11月21日消息,就在俄軍進入烏克蘭領(lǐng)土的幾周之后,美國知名安全公司曼迪安特(Mandiant)的一名代表撥通了烏克蘭最大國有石油及天然氣公司Naftogaz的高管電話,提出一個不同尋常的建議:Naftogaz是否愿意讓曼迪安特幫助他們檢查網(wǎng)絡(luò)當(dāng)中存在的安全隱患?
多年以來,俄羅斯黑客針對Naftogaz系統(tǒng)的入侵嘗試從未停歇,因此在聽說曼迪安特愿意免費部署搜索團隊、檢測網(wǎng)絡(luò)中是否潛伏安全隱患時,這家能源公司表示十分樂意。
這項提議是西方科技企業(yè)的廣泛努力之一,希望幫助烏克蘭在戰(zhàn)時保護自己免受俄方網(wǎng)絡(luò)攻擊影響。從曼迪安特到微軟,來自美國網(wǎng)絡(luò)安全、威脅情報及科技領(lǐng)域的數(shù)十家公司聯(lián)合組建了一支網(wǎng)絡(luò)志愿團隊,放棄中立態(tài)度,直接介入俄烏沖突。
他們自稱為網(wǎng)絡(luò)防御援助協(xié)作組織(CDAC),這個創(chuàng)意由摩根大通前首席信息安全官Greg Rattray最早提出。幾個月來,他一直努力建立公私合作關(guān)系,希望對抗破壞性網(wǎng)絡(luò)攻擊。本文是他第一次公開深入討論此項倡議。
多年來,美國官員一直希望通過公私合作伙伴關(guān)系來打擊破壞性網(wǎng)絡(luò)攻擊。這個思路背后的邏輯是:美國國安局和網(wǎng)絡(luò)司令部經(jīng)常在網(wǎng)絡(luò)攻擊發(fā)生之前或期間,掌握關(guān)于攻擊活動的情報,美國網(wǎng)絡(luò)安全企業(yè)則擁有阻止攻擊的專業(yè)知識。如果能夠成功協(xié)同合作,有望更好地抵御破壞性網(wǎng)絡(luò)攻擊。
而CDAC倡議的與眾不同之處,在于其合作伙伴并非華盛頓,而是基輔。這也成為公私合作的難得測試場景,可以檢驗構(gòu)想中的聯(lián)合,最終能不能在美國本土發(fā)揮作用。
Rattray在接受采訪時表示,“俄烏沖突在周四(2月24日)正式爆發(fā),我從周一起就開始四處溝通?!焙芸炀陀卸嗉颐绹髽I(yè)迅速簽署了協(xié)議,愿意提供許可證、人員和專業(yè)知識,幫助烏克蘭捍衛(wèi)自己的網(wǎng)絡(luò)空間。
Rattray解釋稱,“在我看來,俄羅斯方面的粗暴進軍成為團結(jié)各家企業(yè)、簽署合作協(xié)議的最大助力。大家都愿意以烏克蘭為實驗場,看看自己到底能夠為網(wǎng)絡(luò)安全做點什么。”
黑客的天然目標(biāo)
Naftogaz公司擁有龐大的供應(yīng)商、子公司和在線計費系統(tǒng)網(wǎng)絡(luò),眾多設(shè)施環(huán)節(jié)使其成為俄羅斯黑客們的天然攻擊目標(biāo)。而一旦有攻擊者成功突入防線,Naftogaz的內(nèi)部設(shè)施就可能被攪成一團亂麻,阻礙烏克蘭天然氣輸送系統(tǒng)的正常運行、甚至將能源系統(tǒng)徹底關(guān)停。
早在2015年,俄羅斯就曾經(jīng)在電網(wǎng)身上動過類似的手腳。當(dāng)時俄方黑客侵入了烏克蘭電網(wǎng),導(dǎo)致基輔周邊近25萬居民陷入黑暗長達六個小時。人們普遍認為,如果俄羅斯能讓烏克蘭停電一次,那在雙方開戰(zhàn)期間就絕對能讓烏克蘭停電第二次、第三次。
正是這樣的壓力,促使曼迪安特首席技術(shù)官Ron Bushar致電Naftogaz,詢問對方是否愿意讓曼迪安特的獨家軟件程序掃描其運營網(wǎng)絡(luò)。Bushar解釋稱,行業(yè)普遍懷疑Naftogaz網(wǎng)絡(luò)當(dāng)中已經(jīng)潛伏有俄方黑客,迫切需要一場大“掃蕩”、大“搜捕”。
網(wǎng)上的搜捕隊就如同循著犯案線索努力跟進的警察:他們查找電子“指紋”、清點盜竊行為,并認真觀察入侵者可能留下的一切痕跡——比如惡意代碼。
Bushar表示,“我們以極快的速度對成千上萬的系統(tǒng)進行了掃描。一旦有所發(fā)現(xiàn),我們就會繼續(xù)深挖,對該系統(tǒng)展開進一步研究。”
但問題是,他們并沒有太多發(fā)現(xiàn):確實找到了能擦除硬盤信息的惡意代碼,也掃描出了黑客“埋設(shè)”在此以待日后激活的預(yù)置惡意軟件,可并不存在能造成大規(guī)模系統(tǒng)中斷的“暴雷”。
Bushar回憶道,“我們沒有檢測到明顯的攻擊性活動,只發(fā)現(xiàn)惡意黑客已經(jīng)獲得了訪問權(quán)限,并正在內(nèi)部環(huán)境中移動的證據(jù)?!?
于是,他們排查到了入侵的缺口并將惡意黑客拒之門外。
俄烏戰(zhàn)爭爆發(fā)初期,俄羅斯黑客在全烏范圍內(nèi)發(fā)動了一系列緩慢推進的低級別攻擊,并未特別針對Naftogaz。他們擦除了硬盤數(shù)據(jù)并癱瘓掉身份驗證系統(tǒng),導(dǎo)致員工們無法登錄。
但在Naftogaz保護并強化了自身網(wǎng)絡(luò)邊界之后,擦除類惡意軟件仍在以某種方式不斷出現(xiàn)在系統(tǒng)當(dāng)中,密碼和登錄信息盜竊也一刻未停。研究人員們能意識到出了問題,但卻無法解釋原因。突然之間,Bushar他們頓悟般想通了一切:必須用軍事思維審視問題。
內(nèi)部威脅
事實證明,戰(zhàn)爭期間的網(wǎng)絡(luò)安全保護工作有其特殊性。Busahr和他的團隊意識到,需要保護的邊界一直處于變化之中。如今占領(lǐng)烏克蘭小塊領(lǐng)土的俄羅斯軍隊已經(jīng)奪取到了部分天然氣設(shè)施,并試圖通過終端侵入其運營系統(tǒng)。
Bushar指出,“在烏克蘭東部地區(qū),俄軍已經(jīng)占據(jù)了部分領(lǐng)土和相應(yīng)的關(guān)鍵基礎(chǔ)設(shè)施?!逼渲芯桶∟aftogaz公司的數(shù)據(jù)中心和當(dāng)?shù)仉娦偶靶姓k公室?!罢頂痴紖^(qū)各點位上的系統(tǒng)和IP地址,證明這些就是我們所看到攻擊的確切來源?!?
事實上,有時候攻擊看起來像是源自Naftogaz內(nèi)部。他們發(fā)現(xiàn)這并不是因為俄方突破了安全邊界,而是“他們已經(jīng)占據(jù)了Naftogaz的數(shù)據(jù)中心及相關(guān)系統(tǒng),這樣就能正常訪問系統(tǒng)并攻擊設(shè)施內(nèi)的其他部分……整個過程類似于應(yīng)對內(nèi)部威脅?!?
于是援助人員們調(diào)整了防御策略,開始切斷俄占區(qū)內(nèi)的業(yè)務(wù)系統(tǒng)?!拔覀兲岢鼋ㄗh,如果烏方?jīng)Q定從某省撤退,Naftogaz就應(yīng)該在系統(tǒng)落入敵軍手中之前,主動將這些系統(tǒng)從網(wǎng)絡(luò)中斷離開來。”
建議最終轉(zhuǎn)化成了實踐。Naftogaz開始指示員工在城鎮(zhèn)被俄軍攻占時聯(lián)系主管,切斷當(dāng)?shù)氐木W(wǎng)絡(luò)訪問。而在逃離敵占城市時,員工們還會向Naftogaz總部呼叫確認。這套新策略貫徹下去之后,Naftogaz就能及時調(diào)整防御姿態(tài)以反映各地戰(zhàn)況。Bashar表示,神秘的內(nèi)部威脅也就此消散無蹤。
技術(shù)實力
在CDAC創(chuàng)始人Rattray著手為合作倡議物色志愿者時,他的第一個電話就打給了RSA Security前CEO Art Coviello。RSA Security是網(wǎng)絡(luò)安全與加密領(lǐng)域的先驅(qū)之一。如今的Coviello則經(jīng)營著一家風(fēng)險投資基金,專門為網(wǎng)絡(luò)安全企業(yè)提供資金支持。
他表示,“烏克蘭人有這個技術(shù)實力。不少公司都在烏克蘭設(shè)有軟件開發(fā)分部,這本身就說明那里的技術(shù)儲備和教育水平都比較到位。他們只是沒有機會,或者沒有像美國本土這樣的金融資源來建設(shè)自己的網(wǎng)安防御體系?!?
而CDAC的參與,應(yīng)該有助于彌合這個缺口。
Coviello提到,這項努力并不單純是為了響應(yīng)戰(zhàn)爭。烏克蘭以外的人們也應(yīng)當(dāng)保持警惕,畢竟俄羅斯對烏克蘭使用的網(wǎng)絡(luò)武器,也可能被用于攻擊其他目標(biāo)?!拔医^對不會低估俄羅斯人的能力?!?
Coviello強調(diào),“人們可能沒有意識到,美國人民其實生活在世界上最大的數(shù)字玻璃屋內(nèi)。我們受到的影響最大、承擔(dān)的損失最重,因為我們之間的聯(lián)系非常緊密、對技術(shù)的依賴性極高。我們的一切關(guān)鍵基礎(chǔ)設(shè)施和業(yè)務(wù)構(gòu)成都受到了這種技術(shù)轉(zhuǎn)型的影響?!?
Rattray則提到,烏克蘭用行動震驚了全世界——這種成就不僅來自正面戰(zhàn)場,也來自網(wǎng)絡(luò)空間。烏克蘭方面極為敏捷,能夠快速將系統(tǒng)遷移至云端,而云數(shù)據(jù)不會受到本土轟炸和一般黑客攻擊的影響。烏克蘭人的技術(shù)專長讓他們能夠在受到攻擊時迅速轉(zhuǎn)向,并充分運用來自科技界的巨大助力。
Rattray總結(jié)道,“俄羅斯人并不像我們想象中那么擅長網(wǎng)絡(luò)作戰(zhàn)。他們在數(shù)字空間中的行動跟我們的預(yù)期基本相符,比如信息戰(zhàn)競爭、用傳統(tǒng)方式通過網(wǎng)絡(luò)空間收集監(jiān)控情報之類。但我們預(yù)想中的破壞性攻擊并沒有出現(xiàn)。”