网络援乌:美国企业如何在俄乌网络战中大显身手?
美国网络防御援助协作组织(CDAC)发起人、摩根大通前CISO首次揭秘该计划。
安全内参11月21日消息,就在俄军进入乌克兰领土的几周之后,美国知名安全公司曼迪安特(Mandiant)的一名代表拨通了乌克兰最大国有石油及天然气公司Naftogaz的高管电话,提出一个不同寻常的建议:Naftogaz是否愿意让曼迪安特帮助他们检查网络当中存在的安全隐患?多年以来,俄罗斯黑客针对Naftogaz系统的入侵尝试从未停歇,因此在听说曼迪安特愿意免费部署搜索团队、检测网络中是否潜伏安全隐患时,这家能源公司表示十分乐意。这项提议是西方科技企业的广泛努力之一,希望帮助乌克兰在战时保护自己免受俄方网络攻击影响。从曼迪安特到微软,来自美国网络安全、威胁情报及科技领域的数十家公司联合组建了一支网络志愿团队,放弃中立态度,直接介入俄乌冲突。他们自称为网络防御援助协作组织(CDAC),这个创意由摩根大通前首席信息安全官Greg Rattray最早提出。几个月来,他一直努力建立公私合作关系,希望对抗破坏性网络攻击。本文是他第一次公开深入讨论此项倡议。多年来,美国官员一直希望通过公私合作伙伴关系来打击破坏性网络攻击。这个思路背后的逻辑是:美国国安局和网络司令部经常在网络攻击发生之前或期间,掌握关于攻击活动的情报,美国网络安全企业则拥有阻止攻击的专业知识。如果能够成功协同合作,有望更好地抵御破坏性网络攻击。而CDAC倡议的与众不同之处,在于其合作伙伴并非华盛顿,而是基辅。这也成为公私合作的难得测试场景,可以检验构想中的联合,最终能不能在美国本土发挥作用。Rattray在接受采访时表示,“俄乌冲突在周四(2月24日)正式爆发,我从周一起就开始四处沟通。”很快就有二十多家美国企业迅速签署了协议,愿意提供许可证、人员和专业知识,帮助乌克兰捍卫自己的网络空间。Rattray解释称,“在我看来,俄罗斯方面的粗暴进军成为团结各家企业、签署合作协议的最大助力。大家都愿意以乌克兰为实验场,看看自己到底能够为网络安全做点什么。”
黑客的天然目标
Naftogaz公司拥有庞大的供应商、子公司和在线计费系统网络,众多设施环节使其成为俄罗斯黑客们的天然攻击目标。而一旦有攻击者成功突入防线,Naftogaz的内部设施就可能被搅成一团乱麻,阻碍乌克兰天然气输送系统的正常运行、甚至将能源系统彻底关停。早在2015年,俄罗斯就曾经在电网身上动过类似的手脚。当时俄方黑客侵入了乌克兰电网,导致基辅周边近25万居民陷入黑暗长达六个小时。人们普遍认为,如果俄罗斯能让乌克兰停电一次,那在双方开战期间就绝对能让乌克兰停电第二次、第三次。正是这样的压力,促使曼迪安特首席技术官Ron Bushar致电Naftogaz,询问对方是否愿意让曼迪安特的独家软件程序扫描其运营网络。Bushar解释称,行业普遍怀疑Naftogaz网络当中已经潜伏有俄方黑客,迫切需要一场大“扫荡”、大“搜捕”。网上的搜捕队就如同循着犯案线索努力跟进的警察:他们查找电子“指纹”、清点盗窃行为,并认真观察入侵者可能留下的一切痕迹——比如恶意代码。Bushar表示,“我们以极快的速度对成千上万的系统进行了扫描。一旦有所发现,我们就会继续深挖,对该系统展开进一步研究。”但问题是,他们并没有太多发现:确实找到了能擦除硬盘信息的恶意代码,也扫描出了黑客“埋设”在此以待日后激活的预置恶意软件,可并不存在能造成大规模系统中断的“暴雷”。Bushar回忆道,“我们没有检测到明显的攻击性活动,只发现恶意黑客已经获得了访问权限,并正在内部环境中移动的证据。”于是,他们排查到了入侵的缺口并将恶意黑客拒之门外。俄乌战争爆发初期,俄罗斯黑客在全乌范围内发动了一系列缓慢推进的低级别攻击,并未特别针对Naftogaz。他们擦除了硬盘数据并瘫痪掉身份验证系统,导致员工们无法登录。但在Naftogaz保护并强化了自身网络边界之后,擦除类恶意软件仍在以某种方式不断出现在系统当中,密码和登录信息盗窃也一刻未停。研究人员们能意识到出了问题,但却无法解释原因。突然之间,Bushar他们顿悟般想通了一切:必须用军事思维审视问题。
内部威胁
事实证明,战争期间的网络安全保护工作有其特殊性。Busahr和他的团队意识到,需要保护的边界一直处于变化之中。如今占领乌克兰小块领土的俄罗斯军队已经夺取到了部分天然气设施,并试图通过终端侵入其运营系统。Bushar指出,“在乌克兰东部地区,俄军已经占据了部分领土和相应的关键基础设施。”其中就包括Naftogaz公司的数据中心和当地电信及行政办公室。“整理敌占区各点位上的系统和IP地址,证明这些就是我们所看到攻击的确切来源。”事实上,有时候攻击看起来像是源自Naftogaz内部。他们发现这并不是因为俄方突破了安全边界,而是“他们已经占据了Naftogaz的数据中心及相关系统,这样就能正常访问系统并攻击设施内的其他部分……整个过程类似于应对内部威胁。”于是援助人员们调整了防御策略,开始切断俄占区内的业务系统。“我们提出建议,如果乌方决定从某省撤退,Naftogaz就应该在系统落入敌军手中之前,主动将这些系统从网络中断离开来。”建议最终转化成了实践。Naftogaz开始指示员工在城镇被俄军攻占时联系主管,切断当地的网络访问。而在逃离敌占城市时,员工们还会向Naftogaz总部呼叫确认。这套新策略贯彻下去之后,Naftogaz就能及时调整防御姿态以反映各地战况。Bashar表示,神秘的内部威胁也就此消散无踪。
技术实力
在CDAC创始人Rattray着手为合作倡议物色志愿者时,他的第一个电话就打给了RSA Security前CEO Art Coviello。RSA Security是网络安全与加密领域的先驱之一。如今的Coviello则经营着一家风险投资基金,专门为网络安全企业提供资金支持。他表示,“乌克兰人有这个技术实力。不少公司都在乌克兰设有软件开发分部,这本身就说明那里的技术储备和教育水平都比较到位。他们只是没有机会,或者没有像美国本土这样的金融资源来建设自己的网安防御体系。”而CDAC的参与,应该有助于弥合这个缺口。Coviello提到,这项努力并不单纯是为了响应战争。乌克兰以外的人们也应当保持警惕,毕竟俄罗斯对乌克兰使用的网络武器,也可能被用于攻击其他目标。“我绝对不会低估俄罗斯人的能力。”Coviello强调,“人们可能没有意识到,美国人民其实生活在世界上最大的数字玻璃屋内。我们受到的影响最大、承担的损失最重,因为我们之间的联系非常紧密、对技术的依赖性极高。我们的一切关键基础设施和业务构成都受到了这种技术转型的影响。”Rattray则提到,乌克兰用行动震惊了全世界——这种成就不仅来自正面战场,也来自网络空间。乌克兰方面极为敏捷,能够快速将系统迁移至云端,而云数据不会受到本土轰炸和一般黑客攻击的影响。乌克兰人的技术专长让他们能够在受到攻击时迅速转向,并充分运用来自科技界的巨大助力。Rattray总结道,“俄罗斯人并不像我们想象中那么擅长网络作战。他们在数字空间中的行动跟我们的预期基本相符,比如信息战竞争、用传统方式通过网络空间收集监控情报之类。但我们预想中的破坏性攻击并没有出现。”
文章来源:安全内参
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
END