博客 | 首席技术官办公室

主动网络安全需求的不断演变

Aditya Sood 缩略图
阿迪亚·苏德
2022 年 2 月 28 日发布

乌克兰危机的不断演进暴露出民族国家冲突的新面貌,其影响远远超出了周边的地理区域。 作为一家全球性公司,我们对所有因持续袭击而受到伤害、流离失所或受到其他负面影响的人们深表同情,其中包括我们的许多 F5 大家庭成员。 我们不会忽视俄罗斯与乌克兰冲突中非常现实、非常人性化的一面,同时,鉴于最近发生的事件,客户还要求我们就未来可能遇到的网络攻击类型提供指导。 因此,下文旨在以直截了当、尊重且实用的方式解答这些问题。

网络攻击在民族国家冲突中的作用已引起新的网络安全问题,其规模不同于许多组织传统上所处理的网络安全问题,进一步凸显了通过主动的网络安全策略防御复杂攻击的重要性。

随着互联网的发展,全球商业运作发生了巨大的变化。 数字化转型正在呈指数级增长,同等程度地促进了技术进步和网络攻击的复杂化。 与此同时,当今的组织不仅要应对受经济动机驱使的传统攻击者,还要应对具有更广泛目标的国家和基于事业的行为者。 当然,随着网络攻击的复杂程度不断提高,相应的保护措施也需要不断改进。 在当今的经济中,你更有可能遇到正在开发利用已知(和未知)漏洞的国家行为者。

实际上,这导致民族国家行为者不断开发针对其他国家互联网(和关键服务)基础设施的漏洞。 虽然最直接想到的情况是民族国家之间的地缘政治冲突,但许多相同的原则现在必须广泛应用于传统的企业安全实践,特别是因为民族国家经常会攻击政府和私营部门的互联网资源作为破坏稳定的手段。  因此,有针对性的网络攻击不仅对国家完整性构成重大威胁,而且也对那些试图在目标地区(或在目标地区内)开展任何相关商业活动的人构成重大威胁。 这使得主动和持续的网络安全成为各类组织日益迫切的需求。

有针对性的网络攻击

广义上讲,民族国家对手发动有针对性的网络攻击,严重削弱民族国家的基础设施,破坏其互联网系统的功能,进而影响金融和军事基础设施。 图 1 突出显示了有针对性的攻击(在本例中为网络钓鱼)的示例。

针对性网络钓鱼攻击行动图
图 1: 针对性网络钓鱼攻击实际行动

有针对性的网络攻击是使用旨在进行秘密操作的恶意代码执行的。  恶意代码的一些示例包括漏洞利用程序 (利用漏洞)、rootkit (篡改内核和用户模式以进行未经授权的操作)、远程管理工具包 (管理危害系统)、Wipers (破坏系统的主引导记录)、勒索软件 (加密敏感数据并索要赎金) 等等。 虽然一般被称为网络攻击,但人们可以将这些单独的策略视为“数字武器”。

针对基础设施的国家攻击者: 数字武器日益兴起

在民族国家冲突期间,对手会发动各种各样的攻击,除了传统的物理威胁外,还存在数字威胁。 当今的国家非常擅长实施多种网络攻击,下面讨论一些突出的例子:

  • 从互联网上的各个地理位置发起分布式拒绝服务 (DoS) 攻击来摧毁关键基础设施和通信门户是民族国家冲突期间深思熟虑的作战策略。 例如,对手可能会决心影响用于处理内政的以军事为中心的网站,以扰乱官方通讯。 金融机构的门户网站通常也旨在影响银行和金融业务。
  • 通过驱动下载攻击分发高级恶意代码,引发数据破坏攻击。 恶意代码要么托管在受感染的门户网站上,要么附加在钓鱼电子邮件中(本质上是针对性的),并使用社会工程学,迫使目标用户与门户网站或钓鱼电子邮件进行交互,以在目标系统上安装恶意代码。 一旦安装了恶意代码,它就能够通过删除数据并使系统变得无用,从而消灭整个系统。
  • 在冲突时期窃取知识产权也是民族国家对手的主要目标之一。 其理由通常如下: 如果一个民族国家基础设施已经受到威胁,那么就有可能窃取 IP 以供日后用于各种目的。

以下是在民族国家冲突中可能被用作“数字武器”的著名网络攻击的简要分析:

网络攻击类型 恶意代码名称
(“数字武器”)		 特征
分布式拒绝服务 (DDoS) 未知僵尸网络 拒绝服务: 影响金融机构、军队等门户网站等关键基础设施的可用性。
恶意软件分发 耳语之门 数据销毁和系统损坏: 破坏受感染系统的主引导记录 (MBR) 并加密敏感文件
恶意软件分发 密封刮水器 数据销毁和系统损坏: 破坏并删除受感染系统上的敏感文件

表 1: 民族国家冲突期间发起的网络攻击可能使用恶意代码

利用上面列出的数字武器,民族国家行为者可以发动一系列大规模攻击,严重影响政府和组织拥有的基础设施。 这通常是更大战略的一部分,旨在破坏民族国家自由沟通的能力,并通过绕过基础设施中活动系统的完整性、可用性和机密性来破坏金融和军事系统。

同样,虽然这似乎与冲突中的民族国家最直接相关,但当这些攻击中使用的工具和漏洞进入更大的威胁形势时,就会存在更广泛的风险。 (历史上的一个例子是 2017 年的NotPetya漏洞。)

保护关键基础设施

主动的网络安全已经成为普遍的必要手段。 虽然政府通常负责确保关键基础设施(包括军事门户网站、金融机构网站,包括 SCADA 基础设施)受到持续监控并免受网络攻击,但公共和私营部门安全之间的界限已经变得更加微妙。  从整体来看,保护网络基础设施和部署的应用对于规避 DDoS 和通过网络分布的恶意代码等网络攻击至关重要,这样才能在不影响可用性的情况下维护基础设施资源的完整性。  更重要的是,还需要保护关键应用免受 HTTP 攻击。 最重要的是确保互联网通信不中断。 为此,组织需要确保其基础设施嵌入安全机制以抵御网络攻击。

实现主动网络安全的第一步

数字化转型步伐的加快促使政府和组织采用现代应用来实现运营效率。 然而,这些应用需要防范高级网络攻击,这些攻击可能是有针对性的,也可能是广泛的。 在民族国家冲突时期,确保关键应用能够保持可用就变得更加重要。 政府和所有组织都应保持警惕,考虑以下关键点:

  • Web应用和 API 在当今的数字环境中无处不在。 保护他们免受滥用和攻击对于保持积极的安全态势至关重要。 Web 应用程序和 API 保护(WAAP)等服务和解决方案不仅提供针对基于 Web 的攻击的保护,而且还包含本机安全功能。
  • 剥削和滥用并不是唯一的攻击手段。 拒绝服务攻击可以阻止对关键资产的访问。 主动的网络安全策略还应包括规避基于应用程序的 DoS 攻击的能力,以确保关键应用仍然可用。
  • 积极主动还需要有识别可能发生攻击的迹象的能力。 由于对所有应用、基础设施和环境的可见性不完整,大多数组织缺乏早期发现攻击的能力。 数字资产的健康状况由数字信号决定,是主动网络安全的基础组成部分。 可观察性策略能够及早发现潜在的攻击,从而快速应对和消除攻击。

建立强大而稳健的网络安全态势应该包括可用性,即,如果受到攻击,仍然可以使用关键应用。 实现具有弹性和不间断可用性的安全性是主动网络安全的基准,同时要认识到威胁(和缓解措施)永远不会停止发展。