网络攻击愈演愈烈，人类究竟如何应对？

网络安全

阅读全文大约需要五分钟

近几年来臭名昭著的网络攻击终于让网络安全问题成为了优先议题。

Image: REUTERS

作者：Noam Erez，XM Cyber联合创始人兼CEO

如果网络攻击占据了政府的信息技术网络，进而控制了整个国家会怎么样？这看上去像是一件很遥远的事，但事实上并不。2018年4月，在加勒比海的独立小国圣马丁岛内，公众网络关机了一整天。此前一个月，勒索软件成功侵入了亚特兰大，造成了长达两个礼拜的网络瘫痪，及300万美元的经济损失。

去年在美国，巴尔的摩、夏洛特、达拉斯和旧金山都遭遇了网络攻击，而很讽刺的是，在攻击之前，这几座城市都使用了智能城市科技。虽然智能城市的概念已经联结了许多城市，网络安全准备的缺乏往往会招致许多严重的安全问题。面对崛起中的网络威胁，各大机构应当如何改进基础设施、云网络和物联网环境呢？

安全边界衰退的代价正越来越高

对于安全问题从业者来说，网络威胁是一项严峻的挑战。当今的首席信息安全官必须与多边威胁抗争，并从深度与广度两方面扩大安全边界。相比于核战争，网络攻击是否会成为人类面临的更严重的危机？这一点尚不可知。不过可以肯定的是，当今的网络非常脆弱。美国联邦调查局报告称，每天会发生超过四千起勒索软件攻击；其他研究显示，每天生产的恶意软件样本数量超过23万。

近几年来臭名昭著的网络攻击终于让网络安全问题成为了优先议题，其危险程度也上升到了新高。因此在2017年，在安全问题上的全球花费了864亿美元，目前尚无降低迹象。Gartner公司预测称，由于防火墙、防病毒软件等传统安全手段的不足，2018年的行业价格将达到930亿美元。

网络安全边界的现状

去年网络攻击的数量和严重性表明，2018年的各类组织所疑惑的，并非“是否会遭受攻击”，而是“如何遭受攻击”。在意识到安全边界正逐步消失这一事实后，各类组织机构已开始面对现实——安全之战正在自己的网络内打响。

安全边界的消失，加上向云网络的过渡、各种物联网设备的部署，表明攻击面积正在逐步扩大。各类机构面临的风险大幅提高，而网络标准和政策却很难跟得上。因此，即便是消费者也会对此感到烦恼。

针对网络的早期病毒和蠕虫已经进化得更强大、更麻烦。这些新型的攻击矢量往往较慢较低，可以在网络边缘移动，出入都不会引起察觉，就好像这个网络没有任何围墙的保护一样。为此，各大机构必须更快地了解网络攻击，并采取全新的工具、策略和过程，以从内部保卫网络系统。

为了应对逐步升级的威胁群，人们必须在2020年前考虑如下问题：

压迫安全边界的高级持续性威胁

当今网络攻击中最为致命的部分被称为高级持续性威胁，即第三方通过获取未授权通道而进行的一种网络攻击，往往可以在很长一段时间内不被探测到。高级持续性威胁以高度复杂性、订制软件秘密途径和零时脆弱性而闻名。

高级持续性威胁的一大不明特点是“持续性”，即高级黑客会网络中潜藏很久，直至完成目标。当今，出于计划、募资、运行的人员所筹划的战略意图，高级持续性威胁是尤其危险的。

在高级持续性威胁中，威胁行为的目的是获取敏感信息和系统，并给目标对象带来声誉和运营上的双重风险。这类威胁利用的往往是影子信息技术漏洞、较差的信息技术环境和人为错误。目前，不管是什么种类、多大规模，所有网络都无法完全抵御这类攻击。

网络安全技术暗藏危机

当黑客获取越来越多的专业技术、高级持续性威胁变得越来越复杂时，现有的安全控制并没有很好地与时俱进。安全人员的日益短缺正让问题变得更糟。截至2018年末，一两百万的网络安全工作职位将虚位以待；网络安全分析师的需求量将达到600万，但其供给量将只有400万至500万。

在应对越来越复杂且自动化的攻击方面，缺乏必要技能的不仅仅是信息技术安全团队。36%的组织机构称，相比于机构内的其他部门，安全部门职工的流动率更高。

Red团队攻击模拟的崛起

为了缩小技能方面的差距，各类机构正寻求安全服务提供方的帮助，以测试其韧性。这些服务代理人会开展阶段性的攻击，以检验该机构是否容易遭受网络攻击。

上述安全服务提供方一般被称为red团队，主要任务是在各个机构的应用、网络和数据上开展强势进攻。虽然red团队所开展的攻击是模拟性质的，但开展的过程往往固定在某一特定时刻，这样做的目的是和内部安全防御团队保持高度协作关系。如果无法与之协作，那这就属于blue团队的任务范畴，其目的是修理安全漏洞、最大程度上减少时间差。

训练有素的red团队专家可以通过施加安全威胁获得胜利，不过话说回来，这毕竟是一种人为因素。很不幸的是，操作缺点和机构的低效方法限制了red团队的能力，使其无法设计出抵御高级持续性威胁的长久战略。即便是同时拥有red团队和blue团队的机构，也需要努力防御真实生活中的攻击者。由于昂贵的时间差、协作难题与预算问题，攻击者仍有可能从旁边移动，并在雷达下潜伏着，尤其是那些鬼鬼祟祟的攻击者。

向自动攻击模拟过渡

如果有了自动攻击模拟，以及快速纠正能力的跟进，人们就可以为高级持续性威胁攻击下套，并缓解技能短缺的问题。实际上，能一直运行多个攻击的网络系统，和不间断的自动red团队一样，能够让机构处于持续勘察状态。

虽然如此，如果不能立即纠正勘察到的脆弱性，这些强势攻击操作不可能完全有效。这一点很重要，因为人们不能留任何一丝机会，让攻击者通过裂缝潜入网络。一旦发现了任何盲区、漏洞，Blue团队开展的可行优先纠正必须即刻执行。因此，持续且快速的攻击与漏洞纠正是必不可少的。

全新的purple秩序

在永久循环的red团队和blue团队间进行协调是自动化purple团队的任务。自动化purple团队能够结合red团队发现的攻击矢量、脆弱性，以及blue团队提供的防御策略，从而建立最强大的安全项目。

该协作行为不仅能建立一个不固定的全天候攻击与纠正循环，还能让攻击与防御团队相互学习、促进。有了不间断运营的purple团队，公司就可以使用优先纠正指南，并在第一时间内了解威胁的相关信息。

在最后，机构、城市和国家都一定将重新获得网络优势、抵抗那些旨在渗透关键基础设施的攻击，并成功解决技能短缺、纠正性攻击问题。