报告:堪比核扩散,网络攻击能力扩散危及全球安全

  • A+
所属分类:安全新闻
报告:堪比核扩散,网络攻击能力扩散危及全球安全


本文 2906字   阅读约需 8分钟


编者按


美国智库大西洋理事会发表《网络攻击能力扩散初探》,以及《应对网络攻击能力扩散:聚焦网络访问服务提供商》报告,介绍了网络攻击能力的内涵,网络攻击能力链条的五大支柱,以及网络访问服务(AssA)提供商在网络攻击能力扩散中的作用。

报告认为,解决网络攻击能力扩散问题的关键是建立关于网络攻击能力的开发、销售和使用的框架,从而制定技术上可行的防扩散政策,提高目标打击的精确性,而又不会损害网络安全行业的宝贵要素。


概要


  • 网络攻击能力(OCC)扩散给各国带来日益严重的安全风险,对保护网络空间开放、安全和稳定的承诺构成挑战。网络攻击能力不受控制的持续扩散必将会大大损害全球经济和国际安全。

  • “访问即服务”(AaaS)提供商出售针对目标数据或系统的访问权限,正在以惊人的速度开发和销售网络攻击能力。


  • 靠国际规范和出口控制管理网络攻击能力扩散的方式日益低效。各国政府迫切需要重新评估其应对网络攻击能力扩散的方式。

  • 各国政府应与国际合作伙伴一起,制定“了解经销商”法律,要求AssA提供商在销售服务时要确认经销商和客户,并要求AssA提供商披露开发和出售的网络攻击能力,并对不遵法的销售商禁售。


背景


网络攻击能力(OCC)是指用于开展攻击性网络行动的工具、漏洞和技能的组合,包括技术、组织和个人的能力。

对于拥有强大网络攻击能力开发计划的国家而言,向敌对国家或者非国家攻击组织扩散攻击能力,可能会直接威胁到安全利益、影响长期的情报优势,以及为安全能力较弱的私企业和弱势群体提供有效防御的可行性。

国家背景与非国家背景的攻击组织获得更多、更好的攻击能力,同时具有更多使用的诱因,网络空间变得更加不稳定。此外,使用网络攻击能力的效果、网络攻击溯源的难度、成熟防扩散机制的缺乏,这些现实将网络攻击能力扩散问题提升到地缘政治的层面。

业界经常将网络攻击能力(OCC)扩散与核扩散和储存进行比较。核武器和网络武器是两个截然不同的威胁,特别是在监管成熟度方面,但两者都有许多双边和多边条约被制定、规避、加入、扩展和放弃,像跳舞中的舞步一样,左右摇摆不定。

络攻击能力的扩散基本上不受控制。对手购买OCC就会具有更高的能力——例如在开展网络间谍活动,以获取商业或情报利益,或开展破坏性行动时。对于尚未拥有OCC的国家而已,购买OCC通常是解决不平衡的尝试。

与核武器不同,网络武器更易于获取和使用例如,美国政府开发的永恒之蓝攻击武器,已被其他国家所采用。此外,网络安全专业人员也会被国外公司雇佣。 

发展有效和针对性网络攻击的能力不仅掌握在国家手中。发展网络攻击能力的国家发现,自己还可以从日益壮大的黑客雇佣或AaaS提供商手中,大量购买网络攻击武器。这些企业有时被称为“入侵即服务”提供商,主要提供针对目标数据、账号或移动设备的访问权限服务。

商业网络攻击能力供应商泛滥、未得到有效管,对国家安全构成了严重威胁。研究人员发现的一个令人不安趋势是私有企业对零日漏洞的利用。零日漏洞是发现时尚未修复的系统漏洞。2020年,Google的 Project Zero  项目发布了2014年后发现的在野零日漏洞(0day)利用。在129个0day 中,只有72个被公开归因于到威胁组织,其中,有14个0day 利用归因于私有企业:这一总数比任何一个国家都多。

报告:堪比核扩散,网络攻击能力扩散危及全球安全

很多上述企业在会议上提供培训、为客户定制开发攻击能力,其中包括0day。其他组织则建立技术性命令与控制设施,或者协助政府组织管理攻击行动。这些活动都属于广义的网络攻击能力:技术、个人、组织和基础设施的组合,赋能网络空间的行动。

网络攻击能力不受限制的扩散,对国家安全的影响已广为人知,但各国面临的挑战是要做得更多:不仅仅是限制网络攻击能力从政府向私人企业转移,或各国之间的转移。

构建防范网络空间攻击能力扩散的机制,已经困惑决策者10多年之久。随着国家支持的攻击组织数量越来越多,网络攻击严重性不断增加,这个问题的解决变得更加紧迫。

由于网络攻击能力难以捉摸的性质以及对其衡量的难度,该领域中的法规和政策方面尤其困难,特别是在缺乏明确的框架来定义它们并将其映射到国际均衡的更广阔形势的情况下。

应对网络攻击能力扩散工作的重中之重,是建立网络攻击能力的开发、销售和使用框架。相关政策应设法减少网络攻击能力的使用,影响扩散参与各方的诱因,而不是徒劳地寻求完全阻止扩散。


网络攻击能力:看到整个链条


防止网络攻击能力扩散失败的原因是对网络能力的生产和传播方式了解甚少。
当代的大多数政策,包括瓦森纳协定,都是冷战时期不扩散战略在网络空间中的简单移植。

作为现有反扩散工具包的一部分,这些举措将网络攻击能力视为工具,并努力通过出口管制规则来阻止其销售;这种方法目前广受批评。

网络攻击能力不仅仅包括恶意软件,及其命令和控制。“震网”是归因于以色列和美国的恶意软件,这是一种不依赖命令和控制网络的蠕虫。该恶意软件被设计用于攻击用于控制机械和工业流程的硬件(SCADA系统),包括用于获取核材料的离心机,并通过造成受控故障来破坏它们,最终延缓了伊朗的核计划。该恶意软件不仅针对伊朗纳坦兹核基地的特定硬件量身定制,而且还使用了五个零日漏洞,由恶意软件开发人员定期更新,并且可能需要以色列和美国情报部门之间的大力协作才能部署。“奥运会行动”(Operation Olympic Games)中的“震网”恶意软件传递机制、测试流程和部署是多种网络攻击能力的最终产物,远远超出了命令和控制范围。

因此,要准确地构建网络攻击能力,至关重要的是能够区分和分离不同的攻击能力——将网络攻击能力理解为由商品、技能和活动组成的链条,不再只强调恶意软件组件,而是转向网络行动的生命周期。

本文介绍了网络攻击能力的五个支柱,以此来表征网络攻击能力的技术和运营基础。这五个支柱分别为漏洞研究和利用开发、恶意软件有效载荷开发、技术性命令和控制、行动管理以及培训和支持。

表1概述了这些支柱。接下来的部分将提供这些交易发生市场的更详细图景,并描述网络攻击能力链条的五个支柱。


表1:网络攻击能力扩散的五个支柱

报告:堪比核扩散,网络攻击能力扩散危及全球安全
报告:堪比核扩散,网络攻击能力扩散危及全球安全


网络攻击能力扩散的半监管与自我监管


网络攻击能力的提供者和开发者可以大致分别列入自我监管和半监管的空间。

两个空间都提供对诸如恶意软件、支持性基础架构和漏洞之类技术的接触渠道,但是它们的成熟度、创新能力和产品质量有所不同。

自我监管空间自主运作,通常通过监管交易和执行合同规则的地下互联网市场。在最知名的网站中,0day.today在clearweb上运行,并被标记为专门针对漏洞利用和零日漏洞(尽管质量可疑)的市场,而地下的exploit.in和dark0de作为管理良好的论坛为其成员提供了一个可信赖的环境,以促进各种产品的交易。

相比之下,半监管空间中的经营者通常公开活动,受到其经营所在国家的管辖。其中,以色列NSO Group在其网站上表示,它为“授权政府提供帮助他们打击恐怖和犯罪的技术”。两个空间都包含能力、界别和资源各异的参与者,以发展和开展自身业务。例如,0day.today提供了一个宽松的环境,几乎无法保证其中的漏洞利用是有效且无法检测的;相比之下,主要在俄罗斯地下空间中运作的更强力(自我)监管市场,例如exploit.in,提供了更强的监管机制,旨在提高所交易产品的平均质量。服务在提供能力方面也有很大差异。其范围包括从提供单个组件到独立开发和开展整个网络攻击行动。

自我监管和半监管空间中存在的行为体可以进一步划分为政府、犯罪和实现访问即服务(AaaS)的私人行为体,即有效地向客户销售计算机网络入侵服务的雇用黑客行为体。取决于发起国和攻击性质,单个网络行动可以由跨多个类别(例如,政府和承包商业,政府和犯罪,商业和犯罪)的个人组成。

在自我监管的犯罪空间,各种各样的地下市场激增,从可以被任何(希望成为)攻击者很容易和自由访问的自由市场,到通过受市场信任成员的邀请来启用某些访问监管机制的引入市场,再到高技能网络犯罪分子经常光顾的隔离市场。这种进展不仅反映了更受控制的环境,还反映了对更成熟和创新的攻击能力(例如,以新漏洞、恶意软件或命令和控制基础架构的形式)的接触渠道。

同样,在半监管空间中,运营者的攻击能力也各不相同:从具有充裕而成熟的网络能力并能够发展自身攻击且在各级别上自主开展网络攻击行动的国家,到提供具有与犯罪分子可能滥用网络工具功能相同的合法版本网络工具的私人公司。

其中,AaaS机构也在半监管的空间中运作,但与所有其他形式的扩散不同,它们提供了只有经过认证的行为体(例如,拥有大量资源但内部技能很少或不足的政府机构)才能商业获取的全面攻击性服务。基于提供服务以及同时开展研发、培训人员和扩大业务的频度能力所能获得的价格或资金,这些行为体为政府提供并发展了先进攻击能力。

众所周知,AaaS提供商可以为需要既定能力但又无法有机地生产它们的政府提供支持。以色列NSO Group是此类服务中最著名的供应商之一,其为45个国家的行动提供了服务。在区分政府和私人行为体能力方面的主要异来自后者的商业模式的存在,而商业模式最终需要保持盈利才能运作,这对于开发先进网络能力的国家来说不一定是同样强力的约束。尽管政府出于战略原因可能会开发网络攻击能力,但AaaS提供商必须实现经济可持续性才能继续运营。但是,访问即服务公司以私人部门的速度提供了政府级别的能力。

攻击性网络能力链条包括以下五个活动支柱。这些支柱植根于有关网络行动和能力的现有文献和模型,以及“野外”观察到的网络行动的公共报告。下一部分将说明扩大这些能力的犯罪、政府、行业和AaaS机构之间的差异。表2列出了这些呈现纬度的总体鸟瞰图。总体而言,随着从地下市场转向私人和政府机构,进攻能力有了明显的发展;另一方面,出现了一些相似之处。接下来,我们将提供自我监管和半监管空间中行为体发展的跨定义支柱特定能力。


报告:堪比核扩散,网络攻击能力扩散危及全球安全

注:单元格显示给定行为体的特定支柱能力。

— 带破折号的空白单元格表示该特定维度没有功能;

◯ 表示行为体仅在该维度上具有基本能力,例如通过操作自动化框架获得的能力;

◐ 表示行为体可以在该维度上重新利用和修改现有技术,例如混淆已知的恶意软件/利用代码;

⬤ 表示行为体可以在该维度上生成新方法或活动,例如零日漏洞利用。

(*)为对具有成熟网络能力政府的评估。AaaS代表“访问即服务”。


网络攻击能力的五大支柱




报告:堪比核扩散,网络攻击能力扩散危及全球安全


支柱一:漏洞研究与利用开发

攻击者通常在多阶段行动的背景下发现漏洞并编写利用程序,以获得对目标程序或设备的立足点或访问权。该支柱包括发现漏洞本身的研究,以及促进被发现漏洞和编写漏洞扩散的披露计划和研究机构。

漏洞是系统设计、实施或操作与管理中的缺陷,通常可以通过催化意外行为来利用它来破坏系统的安全策略。通过使用此漏洞来触发意外行为的特定代码被称为漏洞利用。漏洞利用针对特定漏洞和漏洞目标系统的类型而编写。

利用漏洞可以使攻击者在安装产生预期最终效果的恶意软件有效负载前访问目标系统。当涉及所谓的零日漏洞时,此访问特别有效。零日漏洞是软件供应商和系统受到漏洞影响的机构所未了解的漏洞,因此不存在补丁程序。因此,精心设计的零日漏洞利用程序将无法防御,直到开发出修补程序为止。许多归因于民族国家的活动都使用了零日漏洞:据称起源于朝鲜、中国、伊朗、阿联酋、韩国、美国和其他多个国家的网络活动使用零日漏洞,以增加对目标网络的访问权限、下载其他恶意软件或在受害者计算机上安装后门程序。

由于零日漏洞在开展网络攻击行动时可以提供无与伦比的访问权限,因此有时漏洞研究或漏洞赏金计划与政府机构相关联,从而将漏洞输送到国家支持的网络行动中。美国“漏洞公平裁决程序”(VEP)视具体情况来决定零日漏洞是向公众披露还是被隐藏用于网络行动。

漏洞披露也可能受到开展网络攻击行动的政府机构的影响,以防止目标系统修补。漏洞研究在政府和私人公司内部防御方面有合法用途:通过在自己系统中发现漏洞,机构可以在漏洞利用前更新其软件,从而保护用户。公司和政府范围内的漏洞赏金计划正是为此目的而设计的,从而有效地“众包”安全测试。

国家和大型犯罪集团也利用漏洞利用,即使漏洞已得修补(即已知漏洞,N-days)。虽然通常效果不佳,但这些漏洞利用占了所有实际使用漏洞的大部分。已知漏洞利用程序通常嵌入在地下市场出售或出租的漏洞利用工具包和工具中,其价格从几百美元到几千美元不等,具体取决于漏洞利用程序的可靠性和采用的漏洞利用程序组合。众所周知,访问即服务(AaaS)和私人提供商至少在某种程度上进行了自主漏洞研究和利用开发,并从半监管市场中的其他私人行为体那里获得了零日漏洞和相关漏洞利用。这一点可以通过私人零日漏洞供应商看出来,例如Zerodium和以色列的NSO Group:这两个机构都可能拥有自己的漏洞研究团队,同时还购买外部漏洞利用程序。市场也可能在促进这些能力在参与者之间转移方面起到了催化剂的作用:将漏洞和漏洞利用卖给AaaS提供商的漏洞研究人员以后可能会被雇用并整合到AaaS提供商本身中。同样,内部能力可能会在外部“剥离”给新的或现有的漏洞研究公司。例如,对于NSO Group,也观察到了类似的动态。

自由访问地下市场所提供的新颖而有效的进攻能力几乎不存在。这些市场主要由针对想要成为犯罪分子的诈骗人员组成,这导致了不可靠的交易领域。漏洞研究在这些市场中仍然是相对基础的,并且似乎主要依赖于先前存在的技术或自动化框架(例如,发现悬而未决的漏洞)。引入市场通常无法提供新的漏洞和漏洞利用,这些漏洞和漏洞利用是为隔离场所和市场的较精英空间保留的,其拥有适当的信任机制来实现交易。在这方面,建立在可靠的信任机制和用户验证基础上的隔离市场既可以为成员间讨论以及合作与研究提供空间,也可以为私人团体提供的高效产品和服务的交易提供空间。这些市场可能交易已被武器化为易于部署漏洞利用的零日漏洞。相比之下,引入市场已经证明能够提供新的恶意软件有效载荷生成技术,并能够在管理更复杂的命令和控制体系结构方面取得进展。

支柱二:恶意软件有效载荷开发

面向恶意软件的活动中最常见的部分是恶意软件本身。该支柱包括攻击者用于开展网络攻击行动所编写或使用的任何恶意软件或恶意软件工具,或鼓励或开展恶意软件交换的任何平台。

恶意软件通常构成网络攻击能力扩散辩论的大部分内容。恶意软件可以作为攻击和入侵工具公开共享,作为跟踪软件被开发和出售,甚至被批准为大型机构的商业间谍软件。免费入侵工具可以在代码共享站点上找到,并在网络安全界内定期开发,尽管许多工具针对的是较旧的系统,或者利用了由于常见的开发人员或用户错误而导致的弱点。

恶意软件也可以在地下市场中找到。在这些恶意软件中,恶意软件的最终预期效果、逃避检测的效率以及进出通信加密方式差异很大。这在很大程度上与地下市场本身的质量或成熟度有关。在自我监管空间中,可以为更成熟市场严格执行转售软件或销售不可靠软件的规则,违反规则通常会导致被永久逐出社区。在这些市场中,相对常见的情况将恶意软件宣传为针对限量购买者的“专有”交易,通常价格要比其他非专有恶意软件更高。

恶意软件有效负载在更专有的市场变得更量身定制和有效,尤其是对于最专有的客户:政府机构。无法开发自身网络攻击能力的政府机构会再次向AaaS团体寻求获取高质量的恶意软件来开展攻击活动;该恶意软件可以依靠零日漏洞和复杂的隐身机制来开展网络攻击行动。通过“维基揭秘”共享的Vault7和其他信息指控美国国家安全局和中央情报局都有各自集中的网络攻击能力开发小组。最近,美国财政部制裁了一家俄罗斯国家研究中心(TsNIIKhM),理由是该中心编写了与俄罗斯在中东网络行动有关的恶意软件。

如果政府内的国家支持恶意软件并非在内部构建,则承包商也可以填补这一空白。承包商和其他提供恶意软件开发服务的访问即服务提供商使得政府能够购买自己可能无法自行构建的能力。同样,AaaS团体(例如NSO Group)会开发内部恶意软件,然后将其附加功能提供给寻求政府;NSO Group的Pegasus恶意软件以其模块化和相对复杂性而闻名,采用多阶段感染阶段来维持(并增加机会)对系统的立足。通常,这可通过采用多种漏洞利用和所谓dropper木马来实现,其负责维持在系统上立足,并可在安装后用于自定义恶意软件功能(例如,通过安装或更新恶意软件模块)。其他技术还依赖于使用诸如Rootkit之类的隐匿恶意软件来维持对受感染系统的立足;例如,意大利Hacking Team公司提供的产品中有一部分是VectorEDK,这是一个统一可扩展固件接口(UEFI)恶意软件,其可以确保在第二阶段恶意软件被检测并被删除的情况下,潜在的UEFI感染仍然存在,并可用于按照攻击者的意愿重新安装已擦除的恶意软件。从事地下市场活动的黑客使用类似的多阶段技术来提供按安装次数付费(PPI)服务。

支柱三:技术性命令与控制

该支柱包括提供旨在支持网络攻击能力行动方面的技术,例如防弹主机、域名注册、服务器端命令和控制软件、虚拟专用网(VPN)服务或涉及攻击性网络行动初始创建的交付账户。

网络攻击行动通常不仅包含恶意软件的有效载荷和漏洞利用。在大多数情况下,恶意软件需要被交付并与之通信。最初的交付、命令和控制以及最终的渗透都取决于攻击者建立的可靠基础架构。这被称为“入侵分析钻石模型”的“基础架构”部分,这是一种用于分析和跟踪网络入侵特征的流行模型。网络攻击能力基础架构可包括命令和控制服务器、网络钓鱼页面的域名、发动网络钓鱼攻击的资源(例如,用于网络钓鱼电子邮件的泄露邮件地址)或滥用技术(从公司供应链中的软件到大规模邮件提供商)。

在许多国家赞助的案例中,用于网络攻击行动的基础架构通常会入侵或滥用合法的互联网技术,主要是为了掩盖恶意活动的指征。国家支持的网络行动还入侵了合法网站以提供恶意软件。从命令和控制的角度来看,民族国家和网络犯罪分子都开发了使用合法云服务(例如Google Drive)与受害计算机进行通信或将其他恶意软件下载到受害计算机的恶意软件。

特别是在自我监管市场中,为恶意软件活动设置和运行命令和控制基础架构经常会面临被执法部门捣毁的风险。为了防止非法体系遭受不必要干扰,犯罪界通常会购买“防弹”主机服务,该服务提供的基础架构可以抵抗监管机构或执法部门的干预。这些服务可以由罪犯自己或位于限制较少国家的个人来创造。这些防弹主机服务的提供商在犯罪论坛上非常丰富。在提供此类服务中,地下市场在提供相关基础架构服务中发挥着重要作用。一些服务建立在以前的攻击性行动(例如,从网络钓鱼活动中获得的僵尸网络)所产生的基础架构之上。众所周知,AaaS和私人参与者在全球范围内部署其基础架构,以支持在不同国家开展活动,尤其是维持与这些行为体提供的服务相关的命令和控制活动;在至少一个先前的案例中,一个AaaS团体DarkMatter(一个在所谓“乌鸦计划”中雇用美国雇佣军的阿联酋行为体)试图成为一个可信证书颁发机构——该地位将使该团体作为可信命令和控制服务器进行签名,并有可能允许其作为攻击性行动的一部分分发软件。

无论哪种方式,极有可能的情况是民族国家、罪犯或为进攻性网络行动建立技术基础架构的任何其他实体大量此类活动。在自我监管的市场中,用于垃圾邮件的虚假社交媒体或电子邮件账户创建、虚假评论和其他相关欺诈活动成为一个蓬勃发展的行业,相关的验证码破解服务和与创建账户相关的专用硬件产品也是如此。对于在内部进行设置的机构而言,许多为行动设置基础架构的个人通常会遵循一定的模式。

支柱四:攻击行动管理

作为行动更以人为中心的方面,该支柱包括行动管理、资源和团队的战略组织、最初目标决策以及有效管理开展网络行动的机构所需的其他职能。

恶意软件、漏洞利用和相关的基础架构不会自我扩散。形成战略方向、建立组织流程、建立关系以及制定应急计划都需要人员,并且都需要开发、执行和迭代,才能达成任何网络攻击行动机构的整体成功。

即使在小型网络犯罪公司中,创建流程并指导个人执行特定操作也是很常见的。美国司法部对安德烈·图尔钦(Andrey Turchin)的未密封起诉书透露其所在的网络犯罪集团FXMSP遵循一个可重复的流程:使用网络钓鱼电子邮件或暴力破解凭证进入企业网络,部署恶意软件以建立网络本身中的驻足,然后在多个犯罪论坛上根据访问级别和受害者实体将访问货币化。为了将访问货币化,据称安德烈·图尔钦雇用了网络犯罪分子安东尼·莫里科内(Antony Moricone)(或“BigPetya”)作为该流程他的销售经理。

其他犯罪活动得到精心设计犯罪商业模型的支持(并通过其扩展)。在2020年,莫里康尼先生的工作通过创建模拟即服务(IMPaaS)基础架构实现了自动化,这是犯罪创新的另一个实例,旨在解决如何通过较少的手动工作就将盗窃的信息货币化的问题。IMPaaS模型创建了源于系统性恶意软件感染的产品的整个供应链,当恶意软件收集到更新信息时将用户信息(例如凭证、系统指纹、网络Cookie)推向付费用户在类似电子商务的市场中选择其产品的系统。

为网络攻击能力创建功能强大的国家资助部门需要的组织知识要比小型网络犯罪集团要多得多。具有网络攻击能力的部门必须知道如何收集有关目标的情报,为这些目标定制行动,并成功执行行动。这些部门固有的知识和流程可以通过多年的内部研发来自身培育,但是将手动流程转变为集体自动化的工作需要技巧、时间的非线性输入以及不小的努力。美国国防高级研究计划局通过其“网络超级挑战赛”项目自动化漏洞发现和修补中的许多手动流程就是例证。“网络超级挑战赛”虽然是防御性示例,而不是与网络攻击能力严格相关的示例,但它是一种研发形式,可能会影响美国政府网络攻击能力内部的未来流程。

这些部门也可以由外部机构协助。例如,阿联酋的网络监视机构“开发与研究部门”(DREAD)最初是在2008年由外部机构协助建立的。美国前反恐协调员理查德·克拉克(Richard Clarke)建议阿联酋建立一个网络监视机构,然后通过自己的公司Good Harbor Consulting帮助该机构建立并发展壮大,直到2010年。Good Harbor达成目标的做法包括建立该机构的整体架构,雇用精通网络攻击行动的美国分包商来开发该项目的必要秘密计算机网络,并为潜在的阿联酋员工提供必要的培训。

第三方供应商可以进一步补充网络能力。阿联酋在美国Cyberpoint公司等其他承包商的帮助下扩展了DREAD能力,该公司著名的“乌鸦计划”(Project Raven)有效地将阿联酋特工引入间谍技术,他们之后又对国内异见人士和美国公民使用了该技术。主要由美国前情报人员组成的美国“乌鸦计划”特遣队查明了目标中的漏洞,为目标开发或获取了恶意软件,并协助阿联酋人开展了行动。

支柱五:培训和支持

网络攻击行动计划需要训练有素的专业人员才能成功。该支柱涵盖了由一组个人向另一组个人提供的有关网络攻击行动流程的任何培训计划或教育,从而扩大训练有素专业人员的数量,并在他们之间建立了联系,以促进网络攻击能力的发展。

机构无法自发组建技术高超的团队来开展网络攻击行动。必须为操作人员、漏洞研究人员和恶意软件作者提供适当的培训,以完成其工作,同时必须对新员工进行定向、培训和监督。

与其他支柱一样,出于防御原因也可以提供攻击性训练计划。YouTube上广泛提供了开源安全工具(例如Nmap、Metasploit和其他Kali Linux工具)的培训,并被宣传为“道德黑客”课程。Offsec Services LTD之类的公司提供了如“网络攻击安全认证专家”之类的认证及其相关的培训和工作手册。其中一些证书不仅是顶级渗透测试、审查和咨询工作申请所需的经验,而且还可能是申请的先决条件。许多安全会议,包括广泛参加的BlackHat会议以及诸如INFILTRATE之类专门的安全会议,也提供了培训课程,以发展攻击安全社区(尽管美国和其他情报机构的成员也有可能参加同样的会议)。

还存在网络攻击行动培训(尽管在不太开放的场所)。地下犯罪论坛包含明确的欺诈指南,其中显示了如何将转储的信用卡号码转为比特币,并提供了在这些论坛上出售的商品恶意软件的设置指南。这些教程和恶意软件说明实质上是用于设置或重新创建恶意软件配置的“复制指南”。一些教程与“工具包”(例如网络钓鱼工具包)一起提供,任何攻击者都可以部署这些工具包并随时针对其目标使用。这在私营领域中也很常见:创建了Cobalt Strike(一种流行的渗透测试工具,也经常在APT攻击中使用)的组织托管了有关如何使用该工具的免费视频教程。

在半监管空间中提供网络攻击行动培训的组织将特意前往外国司法管辖区,在专门的研讨会上为政府官员和组织提供服务。各国政府在决定对员工进行网络攻击行动策略和技术培训时,有许多资源可供汲取。政府开发的内部解决方案,例如美国国家安全局的国家密码术学校,过去一直在开发量身定制的专业知识方面很有用。此外,还存在教育预算以补充其他学习计划:例如,美国“服务奖学金”计划允许STEM(科学、技术、工程和数学)个人获得官方认可学校的全额奖学金,以换取政府服务。同样,网络安全培训课程由美国计算机协会和IEEE等协会通过由来自多个机构的成员组成的联合任务组制定。

最终,提供培训的组织,尤其是为政府受众设计的培训,不仅仅提供技术专业知识。通过将人们汇聚到一个房间里,他们在开展网络攻击行动所必需的个人和机构之间建立了结缔组织。当然,由不同实体提供的特定培训类型也取决于激励这些行为体提供培训的业务模型或激励措施。例如,一般而言,AaaS或私人团体可能会对提供有关部署或使用自己的技术的培训感兴趣(例如,Hacking Team泄露就很好地体现了这一点),而对向第三方提供开发这些攻击能力方面的培训则没有那么大的兴趣。但是,各国政府可能会采用或支持一系列培训计划,这些计划同样旨在培养和挑选其未来打算获取的人才。


网络攻击能力防扩散的主要工具


遏制、控制或减缓网络攻击能力的扩散,这并不是政策面临的新挑战。很久以来,国际社会采取了类似的行动来遏制核武器、化学武器和生物武器的扩散,这通常被称为反扩散和不扩散行动。

在10年前的学术和政策文献中,对于这些机制及其在网络攻击能力扩散领域的应用已经进行了探讨,但进展甚微。

应对网络攻击能力的扩散涉及非法和商业市场中的各种主体的活动和行为。前者通常由地下犯罪团伙实施,主要是自我调节的空间内运作,而后者则是公开进行,主要受到当地或国家法律的监管,因其运作可能会受到广泛的地缘政治环境影响。由于其具有不同的监管特征,需要对两个领域采取不同的政策。  

十多年来,谁能开发、销售和使用OCC,以及政府在限制任何此类活动中应扮演的角色,一直是激烈争论的焦点。

抵制网络攻击能力扩散是政策创新的活跃领域,但却受到意识形态分裂和对扩散动力理解不充分的阻碍。在这场研究和措辞的争论中,国际社会对网络攻击能力扩散先进行了明确限制,随后进行了模糊处理,然后再次进行限制。其结果是,国际社会在瓦森纳协定中对网络攻击能力的扩散做了国家层面的限制,尽管存在不足、争议以及不平衡。网络攻击能力继续蔓延扩散,利用这些能力开展的网络攻击一直没有减弱。 

在反扩散领域,最常讨论的两个工具是国际法律和规范,以及威慑。但对于解决利用AaaS实施的企业层面的网络攻击能力扩散,这两个工具都存在不足。

首先,国际社会积极构建许多网络安全规范, 但往往无法影响国内法律和政策。大量的国际协议可能会提供强有力的政策协调杠杆,但国内政策将需要准确而有效地明确需要限制的活动,几乎所有计算机犯罪法规似乎都缺少这一点。此外,国内法律以及执法部门在努力应对新兴的网络安全威胁,完全没有能力关注其背后的供应链问题。在一些大量攻击者违反规范或法律的区域,执法往往前后不一致或有法不依,到目前为止,法律规范对减缓网络犯罪作用不大。 

第二,国际关系学者对威慑提出了不同定义,并就其核心原则进行了辩论。在威慑主体能够对特定行为发出可信的报复威胁,且被威慑目标理解并希望避免威胁时,威慑才会对改变行为有效。

发出信号很重要——参与者有效发出对相关战略的承诺时,威慑和胁迫就会发挥作用。在模糊的状态/代理关系背后,以及在合法的商业交易中,对承诺认知与其作用一样有限。

完全威慑具有挑战,部分原因是该领域的性质以及决策参与者众多,而部分威慑则有可能。作为更大战略的组成部分,威慑可以使用经济、外交、军事、政策和信息杠杆,来降低恶意组织攻击实体的收益。

对于应对网络攻击能力扩散,网络安全行业也有一些建议,但往往无法直接解决网络能力或扩散的所有方面。通常来说,提升网络防御是限制AaaS影响的常见且必不可少的手段。在网络空间政策领域,已经提出了一些针对性更强的建议,来应对OCC的扩散。

鼓励政府和私营部门发起漏洞赏金计划,鼓励安全研究,为网络安全人员创造更多的政府职位,这些都是不错的做法,但没有特别考虑私人企业引发的网络攻击能力扩散问题。

对影响广泛的软件漏洞,大幅缩短其识别和缓解风险的时间周期,这对防扩散可能是有益的,但这仅仅是针对网络能力中的漏洞研究和漏洞利用部分。

技术和安全社区的专家则建议,政府以高于市场的价格购买安全漏洞,然后进行公开,这样可以挤压已知漏洞的市场。但这种政策措施在可行性上难度。  


防扩散建议


网络空间中的防扩散政策选项未得到充分利用,这主要是因为过于狭隘的关注“网络武器”,而非网络攻击能力。将网络领域的扩散理解为多种网络能力的扩散,这可以为决策者提供了足够的颗粒度,来制定技术上可行的防扩散政策。

通过理解犯罪市场、政府机构和AaaS提供商提供、开发先进网络攻击产品的方式,政策制定者可以将特定的行为群体作为打击目标,而不会损害整个网络安全行业。

具体来说,揭露AaaS提供商在扩大进攻性网络能力中的作用将有助于推动制定更有效的防扩散政策。注重对访问即服务提供商、漏洞利用提供商以及其他网络攻击培训机构的监管,将会快速带来有益的结果,确保攻击者无法获得私人企业的相关技术。

控制通过AaaS提供商的网络攻击能力扩散是一项重要的任务。目前AaaS商业模式日益普及 ,私有AssA提供商在网络攻击能力的开发和扩散中发挥日益重要的作用,它们加速并提升了外国政府实施网络攻击行动的能力。

《报告》建议针对AaaS市场制定新的政策:
  • 扩大政府情报机构向厂商提交发现安全漏洞的范围,缩小AaaS提供商发现零日漏洞的攻击面。
  • 建立对政府网络安全工作人员的离职限制,使其无法跳槽到AaaS提供商。
  • 对破坏出口管制的AaaS提供商及其分销商采取法律行动。
  • 强制AaaS提供商在恶意软件有效载荷上应用“技术限制”(如地理围栏),使网络攻击工具在某些地区无法使用。


报告:堪比核扩散,网络攻击能力扩散危及全球安全


报告:堪比核扩散,网络攻击能力扩散危及全球安全

本文始发于微信公众号(虎符智库):报告:堪比核扩散,网络攻击能力扩散危及全球安全

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: