從NotPetya勒索軟件的全球爆發到朝鮮對金融機構的數字掠奪，國家支持的網絡攻擊如今已成為有些企業高管的首要考慮。那么，該如何抵御此類攻擊呢?

[[220534]]

2月16日，美國司法部起訴13名俄羅斯人涉嫌干擾2016年美國大選。同樣是在上周，包括美國、英國、加拿大、澳大利亞和丹麥在內的多個國家指控俄羅斯策劃了去年夏天的NotPetya勒索軟件攻擊。

白宮新聞秘書沙拉·桑德斯說：“NotPetya是俄羅斯政府對烏克蘭持續顛覆行動的一部分，它進一步彰顯出俄羅斯的此類陰謀。而且，這也是一次會造成國際性后果的魯莽而無差別的網絡攻擊。”

雖然2016美國大選網絡安全事件和NotPetya勒索軟件攻擊都帶有政治目的，但最終的受害者名單卻不僅僅局限于政治團體和關鍵基礎設施提供商。邁克菲CTO史蒂夫·格羅布曼說：“NotPetya不僅對預定政治目標造成了重大影響，還中斷了全球范圍內成千上萬民間組織的IT系統和運營。我們必須讓發起攻擊的國家對所造成的全面損害負責。”

被國家支持的黑客攻擊或受到其連帶傷害的民間組織在指認攻擊者方面是處于弱勢地位的。而政府不僅可借助網絡取證還擁有傳統情報數據，因而更易于識別此類攻擊背后的兇手。

網絡戰中，每個人都是目標

國家支持的攻擊者通常盯上的是政治性目標，比如民主黨全國委員會(DNC)、政府機構、關鍵基礎設施和國防承包商。但事實證明，任何公司、任意行業都可能受到影響，要么遭到蓄意攻擊，要么承受大范圍攻擊的連帶傷害。

正如CrowdStrike情報副總裁亞當·梅耶斯所言：“私營實體每天都在黑客視線中。”NotPetya這樣的攻擊活動可能打擊到任何規模的任意公司，針對性高級攻擊也可以襲擊任意行業任一公司。

朝鮮已經盯上了比特幣交易所和全球金融機構。有的黑客組織則關注特殊醫療硬件和其他技術的生產商。隨便哪個行業都有黑客對其下手。

今年的冬奧會也分享到了黑客的青睞。公共事業公司、顯示屏生產商、奧運場館建筑公司、媒體公司和電信公司遭到了黑客攻擊。

俄羅斯對美國大選的攻擊完美展現了此類攻擊的目標范圍能有多廣，而政府支持的調查活動又能調用多么巨大的資源。除了上周的起訴，美國司法部還于本周二(2月20日)宣布成立新的網絡安全專案組，調查俄羅斯進行的種種惡意活動，包括：利用互聯網傳播暴力意識形態并招募追隨者;大量盜取公司、政府和個人信息;用技術手段規避或挫敗司法;大規模利用計算機和其他數字設備漏洞以攻擊美國公民和公司。

誰在進行網絡戰?所有人

俄羅斯在全球網絡戰新時代中并不孤單。2月20日，火眼公司報告稱，朝鮮正在以零日漏洞和數據清除軟件擴張其網絡武器庫，目標是韓國及日本、越南和中東的各個垂直行業。伊朗和中國的網絡間諜團隊也在火眼的追蹤范圍之內。

網絡攻擊并非民族國家的專利。美國和以色列就曾聯手炮制了震網病毒，摧毀了伊朗的核反應堆。前美軍參謀長聯席會議副主席卡特萊特上將承認自己在泄密問題上對FBI撒了謊。

在網絡黑客問題上，人們很容易想到俄羅斯或者朝鮮，但他們肯定不是網絡戰的唯一玩家，網絡戰是個世界性的問題。

網絡空間里，你可以從任何國家任何城市任意房間中對另一個組織、國家或企業發起攻擊。

這是第三次世界大戰?各個國家都在測試底線，看看會收到什么樣的反應。或許還不能稱之為戰爭狀態，但類似于冷戰或戰前預備期。從事網絡攻擊的國家還在試圖掩蓋其身份。

外包網絡戰賦予了常規攻擊者戰爭能力

即便沒有自己的研發能力或資源，一些國家也可以用錢雇到很多犯罪組織或表面上的網絡安全公司為自己效力。這又給世界再加了一重網絡戰的不良影響——民族國家大力投資攻擊和漏洞利用工具，但這些工具可能會流入廣大地下犯罪世界，威脅世界人民的網絡、隱私及金融安全。

比如說，著名的黑客組織“影子經紀人”就曾泄露過偷自NSA的黑客工具。這些技術和工具很快就傳播到普通犯罪分子手中，被直接用于各種網絡攻擊或改造后發起勒索軟件攻擊等網絡犯罪活動。

通過代理人進行網絡戰讓歸因溯源更加困難

民族國家還會通過代理人來打響他們的網絡戰。比如說，上周的起訴中，美國司法部就點了“互聯網研究機構”的名。這是一個位于俄羅斯圣彼得堡的著名網絡水軍豢養機構，被稱為“巨魔工廠”。

這是新形式的代理人戰爭。在過去，世界超級大國在戰爭中利用小國家充當代理人。今天，他們采用各種各樣的外部組織或機構充當代理人，比如咨詢公司和犯罪團伙。

這些國家對代理人的控制程度不一。有些國家采取放羊吃草策略，只要代理人支持該國戰略目標，不對國內目標下手，他們就放任不管。有些國家則對代理人干預較多，會協調各代理人之間的行動。其他國家則將代理人視為承包商，對其行動嚴密控制。

這就使得對網絡攻擊行為追責特別困難。如果攻擊被追蹤溯源到隸屬某國的組織，我們是要訴該國對攻擊活動失察嗎?在網絡事件的問責問題上，至今尚無定論。

各國對網絡攻擊的定義意見不一

網絡攻擊是什么?圍繞這一點還存在一些敏感問題有待解決。比如說，在某些國家，傳播特定文化信息或政治信息都算犯罪。甚至將網絡攻擊局限在針對關鍵基礎設施的攻擊上都可能引發爭議。

在聯合國商討該問題的外交官們刻意回避了關鍵基礎設施的確切定義，因為不同國家對關鍵基礎設施的重視程度不同。但是，有些明顯越界的事情是達成了共識的，比如說，電網受攻擊造成電力中斷，或者金融系統被攻擊，又或者醫院之類性命攸關的地方被黑客控制了系統。電網、金融系統和醫院，這些領域是即便沒有說出口也被大家公認的關鍵基礎設施。

同時，即便可以歸因溯源、起訴、制裁或加諸其他問責動作，對網絡攻擊的反應也往往太過遲緩，遭攻擊的個人和公司所受損失已經補不回來了。

如何防御民族國家攻擊?

安全專家往往對民族國家攻擊束手無策。民族國家擁有幾乎無限的資源，老實說，私營企業不太可能扛得住此類攻擊。

只要你手中握有某種形式的有價值資產，被黑不過是時間問題，你沒辦法攔住國家支持的黑客。

畢竟，民族國家擁有各種各樣的網絡武器和資源，包括零日漏洞利用程序、最頂尖的人才、各類間諜機構、廣泛的通信竊聽，以及對硬軟件技術供應鏈的控制。矢志攻擊的黑客總能繞過當前網絡防御措施。

期待國際社會行動不太現實。俄羅斯和朝鮮這種已經作惡多端的國家早已身處制裁之下。如果朝鮮都能發射洲際彈道導彈而不受懲處，我們又如何能期待民族國家為網絡攻擊負責?

對作惡者同樣施以網絡反擊也不可取。因為往往沒有明確的目標能夠達到報復或遏阻的效果。比如說，別人中斷了你的電網，但你不能也去搞攤人家的電網，因為那會影響到平民，不符合道義。

不過，這并不意味著公司企業就不能反擊。相反，公司企業應配備用于發現零日漏洞和未知攻擊的技術及過程。機器學習和人工智能工具有助于發現可疑行為。另外，公司的安全團隊也有理由認為自己已經被盯上了，因而應該主動追捕自家系統里的潛在入侵者。

因為民族國家黑客并未拋棄傳統網絡攻擊工具，所以公司企業還需做好基本安全防護動作，比如保證所有軟件都打上了補丁，保持系統和應用更新等等。

最后，做好人防。很多數據泄露事件都涉及到人為失誤，而該人為失誤就讓攻擊者有了在公司網絡中建立橋頭堡的機會。世界上最好的安防系統都防不住主人家直接就把大門開啟。

與其他黑客一樣，民族國家攻擊者也是會對目標排個三六九等的。如果某潛在目標明顯比其他防護弱，那必須先攻擊它，其他的可以再等等。

甚至即便公司不可能防住所有高級攻擊者，也可以通過增強防御來降低被黑客看中的風險。同時，即便攻擊者已經侵入網絡，也有大把機會可以降低所受損失。

比如說，民族國家攻擊者尋求知識產權之類敏感信息的時候，降低這些信息的價值就是很有效的防護辦法。這里所說的降低價值指的是加密，將他們試圖偷取的東西加密，就能讓這些東西對黑客而言毫無用處。

公司企業通常會加密具備商業價值的信息，比如信用卡和身份證號。但民族國家想找的可能是有關工業過程、戰略性商業交易的信息，甚至是可被用于勒索或分裂的丑聞。此類信息可能防護不周，或者毫無防護，甚或與缺乏良好安全過程的小型服務提供商共享。

現實生活中沒那么多解密專家，加密確實能有效保護信息。如果使用的是安全的加密方法，無論是誰都很難破解。小黑客破解密碼這種場景僅出現在科幻小說里。

如果加密沒用，那通常是實現和配置上出了問題。你得確保配置正確，采用恰當的安全等級，還要經常注意加密的狀態。

另一種能提供有效防護的手段是微分隔。微分隔甚至能讓已侵入網絡的攻擊者無功而返。虛擬化是改變游戲規則的黑科技。用虛擬機隔離應用，惡意軟件就失去了用處，黑客無處可去，偷不到任何東西，而企業卻可以正常工作。

未來是怎樣的?

前景并不樂觀，不遠的將來會迎來更多更復雜的攻擊。我們不是正朝著各國互相攻擊的網絡混戰狀態邁進，我們已經深陷此種情境。有些攻擊，特別是涉及關鍵基礎設施的那些，都是非常嚴重，可能很快就會被認為是戰爭行為的。

不過，長遠看，也不是沒有希望的曙光。最初最重大的一步已經邁出——承認存在網絡戰問題。思想已經開始轉變，網絡攻擊歸因逐步走向公開化。在過去，美國情報機構即便已經高度確信特定攻擊的作惡者是誰，也不會將這些歸因信息公之于眾，現在則不然。

接下來就是行動了。聯合國將會采納一項決議，賦予受害國自我防護的權利;美國也將發出聲明，明確立場。

起草了《武裝沖突法》的那些國際勢力將在網絡環境下繼續彰顯自身的存在，混戰狀態并非各國的長期利益考慮。