對抗網絡戰的網絡安全實驗室

雖然「想哭」(WannaCry)勒索病毒軟件攻擊只過去了短短幾個月時間,然而面對針對重大基礎設施發起的新一輪網絡攻擊可能導致的潛在災難性影響,整個世界彷彿還是毫不在意。

全球首次國家層面對重大基礎設施發動的網絡攻擊是2010年媒體披露的,美國和以色列情報部門聯手對伊朗的網絡襲擊。當時雙方企圖利用Stuxnet病毒摧毀伊朗核計劃。

儘管該病毒沒能完成這項使命,但卻以摧毀1,000台鈾離心機的成績成為首個利用虛擬攻擊造成物理損害的案例,並揭開了新一代武裝衝突的帷幕:網絡戰。

發生在2015年12月23日的一個案例就是這種網絡戰新時代未來呈現方式。那天,一家烏克蘭發電廠的工作人員吃驚地發現電腦屏幕上的光標開始自動移動,當他試圖控制光標移動,但發現自己已經被踢出電腦系統之外:一名黑客正在遙遠的地方控制著他的計算機。

前美軍IT專家喬恩·尼古斯(Jon Nichols)及其同事、大西洋協會(Atlantic Council)布倫特·斯考克羅夫特國際安全中心(Brent Scowcroft Center on International Security)網絡安全項目(Cyber Statecraft Initiative)副主管比尤·伍茲(Beau Woods)在華盛頓特區共同接受了BBC未來頻道的採訪。他們二人都認為,2015年烏克蘭網絡襲擊儘管很嚴重,但跟如果世界今天不開始認真對待網絡安全,未來可能發生的網絡襲擊造成的損失相比微不足道。

"與大多數襲擊相比,烏克蘭那種類型的網絡襲擊數量在不斷減少,實現的難度也在不斷提高,"在信息安全領域奮戰多年的老兵伍茲表示。據信,烏克蘭網絡襲擊對10萬餘人的生活造成影響,時間超過6個小時。"這種類型的網絡襲擊只可能是由高度專業化的敵人完成。這個敵人不一定是一個國家,但在它所擁有相應能力之前,我們可能能夠發現他們並了解他們,從而對他們的行為進行預測。一旦能夠預測,就能夠遏制他們的行為。"

由於網絡襲擊的巨大風險:人們在模擬仿真領域投入巨量資源,從而幫助企業在未來抵禦此類攻擊。IBM等巨型企業正在大量興建網絡安全測試實驗室,供跨國企業在不冒任何風險的情況下,親身體驗網絡襲擊造成的後果。

美國最大的建築和土木工程公司之一比奇特爾公司(Bechtel)邀請BBC未來頻道走訪了其位於華盛頓特區郊區的實驗室。多年來,比奇特爾公司一直專注於在世界各地修建重要基礎設施項目。

這座剛投入使用不久的實驗室位於弗吉尼亞州鄉村地區一座不起眼的商場建築內,用來展現黑客攻擊對工業控制系統(ICS)造成的破壞。實驗室作為該公司承建的所有美國政府業務工業控制系統的網絡安全中心。

用來控制遍布北美地區的重大基礎設施的工業控制系統很多都是30年前設計的,當時在設計和決策過程中並沒有考慮到網絡安全問題,所以很容易收到攻擊。喬恩·尼古斯表示。

"假設在西弗吉尼亞州有一座燃煤電廠,黑客可以利用商業化黑客工具在短短15分鐘內對它進行徹底掃描,"尼古斯說。"你會發現有好幾個工業控制系統都已經接入互聯網30多年之久,用Google搜索一下就會找到系統文檔。不使用任何先進黑客工具,甚至不用看任何代碼,破解它也只是個時間問題。"

伍茲和尼古斯稱,電力基礎設施的很多工業控制系統都已經老舊,工業控制系統的用戶名和密碼在文檔中都可以查到——只需祭出Google大法。

比奇特爾公司網絡實驗室項目經理嘉德·哈特曼(Chad Hartman)說,這就是為什麼啟動這一項目的原因之一。"你要是查看一下為國防部和能源部服務的電廠,"他說,"就會發現很多電廠都是有數十件歷史的老古董。有些電廠使用的操作系統是微軟早已不在提供技術支持和打補丁的Windows XP。把系統從Windows XP升級到Windows 10則需要資金,"他說,和老舊操作系統有關的所有軟件都需要升級。"所以升級成本已經超過了網絡安全的代價。這就意味著企業只能花費這兩者之間的預算費用來阻止黑客攻擊。"

當下,從手表到麵包爐的萬事萬物都已實現聯網,黑客入侵的接入點正在以指數級速度增加。然而對於針對重大基礎設施的蓄意攻擊,一個理論威懾仍然存在:這種行徑實際上是戰爭行為。

非國家組織等黑客可能認為,很難找到真正的攻擊者。但是對於那些沉迷於發動黑客攻擊的國家,存在遭受同等反擊的可能,同樣的武器也會用來對付他們自己。"以伊朗對沙特阿美石油公司(Saudi Aramco)的反擊為例,"比尤·伍茲說。"他們解密了Stuxnet的部分原始代碼並進行了改造,我估計一共感染了3萬台計算機。"

黑客攻擊醫院

尼古斯和伍茲最為擔心的是黑客攻擊對醫療等重大系統造成的毀滅性打擊。一個名為"我是騎兵"(I Am The Cavalry)的草根組織就專注於研究計算機安全和公共安全和公民生命健康之間的關聯。

他們認為,出於以下幾個理由,醫療行業必須得到特別關注:醫院內的很多設備已經聯網、一旦出現故障後果十分慘重:如果醫院的計算機系統崩潰,病人會因此而死亡。醫院在攻擊面前十分脆弱,並且暴露程度很高。

這種擔心在橫掃全球150個國家的想哭病毒泛濫期間得到了印證。在英國,病毒感染了三分之一的NHS醫院,並刪除了至少6,900次NHS就醫預約。

就在幾周前,尼古斯告訴BBC未來頻道他正在醫院修複之前網絡攻擊造成的破壞,(由於保密協議,他沒有透露更多細節。)其中包括2016年年初對一個地區醫療網絡的黑客襲擊。

"我知道攻擊的頻率要比任何人對外承認的高。當我在醫院地下室內修複一次攻擊造成的損害時,才在主流媒體中聽到關於這次攻擊的新聞,"他說。

尼古斯表示,攻擊醫院的黑客都不是政府背景,而是網絡罪犯。他們並非特意以醫院為目標,而是不斷尋找網絡漏洞,並使用手頭的工具掃描上網設備。一旦發現,就會植入病毒代碼,釋放勒索病毒。伍茲表示,由於這些黑客只為求財,因此更難加以防範。

"反黑客產業目前面臨的困難之一在於,有很多組織不願承認或報告自己遭到攻擊,"伍茲表示。"一座醫院因黑客攻擊而癱瘓1天就會損失千百萬美元,因此更好的選擇恐怕是支付10萬美元的贖金,儘管這違背了一般性的道德凖則。"

沒人願意將自己的系統存在漏洞這一事實公之於眾,有這樣想法的不僅僅包括醫院,麻省理工學院重大基礎設施網絡安全跨學科聯合團隊(IC3)主任斯圖爾特·麥德尼克(Stuart Madnick)博士表示。

與金融機構相比,有關重大基礎設施遭受網絡攻擊後信息披露的法律規定要寬鬆許多,麥德尼克表示。其原因在於,入侵銀行會洩露信用卡和個人信息,從而迫使銀行向公眾披露相關情況,然而重大基礎設施則無此壓力。"如果一個黑客對一家德國鋼鐵廠發動攻擊導致鋼爐爆炸,沒有任何法律規定,鋼鐵廠一定要向公眾公布,"麥德尼克說。

麥德尼克的團隊專注於改變企業和管理人員對網絡安全的認識。"我們會強調策略和管理在網絡安全中的意義,而非簡單升級硬件和軟件。這是由於,70-80%的網絡攻擊都是在內部人員協助或支持下完成的,儘管通常情況下是出於無意,"他說。

他的同事,IC3副主任邁克爾·西格爾(Michael Siegel)博士表示,他曾經聽說過,有一家金融機構在內部做了一次釣魚攻擊演練:他們向員工發送了一封郵件說"這是一次釣魚攻擊。你如果點擊鏈接,就會損害你的計算機。"儘管有明確警告,但仍然有至少一名員工點擊了鏈接。他們後來詢問這名員工為什麼這樣做,他說他就是想看看點擊後會發生什麼。

"問題在於,我們沒有建立一個基礎性認識,點擊一下鼠標就會讓一家公司或者一家電廠陷入癱瘓,"西格爾說。他認為有兩種企業:知道自己曾經被攻擊過的公司和對此毫不知情的公司。

隨著釣魚攻擊變得更為公開,其細節也更為清晰,比奇特爾公司等網絡安全企業的市場正在迅速擴大。

如果一家企業使用了網絡攻擊反擊服務,會出現什麼情況?

哈特曼的團隊以藍隊和紅隊服務於不同客戶。紅隊服務於那些第三方黑客已經入侵了系統,但不清楚攻擊的地點、時間和方式的情形,這和實際中的網絡攻擊十分類似。

藍隊則負責為客戶進行網絡攻擊模擬演練。比奇特爾公司的專家會和客戶坐在一起,引導客戶在遇到襲擊時如何應對,並解釋所有方面的問題,從而使客戶在實際生活中體驗到所有細節。

他們提出的某些建議不僅適用於網絡安全,還適用於真實的工作場景。

紅隊給客戶提出的很多建議都是有關物理設施的,例如,網絡實驗室採用正確的門鎖、門把手、密碼鎖、門禁鎖,"哈特曼表示。"對於高敏感性房間,應當安設從地板到天花板的柵欄,從而保證沒人能隨便進入敏感區域。"

諷刺的是,未來幾十年間,網絡安全問題將進一步惡化的原因不僅在於老舊系統的脆弱性以及升級的高成本,還在於科技創新本身。例如,哈特曼認為,遠程接入技術為黑客提供了新的犯罪路徑。哈特曼說,很多企業都採用遠程接入技術以節約成本,然而他們卻為黑客提供了前所未有的漏洞,並由此侵入工業控制系統和工廠。

隨著"物聯網"不斷普及,易受網絡攻擊的系統數量將不斷攀升,紐約大學教授、信息聯網及電信中心主任、《網絡基礎設施保護》一書作者特拉克·薩達維(Tarek Saadawi)說。

薩達維稱,隨著數十億計的聯網設備、自動駕駛汽車、自助機器人和智能城市成為現實,未來的網絡威脅將更為強大。"所有這些設備都不難攻陷。"

全球安全分析專家們的首要顧慮恐怕是恐怖主義襲擊。例如,很難相信,伊斯蘭聖戰分子不會出於牟利和製造恐慌的目的而攻擊重大基礎設施。

然而有些情況下,此類攻擊卻是由一頭憤怒的"獨狼"發動,例如16年前澳大利亞一家水處理廠遭受的攻擊。IC3主任麥德尼克指出,此類攻擊不僅體現了威脅的普遍性和不可預測性,還體現了在基礎設施遭受攻擊後如何發現攻擊本身的難度。

"他們足足花了兩個半月時間才發現自己遭到了黑客攻擊,"麥德尼克說。"很多情況下,很難確認問題的來源是機械故障還是網絡攻擊。"

想哭病毒是重大基礎設施遭受黑客攻擊,且受到媒體廣泛報道的最新案例。但是它絶不會是最後一個。

(BBC)克里斯蒂安·伯瑞斯 (Christian Borys)
激賞明鏡 1
激賞明鏡 2
比特幣激賞明鏡

3KAXCTLxmWrMSjsP3TereGszxKeLavNtD2
激賞操作及常見問題排除
訂閱明鏡家族電視台

留言