国家是解决高级网络威胁的主导力量

网络威胁中的高级威胁，即APT，是指有组织、有背景的网络威胁行为，通常是得到国家支持、甚至是国家力量直接参与的网络行动。面对这样的一种国家行为，能够与之对抗的，通常也只有国家行为。因此，从力量对比的角度出发，解决这类高级网络威胁问题，需要由国家来主导。

由国家主导高级网络威胁问题的解决，也是安全的需要。APT针对的不是普通用户，而是涉及国家根本利益的重要目标或重要网络。出于安全等方面的考虑，普通人员是不能随意接触这些涉事目标或网络的。但是，解决APT问题，又需要有涉事目标或网络的相关数据，以及对涉事目标或网络开展现场调查。如果将这些数据交给一般人员去分析，或者将调查工作交由普通的安全公司去做，就会产生新的安全风险。因此，从安全方面考虑，解决高级网络威胁也应该由国家（或政府）相关部门来承担。

下面，我们看一下美国在解决高级网络威胁方面是如何做的。

可以发现，在美国发生高级网络威胁事件时，不仅NSA（国家安全局）、FBI（联邦调查局）、DHS（国土安全部）这样的国家强力部门每次都会介入，就是商务部、能源部、司法部等部门也会经常参与。这样大规模的投入国家力量，反映出了美国政府对于高级网络威胁的高度重视。

表面上看，美国的网络安全市场是开放的，在解决高级网络威胁问题上各家企业是机会对等的。但实际上，出于安全等方面的考虑，进入美国的重要网络是有“门槛”限制的，能够真正对高级网络威胁开展调查的，都是有国家背景的企业。

美国最重要的信息基础设施被称为NSS（National Security System，国家安全系统），它的应急响应和入侵检测工作，是由NSA负责的。NSA通过NSCAP（National Security Cyber Assistance Program，国家安全网络支援计划），设定了CIRA（Cyber Incident Response Assistance，网络应急响应支援）认证资质， 保证只有政府信得过的企业才能参与其重要网络的防御。以下是2019年的CIRA企业名单：

可以发现，在网络威胁对抗中表现抢眼的一些美国企业，比如提出杀伤链模型的Lockheed Martin，发表过“惊人”报告的Northrup Grumman，以及多次发布有“分量”APT调查报告的Mandiant 、CrowdStrike、Symantec等，都在该名单之列。

提起高级网络威胁方面的基础研究，很容易就想到MITRE，像CVE、CWE、ATT&CK、STIX这些经常被用到的网络安全术语，就全都出自于它。而这个被网络安全界经常挂在嘴上的MITRE，实际上是MITRE公司名下多个FFDRC（Federally Funded Research and Development Center，联邦资助研发中心）中的一个。它也是美国唯一的一个网络安全方面的FFDRC—国家网络安全FFDRC（National Cybersecurity FFDRC，NCF）。名义上归MITRE管理，实际上是NIST下属的科研机构，本质上相当于是美国的网络安全国家重点实验室。从它在网络安全界的地位，可以看出，主导美国高级网络威胁基础研究的，也是政府。

可以说，美国在解决高级网络威胁问题上，各个方面都是政府在主导。从美国的做法上，可以看出，对抗高级网络威胁这样的问题，需要由国家来主导。

本文为CNTIC原创，转载请保留出处与链接。

联系信息进入公众号后点击“论坛信息”可见。