《网络安全知识体系》
对抗行为(七):
对手的特征之国家行为者
国家行为者
参与在线对抗行为的另一种类型的恶意行为者包括民族国家。在过去几年中,我们观察到国家行为者为实现其目标而使用计算机攻击的现象有所增加。从广义上讲,这种类型的攻击与出于经济动机的网络犯罪分子实施的攻击不同,原因有两个:
1. 商品网络犯罪需要聚集尽可能多的受害者,以最大化他们的利润。例如,犯罪分子建立僵尸网络以窃取受害者的财务信息,希望尽可能多地接触受害者,以提高他们的收入。这意味着网络犯罪分子的攻击需要是通用的或多样化的,以覆盖大量设备(例如,通过使用漏洞利用工具包,如第2节)。另一方面,在国家支持的攻击中,没有必要赚钱,并且通常受害者是明确的(例如,特定组织或个人兴趣)。在这种情况下,攻击可以针对受害者进行定制;这增加了成功的机会,因为可以花在设计攻击上的时间以及攻击是唯一的(例如,通过使用零日攻击),现有的保护软件不太可能抓住它。
2. 由于需要赚钱,传统的网络犯罪分子需要他们的攻击速度快。对于国家支持的攻击来说,情况并非如此,因为实现其目标的奖励(例如,从政府窃取敏感信息)使得在最终确定攻击之前等待很长时间是可以接受的。
国家支持的攻击大致分为三类,具体取决于攻击的目的:破坏,间谍和虚假信息。在下文中,我们将更详细地描述这三种类型的攻击。
破坏。现代关键基础设施可能被电子手段破坏。研究表明,发电厂等关键设施在控制机器的计算机和连接到互联网的那些。在国家对手的情况下,即使拥有网络安全设备来保护两个网络之间的边界也是不够的,因为正如我们所说,攻击可能是如此复杂和量身定制的,以至于现成的解决方案无法检测到它们。一旦恶意软件设法进入控制网络,它就可能导致机器出现故障并可能破坏它。即使控制网络和更广泛的互联网之间存在物理隔离,当我们面对对手时,攻击仍然是可能的。几乎无限的资源。
一个突出的例子是Stuxnet蠕虫,这是2010年对伊朗的Nathanz核浓缩设施进行的复杂攻击。据称,该恶意软件是通过首先感染维护机器的一名顾问的笔记本电脑而引入该设施的。一旦恶意软件处于正确的环境中,它就会识别出它所针对的设备,并破坏了浓缩实验,使离心机失控。迄今为止,Stuxnet是一个教科书式的例子,说明了国家支持的攻击者为了实现其目标可以走多远,以及他们的攻击可以达到的复杂性。
破坏活动并不总是与国家行为者有关。重大事件是由公司心怀不满的员工引起的,他们充当内部威胁,例如Maroochy 供水服务。在这次事件中,一名尚未确认工作的内部人士决定通过洒落污水来报复该公司,造成重大的环境破坏。
间谍活动。国家赞助的行为者攻击的另一个目标是监视对手和突出的对手。研究表明,国家行为者突出使用鱼叉式网络钓鱼(即有针对性的网络钓鱼)来引诱活动家和公司安装恶意软件,这些恶意软件后来被用来监视他们。在其他情况下,国家行为者会感染敏感系统(例如,大公司的服务器),目的是窃取敏感信息。安全行业将这些长期存在的复杂攻击称为高级持续威胁。
虚假情报。在过去的两年中,有证据表明,国家赞助的行为者参与了在社交媒体上传播虚假信息。这是通过巨魔账户完成的,这些账户的作用是使敏感话题的在线讨论两极分化。虽然Twitter等社交网络已经公开了与国家支持的虚假信息相关的账户数据,但仍然缺乏关于这些操作如何在后端执行的严格证据。例如,与机器人相比,涉及虚假信息的账户在多大程度上由人类操作员控制尚不清楚。
原文始发于微信公众号(祺印说信安):网络安全对抗行为(七):对手的特征之国家行为者
评论