你被人欺負了，第一反應可能是還手，那在網絡世界中，被攻擊的受害者能夠采取同樣的反制措施嗎？

答案是否定的。目前絕大多數國家尚未制定相關法律，來支持企業或組織對黑客發起反擊。“禁止任何人在未獲得授權的情況下侵入別人的電腦”幾乎是所有國家法律的共識，這意味著，反擊黑客就如同黑客入侵一樣，同樣是違法行為。換句話說，你可以關門，但不能去開別人家的門，不論門后面是否藏著犯罪組織。

聽起來是不是很玄幻？現實生活中，只要手續合法，警察可以選擇破門而入抓捕犯罪分子，但是網絡空間卻萬萬不行。“順著網線去抓你”實現的難點在于合法性，而非技術性。

或許正因為攻防處于不對稱的地位，導致全球網絡攻擊愈演愈烈。僅2022年一年，全球網絡攻擊數量就增長了38%，造成大量業務損失，其中包括財務和聲譽損失。勒索攻擊更是如此。

深信服發布《2022年勒索軟件態勢分析報告》指出，隨著RaaS(勒索軟件即服務)模式的日漸成熟，勒索攻擊的門檻越來越低,越來越多的無技術者均可以加入到勒索攻擊行業中，并且攻擊成功的概率越來越高,數據能夠通過分析解密還原的情況越來越少。攻擊者不再單純加密數據，更多的勒索攻擊開始竊取受害者敏感數據，掛到自己的“官網”上進行雙重勒索，獲得更大的收益。

隨著近年來網絡攻擊越發猖獗，反擊黑客合法化的呼聲日益強烈。近期，深受網絡攻擊困擾的澳大利亞宣布將通過政府層面的舉措，對以該國組織為攻擊目標的黑客進行反擊，引發了行業擔憂，這一做法究竟是能真正打擊并震懾黑客，還是給網絡空間帶來更多風險和混亂？

向黑客宣戰

2022年11月12日，澳大利亞總理安東尼·阿爾巴內斯宣布了澳大利亞聯邦警察和澳大利亞信號局的聯合倡議，該倡議提出要“調查、瞄準和破壞網絡犯罪集團，并優先針對勒索軟件威脅團體”。

澳大利亞政府之所以做出如此決定，很大程度上與針對該國的兩次重大網絡攻擊事件有關。2022年9月，澳大利亞電信巨頭Optus因為勒索攻擊暴露了近1000萬用戶的敏感數據，并被勒索100萬美元贖金；而僅僅一個月后，又有黑客攻擊了澳大利亞健康保險公司Medibank，其所有390萬用戶的數據都遭到了泄露。據統計，兩起事件受影響的人數超過了澳大利亞總人口的三分之一，造成了嚴重的社會影響，尤其是在Medibank拒絕支付要求的1000萬美元贖金后，黑客泄露了包括墮胎記錄在內的醫療記錄，引發了社會的強烈憤怒和擔憂。

如此看來，對黑客進行反擊是在一定程度上順應澳大利亞國內民意的行為，政府將優先考慮那些對國家利益構成重大威脅的黑客組織。根據英國《衛報》援引澳大利亞內政和網絡安全部長克萊爾·奧尼爾的表述，她將日復一日、堅定不移地追捕那些發起攻擊事件的“人渣”，國家會派最聰明、最頑強的人去入侵黑客。

澳大利亞內政和網絡安全部長克萊爾·奧尼爾

伴隨著澳方的強硬態度，一系列新舉措正隨之而來，但目前還不清楚政府到底會在多大程度上超越常規措施來發起反制，特別是來自其管轄范圍之外的網絡威脅。Bugcrow創始人兼首席技術官凱西·埃利斯表示，盡管網絡犯罪集團經常處于“有罪不罰”的地步，但也很容易受到執法行動的干擾，并認為積極主動出擊是可行的，就像Cont和REvil等勒索軟件組織被執法部門打擊取締一樣，而澳大利亞的做法就是旨在采取更加嚴厲的措施。

反黑客為何要謹慎行事？

正如本文開頭所述，真正的反黑客行為在一些國家很難付諸實施，因為沒有法律為這種反擊提供支持。比如美國立法者曾經試圖幾次通過相關法案，為反擊網絡攻擊者的組織提供一些法律支持，但都以失敗告終。

畢竟，如果說兩人打架，一人還手，被還擊的對象鐵定就是目標清晰的另一個人，但網絡攻擊不同。“一般來說，真正確定攻擊的來源非常困難，”Rapid首席研究員埃里克加林金說道。這意味著網絡攻擊者可以利用多個肉機作為跳板進行分布式攻擊。換句話說，攻擊者善于利用受害者來攻擊其它受害者，而當受害者進行反擊時，實際上是在針對另外未知的無辜人員。雖然國際間已有搗毀如Conti 和 REvil在內的勒索軟件組織的成功案例，但這類專項行動往往需要專業團隊付出數月的調查及分析，在高度精確鎖定目標后才開展行動。如果這類權力得到下放，默許民間團體采取草率或更激進措施反制，其濫用導致的后果將可想而知。

這其中還涉及到雙方究竟誰才是第一個出手的人。一個比較典型的例子是2017年美國《主動網絡防御確定性法案》（ACDC），該法案中的某項條款稱“只要是以‘主動防御’的情形對另一實體進行黑客攻擊，就可以免于承擔法律責任。”也就是說，在ACDC法案下，公司和個人將能夠使用“主動防御”來識別、破壞甚至銷毀他們被盜的數據。該法案一經提出就遭到共和黨、科技界乃至立法界諸多人士的反對，比如 “主動防御”很難用某種特定或清晰的情況進行解釋，即如何確定到底誰采取了第一個攻擊行動，因而存在被濫用的風險。比如闖入某嫌疑人電腦，確認系統中是否存有被盜的賬戶密碼，這些密碼能用來進行未授權的訪問。如果這類行為被證實為誤判，輕則容易構成涉嫌侵犯隱私、危害他人信息安全，如果是由國家授權的針對他國的行為，則會引發國際事件。

美國共和黨眾議員湯姆·格雷夫斯極力反對 ACDC 法案

而在2021年，另一項名為《網絡攻擊響應選項研究法》的法案要求美國國土安全部評估并修訂現行的《計算機濫用法》，為反擊黑客的攻擊者謀取適當規則和好處，但這項法案也在爭議中付之東流。

安全防御大趨勢——從“守”到“攻”

毫無疑問，近來澳大利亞網絡安全戰略正處在不斷變革的過程之中， 2022年4月，澳大利亞宣布要制定一項為未來10年“鋪路”的數據安全框架，計劃累計投資超90億澳元進一步建設國家網絡安全。雖然到目前為止澳大利亞接連遭受了多次重大網絡攻擊，但在總體框架下，從“守”到“攻”的趨勢越發明顯。

戰略升級：強化攻擊本色

2022 年 8 月 31 日，澳大利亞國防部正式發布該國第一份專門的國防網絡安全戰略——《國防網絡安全戰略》（2022），概述了未來10年加強網絡安全能力的計劃措施。該戰略被認為是自《2016 年國防戰略白皮書》《2020 年國防戰略更新》以來的進一步升級，對網絡安全的重視程度正逐漸加強。在2016年版戰略中，對網絡安全還僅僅是當做一種對國防安全的新型威脅，而在2022年版戰略中，已經將網絡安全置于完成國防使命所需的必要條件的高度，并視為未來沖突的可能前兆和關鍵因素，是澳大利亞成功或失敗的決定性因素。

在網絡進攻能力建設方面，2016年版戰略主要強調情報、監視、偵察等防御體系建設，而2022年版戰略開始加強對進攻性網絡能力的建設，以提高威懾力，推動國防轉型。戰略提出，將支持塑造威懾和應對的能力，通過制定標準和加強工業伙伴關系來塑造網絡安全環境，通過提高對手活動的可見性來提高威懾能力，通過加強網絡安全態勢監測和限制對手網絡活動來強化應對能力。

全面改革：力圖實現所謂2030愿景

據美國廣播公司今年2月的報道，澳大利亞將全面改革前政府制定的 17 億美元網絡安全計劃，這項改革源自2022年12月8日宣布制定的2023-2030年澳大利亞網絡安全戰略，致力于在2030年讓澳大利亞成為網絡最安全的國家。根據公開的討論文件，政府為應對數據泄露時面臨的網絡安全挑戰，致力于與業界合作，建立一個全國一致的網絡安全框架。政府還宣布將任命一名國家網絡安全協調員“確保以中央協調的方式”處理政府的網絡安全責任。

討論還涉及是否需要進一步修改《2018年關鍵基礎設施安全法》（SOCI法案），根據該法，政府擁有“最后介入”的權力，可以應對與關鍵基礎設施領域、關鍵基礎設施資產相關的嚴重網絡安全事件。但奧尼爾認為這些權力目前過于有限且定義非常狹窄，并沒有實際的協助作用。在接受美國廣播公司采訪時，奧尼爾甚至表示“（現在）這條法律根本沒用，當它真正用于網絡事件時，它根本不值得被印在紙上”。可以預見，改革將提升政府在面對安全事件時的干預能力，尤其是在重大網絡事件發生后進行的事后審查和后果管理方面。在Optus和Medibank兩起重大數據泄露事件發生后，政府就開始考慮禁止向受害企業向攻擊者支付贖金，如果違規支付贖金將被視為違法行為。

角色轉換：在合作中謀求獨立

澳大利亞在網絡威脅防御體系方面一貫重度依賴美英等國，從最早的五眼聯盟到2022年由拜登政府提出的印太戰略都參與其中。但澳大利亞已經開始試圖提升應對網絡安全風險的獨立性與自主性。比如2022年版戰略中曾提到“國防部如何應對網絡威脅并確保其能力免受對手的攻擊，需要整個國防系統的一致和協調努力，從澳大利亞國防軍（ADF）和澳大利亞公共服務人員（APS）到國防的行業合作伙伴和供應鏈。這個系統的每個部分都在確保網絡安全方面發揮作用。需要整合國防供應鏈和加強國防供應鏈上的自主性，來確保國防網絡安全。”

在國際合作型事務中，澳大利亞也正謀求從參與者角色轉向自主領導型角色的轉變。2023年1月27日，由澳大利亞擔當首任主席國，包括美國、英國、法國、德國等36個成員國在內的的國際反勒索軟件工作組正式開始運作，旨在破壞、打擊和防御日益增加的勒索軟件威脅。

隨著網絡威脅對澳大利亞造成的持續創傷，這個地廣人稀的南半球大國正試圖對黑客亮出自己的鐵腕姿態，至于有多鐵，是否會使國際網絡環境變得更為復雜嚴峻，還有待觀察它在反擊之路上如何走出下一步。