美国商务部和国土安全部有关提高响应能力的报告

网空治理第134期

《提高互联网和通信生态系统对僵尸网络和自动化分布式威胁的响应能力》（以下简称报告），旨在回应 2017 年 5 月 11 日特朗普总统签署的第 13800 号行政令中关于“加强联邦网络和关键基础设施的网络安全”的呼吁——“抵御僵尸网络和其他自动化、分布式威胁”。报告在结构上呈现层层推进：首先，报告给予物联网市场准确的定位，称物联网设备“很像上世纪 90 年代的台式机”，安全性不容乐观；其次，报告承认，即使消费者在商家购买了设备，又将这些设备联入家用无线网络，也不能、不应该指望他们为这些设备的网络安全负责；再者，报告明确，如果想要应对当前的僵尸网络攻击，需要美国政府、行业等多利益相关方的通力合作；然后，报告提议，美国政府应当利用自身重要采购方的角色，对美国政府环境的物联网设备采用基准安全配置，以此加快普及安全配置的进程；最后，报告建议，美国政府应当资助一场提高全民物联网安全意识的运动，让网络安全成为未来学生获得工程学学位的必修内容。

>>>报告背景与说明

自动化分布式攻击所形成的威胁已经超越了任何单一公司或部门。这些威胁被用于各种恶意活动，包括分布式阻断攻击（DDoS），勒索软件攻击，计算机宣传操纵等。传统的 DDoS 缓解技术旨在防范预期规模的僵尸网络，但物联网的普及带来了设备数量庞大的新型僵尸网络，DDoS 的攻击规模已经扩大到每秒超过 1 太比特，大大超出了预期。2016 年秋季出现的 Mirai 僵尸网络，攻击时达到的持续流量水平甚至破坏了一个常用的组件域名系统。更复杂的僵尸网络也随之而来，比如收割者（Reaper）。Mirai 和收割者僵尸网络清楚地表明了这种攻击的规模和范围，在未来，僵尸网络的攻击规模和复杂性都将增加。

目前，应对自动化分布式攻击的传统技术恢复时间太慢，尤其是在涉及关键性任务时，而且这些技术并不是为了减轻其他类型的恶意行为，如勒索软件或计算机宣传。随着新情况的出现，迫切需要在各利益相关方之间进行协调和协作。联邦政府之前一直与利益相关方密切合作以应对新出现的威胁，以前的努力包括：

（1）建立产业僵尸网络组（Industry BotnetGroup），拟定了“减少网络空间僵尸网络影响的自愿工作原则”（2012 年）;

（2） 通信安全性、可靠性和互操作性委员会（CSRIC）的“反机器人行为守则”（2013 年），以及“互联网服务提供商网络保护实践（2010年）”和“基于服务器的 DDoS 攻击修复（2014年）”的报告；

（3）司法部与其他部门也在积极行动，解决问题和重新定向（sink-holing）支持这些威胁的基础设施。虽然这些举措取得了一些进展，但仍然存在重大挑战。本届政府和主要利益相关方希望通过努力进一步加强未来互联网和通信生态系统的复原能力。

>>>技术与政策现状

报告介绍了当前互联网和通信生态系统的技术和政策领域现状，并设想未来会有所改善。其中，生态系统的技术领域现状和未来预期主要包括：

（1） 基础设施：是指将其他多种技术领域连接起来的单一系统。目前基础设施的最佳实践是采用混合方法，围绕过去的危机规模建立，造价昂贵，难以管理，还需要熟练工作人员操作。未来必须通过新的自动化工具和实践更有效地检测恶意流量。

（2）企业网络：是由本地连接的设备与区域互联网注册表分配的 IPv4 和 IPv6 地址组成。过去遭遇过 DDoS 攻击或受其影响较大的企业和行业，往往采用基础设施提供商提供的 DDoS 缓解措施和企业管理的内部部署缓解措施，聚焦可用性、功能性和成本。未来企业可以通过融合最新的技术，运营和采购政策，以及 IT 员工和决策者教育和意识，为更有弹性的生态系统做出贡献。实现这一目标的基本步骤是广泛采用 NIST 网络安全框架（CSF），将大部分必要的行动归因于五个并行和连续的功能：设备识别、设施保护、流量检测、流程回应和系统修复。

（3） 边缘设备：如服务器，个人电脑，移动设备和其他连接设备等。目前物联网的安全水平与 20 世纪 90 年代的台式机水平相当。要提高边缘设备技术的安全水平，需要有一个全球公认的、可被广泛理解和采用的安全标准。这些标准应该是灵活的、适时的、开放的、自愿的、工业驱动的、全球性的。

（4） 家用和小型企业网络：由使用通过网络地址转换（NAT）在外部寻址的“私有地址空间”的设备组成。该部分的网络安全水平和意识同样不佳，不仅对于遭到攻击时可能准备不足，还包括对隐私、数据、设备接入的素养不足。市场力量是提升设备安全性的关键要素，智能路由和防火墙可以减轻和检测设备是否受到攻击，而用户也应当接受更为有效的教育提升技术水平。

在政策与治理领域，呈现出与技术领域相互交织的状态，要点包括：

公私伙伴关系：包含对于攻击信息的共享安排 ;

自愿性认证或认证过程：供应商和客户选择共同的安全目标和期望 ;

标准与准则：由多利益相关方论坛商议制定 ;

采购政策：特别是推荐在联邦政府内部推行，制定市场激励措施 ;

监管和立法行动：主要在联邦和州级层面展开 ;

多边和双边协调 / 协议：使得包括互联网治理在内的国际协调与合作制度化。

>>>面临六大机遇挑战

报告认为，为大幅减少自动化与分布式威胁，目前面临的机遇和挑战可归纳为六大主题：

（1） 自动化、分布式攻击是一个全球性问题。近期僵尸网络中的大多数受感染的设备都位于美国。增强互联网和通信生态系统抵御这些威胁需要与国际伙伴合作，采取协调一致的行动。

（2）有效的工具存在但未被广泛使用。用于显著增强互联网和通信生态系统响应能力的工具、流程和做法是广泛可用的，有些虽然不够完善，但可以在特定的市场部门经常使用。但由于各种原因，包括缺乏意识，成本规避，技术专业知识不足以及缺乏市场激励等，这些产品在其他许多领域的开发和部署并不常见。

（3）产品应当得到全生命周期保护。在部署时就易受攻击的设备，发现漏洞后却缺乏修补设施，供应商已经结束支持但仍在服役的设施，这些都使得自动化分布式威胁过于容易。

（4）需要教育和形成必要的意识。家庭、企业客户、产品开发人员、制造商和基础设施运营商之间的知识差距妨碍了使生态系统更具弹性的工具、流程和实践的部署。

（5）市场激励机制存在错位。目前可以感受到的市场激励机制与“大幅度减少自动化和分布式攻击所带来的威胁”的目标不一致。市场激励产品开发者、制造商和供应商将开发的成本和时间降至最低，而不是为了进行安全建设或提供有效的安全更新。在开发产品时，安全性和便利性之间必须有一个更好的平衡。

（6）自动化分布式攻击挑战的是整个生态系统。没有一个单一的利益相关方社区可以单独解决这个问题。

>>>五大目标与行动

报告确定了五个相互支持的互补目标，每个目标下设有具体的行动路径。报告希望通过将目标和行动结合起来的方式，大大减少自动化分布式攻击的威胁，并提高生态系统的弹性。这五个目标与具体行动如下：

>>>评价与启示

总体而言，该报告就“如何提高抵御自动化分布式攻击能力”这一问题，认为需要在各个国家、部门和技术层面上协调政策和治理解决方案。报告提出，有效的政策将为使用标准和最佳实践提供明确的预期，同时在防控安全风险时保持灵活性。更高水平的跨领域信息共享将提高生态系统成员抵御僵尸网络威胁。同时，一些协调模式可能需要创建新的标准、规则和指标。而对于国内企业而言，该问题可以从以下几个方面进行考量：

积极研发高效技术工具，促进产品推广与使用落地

从目前对于自动化分布式攻击的预防、检测、减轻和抵御情况来看，从基础设施到企业网络，乃至到用户级别的边缘设备等都急需高性能、易管理、成本适合且具有一定弹性的技术工具。国内企业针对这些需求具有非常有利的技术竞争优势。同时，高性能的工具设备还需要有一整套与之相对应的推广落地流程，以促进产品切实抵达关键使用节点。

强化产品技术服务支持，获取政府与市场广泛认可

自动化分布式攻击之所以具有压倒性的破坏能力，一个关键点在于利用了传统技术中保守且有限的技术能力。这其中包括产品服务提供商对于技术服务支持的时间期限，即即使一般设备服务支持期已过，一般情况下政府、企业和用户也不会马上换掉。因此对于国内企业来说，如果可以延长产品服务支持期限、扩大产品服务支持范围、强化产品服务支持质量，对于政府采购、企业引进和用户普及会有很强的正面效益，可以获取更为广泛的市场认可与用户渗透率。

抓住标准国际化窗口期，争取进一步拓展全球市场

该报告中多次指出，自动化分布式攻击在很多时候并非局限在美国本土，而是来自世界各地，因此对于自动化分布式攻击的防御需要有全球视野，信息共享协议需要实现国际化。这对于国内企业来说也是一个非常有利的政策窗口期。美国在寻求国际合作的过程中必然会考虑现有的基础设施与落地企业网络，因此如果可以实质性地参与到其安全标准与信息共享协议的制定和商议过程中，对于未来国内企业拓展美国乃至全球市场都具有深远的意义。

（来源：信息安全与通信保密杂志社）