安全,经济安全和隐私
网络威胁往往危及美国的一些利益,包括国家安全,经济、人权和隐私。
在013年伊朗黑客入侵纽约的控制大坝的服务器时,引起了国家安全隐患。这类活动是针对网络领域的战场准备,可以预先尝试瞄准和破坏美国重要的关键基础设施。
2015年恶意网络活动对乌克兰电网的破坏性影响突显了为什么必须非常重视这种攻击。
除了对恶意网络攻击对美国国家安全的威胁,间谍活动对美国私营部门也不断威胁。美国经济的安全不仅对美国而且对整个世界都是至关重要的。然而,网络间谍,盗窃和破坏私营部门却猖獗。前国家安全局局长基Keith
Alexander将网络盗窃美国工业信息和知识产权描述为“历史上最大的财富转移”。近年来,美国由于恶性网络活动的导致了经济成本的增加。
恶意的网络行为者特别针对某些行业,如金融部门。
2012年,DDoS攻击在四个月内针对26个主要的美国银行,造成重大的财务损失。在2016年8月,俄罗斯的Roman
Seleznev被定罪为网络犯罪活动,造成3700个金融机构的超过1.69亿美元的损失。最近对SWIFT银行信息系统的欺诈操纵导致了数百万美元的损失,并担心整个全球银行系统可能面临着操纵的风险。
恶意网络行为者往往针对有价值的知识产权(IP),保护这些有价值的信息是维持良好的市场经济是必要的。
2013年,知识产权委员会报告发现,20%的美国就业机会都在知识产权密集型产业,行业知识产权盗窃的负面影响可能会在其他行业产生影响,从而威胁到美国的经济安全。尽管工业部门可能具有不同的网络安全能力,但一个部门的一个重大脆弱性可能会对整个行业产生严重的影响。
网络相关的经济威胁对美国的安全构成重大的战略威胁。最近的估计,攻击私有业务的网络成本在美国国内生产总值的0.64%至0.9%之间。如果这些估计是准确的,网络攻击对美国造成的损失在$
120到$ 1670亿美元之间。由于网络攻击持续快速增长,如果不加以控制,这种趋势可能会持续下去。
许多网络攻击是对个人隐私权的侵犯。恶意的网络行为者利用和发布敏感的消费者信息、私人的通信和知识产权。为了保持公众对互联网的信任,21世纪的网络安全实践必须与国家安全,经济,隐私和人权一起改进。
1.1.2 做什么来对抗网络威胁?
区分网络安全威胁与其他安全威胁的一个关键方面是,政府在多大程度上无法保护私营部门。政府不是对私营部门的网络安全威胁不感兴趣,或者说它缺乏在某种程度上对网络防御和事件响应做出贡献的能力。然而,网络威胁比传统安全威胁更为常见、持续和多样化,在许多情况下,执行成本要低得多。面对稀缺的资源,政府机构必须认真对待他们的举措和反应。此外,安全研究人员普遍同意,网络优势在于攻击者,使其成为更为资源密集型的任务,捍卫关键资产,并提高网络空间中恶意攻击者的成本。虽然政府与业界合作,制定网络安全指南,并经常协助投资,它不能承担主要的保卫私营部门的责任,就像大多数其他威胁一样。
因此,私营部门今天处于网络竞争和冲突的前线。企业从未预期到他们会抵御外国军事和情报部门的攻击。然而,在许多情况下,这正是某些行业和企业正在面对的。私营部门一般不具有外国资源和专门知识,在网络安全方面尤其如此,防火墙和安全补丁通常不足以防范黑客。复杂的对手可以轻松地中断服务,窃取资产,甚至破坏私有服务器上的数据。即使非国家的恶意攻击者近年来也越来越复杂,有时候能接近国家攻击者的水平。
尽管防御措施有局限性,但重要的是要注意,执行网络安全最佳实践的私营企业可以防止绝大多数恶意网络活动。公司正在越来越多地采用安全控制措施,使他们和政府合作伙伴能够将更多的资源集中在打击先进的威胁 – 这些威胁需要主动防御能力来对抗。
1.1.3 攻击的分析
虽然安全政策专家有对如何保护和保护美国国家安全,经济、人权和隐私免受网络威胁的考虑,但是技术发展的本质,使其成为一项持续而具有挑战性的任务。为了理解为什么恶意攻击者在网络空间中有这样的优势,为什么在政府和私营部门防御这些攻击行为仍然问题?对于如何发生计算机网络攻击有基本的了解是有帮助的。
最初由国防部开发的The
Cyber Kill
Chain,可以作为分析的起点。该模式将攻击的生命周期分为三个主要步骤:准备、入侵和攻击行动,并被开发为收集网络攻击的情报的指南,这将有助于防御者整个生命周期中保护自己的系统。本报告的如图1所示,是一个略微有一些修改的模型,其中包含了其他黑客行为分析中的细节,如InfoSec研究所的Cyber
Exploitation Cycle。
The
Cyber Kill
Chain的批评者认为它过于依赖于对于边界的防御技术,因此在描述社会工程攻击、内部威胁以及其他现代网络开发方法时不太有用。将The Cyber
Kill
Chain应用于网络安全的真正弱点不在于该模型过分强调了边界入侵,而是使用模型的人限制到边界安全的网络安全工具。本报告将对私营部门受到的攻击进行分析。
Kill
Chain概念的修改版本是有用工具,可以分析网络威胁所处在哪个阶段的,从而决定防御性战术。因此,攻击的分析将作为参考点,正如本报告说明的那样,证明新兴的网络安全实践可能会破坏和击败网络威胁攻击者。此外,这将有助于在从可视化决定展示新的网络安全实践如何填补目前的网络防御的差距。
1.2 美国在网络空间中的重要利益
虽然网络威胁的数量和复杂程度持续增长,但美国迄今为止还没有发生严重的网络攻击。这种相对的安全感可以持续多久是不清楚的。过去十年来,网络攻击的核心力量不断增加,僵尸网络、DDoS攻击,勒索软件,远程访问工具,基于加密的开发工具,社会工程和0-day攻击是当今的标准。攻击者成功利用这些优势的时就能进行破坏和破坏关键基础设施的攻击。这种不对称威胁环境,需要经过精心设计的战略响应,并需要更广泛的网络威慑策略。然而,并不是所有的威胁都以同样的方式被阻止,所以美国必须制定和实施一个清晰明确的战略,针对对私营部门的独特威胁。
目前,任何国家或非国家行为者都不可能拥有通过网络空间威胁美国主权和行动自由的能力。虽然最近俄罗斯对美国政治实体和相关信息业务的攻击引起了这场选举的轰动,但美国选举制度的复杂性和冗余性,使系统很快恢复。虽然威胁造成的怀疑甚至可能影响到美国的主权,但思想领袖和政府官员迄今已经能够消除美国选举制度中任何形式的普遍不信任。
虽然美国的基本主权没有问题,其他关键的战略利益,如美国经济安全,可能更容易受到网络威胁。包括技术进步在内的私营企业通过推动经济发展,促进军事能力的增长,促进地缘政治影响,保护国家经济安全.。随着时间的流逝,私营部门数据和资产的网络盗窃,可能构成战略风险,威胁到一个国家的经济安全。由于将实际财富从受害者直接转移给攻击者,因此网络盗用私营部门资产可能直接发生。或者,这种盗用可能是间接的,因为操纵了损害公司关系,价值或声誉的敏感信息。任何一种类型的攻击的影响将是给竞争对手一个竞争优势。根据这种攻击的性质及其目标,其影响可能会破坏个别企业,破坏整个行业,或削弱整个经济体系。
1.2.1 有效的威慑和主动防御
由于美国经济安全对恶意网络活动具有独特的敏感性,因此美国应制定更加注重保护私营部门的网络威慑政策。有效的网络威慑将要求政府和私营部门拥有多样化的选择,其中包括对私人使用主动防御措施的更为宽松的政策。客观的问题是直截了当的。美国必须减少由恶意网络活动造成的经济和私营部门的流失。在这种情况下制定短期战略性应对措施需要优先考虑私营部门面临的最紧迫的威胁。
长期的战略回应必须包括一个网络威慑策略,其实际上是减小利益并强加成本。虽然公共和私营部门的行动者目前试图减小攻击者的收益,通过实施被动和边界为中心的防御措施来减小收益,但这些防御不能跟上当今的进攻能力。此外,虽然政府试图通过对恶意行为者施加费用来促成这种威慑态度,但由于一些原因,如有限的资源,寻求惩罚国际行为体的有限的工具以及地缘政治因素,这一策略变得复杂化。
历史格局和现代技术已经形成了一个战略要素:美国决策者必须制定一个框架,以防止私有财产的盗用。灵活性,创新性和认真是合作关键。
许多国家安全高级官员认为,如果美国要阻止在网络空间的侵略,就需要采取一种全面的网络安全措施,包括私营部门的参与。公共和私营部门一起需要实施更多的可靠的网络防御和归因工具。这将需要增加信息共享,以支持意识,合作协同响应,以及不断培养私人与公共伙伴关系以支持决策。然而,合作并不是解决问题的办法。为了确保对手不能有效威胁美国在网络空间的战略利益,美国必须超越过时的被动防御措施的网络安全模式。
为了真正使全面的网络安全策略取得成功,必须允许和鼓励私营部门建立起其创新能力和先进资源,实施积极的网络防御战略。
1.3 主动防御:如何发展以及应如何使用
主动防御是几十年来在国家安全和防务领域使用的术语。它起源于国防部及,后来的应用于网络领域。
主动和被动防御之间的区别是在几十年前首先在军事传统的陆,海和空防御的背景下开始讨论的。被动防御被理解为提供有限的防御力,对手没有军事能力。 传统的被动防御措施可能是掩体或其他附加的安全措施,对手可能需要额外的一些努力来实现军事目标,耗尽对手的资源。
在70年代,主动防御一词开始出现在美国陆军词典中用于讨论陆战战术。在分析1973年的Arab-Israeli战争时,美军陆军训练司令司司长William
E. DePuy用这一术语描述了一种基于流动性的防御技术。防守者将穿过攻击者,连续不断地与战斗中相互支援的武装团队和工作队进行了深入的对抗“。
为了实现机动性,防御者需要利用”军事情报和指标来识别攻击,响应攻击以及主动防御抵御能力。“即使在这个时候,这个词是有争议的。防御者使用反击仅限于对抗威胁的“有争议的地区”。主动防御是针对能力而不是对手的。“从原来的意义上说,主动防御技术使防守者,能够以主动的方式实时快速适应环境。随着时间的推移,军方使用的定义在军事和相关术语国防部词典中被正式化,即“采取有限的进攻行动和反击,以抵制敌人的竞争区域和地位”。
在“网络(cyber)”一词被并入军事理论之前,主动和被动防御就已经单独定义了。专家们一直努力将传统的主动和被动防御定义转化为网络的。
SAN基于被动防御的保护性质制定了一个定义:“被添加到架构中的系统,提供一致的保护或对威胁的洞察,而不需要不断的人的参与。”自动化系统,如防火墙,防病毒或反恶意软件系统,入侵检测和预防系统等,属于这一类。
将主动防御的概念转化为网络领域也是同样具有挑战性的。
SANS将网络主动防御定义为“分析人员监控、响应,学习和应用其内部威胁的知识到网络的过程”。该定义的范围有限,本报告将在后面部分,定义主动防御与并给出清晰的例子。
SANS定义排除了在网络之外发生的黑客攻击和其他活动,将重点放在动态适应性上,作为快速响应工具。
对于私营部门来说,主动防御一词的讨论与“计算机欺诈与滥用法”
(CFAA)的讨论经常相关。1989年,CFAA成为法案后的五年,麻省理工学院研究生Robert Morris
Jr.成为第一个被起诉的公民,因为发布了通过互联网传播的电脑病毒,Morris
Worm。从那时起,已经有许多CFAA起诉针对那些未经授权访问计算机系统的人,私人公司有这样的担忧,其在自我防护时,可能会使用一些信息或计算机系统外部的技术,而没有政府授权。
由于私营部门面临恶性网络威胁的不断升级,多年来他们一直在讨论主动防御的想法。也许第一个广为人知的私人使用主动防御措施实例发生在1999年,web服务公司Conxion公司,负责世界贸易组织服务器,对其服务器的DoS攻击行动发起了主动防御。追踪恶意流量的来源,Conxion将恶意流量返回到了源头,淹没了服务器,有效地对攻击者实施了“反向”DoS攻击。
2004年,Symbiot公司发布了第一个可以针对网络威胁“执行适当对策”的商业化安全平台。通过提供渐进的响应级别,该系统为用户提供了一系列超出其他安全产品“被动”防御的选项。
Symbiot的新闻稿称他们的新工具“智能安全基础设施管理系统”(iSIMS)“相当于一个主动导弹防御系统”,允许用户“fire with
fire.”。与军事类比,公司还发表了“遵守的规则”的白皮书,讨论了军事原则的适用性,必要性、相称性和对策,将主动防御措施的实践与军方认识联系起来。。重要的是,Symbiot产品提供一系列回答,而不仅仅是一个“回攻”的解决方案。
尽管有广泛的选择,但在iSIMS产品发布之后,关于这个问题,私营部门,学术界和政府进行辩论。今天,当讨论主动防御时,讨论往往转向“hacking
back” – “offensive cyber measures”,超出本报告讨论的边界防御的范围,本报告旨在更清晰地阐述术语和围绕话题进行对话。
1.3.1 21世纪网络安全的主动防御定义
主动防御”缺乏一个常见的定义。特别是在制定与私营部门网络主动防御有关的政策方面,尤其是这样。
与私营部门主动防御有关的最佳实践,受到一些阻碍,因为企业越来越多地使用第三方服务,其自身基础设施之外托管敏感数据和信息。这种发展破坏了基于明确定义的边界和所有权领域的网络防御策略。因此,主动防御的相关定义将需要灰色地带,考虑企业会在第三方基础设施保护数据。考虑到这一点,本报告提出了主动防御的以下特征:
主动防御是一个术语,是一些主动网络安全措施,介于传统的被动防御和进攻之间。这些活动分为两大类,第一类涉及防御者和攻击者之间的技术切磋。主要防御的第二类包括使防御者能够收集情报,关于互联网上的威胁攻击者和攻击指标情报,以及可以修改恶意行动者行为的其他政策工具(例如制裁,起诉,贸易救济)。主动防御术语与“黑客回归”不同义,两者不能互换使用。
1.3.2 上下边界:被动防御和进攻网络
为了将主动防御的定义充分区分开来,有必要界定其上限和下限。网络活动可以在行动方自己的网络中,或在其网络之外或两者都显示出的效果。主动防御的核心定义包括在某些范围内的行动,这些行动对在行动者自己的网络或系统之外(不论是逻辑的或物理)产生影响。
仅在行动者自己的网络中产生影响的活动通常被称为被动防御。它们主要涉及使用边界工具,如防火墙,补丁管理程序和防病毒软件。这些工具可以安装并保持独立工作。被动防御还可以包括白名单或黑名单,以及限制访问的程序。虽然被动防御对于体系化的网络安全方案是必要的,但他们本身不足以捍卫最先进的网络侵略者。
另一方面是在行动者网络之外发生的那些活动,其目的是强制行动、增加成本,或未经授权获取受保护的信息,这些为称为攻击性。“Hacking
back”指的是取回或删除被盗数据,或获取有关攻击者的工具,技术,程序和意图,如报复性的DDoS攻击,利用系统提取知识产权,或使用恶意软件来破坏系统,例如Stuxnet。在其他冲突领域,私营部门行为者不应被授权使用这些类型的工具,除非在有限的情况下,或国家政府的授权下。
1.3.3 主动防御范围:连续的活动
主动防御措施通常落在上限和下限界限之间的措施。这些活动可能会超越行动方自己的网络边界,并对另一个网络的网络产生影响。这些具有攻击性或防御性的目标而采取的这些活动,可能会影响另一方数据的保密性,完整性或可访问性。他们本质上不再是被动的,他们的表征取决于执行他们的行动方的意图或目标。旨在确保自己的系统安全或保持操作自由的行为,具有防御性性质。破坏恶意僵尸网络,来自恶意IP地址的流量以及直接响应持续威胁的其他活动将属于此类别。
主动防御措施的例子见图2,并且根据其从左到右的相对影响和风险进行排序(每类主动防御措施的定义见图3)。图2左侧的活动是比较常见的和低风险的主动防御选项,例如信息共享和使用蜜罐或木马。在网络上使用蜜罐的计算机安全专家可以诱惑攻击者,观察其攻击技巧,并使用这些观察来通知防御者实际网络上的防御。
网络拒绝和欺骗是另一种低风险防御技术,可用于观察攻击者行为,定制其他主动防御技术,并改善事件响应能力。这涉及隐藏和显示真实和虚假的信息,以扭曲侵略者对计算机系统中信息的理解。威胁追踪(hunting)是消除威胁,暴露威胁,无论它们在网络中是活跃还是休眠。
在主动防御的中间部分,是有一些有更多风险的活动,因为它们通常涉及网络之外的操作,则有可能导致轻微的附带损害或隐私问题。这些活动包括信标(beaconing),使用dye
packs,和deep web and dark
net.的情报收集。信标是嵌入文件中,包含敏感信息。它们可以在两个主要方面实现。首先,如果未经授权的实体尝试从其自己网络中删除该文件,作为内置的防盗报警,那么信标将简单地提醒文件的所有者。第二,更积极的信标被设计为向受害者返回偷窃文件的计算机系统的IP地址和网络配置的信息,协助远程设备的攻击归属和取证调查。
越来越多的网络维护者意识到,通过dark
net传递的信息可以有助于告知防御性策略,并提醒信息安全官员有攻击行为。这个领域的被盗用信息和恶意软件服务的犯罪行为很常见,从而提供了网络防御者的情报可能性。例如,银行的安全小组可以搜索非法市场,并将销售中的个人或财务信息与银行对其客户和账户的信息进行比较。如果安全小组有发现,那么黑客很可能会破坏他们的网络,成功偷走敏感数据,没有引起告警。
那些接近图2中最右边的主动防御活动是最具侵略性的。如图所示,私人实体只有在与政府密切合作时,才能采取这样的措施。这些活动包括sinkholing
botnet网络流量,打击僵尸网络基础设施等。到目前为止,打击僵尸网络已被证明是政府和私营部门之间最有效的合作。在法律当局下运行的跨部门和司法管辖区伙伴关系的许多事例成功地打击僵尸网络,这些希望使网络空间内的公私合作成为可能。
图2中出现的非技术性行动,协同起诉制裁和贸易救济措施,并不是最纯粹的意义上的主动防御措施,而是由于有助于必要威胁归属的技术基础。将恶意网络活动定位到某个实体的一些调查工具可能是侵入性的,因此需要与政府密切合作。
其他主动防御措施更具侵略性和危险性,包括white
hat applications of
ransomware,虽然恶意使用勒索软件已经成为过去一年网络安全最令人担忧的趋势之一,但安全专家已经考虑到使用类似工具加密在第三方网络上传输的被盗数据的可能性。以这种方式,他们可以通知第三方,攻击者已经破坏了他们的网络,并且正在使用它来外泄数据。white
hat
ransomware通知网络管理员他们应该联系执法部门,取回被盗信息。然而,通过这种方法存在法律风险,以及新的安全风险,这种警告通知可能会被欺骗,从而导致进一步网络钓鱼攻击。
虽然在技术上可行的是,防御者试图从攻击者网络中取回被盗信息的操作,即使主观上不会改变和破坏攻击者网络,也是不会成功的,并且也是入侵性质的。“救援任务(rescue
missions)”与恶意的“报复黑客(hack back”)”之间的区别在于防御者的意图:是否寻找劫持的东西或造成损害。 两者都是高风险的。
当高级攻击获得被窃取的信息时,他们很有可能通过在网络中复制和隐藏,或者以离线的时候保护。
由于实现有益结果的可能性很小,即使涉及政府介入,这样的行动也是不合时宜的。
1.3.4 主动防御介入利用和攻击的过程
这些活动构成了私营部门主动防御措施的现状。图4显示了积极的网络防御战略如何利用安全专家的努力,以破坏在攻击的各个阶段的行动。图4中显示了某些主动防御措施在很大程度上有可能阻止网络攻击的能力。许多这些措施在多个阶段影响对手行为,但为了清楚起见,图4明确地只显示了影响最大。被动式的防御策略用于预防和检测入侵。主动防御技术允许组织在攻击的所有三个阶段中断攻击者。当防御者未能实施积极的防御措施时,网络安全无法充分发挥其在整个攻击过程中抵御攻击者的利益的潜力。
虽然围绕具体安全技术对于主动防御的不同方面是必要的,要注意,这种技术可能具有相对较短的有效期。因此,这次讨论的关键之处不在于蜜罐如何工作或如打击僵尸网络的细节。相反,展示这些工具和技术如何体现出一系列主动防御活动的概念,这些活动有助于解决目前的网络漏洞。广义而言,主动防御措施可以帮助直接威胁评估,网络安全优先事项,保护网络中的企业“最重要的资产”,协助可靠的威胁归因,恢复被盗信息和打击威胁。
1.4 主动防御案例研究
在对私营部门进行更广泛的政策性讨论和针对网络威胁的主动防御之前,检查私人实体已经使用主动防御措施(如我们所定义的)来减轻或破坏网络威胁的两个实例是有用的。这两个实例都是从开源信息中获取的,并提供有用的见解,以及私人行为者合法有效地实施主动防御战略的方式。
1.4.1 Google对Aurora运营的回应
谷歌对McAfee的安全研究人员称之为“Operation
Aurora,””的与中国相关的黑客行为的回应,提供了一个详细的案例研究,介绍一位特别有经验的私营部门行动方如何运用积极的网络防御措施来保护担保权益。Google于2009年底意识到其网络和企业基础设施方面发生了“高度复杂和有针对性的攻击”,因此决定及时对违规事件做出响应。因此,内部安全小组开始了一个运动,以评估攻击行为的范围,并对攻击者本身进行调查。他们发现这些攻击者的目标是一些用户帐户,其中许多与中国政府认为是政治异议人士有关、谷歌的源代码,重要的企业资产和重要的知识产权。如果黑客能够修改源代码,而不被发现,那么他们可能直接在Google的产品计划中构建漏洞。
作为一家大型技术公司,Google的领导层决定投入资源来支持在其网络之外运行的任务来跟踪攻击者。其搜索指向了位于台湾的指挥控制服务器。
Google发现这些攻击可能来自中国。随着这些信息的出现,Google采取了前所未有的步骤,与执法部门,情报界,涉及的公司分享了这些信息。
Google决定开展这种类型的响应,随后使其公开承担法律和声誉风险。尽管Google有Operation
Aurora的攻击细节的详细记录,但谷歌跟踪并进入台湾服务器的情况尚不清楚。如果根据报道,前未经授权就进入外国电脑,Google的行为可能被解释为违反“计算机欺诈和滥用法”(CFAA),可能会对其承担民事或刑事责任。然而,美国政府机构选择不对Google采取行动,而是谴责中国,同时赞扬Google调查工作的价值。迄今为止,政府并没有起诉一家公司采取类似Google的主动防御措施,尽管如此确实警告其他人有权这样做。
Google对Aurora行动的响应,对围绕主动防御的谈话的影响是多方面的。首先,Google明显使用信标技术,其网络调查技术表明威胁的归因并不是不可能的,私营部门在这方面可能成为政府有用的合作伙伴。其次,这个例子必须考虑到Google的规模,影响力和技术水平。不是任何私营企业都可以支持这种响应,并不是所有的企业都应该考虑采取这样的反应。
第三,缺乏可识别的受害者,无论是攻击目标还是无辜第三方,是否可能导致司法部从未对Google提起诉讼。如果私营公司的行为在美国或亚洲具有商业利益的易于识别的受害者的网络上造成损害,那么他们可能会导致CFAA或外国法律当局的起诉,监管行动或民事诉讼。在这样的反事实中,Google的行为和合法的后果可能会严重损害公司的声誉和利润。从事主动防御的所有高管都必须考虑到这些潜在的后果。毕竟,采取行动失败可能会对企业的声誉和底线产生更为重大的后果。在开发网络战略时,C级管理人员应将这些考虑因素纳入其风险分析。
1.4.2 The Dridex Botnet Takedown
对Dridex
/
Bugat僵尸网络的打击是另一个有用的案例研究,即防御者如何成功实施主动防御策略。国际执法机构和私营部门行动者之间的伙伴关系,打击了Dridex的指挥和控制基础设施,说明了多边伙伴关系如何利用各种各样的授权和专业知识进行合作,可以破坏网络犯罪和惩罚犯罪分子。
Dridex是通过垃圾邮件传播的银行木马。它将窃取网络银行凭据,罪犯将用来欺诈地将钱转入他们控制的帐户。这种僵尸网络影响了美国和欧洲的中小企业。
Dridex僵尸网络,安全研究人员在2014年11月首次发现进行分析,已经破坏了27个国家的数千个组织,并导致英国约为3050万美元,美国1000万美元的损失。网络犯罪分子使用这种恶意软件来填补由类似目的的Gameover
Zeus僵尸网络留下的空白,并设计出可以避免常见的防病毒软件。这些设计加上其使用peer-to-peer
C&C结构,使其成为很有挑战性的僵尸网络。不过,到2015年10月,美国和英国政府官员宣布,通过多个私营部门实体和政府机构的密切合作,僵尸网络大部分被拆除。他们将C&C服务器的恶意指令重定向到了 sinkhole,由Shadowserver
Foundation
管理。Dridex删除操作没有从受感染的机器中删除恶意软件,使bots未来会容易受到重新感染和操纵。与类似的僵尸网络删除一样,个人用户及其安全厂商负责清理自己的计算机系统。协调修复工作仍然是实施僵尸网络移除的主要负担。
美国执法机构在针对僵尸网络的C&C服务器采取行动之前获得了法院的授权。与打击僵尸网络保持一致,美国司法部,指控一名Moldovan
籍的公民 Andrey
Ghinkul,执行的一系列僵尸网络相关操作,其中包括“犯罪阴谋,未经授权的电脑访问,意图欺诈,损坏电脑,电话欺诈和银行欺诈。在2016年2月,美国成功地从Cyprus引渡了Ghinkul
。
这个案例有三个要点,广泛适用于关于私营部门网络威胁和主动防御的讨论。首先,Dridex导致重大的经济损失,对中小企业的产生了不同程度的影响,这表明了一个网络威胁对经济体系中所有行为者的危害的严重程度和普遍性。大型银行和巨型零售商并不是当前威胁形势的唯一受害者。第二,Dridex的移除说明了公共和私人实体如何汇集资源以应对共同的威胁。因为在计算机侵入规范的背景下,sinkholing
botnet网络流量可能是侵略性的,执法部门和私营部门在采取行动之前寻求法律批准。最后,这种情况表明,网络空间的威胁归属可以成功,可能导致网络罪犯的重大法律成本。对这些罪犯施加实际成本,对于阻止个人从事这种犯罪至关重要。
