在年度最嚴重APT事件發生後,微軟公司總裁布拉德·史密斯撰文呼籲國際社會正視全球網絡安全威脅的三個趨勢,通過加強國内外合作共享情報資訊和最佳實踐,應對網絡安全的至暗時刻。
作為全球網際網路科技的上司者,美國近期遭遇曆史級别的網絡攻擊。攻擊目标不僅包括美國政府機構,還包括網絡安全以及科技企業。發動這種級别網絡攻擊需要具備全球頂級網絡攻擊能力,這無疑是國家級别的攻擊行動。
攻擊事件給國際社會敲響了警鐘:現在要以清醒的眼光看待所面臨的日益增長的網絡安全威脅,并緻力于加強網絡安全國際合作,以及政府和科技企業之間的深入協作,采取強有力和協調一緻的全球網絡安全對策。
一、全球網絡安全威脅演變的三個趨勢
2020年可謂網絡安全的分水嶺之年。全球網絡安全威脅正在朝三個方面不斷演變。首先,國家級網絡攻擊的決心和複雜性正在持續上升,全球的網絡安全風險正在不斷增加。其次,國家級網絡攻擊借助私營企業蔓延至政府機構,甚至一些私營企業助長了國家級攻擊。第三,在全球新冠大流行背景之下,攻擊者仍然毫無禁忌。三種趨勢疊加起來,全球網絡安全威脅态勢正在變得更加嚴峻。
1、國家級網絡攻擊的決心和複雜性持續上升
國家級的網絡攻擊具有波及範圍廣、複雜性高和影響力顯著的特點,故從波及範圍、複雜性和影響力等三個方面分析這起曆史級的網絡攻擊事件。
從波及範圍上來看,這起網絡攻擊事件使得全球的技術供應鍊面臨風險。受害者不僅包括政府機構,也包括網絡安全公司、科技企業以及非政府組織。這起網絡攻擊事件中,FireEye作為美國政府的網絡安全服務公司,其供應鍊軟體中包含了太陽風(SolarWinds)公司的網絡管理軟體,而攻擊者已經事先将惡意軟體嵌入到這款網絡管理軟體産品中。此外,該産品同時被全球超過17000家的公司客戶安裝,成為全球技術供應鍊脆弱性的重要來源,波及了除俄羅斯之外的諸多國家,而且數量正在不斷增加。
從複雜性上來看,這起網絡攻擊事件反映了複雜的軟體供應鍊安全問題。針對軟體供應鍊的攻擊相對于傳統的針對軟體漏洞的攻擊相比, 軟體的攻擊面由軟體本身的邊界擴大為軟體本身以及内部的所有代碼、子產品和服務的邊界, 以及與這些子產品相關的供應鍊上遊供應商的編碼過程, 開發工具和裝置的邊界。
此外,國家級網絡攻擊的複雜性還展現在人工智能化的趨勢上,攻擊者正在利用人工智能将個人相關的大量被盜資料武器化,并利用短信和加密短信應用程式傳播有針對性的造謠資訊。值得注意的是,這種攻擊需要國家儲備高端人才,能夠真正支撐這種複雜攻擊的國家的數量有限。
從影響力上來看,這起攻擊是一種基于間諜活動的網絡攻擊,表面看起來實施的主要目标是美國政府以及相關的網絡安全公司和科技企業,竊取的是美國政府機密資訊。但是,攻擊者的目的在于建構國家級的情報機構,從影響力上來說,此次攻擊事件是對全球關鍵基礎設施的信任和可靠性的攻擊,有力地提醒國際社會,每個國家的人民都處于網絡安全威脅之中。
2、國家級網絡攻擊正與私營企業的技術融合
私營部門攻擊者(Private Sector Offensive Actor,PSOA)這一名稱的誕生反映着網絡攻擊的私有化趨勢。總部位于以色列的NSO集團是網絡攻擊私有化的典型代表,目前牽涉美國訴訟之中。NSO研發了一款名為Pegasus的應用程式,并将其出售給政府,使用者隻要通過WhatsApp調用裝置即可将該應用程式安裝在裝置上,中間不需要使用者許可。目前,NSO已經使用Pegasus非法通路了1400多個移動裝置。這一事件背後反映了私營企業的技術和國家級網絡攻擊之間的日益融合。多倫多大學發現了超過100例濫用NSO技術的案例。此外還有越來越多的企業正在加入這一高達120億美元的技術市場。
3、國家級網絡攻擊正在與社會危機交叉結合
全球範圍的新冠疫情大流行已經導緻數百萬人喪命,人們或許想當然的認為新冠疫情會使得世界範圍内的網絡攻擊停下腳步。然而,事實并非如此。
國家級的網絡攻擊鎖定了醫院和公共衛生部門,從地方政府到世界衛生組織。當人類社會正在争先恐後地研發疫苗時,一些國家級網絡攻擊者卻将目标轉向了直接參與新冠疫苗和治療研究的著名公司。2020年4月,世界衛生組織發表聲明稱,疫情期間遭受網絡攻擊數量急劇增加,攻擊數量同比增長5倍。約有450個世衛組織及數千名相關從業人員的郵箱、密碼遭到洩露 。
二、全球網絡安全威脅應對措施
總的來說,全球網絡空間治理需要有效的國家和全球戰略。該戰略強調網絡空間治理的國内外合作,即對内要加強政府與企業之間合作,對外加強國家之間的合作。通過國内外合作共享情報資訊和最佳實踐,不僅僅是網絡安全保護方面,而且在防禦措施和應對措施方面進行協調。
1、加強和完善網絡安全威脅情報共享和分析能力
在美國9·11事件20周年即将來臨之際,或許國際社會應當銘記一個深刻教訓——美國當時所有的政府機構都無法将資料單點連接配接起來建立整體的知識庫。是以,該事件調查委員會的一項建議特别強調“統一戰略情報”,情報資訊不僅“需要知道”而且要“需要共享”。
要充分認識到網絡安全威脅情報要比傳統的國家安全威脅情報資訊更為分散的特點,不僅需要在政府機構之間共享,而且也需要在企業之間、政府和企業之間進行共享。當出現重大網絡安全威脅時,各個組織和機構更加需要共享資訊和集體評估。是以,要以網絡安全國家和全球戰略為基礎,加強和完善國内外的網絡威脅情報共享和分析能力,采取切實有力的措施,促使各個國家或地區、各個組織或機構協調一緻地行動。
2、建立和健全網絡安全國際準則和法律體系
網絡安全沒有國界,國際社會應當共同努力應對全球網絡安全威脅。各個國家不僅要建立健全國内網絡安全法律體系,而且還要推動國際社會建立健全網絡安全國際準則和法律體系,填補網絡安全國際法空白,為網絡空間制定明确且具有限制力的法律義務,限制不計後果的國家行為。
此次曆史級的網絡攻擊事件發生後,一些美國專家呼籲美國及國際社會要吸取教訓,以現有經驗為基礎,優先考慮關鍵領域,制定網絡安全國際規則。例如,明确禁止類似于針對太陽風公司及其客戶的廣泛和不計後果的攻擊活動,這些活動篡改了合法軟體,威脅到全球軟體供應鍊的穩定。此外,需要采取強有力國際規則明确禁止針對醫療機構和疫苗供應商的攻擊行為。
這些美國專家特别提到聯合國政府專家組2015年的一份報告,該報告于2019年在聯合國獲得廣泛認可,并得到了全球網絡空間穩定委員會(GCSC)這一多方利益相關者的支援。并呼籲美國政府及其盟友明确表明他們的觀點,即這種供應鍊攻擊不屬于國際法的範疇。
此外,各國政府應當采取協調一緻的措施,阻止私營部門攻擊者PSOA的崛起。如前所述,以色列的NSO集團等這種類型企業實際上已經建構了一個新的網絡攻擊生态系統,以支援國家級的網絡攻擊。
3、建立強有力的網絡安全國際聯合執法機構
國際社會應當建立類似于國際刑警組織的強有力的網絡安全國際聯合執法機構,懲治國家級的網絡攻擊的行為體,維護網絡空間秩序。近年來,一些國家的政府和私有企業采取了強有力的措施,要求國家級網絡攻擊行為體負責。但需要特别注意的是,網絡安全國際聯合執法的前提是要在聯合國架構内,以公正的網絡安全國際法為準繩,以事實為依據,要堅決反對出于政治目的無端指責,堅決反對濫用國内法對别國内政進行橫加幹涉、妄加制裁的行為。
三、2021迎來全面提升的機會
SolarWinds攻擊事件不僅展示了傳統間諜行動不斷采用的最新技術,還反映數字供應鍊以及我們重要經濟和政治機構的廣泛危險性。
在數字技術創造的世界,顯然不能依靠政府獨自的行動達到有效的目标。維護數字世界安全需要政府機構和科技公司以新的方式合作——共享資訊、加強防禦和應對攻擊。新的一年的到來,提供了全面進步的機會。
努力打造“有特色、高水準、國際化”的網絡安全思想高地。