信息化觀察網(wǎng)

朝鮮正利用 “廣泛且日益復(fù)雜的” 網(wǎng)絡(luò)攻擊來(lái)竊取資金的消息凸顯了民族國(guó)家網(wǎng)絡(luò)攻擊所造成的 “附帶損害” 風(fēng)險(xiǎn)——一位安全專(zhuān)家警告稱(chēng)，如今，企業(yè)之間的聯(lián)系日益密切，如果他們沒(méi)能與合作伙伴和其他利益相關(guān)者協(xié)調(diào)網(wǎng)絡(luò)安全防御方案，那么他們就有可能淪為民族國(guó)家網(wǎng)絡(luò)攻擊活動(dòng)的受害者。

2016 年，聯(lián)合國(guó)應(yīng)美國(guó)的要求就朝鮮的核項(xiàng)目和導(dǎo)彈計(jì)劃對(duì)該國(guó)實(shí)施了一系列經(jīng)濟(jì)制裁，該國(guó)也受到了這些制裁的影響。例如，貿(mào)易禁令削弱了朝鮮的煤炭出口，而煤炭出口正是朝鮮外匯收入的主要來(lái)源。但是最近，在聯(lián)合國(guó)安理會(huì)的會(huì)議中，有專(zhuān)家小組指出，朝鮮正通過(guò)網(wǎng)絡(luò)攻擊和區(qū)塊鏈技術(shù)來(lái)規(guī)避經(jīng)濟(jì)制裁以及獲取外幣。據(jù)會(huì)議統(tǒng)計(jì)，截至目前，朝鮮已經(jīng)設(shè)法通過(guò) “廣泛且日益復(fù)雜的” 網(wǎng)絡(luò)攻擊竊取了 20 億美元，以資助其軍事發(fā)展項(xiàng)目。

這些針對(duì) 17 個(gè)國(guó)家超過(guò) 35 家銀行和加密貨幣交易所的攻擊活動(dòng)，凸顯了民族國(guó)家網(wǎng)絡(luò)攻擊日益動(dòng)蕩的狀態(tài)——而這種狀態(tài)也導(dǎo)致企業(yè)（相互聯(lián)系但不相關(guān)）風(fēng)險(xiǎn)日益加劇。

前 FBI 特工 Shawn Henry 表示：沒(méi)人愿意在針對(duì)其他人的攻擊活動(dòng)中受到波及。但是由于如今所有的網(wǎng)絡(luò)都是連通的，所以發(fā)生這種情況下的可能性實(shí)際上又很大。

而且這種風(fēng)險(xiǎn)還會(huì)持續(xù)走高，因?yàn)?“更加厚顏無(wú)恥的” 對(duì)手要么壓根不害怕被發(fā)現(xiàn)，要么不認(rèn)為自己會(huì)被發(fā)現(xiàn)。即便是他們被發(fā)現(xiàn)了，他們也不認(rèn)為會(huì)受到任何形式的報(bào)復(fù)或問(wèn)責(zé)。

這種態(tài)度也加劇了目前來(lái)自民族國(guó)家網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)，這種不引人注意的黑客攻擊行為正在不斷增長(zhǎng)，同時(shí)也對(duì)政府機(jī)構(gòu)和充斥著各類(lèi)個(gè)人或商業(yè)敏感信息的企業(yè)造成了潛在的災(zāi)難性新威脅。

目前，世界各地的政府機(jī)構(gòu)都在加緊研究和關(guān)注各類(lèi)惡意黑客組織，2019 年 2 月 19 日，美國(guó)網(wǎng)絡(luò)安全技術(shù)公司 CrowdStrike 發(fā)布了《2019年全球網(wǎng)絡(luò)安全威脅報(bào)告》，其中重點(diǎn)提到了一個(gè)關(guān)鍵概念——突破時(shí)間 (Breakout Time)，是指入侵者發(fā)起攻擊到成功獲得系統(tǒng)權(quán)限的時(shí)間。該報(bào)告顯示，俄羅斯政府支持黑客組織的平均突破時(shí)間僅為 19 分鐘，也就是說(shuō)，在漏洞被曝出之后，黑客最快在不到 20 分鐘的時(shí)間里就能夠?qū)嵤┬袆?dòng)。

從初始妥協(xié)到在目標(biāo)網(wǎng)絡(luò)中橫向移動(dòng)僅需要 19 分鐘！這無(wú)疑給首席安全官們施加了額外的壓力，以敦促他們實(shí)施有效的檢測(cè)和應(yīng)對(duì)措施。

鑒于網(wǎng)絡(luò)攻擊者正在不斷調(diào)整其攻擊技術(shù)，以適應(yīng)不同目標(biāo)地區(qū)的相對(duì)脆弱性特征，這種壓力還會(huì)進(jìn)一步加劇。

例如，惡意軟件、注冊(cè)表運(yùn)行密鑰和命令行界面攻擊是印度太平洋地區(qū)最常見(jiàn)的攻擊媒介。相比之下，在針對(duì)拉丁美洲目標(biāo)的攻擊活動(dòng)中，惡意軟件的使用率超過(guò)了 75%；而在針對(duì) EMEA（歐洲、中東、非洲三地區(qū)的合稱(chēng)）組織的攻擊活動(dòng)中，超過(guò)一半都使用了腳本。

這種多樣性意味著根本不存在一種通用的解決方案，可以用來(lái)檢測(cè)和管理此類(lèi)攻擊——如果謹(jǐn)慎的攻擊者選擇 “靠山吃山”，通過(guò)依賴(lài)內(nèi)置的系統(tǒng)工具 (PowerShell和JavaScript) 來(lái)發(fā)動(dòng)攻擊，那么就會(huì)進(jìn)一步加劇檢測(cè)難度。而一旦目標(biāo)受到攻擊，人類(lèi)攻擊者就可以采取控制措施來(lái)探索和定位需要獲取的數(shù)據(jù)等信息。

從我們過(guò)去兩年觀察到的情況來(lái)看，對(duì)手的能力已經(jīng)從惡意軟件轉(zhuǎn)移到了無(wú)簽名攻擊，他們會(huì)利用操作系統(tǒng)中的現(xiàn)有功能在未被檢測(cè)到的環(huán)境中移動(dòng)。除非有一些震懾力——前提是受害者有能力檢測(cè)到這些攻擊行為，否則針對(duì)企業(yè)組織的攻擊只會(huì)繼續(xù)有增無(wú)減。然而，可惜的是，許多組織都錯(cuò)失了良機(jī)。不可否認(rèn)，現(xiàn)在很多企業(yè)的董事會(huì)和首席執(zhí)行官都非常關(guān)注且迫切想要了解業(yè)務(wù)風(fēng)險(xiǎn)——但仍然有一些組織選擇對(duì)網(wǎng)絡(luò)安全采取放任自流的態(tài)度，并且盲目自信地認(rèn)為自己能夠在事情發(fā)生時(shí)妥善地進(jìn)行處理。無(wú)疑，這種態(tài)度是堅(jiān)決不可取的！

一旦遭受民族國(guó)家攻擊者的公開(kāi)侵犯，持有這種態(tài)度的人將需負(fù)上特殊責(zé)任。面對(duì)這種對(duì)網(wǎng)絡(luò)安全放任自流的企業(yè)組織，攻擊者一般會(huì)迅速調(diào)整他們的戰(zhàn)術(shù)和強(qiáng)度，不費(fèi)吹灰之力就能 “探囊取物”。

攻擊者這種針對(duì)不同情況不斷調(diào)整攻擊戰(zhàn)略的做法 “確實(shí)對(duì)整個(gè)生態(tài)系統(tǒng)造成了一些重大變化”，組織需要采取一種前所未有的方式才能得到保護(hù)。

最后，需要注意的是，這種風(fēng)險(xiǎn)很有可能會(huì)超出預(yù)期——如果我們想要削減這種被許多專(zhuān)家定義為 “毀滅性及可能存在的武器部署” 的使用率，就必須現(xiàn)在便開(kāi)始對(duì)其進(jìn)行更深入、廣泛地討論和研究。