就其广度、深度和通过供应链的巧妙插入而言,最近对美国政府关键部门和世界各地许多领先企业的黑客攻击应该不足为奇。22年前,当美国军队准备打击违反联合国商定的武器核查制度的伊拉克时,发现了对敏感军事信息系统的深度入侵。足够多的材料,如果打印出来,可以堆叠超过500英尺高。针对这次代号为“太阳日出”(Solar Sunrise)的黑客攻击的调查,发现了一群青少年,两名在北加州,一名在加拿大,还有一名年轻的以色列电脑奇才埃胡德·特南鲍姆(Ehud Tenenbaum)。
这些不法分子的年轻,以及他们与敌对势力的缺乏联系,导致他们对这类网络威胁持有某种程度上的轻视态度。次年,也就是1999年,美国国家科学院(National Academy of Sciences)对这一问题进行的一项研究指出,美国对这一问题缺乏紧迫感。当时,美国国防信息系统又发生了一系列非常严重的入侵事件——这一次似乎是俄罗斯人所为。这项检测、跟踪、然后阻止进一步黑客入侵的行动代号为“月光迷宫”(Moonlight Maze)。这项调查显示,黑客入侵在被发现之前至少已有三年之久。
美国也花了大约三年时间才发现,中国显然也在对敏感的美国国家安全系统进行网络窥探。那是在2003年,当时“泰坦雨”的法医调查正在认真进行中。自那以后,中国的黑客行动(据信是由其精锐部队61398牵头)更多地集中在工业和商业知识产权盗窃上,而不是具体的军事问题上,据信窃取的前沿信息价值数千亿美元。
太阳风事件只是长期入侵模式中的另一个事件。是的,在专门为提高安全性而设计的软件中插入恶意软件是一种创造性的做法。但我们国防界的人早就知道这种插入方式。事实上,在我任教的军校,很多年前就有研究生在研究这类问题。十年前攻击伊朗核计划的震网病毒(Stuxnet)也是通过供应链运作的。
那么,为什么会出现这种最糟糕的黑客行为呢?美国国家科学院1999年的研究很好地阐述了这个问题,它关注的是一种组织文化,尤其是在军队中,这种文化倾向于淡化对国防的思考和规划。对此,我想补充一点,当考虑到防御时,人们过于依赖防火墙和防病毒软件来抵御入侵者。这是马奇诺防线。相反,正确的方法是“想象没有防线”,从进攻者的角度思考,他们总是能找到一条路。通过培养一种强调这种必然性的心态,那些负责保护网络空间的人会发现,创新的防御措施将更容易出现。
例如,用普遍使用的非常强大的加密技术取代目前对三带防火墙的信任,将极大地提高网络防御能力。因为现在应该很明显,处于静止状态的数据就是处于风险中的数据。除了更多更好地使用加密技术,敏感数据也应该保持移动。在云中,甚至在雾中(由提供进入企业或供应商网络的路由器和交换机等“边缘设备”组成)。强大的加密、云和边缘计算的结合将挫败即使是最好的网络间谍。
现在该怎么办?除了从根本上将重点从“静态”网络防御转移,如加强防火墙和杀毒软件,发现很难检测恶意软件的最新进展,至关重要的是充分利用太阳风黑客提供的机会,搜索所有信息系统的任何迹象的延迟行动设备——设计不是为了间谍,而是为了在战争时期扰乱或扭曲数据流。军事和商业信息系统都应该得到健康的证明;也就是说,在转换到基于强代码和数据定期移动的新安全机制之前,对“网络攻击”的迹象进行阴性检测。
这样擦洗是一项艰巨的任务。但是,除非现在就采取行动,否则风险将越来越大,下一次太阳风式的事件将在危机或冲突时期发生,那时生命危在旦夕,自满的代价将是士兵疯狂地试图进入不再工作的重要系统的鲜血。
约翰·阿奎拉是美国海军研究生院国防分析特聘教授。从2005年到2010年,他担任国防部信息作战研究中心主任。以上仅代表他个人观点。
没有发现记录