解读重大勒索攻击事件下的网络安全态势及应对
2021-08-17
来源: 中国信息安全
当地时间 5 月 7 日,美国最大成品油管道运营商科洛尼尔管道运输公司遭到勒索软件攻击,5500 英里输油管被迫停运,致使美国交通部下属的联邦汽车运输安全管理局发布“区域紧急状态声明”。美国情报部门及网络安全公司调查显示,攻击科洛尼尔公司的勒索软件团伙是“黑暗面”。虽然目前尚无明确证据表明有国家力量直接参与这一攻击事件,但不可否认的是,该勒索攻击的破坏潜力已经与国家 APT 组织无异。这一事件表明,在网络安全威胁的结构性分析中,非国家行为体的比重将迅速加大,上升为与国家行为体并列的“主变量”。现存由政府主导、单边主义盛行的网络空间治理版图,也将被迫向多利益相关方的、多边主义的网络空间秩序转进,网络安全态势正在发生重大变化,维护网络空间安全面临越来越多挑战。
一、美国燃油管道商遭勒索事件是首个网络犯罪背景的造成国家级基础设施破坏的定向攻击事件,宣告网络安全威胁的结构性重塑
(一)勒索软件的进化源于内部技术迭代和外部国家冲突的双重诱因
勒索软件攻击大致可以归为恶意软件发展的第三阶段。第一阶段是传统意义上的计算机病毒,在20 世纪 90 年代起开始活跃,特点是受害者的高感知度,以及短时期内大范围爆发的社会影响力;第二阶段是以信息窃密为主的恶意软件,特点是隐秘性强、受害者感知度低,除非经媒体渲染否则社会影响有限;第三阶段是勒索软件,特点是兼具第一阶段的传播效应和第二阶段的窃密能力。勒索软件虽然历史悠久,早在 1989 年哈佛学生约瑟夫·L·波普就编写了第一款勒索软件 AIDS 木马,但直到暗网、虚拟货币等技术趋于成熟后,勒索软件攻击这种网络逐利行为才大面积爆发并延续至今。
勒索软件入侵能力的革命性升级,始于与国家网络武器相结合,这构成了网络空间新的重大威胁来源。国家冲突向网络空间的映射,加速了网络空间的军备竞赛,而网络武器能复制、易拷贝的特殊属性,导致网络军备扩散难以控制。2017 年 5 月至7 月,以“永恒之蓝”(Eternal Blue)为代表的勒索软件在不同国家和地区相继爆发,相比此前较传统的勒索攻击事件,这两款软件在技术和构成上具有显著升级,达到了武器级水准。原因在于,“想哭”(WannaCry)病毒利用了美国国家安全局 2016 年泄露的网络工具“永恒之蓝”。尽管“永恒之蓝”本身没有直接的毁伤功能,但具备大规模传播和扩散的能力,其作为国家网络武器的典型特征,在于对微软视窗操作系统零日漏洞的挖掘和利用上。零日漏洞具有典型的难发现、易利用特点,只有具备网络空间领先实力的技术优势国家才能实现挖掘。勒索软件一旦融合这种新的传播工具,其攻击能力和毁伤效果立刻得到大幅度提升,导致一直以逐利为目的的勒索软件转而具备作为网络武器加以利用的战略潜力,成为全球网络空间面临的重大威胁。
图 1 重大威胁勒索软件应用到的关键技术
(二)美国燃油管道商遭勒索攻击的鲜明技术特征已趋近于网络战行动
行业分析认为,“黑暗面”组织位于俄罗斯境内。由于没有证据表明俄政府直接参与,因此排除了这是一起国家主导的网络战行动。“黑暗面”对科洛尼尔公司的勒索攻击,是首个非政府、非国家背景,造成国家级基础设施破坏的定向攻击事件。此次攻击事件具有以下鲜明特征:一是目标针对性极强且定向,“黑暗面”宣称从不针对医疗、政府、教育、非盈利组织等实施攻击,此次勒索事件延续了该组织对能源企业的“偏好”;二是长期持续性潜伏渗透,“黑暗面”对目标进行了长达数周乃至数月的技术分析工作,包括会计数据、执行数据、销售数据、客户支持数据、营销数据等核心价值数据;三是双重勒索性,为了确保成功胁迫用户缴纳赎金,除了加密数据外,窃取了大量重要数据信息,以“若不支付赎金就会公布核心数据”为筹码;四是攻击过程趋于 APT 化,这是此次勒索攻击最为重要的特征,其使用了大量渗透测试工具针对目标网络系统实施漏洞扫描和入侵渗透,并在进入内网后进一步横向移动攻击,甚至攻击 Windows 域控服务器,企图控制整个企业内网。整个攻击行为的专业化、精准化程度,与既往的国家 APT 攻击过程毫无差别,其破坏能力高度接近于国家实施的网络战行动。
(三)网络安全威胁结构分析将面临国家、非国家行为体并行的“双主变量”
按照发起者不同,网络安全威胁可以分为三类,分别源自作为个体的黑客、犯罪集团或恐怖组织、国家或国家支持的组织。不同主体的网络攻击在生命周期、针对性、技术门槛、经济成本以及造成影响等方面存在较大差异。其中,源自国家或国家支持组织网络威胁的最大区别,在于其发起网络攻击的目标常常是目标国的关键基础设施或军事设施,能够产生物理性的操控、瘫痪或毁伤效果。这类网络攻击活动日益影响国际安全形势,如 2020 年 7 月,时任美国总统特朗普公开证实曾于 2018 年批准对俄罗斯互联网研究所的网络攻击行动,并承认该攻击是在美俄两国对抗日益激烈的背景下进行的。而保护本国的关键基础设施不受敌对国家网络攻击,已经成为各国政府在网络安全领域面临的首要任务。
网络空间技术深刻重塑国际政治的内涵与形态,围绕技术的争夺和秩序构建是 21 世纪国际战略竞争的关键,这将国际政治从“地缘政治时代”推向“技术政治时代”。但是,主要国家网络空间战略的制定,仍然延续地缘政治聚焦国家对手的思路,对非国家行为体关注较少或未曾关注。2017 年版美国《国家安全战略》将大国竞争定位为国家安全的首要威胁,将中俄列为战略竞争对手。在此背景下,美军网络空间政策进行大幅调整,将网络空间竞争确定为国家战略性竞争,提出要用对抗性手段积极应对。2018 年 4 月,美军网络司令部发布新战略——《实现和维护网络空间优势:美军网络司令部指挥构想》,提出“持续交手”(PersistentEngagement)的战略概念。“持续交手”战略的预置前提是,美国面临的网络空间重大威胁均来自国家对手。随着能力比肩国家的网络犯罪组织出现,这一战略的合理性遭到严重挑战。未来任何国家分析网络安全威胁,都必须高度重视非国家行为体的破坏性影响,全球网络安全威胁结构也正式迎来国家、非国家行为体并行的“双主变量”。
二、“黑暗面”网络犯罪组织的发展体现了信息时代非国家行为体被持续赋权的必然趋势,国家安全及国际关系面临新的重大变革
美国燃油管道商遭“黑暗面”勒索攻击事件,是非国家行为体对网络空间重大影响的缩影。进入21 世纪,世界正处于第四次科技革命浪潮,以互联网、大数据、人工智能和物联网为驱动力。与以往以蒸汽机、电力和原子能为代表的工业革命不同,以互联网为代表的信息技术浪潮对国际政治的影响是由下至上的,它首先改变的是人们的思想和生活方式,接下来才逐步实现与传统工业的融合,从而重构经济发展、社会秩序与政府治理模式。在由下至上的传导过程中,非国家行为体在网络空间被持续赋权,其作用和影响得到不断加强。这一趋势,对国家安全、国际关系都带来了巨大影响。
(一)网络安全突破国家对传统安全领域的治理维度
在 2011 年出版的《权力大未来》一书中,约瑟夫·奈特别分析了基于网络产生的权力。他认为,国家不是网络空间唯一的行为体,权力正在从国家行为体向非国家行为体扩散。如果说网民个体由信息消费者向生产者的角色转换使其获得了更大的政治话语权,那么作为数字时代排头兵的互联网企业则凭借其对数字时代关键资源的掌控能力,在国家的经济和政治生活中获得了更大的影响力和主导权。随着互联网公司和平台的不断发展和壮大,少数科技巨头所掌控的经济和社会资源几乎可以与国家相抗衡 ,并且对现有的经济、政治和社会秩序带来冲击和挑战。网络空间黑客、犯罪集团或恐怖主义组织等非国家行为体对传统国家权力的挑战则更为直接。2014 年,约瑟夫·奈提出了网络空间治理的机制复合体理论,通过建立一个多维度的规范性框架,分别对网络安全的不同议题进行剖析,以此来确定在特定议题下的主导行为体。
(二)网络空间或将成为诱发国家间战争的高危地带
网络空间始终处于国家间低烈度的对抗状态。由于网络攻防的破坏性明显低于传统火力打击,不具备升级为国家战争的危险,因此部分学者将网络空间归为“灰色地带”。但是,随着部分国家具备通过网络破坏基础设施的能力,网络空间将成为能够决定国家存亡的战场。更加危险的是,当非国家行为体掌握这类网络武器,一方面,能够对目标国家造成堪比战争的巨大破坏;另一方面,网络空间难以溯源归因的特殊属性,决定了非国家行为体可以隐藏身份甚至转嫁责任,制造国家间因错误的网络归罪升级为战争的风险。从近年看,网络冲突数量总体保持上升。其中,固然有多个国家将现实矛盾延伸到网络空间的原因,同时,大量民众、网络犯罪组织乃至网络恐怖势力在国家网络冲突掩护下的趁乱入局也不容忽视。当前,美国等多个西方国家的网络空间战略奉行进攻立场,这一立场在面对日趋严重、主体日趋多样的网络安全威胁时,极有可能被误导利用,导致大国间战争。
三、武器级恶意软件扩散将催生全球网络安全态势产生新契机,我国需在网络安全态势复杂演变的不确定中锚定确定性,塑造对我国整体有利的网络态势
在科洛尼尔公司遭勒索攻击事件爆发前的 4 月下旬,拜登政府刚刚出台一项提振能源供应体系网络安全的“百日计划”。这次攻击事件充分暴露出传统军事强国在网络空间的脆弱性。与现实空间不同的是,网络空间存在“玻璃房效应”,军事实力的绝对优势并不意味着绝对的安全。一国的互联网融入程度越高,对网络空间的依赖越大,在面对网络攻击等安全威胁时的脆弱性就越大。勒索攻击等重大网络安全事件,提供了重新凝聚网络空间共识的关键着力点,也为我国塑造持续稳定的网络安全态势提供了有益契机。
(一)“数字共同体路线”的可持续性进一步凸显
网络空间战略竞争既有数字经济、军事实力和科技主导权之争,更有网络空间的路线之争,具有代表性的有中国坚持的“数字共同体路线”与美国渲染的“数字冷战路线”。习近平总书记指出:“互联网发展是无国界的、无边界的,利用好、发展好、治理好互联网必须深化网络空间国际合作,携手构建网络空间命运共同体。”我国将网络空间视为主权空间,反对传统霸权主义向网络空间的新延伸,呼吁在尊重网络空间主权的基础上,共同构筑和维护全球网络空间家园,共同应对网络犯罪、网络窃密、网络恐怖主义活动等全球公害。同时,许多国家、企业、民间团体等均提出了自己的主张,如 2018 年法国总统马克龙提出互联网全球共管“九点倡议”,2019 年万维网之父蒂姆·李提出《互联网契约》囊括的“九条原则”。此外,联合国着眼网络空间和平、网络犯罪、数字经济、网络信息内容、新兴技术等多个层面,协调推进网络空间全球治理多个议题。这些倡议和主张在内容上虽然存在较大差异,但都体现了“数字共同体”的基本原则。
支持“数字共同体路线”的行为主体从全球视角出发寻求共同解决方案,但仍有许多行为主体正在推动网络空间走向“数字冷战”。2020 年 8 月 5日,在新冠肺炎疫情肆虐全球的背景下,时任美国国务卿蓬佩奥推出“清洁网络计划”六方面政策措施,以单边主义行动强制整合全球互联网治理的对话版图,跳跃式地将传统军事领域的假想敌延伸到数字经济领域。网络空间的和平路线严重受阻,数字经济合作的机遇期和窗口期迅速收缩,关于互联网分裂、互联网碎片化、互联网巴尔干化以及数字孤岛的讨论骤然增多。随着勒索攻击等网络空间共同威胁的持续恶化,特别是武器级勒索软件扩散不断加大战争风险,两种路线的优劣对比将更加清晰,基于“数字共同体路线”、凝聚更多共识、更加强调共同参与的网络空间新生态或将出现。
(二)全球网络空间重大威胁应对离不开中国作用
网络空间是一个复杂的多元复合体,依靠不同国家、不同行为体的多利益相关方框架是应对网络空间重大威胁的必然选择。特别是中国作为全球第二大数字经济体,必然要在其中发挥大国作用。美国在国际范围内极力倡导网络空间“三不”原则:互不网络攻击核指控系统、互不破坏金融系统的数据完整性、互不在供应链中设置后门。这些原则暴露了美国在网络空间的软肋。当前,美国核指控系统、金融系统在内的重要网络平台正受到网络犯罪集团、恐怖主义组织的威胁,“太阳风”事件进一步暴露出美国供应链安全的脆弱性。我国可在应对网络勒索攻击、网络恐怖活动等具有国际共识的议题上,积极回应美国等西方国家关切,主动协调大国立场,抵消少数不负责任国家制造的对抗状态,构建网络空间互信,促进网络空间态势整体稳定。
(三)强化网络攻击公开溯源等议题中的多利益相关方作用
网络攻击公开溯源是网络空间国际合作的核心议题。长期以来,美国把控公开溯源规则制定,并利用其主导地位对别国栽赃嫁祸,将非国家行为诬称为国家行为,甚至将自身的不负责任行为描述成是别国所为。目前,我国在该议题上的话语权仍极为有限。未来,必须提升多利益相关方在该领域的话语权,积极发挥我国互联网经济体量、技术创新等优势地位的影响力;鼓励国内网络安全非政府组织、企业等广泛参与公开溯源,更好运用法律、技术、安全的关联性,以复合化手段应对复合化博弈,丰富网络空间博弈手段、拓展博弈空间;支持和参与联合国框架下的网络攻击公开溯源国际规则制定,对冲美国“既当裁判、又当选手”的特殊地位;推动建立不受美西方操控、国际公认的第三方溯源机构,对网络攻击行为进行公开公正的溯源。