“黑回去”，也可稱之為“主動(dòng)防御”理論的支持者和反對(duì)者一如幾十年前剛剛興起時(shí)一樣，針鋒相對(duì)，難分上下。看起來(lái)也沒(méi)有很快結(jié)束的樣子。

[[133726]]

正方：斯圖爾特·貝克爾——前美國(guó)國(guó)家安全局總顧問(wèn)，前美國(guó)國(guó)土安全部政策助理部長(zhǎng)，現(xiàn)世強(qiáng)律師事務(wù)所(Steptoe & Johnson LLP)網(wǎng)絡(luò)安全業(yè)務(wù)合伙人兼博客作家。

多年來(lái)，他一直在宣揚(yáng)一種理念：“防御是不夠的”，有效應(yīng)對(duì)網(wǎng)絡(luò)犯罪的唯一途徑是通過(guò)反擊攻擊者讓網(wǎng)絡(luò)犯罪成本更高。

反方：《華盛頓郵報(bào)》去年秋天的報(bào)道警告那些哪怕只是稍微想一下“黑回去”的人：《計(jì)算機(jī)欺詐與濫用法案》(CFAA)下絕大多數(shù)形式的“黑回去”都違法，而且“報(bào)復(fù)將會(huì)引爆全面網(wǎng)絡(luò)戰(zhàn)爭(zhēng)，造成全互聯(lián)網(wǎng)范圍內(nèi)的連帶傷害”。

但這種論調(diào)從未說(shuō)服過(guò)貝克爾。“現(xiàn)在這種網(wǎng)絡(luò)安全危機(jī)情況下我們根本不能從防御中找到出路，”他在博客中寫道。“這是因?yàn)閷⑺蓄A(yù)防犯罪的責(zé)任推到受害者身上極少能獲得成功。明擺著的一個(gè)選擇是識(shí)別出攻擊者并施以懲罰。”

[[133727]]

斯圖爾特·貝克爾

貝克爾還表示，法律風(fēng)險(xiǎn)正在消退——政府官員更傾向于支持那些黑回去的人而不是起訴他們。“政府在一點(diǎn)一點(diǎn)地默默讓步，他們表現(xiàn)得更為開放了。”

實(shí)際上，這一局面的形成有部分是由于五角大樓首次公開宣稱攻擊性網(wǎng)絡(luò)行動(dòng)也是其對(duì)敵沖突中的一種選擇。

最新的網(wǎng)絡(luò)安全戰(zhàn)略文件中稱，國(guó)防部“應(yīng)該有能力采取網(wǎng)絡(luò)行動(dòng)摧毀敵方的命令與控制網(wǎng)絡(luò)、軍事相關(guān)關(guān)鍵基礎(chǔ)設(shè)施和武器的功能。”

正方：白帽安全公司白帽子實(shí)驗(yàn)室副總裁羅伯特·漢森認(rèn)為，執(zhí)行CFAA 的另一個(gè)難題在于“該法案目前相當(dāng)不完善，以致于我們當(dāng)下在網(wǎng)上所做的事幾乎沒(méi)幾件是合法的。因此，如果不事事咨詢律師，完全有可能啥都沒(méi)做就違法了——參與犯罪、故意疏忽、事后共犯，諸如此類。”

反方：安 東尼·迪貝羅，他是全球計(jì)算機(jī)調(diào)查與取證先驅(qū)Guidance Software的戰(zhàn)略伙伴關(guān)系負(fù)責(zé)人，近期在信息技術(shù)安全領(lǐng)域新聞資訊網(wǎng)站Dark Reading上發(fā)表的一篇中反復(fù)警告道：“黑回去”，或者某些人聲稱的“主動(dòng)防御”，是對(duì)禁止“非法侵入”另一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的CFAA的違反。

除了這個(gè)，他還爭(zhēng)辯道：防御確實(shí)已經(jīng)足夠，而且防御做得好了，是比“自我意識(shí)驅(qū)動(dòng)的報(bào)復(fù)戰(zhàn)”更有效果的。

在一次采訪中，迪貝羅說(shuō)，那些不同意他的觀點(diǎn)的人在他的文章后回復(fù)說(shuō)，“覺(jué)得沒(méi)有足夠的法律途徑可以求援。”

防御比‘自我意識(shí)驅(qū)動(dòng)的報(bào)復(fù)戰(zhàn)’更有效果。他對(duì)此表示同意，并提到，聯(lián)邦調(diào)查局網(wǎng)絡(luò)部只有1000名探員，“他們已經(jīng)傾盡全力疲于奔命，某種意義上說(shuō)，讓受害者不得不考慮親自出馬教訓(xùn)攻擊者。”

但是，他同時(shí)也引用他公司的總顧問(wèn)馬克·哈林頓(“黑回去”的支持者)的話說(shuō)：“‘黑回去’也是非法入侵的一種形式，我不認(rèn)為短期內(nèi)非法入侵會(huì)被列入合法范疇。”

安東尼·迪貝羅

迪貝羅和其他人主張，公司企業(yè)在考慮反攻回去之前需要深入理解自身環(huán)境以偵測(cè)出入侵者的存在，這些入侵者可是能夠在偷運(yùn)數(shù)據(jù)或引發(fā)其他傷害之前在公司網(wǎng)絡(luò)中靜靜潛伏數(shù)月甚至數(shù)年之久的。

事實(shí)上，近期在舊金山召開的RSA大會(huì)上，麥克林風(fēng)險(xiǎn)伙伴公司(MacLean Risk Partners)創(chuàng)始人兼首席執(zhí)行官容達(dá)·麥克林就在一次小組座談中宣稱，大多數(shù)組織都應(yīng)該假定他們已經(jīng)被侵入了。“如果有公司告訴你他們沒(méi)有被侵入，那只是他們不知道而已。”

然而，要在這個(gè)問(wèn)題上進(jìn)行有意義的爭(zhēng)論，需要對(duì)某些術(shù)語(yǔ)進(jìn)行定義。有些專家認(rèn)為使用“主動(dòng)防御”作為“黑回去”的委婉說(shuō)法是不恰當(dāng)?shù)摹?/p>

反方：互聯(lián)網(wǎng)安全公司Accuvant解決方案研究與開發(fā)負(fù)責(zé)人拉法·洛斯說(shuō)，他相信主動(dòng)防御是一件好事，當(dāng)且僅當(dāng)主動(dòng)防御的意思是指“防御團(tuán)隊(duì)在自身系統(tǒng)/網(wǎng)絡(luò)上采取的保護(hù)自身的行動(dòng)，絕對(duì)不是反攻攻擊者來(lái)保護(hù)他們自身及其資產(chǎn)。”

換句話說(shuō)，在他看來(lái)，主動(dòng)防御依然意味著防御。

洛斯說(shuō)，他相信如果防御者作了攻擊者一直以來(lái)在做的事——了解對(duì)手的戰(zhàn)術(shù)、能力和工具，那他們將會(huì)在防御上更加成功。

但要做到這一點(diǎn)，他與迪貝羅持相同意見：防御者需要對(duì)自身環(huán)境了解更多。

“不事先了解清楚自身弱點(diǎn)和關(guān)鍵資產(chǎn)所在就妄圖應(yīng)對(duì)敵人比徒勞無(wú)功更糟糕。如果不清楚自身內(nèi)部情況，再了解外部因素也完全無(wú)用。”

反方：信息安全創(chuàng)業(yè)公司Dragos Security聯(lián)合創(chuàng)始人羅伯特·李，他與洛斯在使用“主動(dòng)防御”描述“黑回去”上持類似的觀點(diǎn)。

李反對(duì)“黑回去”戰(zhàn)略有部分原因是因?yàn)樗J(rèn)為大多數(shù)組織不是太擅長(zhǎng)這個(gè)。 “如果公司企業(yè)不能有效運(yùn)行防御程序并解決安全基本問(wèn)題，他們同樣不能有效運(yùn)行進(jìn)攻程序。”他說(shuō)。

進(jìn)攻比大眾想象的要難，進(jìn)攻回報(bào)的價(jià)值也不如切實(shí)加強(qiáng)安全來(lái)得高。他還提到，進(jìn)入網(wǎng)絡(luò)小偷的網(wǎng)絡(luò)可不像沖進(jìn)小偷的家里要求歸還贓物那么簡(jiǎn)單。

“一旦知識(shí)產(chǎn)權(quán)在一次諜報(bào)行動(dòng)中被盜，它就再也不能尋回了。它可不像大多人鼓吹那樣能從對(duì)手的網(wǎng)絡(luò)中刪除。”

除了法律問(wèn)題，爭(zhēng)論還延伸到了溯源、連帶傷害和矛盾升級(jí)。

反方：溯源，即準(zhǔn)確識(shí)別攻擊者，幾乎是不可能的，因?yàn)楣粽呦胍[藏他們的蹤跡實(shí)在是太容易了。而且還會(huì)造成連帶傷害——報(bào)復(fù)目標(biāo)被引向了無(wú)辜的組織——被真正的攻擊者利用了其網(wǎng)絡(luò)的無(wú)辜路人。

他們還說(shuō)道，反攻擊只會(huì)導(dǎo)致沖突升級(jí)，有引發(fā)會(huì)帶來(lái)重大連帶傷害的全面網(wǎng)絡(luò)戰(zhàn)的風(fēng)險(xiǎn)。

“舉例來(lái)說(shuō)，如果我是一個(gè)受國(guó)家支持的攻擊者。”洛斯說(shuō)，“很顯然，我要是想攻擊你，會(huì)先搞定你的主要對(duì)手，再以他們?yōu)樘澹杷麄兊木W(wǎng)絡(luò)來(lái)攻擊你。”

“然后，如果你盲目反黑回來(lái)，你攻擊的就是你的對(duì)手，而我，一箭雙雕。首先，我達(dá)成了我的目的，十有八九是通過(guò)偷取想要的東西。其次，現(xiàn)在你主動(dòng)陷入與對(duì)手的戰(zhàn)爭(zhēng)了。”

正方：貝克不同意這個(gè)觀點(diǎn)，他堅(jiān)稱，攻擊者沒(méi)有公眾認(rèn)為的那么聰明。

他在文章中寫道，“所有讓我們的安全無(wú)法保障的人類弱點(diǎn)也同樣給攻擊者制造了麻煩。他們會(huì)在被拋棄了的命令與控制計(jì)算機(jī)上留下代碼蹤跡。他們也會(huì)重復(fù)使用密碼、電子郵件地址和電腦。他們的遠(yuǎn)程訪問(wèn)工具充滿了漏洞。”

這些，他說(shuō)，讓調(diào)查員們得以追蹤溯源到用來(lái)實(shí)施攻擊的命令與控制計(jì)算機(jī)上，然后，進(jìn)一步摸到黑客的老巢和辦公室。

他將之稱為貝克法則：“我們的安全很爛，他們的也一樣。”

喬·哈丁，退役軍事情報(bào)官，信息戰(zhàn)專家，博主。他表示，用來(lái)追蹤攻擊者的工具已經(jīng)大幅改進(jìn)了。

“溯源真的很難，但情況正變得越來(lái)越好。以前常常要耗費(fèi)數(shù)周或幾個(gè)月的時(shí)間?，F(xiàn)在，我們的工具能在幾秒到幾分鐘內(nèi)告訴我們答案。”

漢森，盡管不是一個(gè)“黑回去”的絕對(duì)支持者，也同意這樣的觀點(diǎn)：至少足以破壞攻擊的歸因是可及的。

“大多數(shù)案例里，我得說(shuō)，實(shí)時(shí)取證幾乎毫無(wú)精準(zhǔn)度可言，但大多數(shù)壞家伙無(wú)非就是用洋蔥頭路由(Tor)、代理或者肉雞來(lái)隱藏自身蹤跡。”

“如果你看到有機(jī)器在黑你，有可能那臺(tái)機(jī)器本身就已經(jīng)被黑了。反黑回去并讓它宕機(jī)實(shí)際上并不能阻止你的敵人，但卻可以使你敵人在用的武器失效，還有可能提供你的真正敵人是誰(shuí)的線索。”

漢森對(duì)矛盾升級(jí)理論也持懷疑態(tài)度。“我從沒(méi)見過(guò)此類案例，所以我也不確定這一理論是從何而來(lái)的。”

但是反對(duì)者依然沒(méi)有被說(shuō)服。

洛斯說(shuō)：“這就相當(dāng)于去捅馬蜂窩。是的，對(duì)手很可能比你火力強(qiáng)大，因此，出演反派角色真不是公司的最佳選擇。”

李說(shuō)：“你還冒著擾亂政府對(duì)敵行動(dòng)的風(fēng)險(xiǎn)，一旦真擾到了政府，你的樂(lè)子就大了?？倳?huì)有二階三階效應(yīng)——我看不出來(lái)公司反黑回去有什么價(jià)值。”

哈丁稱，價(jià)值來(lái)自于僅防御戰(zhàn)略從來(lái)不是刀槍不入。他說(shuō)：“進(jìn)攻方總是占據(jù)優(yōu)勢(shì)的。事實(shí)是，如果你真的沒(méi)有漏洞，那他們也不會(huì)瞄上你。問(wèn)題在于，你的整個(gè)IT部門都忙于給系統(tǒng)和網(wǎng)絡(luò)打補(bǔ)丁。但漏洞總是出在人身上，所以說(shuō)防御就夠了總是比做防御要難。”

對(duì)于這一點(diǎn)，防御支持者說(shuō)，要做到更好也不是那么難。郵報(bào)那篇文章中提到的一個(gè)技術(shù)，叫做“信標(biāo)”，相當(dāng)于數(shù)字世界的被劫現(xiàn)金爆破染色包，可以幫助受害者“定位被盜物品并確定是誰(shuí)悄悄從互聯(lián)網(wǎng)上偷走了它。”

漢森說(shuō)他在很多案例里見識(shí)過(guò)信標(biāo)的有效性，并補(bǔ)充道：“用壞數(shù)據(jù)在對(duì)手那里種下種子總是個(gè)好辦法，可以更容易地順藤摸瓜直搗黃龍。蜜標(biāo)技術(shù)在這方面是非常有用的。”

但是李仍不為所動(dòng)。“是的，這種戰(zhàn)術(shù)可以很有效，但鼓吹和施行這種戰(zhàn)術(shù)的人可沒(méi)他們自認(rèn)為的那么的有效。”

洛斯認(rèn)為，整個(gè)業(yè)界應(yīng)該將焦點(diǎn)從感染指標(biāo)(IOC，indicators of compromise，經(jīng)常變，且攻擊者可能非常隱蔽而沒(méi)有留下感染指征)轉(zhuǎn)向攻擊指標(biāo)(IOA，indicators of attack)。

“攻擊者沒(méi)法改變的是他們的目的，比如說(shuō)必須提升權(quán)限以潛入公司。能達(dá)成這一目的的方法很少——這些就是我們需要監(jiān)測(cè)的地方了。”他說(shuō)。

原文地址：http://www.aqniu.com/news/7643.html