11月21日消息�����,就在俄軍進入烏克蘭領土的幾周之后�����,美國知名安全公司曼迪安特(Mandiant)的一名代表撥通了烏克蘭最大國有石油及天然氣公司Naftogaz的高管電話�����,提出一個不同尋常的建議:Naftogaz是否愿意讓曼迪安特幫助他們檢查網絡當中存在的安全隱患����?
多年以來,俄羅斯黑客針對Naftogaz系統的入侵嘗試從未停歇���,因此在聽說曼迪安特愿意免費部署搜索團隊���、檢測網絡中是否潛伏安全隱患時,這家能源公司表示十分樂意���。
這項提議是西方科技企業(yè)的廣泛努力之一���,希望幫助烏克蘭在戰(zhàn)時保護自己免受俄方網絡攻擊影響。從曼迪安特到微軟�����,來自美國網絡安全�����、威脅情報及科技領域的數十家公司聯合組建了一支網絡志愿團隊����,放棄中立態(tài)度,直接介入俄烏沖突���。
他們自稱為網絡防御援助協作組織(CDAC)����,這個創(chuàng)意由摩根大通前首席信息安全官Greg Rattray最早提出�����。幾個月來���,他一直努力建立公私合作關系�����,希望對抗破壞性網絡攻擊�����。本文是他第一次公開深入討論此項倡議���。
多年來�����,美國官員一直希望通過公私合作伙伴關系來打擊破壞性網絡攻擊����。這個思路背后的邏輯是:美國國安局和網絡司令部經常在網絡攻擊發(fā)生之前或期間���,掌握關于攻擊活動的情報����,美國網絡安全企業(yè)則擁有阻止攻擊的專業(yè)知識����。如果能夠成功協同合作���,有望更好地抵御破壞性網絡攻擊�����。
而CDAC倡議的與眾不同之處����,在于其合作伙伴并非華盛頓,而是基輔���。這也成為公私合作的難得測試場景���,可以檢驗構想中的聯合,最終能不能在美國本土發(fā)揮作用����。
Rattray在接受采訪時表示,“俄烏沖突在周四(2月24日)正式爆發(fā)�����,我從周一起就開始四處溝通?����!焙芸炀陀卸嗉颐绹髽I(yè)迅速簽署了協議�����,愿意提供許可證����、人員和專業(yè)知識,幫助烏克蘭捍衛(wèi)自己的網絡空間����。
Rattray解釋稱,“在我看來���,俄羅斯方面的粗暴進軍成為團結各家企業(yè)����、簽署合作協議的最大助力����。大家都愿意以烏克蘭為實驗場����,看看自己到底能夠為網絡安全做點什么����。”
黑客的天然目標
Naftogaz公司擁有龐大的供應商���、子公司和在線計費系統網絡,眾多設施環(huán)節(jié)使其成為俄羅斯黑客們的天然攻擊目標�����。而一旦有攻擊者成功突入防線����,Naftogaz的內部設施就可能被攪成一團亂麻,阻礙烏克蘭天然氣輸送系統的正常運行�����、甚至將能源系統徹底關停�����。
早在2015年,俄羅斯就曾經在電網身上動過類似的手腳����。當時俄方黑客侵入了烏克蘭電網,導致基輔周邊近25萬居民陷入黑暗長達六個小時����。人們普遍認為,如果俄羅斯能讓烏克蘭停電一次���,那在雙方開戰(zhàn)期間就絕對能讓烏克蘭停電第二次�����、第三次�����。
正是這樣的壓力����,促使曼迪安特首席技術官Ron Bushar致電Naftogaz�����,詢問對方是否愿意讓曼迪安特的獨家軟件程序掃描其運營網絡。Bushar解釋稱����,行業(yè)普遍懷疑Naftogaz網絡當中已經潛伏有俄方黑客,迫切需要一場大“掃蕩”����、大“搜捕”。
網上的搜捕隊就如同循著犯案線索努力跟進的警察:他們查找電子“指紋”���、清點盜竊行為�����,并認真觀察入侵者可能留下的一切痕跡——比如惡意代碼。
Bushar表示����,“我們以極快的速度對成千上萬的系統進行了掃描。一旦有所發(fā)現����,我們就會繼續(xù)深挖,對該系統展開進一步研究���?��!?
但問題是���,他們并沒有太多發(fā)現:確實找到了能擦除硬盤信息的惡意代碼,也掃描出了黑客“埋設”在此以待日后激活的預置惡意軟件���,可并不存在能造成大規(guī)模系統中斷的“暴雷”����。
Bushar回憶道�����,“我們沒有檢測到明顯的攻擊性活動�����,只發(fā)現惡意黑客已經獲得了訪問權限���,并正在內部環(huán)境中移動的證據�����?���!?
于是,他們排查到了入侵的缺口并將惡意黑客拒之門外�����。
俄烏戰(zhàn)爭爆發(fā)初期�����,俄羅斯黑客在全烏范圍內發(fā)動了一系列緩慢推進的低級別攻擊����,并未特別針對Naftogaz。他們擦除了硬盤數據并癱瘓掉身份驗證系統�����,導致員工們無法登錄�����。
但在Naftogaz保護并強化了自身網絡邊界之后�����,擦除類惡意軟件仍在以某種方式不斷出現在系統當中����,密碼和登錄信息盜竊也一刻未停。研究人員們能意識到出了問題����,但卻無法解釋原因。突然之間�����,Bushar他們頓悟般想通了一切:必須用軍事思維審視問題����。
內部威脅
事實證明,戰(zhàn)爭期間的網絡安全保護工作有其特殊性���。Busahr和他的團隊意識到���,需要保護的邊界一直處于變化之中���。如今占領烏克蘭小塊領土的俄羅斯軍隊已經奪取到了部分天然氣設施,并試圖通過終端侵入其運營系統����。
Bushar指出,“在烏克蘭東部地區(qū)���,俄軍已經占據了部分領土和相應的關鍵基礎設施����?��!逼渲芯桶∟aftogaz公司的數據中心和當地電信及行政辦公室���。“整理敵占區(qū)各點位上的系統和IP地址���,證明這些就是我們所看到攻擊的確切來源�����。”
事實上,有時候攻擊看起來像是源自Naftogaz內部���。他們發(fā)現這并不是因為俄方突破了安全邊界�����,而是“他們已經占據了Naftogaz的數據中心及相關系統����,這樣就能正常訪問系統并攻擊設施內的其他部分……整個過程類似于應對內部威脅�����?��!?
于是援助人員們調整了防御策略���,開始切斷俄占區(qū)內的業(yè)務系統?���!拔覀兲岢鼋ㄗh,如果烏方決定從某省撤退����,Naftogaz就應該在系統落入敵軍手中之前�����,主動將這些系統從網絡中斷離開來�����?����!?
建議最終轉化成了實踐���。Naftogaz開始指示員工在城鎮(zhèn)被俄軍攻占時聯系主管,切斷當地的網絡訪問����。而在逃離敵占城市時,員工們還會向Naftogaz總部呼叫確認���。這套新策略貫徹下去之后����,Naftogaz就能及時調整防御姿態(tài)以反映各地戰(zhàn)況。Bashar表示�����,神秘的內部威脅也就此消散無蹤����。
技術實力
在CDAC創(chuàng)始人Rattray著手為合作倡議物色志愿者時���,他的第一個電話就打給了RSA Security前CEO Art Coviello���。RSA Security是網絡安全與加密領域的先驅之一。如今的Coviello則經營著一家風險投資基金���,專門為網絡安全企業(yè)提供資金支持����。
他表示���,“烏克蘭人有這個技術實力���。不少公司都在烏克蘭設有軟件開發(fā)分部���,這本身就說明那里的技術儲備和教育水平都比較到位。他們只是沒有機會�����,或者沒有像美國本土這樣的金融資源來建設自己的網安防御體系���?���!?
而CDAC的參與���,應該有助于彌合這個缺口�����。
Coviello提到�����,這項努力并不單純是為了響應戰(zhàn)爭�����。烏克蘭以外的人們也應當保持警惕�����,畢竟俄羅斯對烏克蘭使用的網絡武器����,也可能被用于攻擊其他目標����。“我絕對不會低估俄羅斯人的能力���?���!?
Coviello強調����,“人們可能沒有意識到,美國人民其實生活在世界上最大的數字玻璃屋內���。我們受到的影響最大����、承擔的損失最重,因為我們之間的聯系非常緊密���、對技術的依賴性極高���。我們的一切關鍵基礎設施和業(yè)務構成都受到了這種技術轉型的影響?���!?
Rattray則提到,烏克蘭用行動震驚了全世界——這種成就不僅來自正面戰(zhàn)場����,也來自網絡空間。烏克蘭方面極為敏捷�����,能夠快速將系統遷移至云端���,而云數據不會受到本土轟炸和一般黑客攻擊的影響���。烏克蘭人的技術專長讓他們能夠在受到攻擊時迅速轉向�����,并充分運用來自科技界的巨大助力����。
Rattray總結道����,“俄羅斯人并不像我們想象中那么擅長網絡作戰(zhàn)�����。他們在數字空間中的行動跟我們的預期基本相符���,比如信息戰(zhàn)競爭����、用傳統方式通過網絡空間收集監(jiān)控情報之類�����。但我們預想中的破壞性攻擊并沒有出現?����!?
