BLOG | OFFICE OF THE CTO

防御性网络安全不断变化的要求

Aditya Sood 缩略图
Aditya Sood
Published February 28, 2022

乌克兰正在发生的危机显露出民族国家冲突新的方面,其产生的影响并不受限于地理区域。作为一家全球性公司,对所有受到伤害、流离失所或因持续攻击而受到其他负面影响的人,包括 F5 大家庭中的许多成员,我们表示极大同情。在不忽视俄乌冲突中非常真实、非常人性化的方面的情况下,我们也收到客户请求,就最近的事件为他们在未来几天可能看到的更多网络攻击类型提供指导。因此,下文打算以一种直截了当、充满敬意和实事求是的方式回答这些问题。

网络攻击在民族国家冲突中扮演的角色引起了新的网络安全问题,其规模与许多企业曾按惯例处理的不同,进一步突出了采用防御性网络安全策略防御复杂攻击的重要性。

随着互联网的发展,全球商业运作已发生巨大变化。数字化转型越来越快,因此加速了技术发展并增加了网络攻击的复杂性。与此同时,如今的企业仍然在面对以金钱为目标的传统攻击者,但也有民族国家和支持某事业的攻击者,这类人有更广泛的目标。当然,随着网络攻击复杂性的增加,相应的保护措施也需定期改变。在当前经济形势下,您更有可能遇到正在开发利用已知(和未知)漏洞的民族国家攻击者。

实际上,这的确导致民族国家攻击者不断开发针对其他国家的互联网(和关键服务)基础设施的漏洞利用程序。虽然人们想到的最直接情况是民族国家之间的地缘政治冲突,但许多同样的原理现广泛适用于传统的企业安全实践,尤其是因为民族国家往往会攻击政府和私营部门的互联网资源,以破坏稳定。因此,有针对性的网络攻击对国家完整性以及打算与目标地区(或在目标地区内)进行任何相关业务的企业构成了重大威胁,从而造成所有类型的企业都更加需要持续的防御性网络安全。

有针对性的网络攻击

广义上来说,民族国家的敌人发起有针对性的网络攻击,以严重削弱民族国家的基础设施和破坏其互联网系统的功能,这可能会进而影响金融和军事基础设施。图 1 展示了一个有针对性的攻击(此例中为网络钓鱼)过程的例子。

有针对性的网络钓鱼攻击过程示意图
图 1:有针对性的网络钓鱼攻击过程

有针对性的网络攻击通过旨在进行隐蔽操作的恶意代码实施。恶意代码部分例子:漏洞利用程序(利用漏洞)、黑客程序(篡改内核和用户模式以进行未经授权的操作)、远程管理工具包(管理遭入侵的系统)、Wiper(破坏系统的主引导记录)、勒索软件(加密敏感数据并索要赎金)。虽然统称为网络攻击,但以上每个手段均可视为“数字武器”。

以基础设施为目标的民族国家攻击者:数字武器的兴起

敌人在民族国家冲突期间会进行各种各样攻击,数字威胁与传统的人身安全威胁并存。如今的民族国家精通多种网络攻击,典型例子如下:

  • 在民族国家冲突期间,从不同地理位置通过互联网发起分布式拒绝服务 (DoS) 攻击,以破坏关键基础设施和通信门户,这是一种制定周密的行动策略。例如,敌人可能决定攻击用于处理内部事务的以军事为中心的网站,以扰乱官方通信。金融机构的门户网站通常也是目标,以影响银行和金融业务。
  • 通过偷渡式下载攻击传播高级恶意代码,触发数据破坏攻击。恶意代码托管于遭受攻击的门户网站或附在钓鱼邮件中(具针对性),利用社会工程,目标用户被迫与门户网站或钓鱼邮件互动,进而导致恶意代码安装于目标系统中。一旦恶意代码安装成功,它就有能力通过删除数据和使系统瘫痪来破坏整个系统。
  • 在冲突期间窃取知识产权 (IP) 也是民族国家敌人的主要目标之一。其逻辑通常如下:若一个民族国家的基础设施已遭到破坏,那就有机会窃取知识产权,这些知识产权以后可用于各种目的。

以下是可能在民族国家冲突中被用作“数字武器”的典型网络攻击的简单分类:

网络攻击类型 恶意代码名称
(“数字武器”)
特征
分布式拒绝服务 (DDoS) 未知僵尸网络(Unknown Botnet) 拒绝服务:影响关键基础设施的可用性,如金融机构、军队等的网络门户
恶意软件传播(Malware Distribution) Whisper Gate 数据破坏和系统瘫痪:破坏被攻击系统的主引导记录 (MBR) 并加密敏感文件
恶意软件传播(Malware Distribution) Hermetic Wiper 数据破坏和系统瘫痪:破坏和删除被攻击系统上的敏感文件

表 1:民族国家冲突期间发起的网络攻击中可能使用的恶意代码

利用上述数字武器,民族国家攻击者可发动大量攻击,以严重影响政府和组织拥有的基础设施。这通常是其战略的一部分,背后的目的是阻止民族国家自由通信,并通过规避基础设施中活跃系统的完整性、可用性和保密性,利用计算机程序破坏金融和军事系统。

同样,虽然这看似与冲突中的民族国家最直接相关,但当此类攻击中使用的工具和漏洞利用程序带来更大威胁时,将存在更广泛的风险。(其中一个相关历史事例为发生于 2017 年的 NotPetya 网络攻击)。

保障关键基础设施的安全

防御性网络安全非常必要,已得到普遍使用。虽然政府通常负责确保关键基础设施(包括军事门户网站和金融机构的网站,如 SCADA 基础设施)受到持续监控和保护,以防止网络攻击,但公共部门和私营部门之间的安全界限已变得非常模糊。从整体上看,确保网络基础设施和所部署应用的安全对于避开网络攻击(如 DDoS 和通过网络传播的恶意代码)至关重要,这种方式可以保持基础设施资源的完整性,而不影响其可用性。此外,保护关键应用免受 HTTP 攻击也为必须。最重要的部分是确保互联网上的通信不受干扰。为此,组织需要确保其基础设施嵌入安全机制,以应对网络攻击。

实现防御性网络安全的首要步骤

数字化转型的步伐加快,政府和组织采用现代应用以实现运营效率。然而,此类应用需得到保护,以抵御先进的网络攻击,此类攻击可能有针对性,也可能目标广泛。在民族国家冲突时期,确保关键应用保持可用显得尤为重要。政府和所有组织均应保持警惕并考虑到以下关键问题:

  • Web 应用和 API 在当今的数字环境中无处不在。确保它们免遭滥用和攻击是保持积极安全态势的首要条件。Web 应用和 API 保护 (WAAP) 等服务和解决方案不仅提供对基于 Web 的攻击的保护,还包括本地安全功能。
  • 利用和滥用漏洞并不是唯一的攻击手段。拒绝服务攻击可阻止对关键资产的访问。防御性网络安全策略还应能抵御基于应用的 DoS 攻击,以确保关键应用保持可用。
  • 主动防御还需要能识别可能的攻击迹象。由于对所有应用、基础设施和环境的可见性不完全,大多数组织无法提前检测到攻击。数字资产的健康状况由数字信号决定,是防御性网络安全的基础组成部分。能提前检测到潜在攻击的可观察性战略提供了快速响应和化解攻击的能力。

建立强大而稳健的网络安全态势应纳入可用性,即关键应用受到攻击不应影响使用。威胁和应对措施永远不会停止演变,实现具有韧性和不间断可用性的安全是防御性网络安全的基准。