积极防御的支持者说,发现中国参与美国最近的黑客攻击不是战争行为,因为这是网络间谍活动
安全供应商Mandiant's60页的报告关于中国的网络间谍活动,它提供了证据证明这一点来自中国军队位于上海浦东区的一幢大楼里,为两个备受争议的网络安全问题增添了新的动力。
首先,这是否意味着100%确定入侵的“归因”已经实现了?第二,这是否意味着美国采取政府官员所称的“积极防御”措施——大多数人称之为“报复”或“进攻”——是正当的?
安全专家在这个问题上存在分歧。Cigital的首席技术官加里·麦格劳(Gary McGraw)是积极防御的强烈反对者,他指出,Mandiant能够实时发现高级持续威胁(APT)的来源是好的,但这与能够在几秒钟内精确定位网络攻击的来源有很大不同。
麦格劳还敦促说,把这些袭击称为战争行为是过分夸张的。“这不是网络战,”他说。“这包括炸毁一些东西,或者在很长一段时间内拆除一些东西。这是间谍。这是一个很大的区别,我们不应该将两者混为一谈。”
利维坦安全集团(Leviathan Security Group)的高级顾问詹姆斯·阿伦(James Arlen)表示,大多数组织都没有做好远程准备,不会对感知到的对手发起任何形式的有效攻击。他说:“过去十年,我们在信息安全系统(infosec)的车道上驾驶训练轮,人们都在谈论我们驾驶M1A2坦克穿越战场的能力有多棒。”。
Arik Hesseldahl在All Things D中写道:“不管你喜欢与否,与中国的网络战争已经到来”由于中国一直在攻击那些使用远程访问工具控制SCADA(监控和数据采集)系统的公司,他们正准备攻击国家的关键基础设施。
退役军事情报官员、信息行动专家乔尔·哈丁(Joel Harding)长期以来一直相信积极防御,他认为适当的反应是完全合理的。他说,“既然美国知道袭击的起源地,为什么不想办法渗透进去,扭转局势呢?”“我们可以在虚拟世界或现实世界中渗透。我们可以用病毒、木马、蠕虫——各种各样的apt病毒来攻击它,并继续让它们的生活变得悲惨。”
斯图尔特·贝克(Stewart Baker),乔治·W·布什(George W.Bush)总统时期国土安全部负责政策的第一助理部长,现任Steptoe&Johnson律师事务所合伙人,去年秋天写的他说:“我们永远不会为摆脱当前的网络安全危机而辩护。这是因为让受害者承担所有预防犯罪的责任很少能成功。显而易见的替代方案是找出袭击者并惩罚他们。”
[也看到:一位前国土安全部官员表示,对网络攻击的最佳防御是良好的进攻]
Mandiant的报告认为,它可以确定起源于中国的20多个APT群体中“最多产”的位置和来源。报告称:“APT1(也称为“评论组”)是一个由运营商组成的单一组织,至少自2006年以来,该组织针对广泛的受害者开展了网络间谍活动。”。
Mandiant从那时起就观察到了针对广泛行业近150名受害者的袭击事件,该公司称这起袭击事件为来自可口可乐等公司的TB级数据它管理这场运动是因为“它得到了政府的直接支持。”
不仅仅是商业公司成为目标。Mandiant表示,其中一家公司拥有北美60%以上的油气管道的远程接入权。据称,APT1还攻击了保护企业和政府机密数据库的计算机安全公司RSA。
虽然目前还没有证据表明中国是幕后黑手,但苹果公司今天表示,幕后黑手是未知的黑客感染了一些工作人员的电脑当他们访问一个被恶意软件感染的软件开发者的网站时。
苹果公司的报告称:“在试图确定这项活动背后的组织机构时,我们的研究发现,中国人民解放军(PLA)61398部队在任务、能力和资源方面与APT1部队相似。PLA 61398部队也恰好位于APT1活动的发源地。”。
中国国防部发表措辞谨慎的声明,否认自己是袭击的幕后黑手,称任何此类指控“不专业、毫无根据……没有任何确凿证据”
但政府的反应非常迅速,当BBC摄制组开始拍摄Mandiant报告中所说的61398单元所在的12层大楼的视频时。安德鲁•普为《新闻公报》撰稿他说,中国军方扣留了船员,并没收了他们的视频。
然而,即使在这种情况下假设归因是准确的,也不意味着整个问题已经解决。赛博方舟(Cyber Ark)首席营销官约翰·沃拉尔(John Worrall)称归属“是一项非常困难的任务”
“很少有组织能够胜任这项任务。如果你不完全做到,你就会如履薄冰。”“更大的挑战是,很少有人有能力发动反击,即使他们找到了正确的目标。”
其他专家指出,Mandiant多年来一直在调查APT1和其他组织,而大多数组织甚至没有时间或专业知识做那么多。当天在推特上有几条帖子说,他们预计其他黑客组织会使用APT1方法发起攻击,使其看起来像是来自他们。
哈丁说这不应该是个问题。“我们的分析师足够聪明,可以使用其他指标来区分61398和61398的脚本,”他说。
美国应该如何回应?
尽管如此,关于美国应该如何应对的争论仍在激烈进行。美国众议员、众议院情报委员会主席迈克·罗杰斯(Mike Rogers,密歇根州共和党人)对《纽约时报》表示,“目前,中国人没有停止这样做的动机。如果我们不创造一个高价格,它只会继续加速。”
加里·麦格劳(Gary McGraw)同意应该付出高昂的代价,但表示应该通过他所谓的“主动防御”来实现
他说:“如果我们在美国建立更好的系统,使这类攻击不能很好地工作,或者有人被抓获,那么这将是一种威慑。”。“但这涉及到繁重的安全工程。我们需要花费金钱和时间来强化我们的系统——正确地构建它们。”
PhishMe首席技术官Aaron Higbee表示,试图反击的公司本身可能招致报复。他说:“令人担忧的是,目前我们最信任的网络中有攻击者。”。“这是APT的持续部分。我们不知道进攻性报复会起什么作用。”
阿伦说,美国应该小心应对反攻还有另一个原因:美国本身也不是完全清白的。他和其他人指出,美国和以色列是用来攻击伊朗核设施的Stuxnet蠕虫病毒的幕后黑手。
他说:“曼迪昂特没有说的是,APT0是美利坚合众国,我认为读者应该记住这一点。”雷竞技比分
阅读更多关于恶意软件/网络犯罪的信息在CSOonline的恶意软件/网络犯罪部分。
这个故事“中国军队链接黑客没有理由网络战争”最初由方案 .