网络攻击,特别是APT攻击对国家安全产生深远影响。国家间网络空间博弈日益需要一种有效方式,可以获取网络斗争的主动权和威慑力。现在网络归因得到越来越多国家的重视,在国家网络战略中屡屡被提及。

《美国政府网络归因实力分析报告》基于对互联网大量公开资料的分析,总结美国政府在网络归因领域的主要成果、优势及战略动向等,揭示了美国政府网络归因综合实力和战略动向,为相关部门的网络空间安全建设提供参考。

一、美国政府网络归因实力评估

网络归因最早是网络安全技术研究领域的一个技术分支,主要聚焦解决寻找网络攻击源头等相关技术问题,强调通过技术手段开展追踪溯源,找到发起攻击的源头,因此很多时候网络归因往往被称作网络溯源。

近年来,网络归因成果常常被当做法律工具和政治工具使用,直接导致网络归因概念脱离了纯技术范畴,外延到了法律和政治领域,网络归因新增了两个需要回答的问题“谁发起的攻击?”和“谁该为攻击负责?”通过网络归因手段可以完成技术目标、法律目标和政治目标等不同目标。

美国政府的网络归因综合实力在全球范围内最强毫无争议,这得益于美国政府一直以来对网络归因的独特作用十分看重,得益于取得了远远领先他国的网络归因成果,得益于在技术、法律和政治多个维度产生了巨大的效益。

(一)美国政府历来重视网络归因

美国官方研究网络归因技术最早出现在2003年。David A. Wheeler等人受美国国防部 (DoD)委托进行相关技术研究,发表了一篇名为《网络攻击归因技术》的论文,明确提出了对网络归因的定义,总结了对通过网络开展计算机攻击的攻击者进行归因的各种技术,回答了美国国防部“是否应该提高其网络归因能力,如果是以及如何提高”等问题,标志着网络归因首次进入美国官方视野。

2012年时任国防部长莱昂·帕内塔 (Leon Panetta) 表示,国防部“在解决确定网络攻击来源这一高难度问题上取得进展。在过去的两年里,国防部已经投入大量投资在取证领域以解决归因问题,现在,我们看到了该投资的回报。潜在的侵略者应该意识到美国有能力找到他们,并让他们对他们可能尝试伤害美国的网络行为负责。”

2015年发布的国防部网络战略指出,“归因是有效的网络威慑策略,因为国家和非国家团体实施恶意网络活动通常采取匿名方式。在情报、归因和警告方面,国防部情报界在收集所有来源方面投入了大量资金,建立了情报分析和网络归因能力,这些能力有助于揭露行动者的网络角色,确定攻击的起源点,并确定其战术、技术和程序。归因使得国防部或其他机构对即将到来的网络攻击能够进行响应和拒绝操作。”。

2018年,特朗普政府发布的《国家网络战略》立足于四大关键性支柱:保护政府网络与关键基础设施;发展创新与网络人力;通过提高美国归因能力以阻止恶意网络活动;向国外输出开放及自由的互联网价值主张。“支柱三——以实力维护和平”强调一种更具前瞻性的姿态,旨在促进建立“网络空间中负责任的国家行为框架”,并通过针对恶意活动实施“迅速、高成本且透明的制裁性措施”作为综合性战略,从而加强针对美国及其合作伙伴的恶意网络活动的归因与制止性努力。其中,将侧重于建立领先、客观的协作性情报收集工作,从而实现对网络空间内恶意行为的网络归因与阻止。

(二)美国政府网络归因成果丰硕

美国政府一直将网络归因视为其践行网络威慑战略的重要组成部分,以期通过网络归因结果达到威慑对手、团结盟友和提升自身防御的目的。根据不完全统计,截至2019年,美国政府发布了16份官方声明,明确归因了与民族国家有关联的行为者针对美国个人或企业的网络活动,如图所示。

美国政府的安全事件归因时间线

数据表明,美国政府公开归因的频率在不断增加。在归因时间、模式、支持归因的证据类型或程度、信心水平,还是在归因后是否有其他惩罚措施方面,美国政府没有采取标准化的归因方法。例如,2017年WannaCry的归属和2018年NotPetya的归属涉及与国际合作伙伴的协调声明。正是通过利用这些网络归因的成果作为依据,使得美国政府自己认为其在网络空间国际争端中能够占得先机。

1、为施压他国谋取利益充当政治谈判筹码

斯诺登事件后,美国政府拥有世界上实力最强、规模最大的网络空间攻击队伍已成为不争事实。为扭转其在世界舆论场的不利局面,美国政府加大了对他国网络攻击活动的网络归因,将自己塑造成网络空间领域最大“无辜受害者”的形象,在博取国际舆论支持的同时,更将其作为政治筹码在国际争端中向他国施压,进而谋求超额利益。

美国政府明确将太阳风攻击事件和输油管道Colonial公司受到的勒索软件攻击归因为俄罗斯官方黑客和民间黑客组织,并将相关网络归因作为证据用于司法起诉,除此之外,拜登政府在多个场合与俄罗斯总统会晤,向俄罗斯施加压力。2021年6月美国总统乔拜登在日内瓦与俄罗斯总统普京会晤,明确表示关键基础设施是网络攻击的“禁区”,否则将遭到美国包括非军事手段的严厉报复。2021年7月,拜登总统与普京总统通电话,要求俄罗斯采取行动打击在俄罗斯领土上活动的勒索软件组织,并强调他致力于继续应对勒索软件构成的更广泛威胁。乔拜登总统告诉普京总统,美国将采取“任何必要的行动”来阻止来自俄罗斯的网络攻击。

中美两国贸易争端以来,特朗普和拜登两届政府均有意识的将经济争端扩大到政治、科技、金融、安全等领域,企图通过所谓“组合拳”逼迫中国接受条件。特别的,将数起网络归因为中国的所谓网络攻击案例作为证据,同时以影响美国国家安全为由,任意制裁打压中国高科技企业,禁止投资中国国防军工部门,禁止投资中国监控技术公司,对华为公私实施芯片封锁,行政命令禁用微信、抖音等互联网应用APP等等。

2、为制裁组织指控个人提交关键法律依据

美国政府最常提到的首要动机是促进网络空间的威慑,特别是在给予网络攻击肇事者制裁惩罚方面不遗余力,此时,官方网络归因的结果往往被作为司法起诉的呈堂证供,发挥着关键证据的作用。

美国政府将网络归因是经济制裁或刑事起诉的先决条件,对外公开网络归因结果是美国政府惩罚行为人行为的初步和必要措施。根据不完全统计,美国政府通过网络归因制裁起诉国外组织个人的案件共有18项,主要涉及中国、俄罗斯、伊朗、朝鲜等民族国家,其中针对中国的司法起诉5项,针对俄罗斯的制裁和司法起诉6项,针对朝鲜的制裁和司法起诉4项,针对伊朗的司法起诉3项。

2021年4月15日,拜登总统签署了一项新的制裁行政命令。在行政命令中,美国正式将俄罗斯外国情报局 (SVR)(也称为 APT 29、Cozy Bear 和 The Dukes)认定为参与利用 SolarWinds Orion平台和其他信息技术开展广泛网络间谍活动的网络肇事者,同时美国情报界对其对 SVR组织的网络归因的评估充满信心。根据行政命令,财政部发布指令,禁止美国金融机构参与俄罗斯联邦中央银行、俄罗斯联邦国家财富基金或财政部于2021年6月 14日之后发行的卢布或非卢布计价债券的一级市场;向俄罗斯联邦中央银行、俄罗斯联邦国民财富基金或俄罗斯联邦财政部提供卢布或非卢布计价资金。该指令授权美国政府酌情扩大对俄罗斯的主权债务制裁。此外,美国财政部还制裁了32家实体和个人,这些实体和个人在俄罗斯政府指导下试图影响2020年美国总统大选,以及其他虚假信息和干扰行为。这一行动旨在破坏俄罗斯官员、代理人和情报机构为使我们的选举过程合法化而进行的协调努力。

2021年2月17日,美国司法部起诉三名所谓朝鲜军事黑客在全球范围内实施网络攻击和金融犯罪,起诉书指控三名朝鲜计算机程序员参与广泛的犯罪阴谋进行一系列破坏性网络攻击,从金融机构和公司窃取和勒索超过13 亿美元的资金和加密货币,以创建和部署多个恶意加密货币应用程序,以及开发和欺诈性营销区块链平台,列举了2018年详细攻击索尼影业和创建WannaCr勒索软件的案件。

2020年9月16日,两名伊朗国民在针对美国、欧洲和中东的计算机系统的网络盗窃活动中被指控,美国司法部指控两名伊朗国民参与协调网络入侵活动——有时是在伊朗伊斯兰共和国(伊朗)政府的要求下——针对新泽西州、美国其他地方、欧洲和中东的计算机,其中通常包括与国家安全、外交政策情报、非军事核信息、航空航天数据、人权活动家信息、受害者财务信息和个人身份信息有关的机密通信和知识产权,包括未发表的科学研究。在某些情况下,被告的黑客攻击是出于政治动机或在伊朗的要求下进行的,包括他们获取有关持不同政见者、人权活动家和反对派领导人的信息的情况。

3、为提升国家防护能力给出权威技术建议

美国官方认为公开分享网络归因结果有助于建立更有效的网络防御的信息,有助于“通过拒绝进行威慑”。网络归因有助于引起公众对这些技术指标发布的关注,并提高对网络安全威胁行为体、媒介和缓解战略的认识。特别的,针对一些影响范围广、危害性的网络事件,美国政府相关部门会发布官方的网络安全公告,在发布网络归因结果的同时,会详细阐述网络攻击者采用的网络攻击战法、技术及其使用的工具,同时会给出专业性的攻击缓解和网络防御建议措施。

比如,2021年4月15日,美国国家安全局 (NSA)、网络安全和基础设施安全局 (CISA) 和联邦调查局 (FBI)联合发布了网络安全公告,“俄罗斯 SVR 瞄准美国和盟国网络”,称俄罗斯对外情报单位 (SVR) 利用五个公开已知漏洞对美国及其盟友发动网络攻击。

此类网络安全公告的发布单位因为官方背景,具有很强的权威性,因此得到民营企业和国内民众的高度重视,报告中涉及的防御缓解措施实操性往往比较强,在实际环境中很容易得到落实。长期来看,官方网络安全公告对于提升美国国家的整体安全防护水平起到了积极推动作用。

4、为制定规则划定红线达成所谓国际共识

美国为维护其在国际社会中的霸权地位,往往会通过各种组织建立盟友圈子,抢夺国际话语权和规则制定权。在网络空间领域同样如此,斯诺登曝光的报告中,美国和五眼联盟国家很早就建立起全球网络空间监控网络,联合对全球进行情报监控。在网络归因方面,美国同盟友一道合作,在充实完善网络归因证据链条的同时,网络归因的规则评判及惩罚措施方面也制定了一系列有利于自身的规则共识,在没有国际公认的法律标准之前,企图将美国主导的网络归因的评判标准当作事实上的国际标准。

美国财政部与欧盟、英国、澳大利亚和加拿大合作,制裁了八名与俄罗斯在克里米亚持续占领和镇压有关的个人和实体,指控这些实体和个人在俄罗斯在乌克兰东部接触线、被占领的克里米亚和乌克兰边界沿线的单方面挑衅活动中,通过在互联网上发布煽动性言论和配合俄罗斯军事集结活动对乌克兰的网络攻击行动。

此外,美国政府在各种国际会议场合,将其网络归因作为网络空间中的不负责任或不当行为(如规范构建)形成国际共识,同盟友国家就国家网络行为的“红线”达成一致,便于它们能够更好地协调和实施集体惩罚行动。比如在WannaCry和NotPetya网络攻击中,协调五眼(FVEY)联盟国家集体合作开展网络归因,并在这些案件侦办过程中协调行动,同时在通过国际舆论引导进一步调动国际关注和集体反应。由此表明,美国政府选择公开将网络事件归因,除了威慑之外,还有一个重要的考量,就是促使以美国为主导的网络归因规则成为未来国际规范建设工作的重点内容,以及如何团结国际社会对网络攻击活动采取协调一致的行动。

美国一直在网络归因国际规则的制定方面频频发声,微软公司提议建立“一个解决网络归因问题的公私论坛”,大西洋理事会(该组织被美国、北约成员国等25个国家政府资助)呼吁成立一个多边“针对上升到法律层面解决网络攻击“武装冲突”的归因和裁决委员会”;兰德公司则在一项研究中呼吁成立一个由非国家行为者组成的“全球网络归因联盟”。

此外,在联合国及其国际电信联盟(ITU)相关的论坛中,美国正试图在领导全球网络安全倡议的制定。美国对国际电联制定的全球规范的赞助将加强各国之间的合作,以创造一个更安全的网络生态系统。

美国政府一直不遗余力在资金、技术和标准上支持跨国组织开展网络归因工作,可以说主导了网络归因国际规则的话语权,谋求与盟友在网络归因方面取得共识,进而促使盟友在国际网络争端中与美国保持一致。

二、美国政府网络归因的主要优势

美国政府在网络归因领域起步较早,已经建立起和国家地位相匹配的优势地位,归纳起来其在五个方面的优势比较突出。

(一)政府主导的组织优势

美国政府很早就将网络归因作为一项由官方主导的重要工作。美国国家安全局 (NSA)、网络安全和基础设施安全局 (CISA) 、联邦调查局 (FBI)、美国司法部、美国财政部等多个政府部门均在不同程度上参与网络归因相关工作。

FBI:2016年总统政策指令“美国网络事件协调”指定FBI作为“威胁响应”活动的领导,包括提供网络归因。ODNI通过网络威胁情报集成中心(CTIC)并由整个情报界提供分析,在提供情报支持方面处于领先地位。

国土安全部,特别是其下属的网络安全和基础设施安全局 (CISA),主要提供证据或分析,帮助美国政府达成归因。

美国国家安全局 (NSA)重点开展境外网络归因工作,同时利用其技术优势对其他部门提供技术支持。

美国财政部:作为第13694号行政命令的一部分,美国财政部通过外国资产管制办公室(OFAC)有权对恶意网络活动的实体进行定性和制裁。根据现有证据的类型、范围和重要性,归因结果可能在不同程度的分析置信度下得出。

美国司法部则主要根据网络归因结果配合进行司法诉讼。

在网络归因过程中,美国的不同机构可能不会以同样的方式评估证据,并且可能会在归属或信任标准方面存在分歧。一旦达成归因,美国政府会根据自身需要选择多种形式利用网络归因成果,主要包括政府高层公开声明、国会声明、政府公告、技术发布、情报评估和刑事起诉等形式,将网络归因成果效益最大化。

(二)切实可行的标准优势

1、美国政府主导制定的官方标准规范。

美国国家情报总监和国家网络情报办公室于2018年9月14日共同撰写了《网络归因指南》,该指南解释了美国情报界 (IC)用来识别犯罪者的关键概念恶意网络活动并进行网络归因的方法步骤,确定了几个关键指标来评估和确定责任为一次攻击,确定了评估网络归因和展示相关信息的最佳实践评估。

《指南》认识到每一种网络操作——无论是否恶意——都会留下痕迹。我们的分析师使用这些信息,以及他们对先前事件的了解以及已知恶意行为者的工具和方法,以试图追踪这些操作回到它们的源头。分析师将新信息与现有知识进行比较,权衡为他们的判断确定置信水平的证据,并考虑替代假设和产生网络归因评估的模糊性。希望通过一种通用的归因方法有助于标准化与决策者的沟通网络归因并促进数据的及时共享和分析协作。

《指南》将网络归因视为国家应对网络攻击活动的第一步。

《指南》明确了网络归因过程中4类主要的首要关键指标。将攻击归因于特定国家或行为者需要收集尽可能多的数据来确定与在线参与者、个人和实体的联系。因为这通常会导致数百个冲突指标,确定了关键指标,以指导我们寻求及时、准确的归因。首要的指标是攻击手法、基础设施、恶意软件和攻击意图。还依赖外部指标来源,例如来自私营网络安全公司的开源报告。

《指南》展示了网络归因分析的最佳实践和置信度水平。展示与网络归因相关的分析的最佳实践包括对归因进行分层评估、提供置信水平并确定差距。归因评估通常包括描述事件是否是孤立事件的一系列判断,可能的肇事者、可能的动机以及外国政府是否发挥了作用。

2、美国公私联合制定的行业标准规范

STIX(structured Threat inforamtion eXpression,结构化威胁信息表达式) 由MITRE(一个美国非营利性组织)联合DHS(美国国土安全部)发布,是用来交换威胁情报的一种语言和序列化格式。STIX是开源的、免费的,让哪些有兴趣的人做出贡献并由自由提问。使用STIX规范,开源通过对象书香和描述关系清晰地表示威胁情报中的多方面特征,包括威胁因素、威胁活动、威胁属性等。STIX信息开源直观地展示给分析师,或者以JSON形式存储以便快速地进行机器读取。

STIX的适用场景包括以下四种:

  1. 威胁分析:包括威胁的判断、分析、调查、保留记录等;

  2. 威胁特征分类:通过人工方式或自动化工具将威胁特征进行分类;

  3. 威胁及安全事件应急管理:安全事件的防范、侦测、处理、总结等,对以后的安全事件处置能够有很好的借鉴作用。

  4. 威胁情报分析:用标准化的框架进行威胁情报描述与分享。

(三)价值很高的资源优势

攻击者在网络攻击过程中往往会采取匿名伪装身份、频繁更换网络资源、三方工具改写、清除日志痕迹等多种手段来增加网络归因的难度。如果前期没有积累的话,即便是发现了网络攻击线索,短时间内也很难完成高质量的网络归因工作。2010年,时任国防部副部长威廉·林恩(William Lynn)哀叹网络攻击难以定性,并写道“如果能够确定攻击,那么识别攻击所需的法医工作可能需要数月时间。” ,美国情报机构在长达九个月的时间里甚至没有发现2020年的SolarWinds和Microsoft Exchange攻击,直到2021年4月才宣布SolarWinds的官方归因。

实际上,美国作为全球网络空间技术的引领者,积累储备了大量网络安全资源,这些资源无论是数量规模还是质量价值都很高,如果用于网络归因将产生难以估量的价值。

1.网络漏洞库资源。

NVD是美国国家漏洞数据库,是使用安全内容自动化协议 (SCAP)表示的基于标准的漏洞管理数据存储库。此数据可实现漏洞管理、安全测量和合规性的自动化。NVD包括安全检查表参考、与安全相关的软件缺陷、错误配置、产品名称和影响指标的数据库。

NVD 最初创建于2000年(称为 Internet - Categorization of Attacks Toolkit 或 ICAT),经过多次迭代和改进,并将继续这样做以提供其服务。NVD是NIST计算机安全部门信息技术实验室的产品,由网络安全和基础设施安全局赞助。

2. 恶意样本库资源。

VirusTotal.com是一个免费的病毒、蠕虫、木马和各种恶意软件分析服务,可以针对可疑文件和网址进行快速检测。它与传统杀毒软件的不同之处是它通过多种杀毒引擎扫描文件。使用多种反病毒引擎可以令用户们通过各杀毒引擎的侦测结果,判断上传的文件是否为恶意软件。VirusTotal是 Google 的子公司,是一项免费的在线服务,可分析文件和 URL,从而能够识别病毒、蠕虫、特洛伊木马和其他由防病毒引擎和网站扫描程序检测到的恶意内容。VirusTotal是地球上最丰富、最可行的众包威胁情报平台,过去一年半上传到VirusTotal服务的勒索软件样本数量就超过了8000万个。

3.威胁情报库资源。

OpenIOC是一个开放框架,旨在以机器可读的格式共享威胁情报信息。它由美国网络安全公司MANDIANT于2011年11月开发。它是用可扩展标记语言 (XML)编写的,可以轻松定制以获取更多情报,以便事件响应人员可以将他们的知识转化为标准格式。组织可以利用这种格式与其他组织共享与威胁相关的最新妥协指标 (IoC),从而实现针对最新威胁的实时保护。MANDIANT 维护了超过500个指标定义的OpenIOC基础架构。

4.网络测绘库资源。

Shodan是一种流行的网络安全搜索引擎,用于对联网设备进行安全研究。它允许搜索连接到互联网或暴露在互联网上的设备或计算机。在设备类型中,我们可以包括计算机、服务器、IP 摄像头、网络设备、打印机、移动设备、路由器、交换机等。该工具已被全球数以千计的安全专家、研究人员、CERT、大型组织和其他人使用。

除了网页之外,它还可用于网络摄像头、物联网设备、冰箱、建筑物、智能电视、发电厂等。Shodan 还为其他工具提供了一个公共 API,以便访问 Shodan 的数据。它支持 Nmap、Chrome、Firefox、FOCA、Maltego、Metasploit 等的集成。

可以使用Shodan搜索引擎进行被动侦察。它提供诸如潜在漏洞、ISP、开放端口、主机名、国家/地区 SSL 证书信息、加密算法等信息。

5. 开源代码库资源

GitHub是世界上最大的代码托管平台,是使用Git进行软件开发和版本控制的IInternet托管提供商。它提供了Git的分布式版本控制和源代码管理(SCM)功能,以及它自己的特性。它为每个项目提供访问控制和多种协作功能,例如错误跟踪、功能请求、任务管理、持续集成和wiki。总部位于加利福尼亚州,2018年被微软收购成为其子公司。

它通常用于托管开源项目。截至 2021 年 11 月,GitHub 报告称拥有超过 7300 万开发人员 和超过2亿个存储库(包括至少2800万个公共存储库),是全球最大的源代码托管地。

6. 开源情报库资源

OSRFramework是i3visio 开发的一组 GNU AGPLv3+ 库,用于执行开源智能任务。它们包括对一系列与用户名检查、DNS 查找、信息泄漏研究、深度网络搜索、正则表达式提取等相关的不同应用程序的引用。同时,通过 ad-hoc Maltego 转换,OSRFramework 提供了一种以图形方式进行这些查询的方法,以及与 OSRFConsole 或 Web 界面等交互的多个界面。

OSRFramework是一种用于搜索用户名、域名、电话号码、DNS 查找、信息泄漏研究、深度网络搜索等信息的工具……更快、更高效。

7. 技术情报库资源

美国政府还直接实施大量技术情报监控计划,这些未公开来源的数据资源是美国政府开展网络空间情报收集工作的重要依仗,同时在网络归因方面也能够发挥独特的重要作用。

上游计划 (Upstream)主要用于监听流经海底光缆及通信基础设施的信息。环球电讯公司与NSA签署了《网络安全协议》,这项协议中规定,环球电讯公司需要在美国本土建立一个“网络运行中心”,美国政府官员可以在发出警告后的半小时内进入查访。据悉,环球电讯公司的海底光缆覆盖全球4个大洲的27个国家和地区。Upstream”项目在承载互联网骨干通信内容的光缆上安装分光镜,复制其通信内容; “上游”项目,是从“海底光缆等基础设施收集数据”。

“棱镜”计划是通过谷歌、微软、Facebook等9家互联网企业挖掘数据。“棱镜”计划相当于“下游”项目,因为收集的是经过科技公司加工的数据。

国家安全局经由PRISM获得的数据包括电子邮件、视频和语音交谈、视频、照片、VoIP通话、文件传输、和社交网络上的详细资讯。其中98%的PRISM结果是基于来自雅虎、Google和微软提供的数据。2012年间的《总统每日简报》内共引用了1,477项来自PRISM的数据。

码头计划(MARINA)是储存网上通讯数据(包括Email、网络电话、网上聊天等)及其元数据的数据库。

主干道计划(MAINWAY)负责获取电话通联过程中的“元数据”(能够精确显示通信时间、地点、所用设备以及参与者,不包括通信内容)。

核子计划(NUCLEON)是电话通讯数据库(包括移动电话通讯)。

(四)拥有民间参与的规模优势

美国互联网技术的发源地,无论是政府还是私营部门都十分重视在网络空间安全领域布局发展。根据crunchbase网站统计,美国网络安全公司数量全球第一,为5,541个。根据美国商务部的技术工作跟踪数据库CyberSeek和贸易组织 CompTIA的数据,截至2021年 9月,美国网络安全从业人员总数1,053,468人。众多的网络安全公司和庞大的网络安全人才储备为美国政府开展网络归因提供充分的人才储备。

值得注意的是,私营部门在网络归因领域发挥越来重要的作用。比如,威胁情报公司CrowdStrike将攻击民主党全国委员会(DNC)的行为归咎于与俄罗斯政府密切相关的网络参与者并向政府提交相关证据,FireEye公司先于政府部门发现太阳风网络攻击行为并在两次国会听证会中作证。当前,这些私营部门在网络归因方面的特色和优势正逐渐被美国政府认可和采纳。

FireEye公司在网络攻击溯源分析中梳理出七条技术线索,分别包括:键盘布局(Keyboard Layout)、样本附加信息(Malware Metadata)、内嵌字体(Embedded Fonts)、DNS 注册信息(DNS Registration)、语言文字(Language)、远控工具管理配置(RAT Administration Tool Configuration)、行为模式(Behavior)。

Crowdstrike公司通过基于SaaS模式在其云平台Falcon上为170多个国家的客户提供端点安全、威胁情报和事件响应服务。Falcon平台是基于大数据分析的终端防御平台,可监控企业数据流量,能够检测零日漏洞威胁,并防止针对性攻击对企业安全造成破坏。根据Crowdstrike高管的说法,这个大数据分析云平台帮助Crowdstrike跟踪了解世界各地的黑客团体的活动,使得Crowdstrike一般情况下可以定位出发起攻击的组织并将制止黑客攻击活动。

Recorded Future公司是全球最大的开源情报公司,提供多款开源情报产品,包括Cyber、DarkWeb、威胁监控等等。该公司的核心技术在于可以通过扫描并分析成千上万网站、博客、twitter帐户的信息来找到目前和未来人们、组织、活动和事件之间的关联性。公司主打产品是一套Web Intelligence Engine平台。该平台工作原理基本是按照情报循环的步骤进行的:首先,从全网获取实时信息:包括开源数据、深网、暗网、Tor网站、论坛、社交网络等;其次,提取和组织威胁信息:使用NLP(natural language processing)和机器学习技术组织重建威胁相关信息(作者,事件,目标和IOCs等),并且声称具备多语言提取技术,包括中文、英文、俄语、阿拉伯语、波斯语等。最后,使威胁信息相关联并提供可指导行动的上下文信息。

博思艾伦(Booz Allen Hamiliton(BAH))咨询公司是一家美国管理咨询公司,是美国情报界最大的承包商之一。2013年爆发的“斯诺登事件”的主角斯诺登,就曾经是该公司的雇员。博思艾伦认为网络威胁防御必不可少的三个力量为:分析工具、专业分析人员以及标准化搜索平台。博思艾伦网络安全方面的分析团队名为DarkLabs,其专有的威胁搜索平台名为DarkLabs Threat Hunting platform,其分析人员通过该平台进行数据搜索、比对和分析。除人工检测工具外,博思艾伦的特色工具为安全信息和事件管理一体化工具(Fusing Security Information and Event Management、SIEM)和终端检测相应工具(Endpoint Detection and Response、EDR),该公司认为这两个工具能够缩短检测时间。

(五)拥有绝对领先的技术优势

美国政府将网络空间视为维持其“世界霸主”地位的重要领地,投入了大量的经费资源开展网络空间攻防技术研究和相关系统建设,通过这些系统平台促使美国在网络归因领域已经拥有全球绝对领先的“发现能力” 、“分析能力”和“追踪能力”。

1.国家级态势感知体系。

美国在2001年就开始规划建设了网络空间安全主动防御体系,将网络空间的威胁预警、入侵防御和安全响应能力相结合,创建跨领域的网络空间态势感知系统,为美国联邦政府和美国军队网络基础设施提供安全保障。该态势感知体系将美国境内(包含离岸)的网络空间中,其认为的敏感区域划分为两个部分(军事网络,联邦网络),分别交由国土安全部(DHS)和国家安全局(NSA)来分别实施细粒度监控,并通过国家标准化技术研究院(NIST)开发的一套威胁情报交换标准,将两家单位掌握的“网络空间威胁情报”进行高效互动,保证了其“网络空间态势感知体系”的效能最大化,输出网络空间威胁分析报告,辅助国家政治战略。

“态势感知体系”分为两个子系统:Einstein系统以及TUTELAGE系统,并分别交由国土安全部的国家网络通信整合中心以及国家安全局(也即网络战司令部)的威胁作战中心进行运行、管理。

“爱因斯坦”计划是美国联邦政府主导的一个网络空间安全自动监测项目,用于监测针对政府网络的入侵行为,保护政府网络系统安全。

TUTELAGE是一套具有网络流量监控、主动防御与反击功能的系统,用于保护美军的网络安全,相关文件显示早至 2009年以前就已投入使用。传统基于日志的防御方法具有时效性差、通常在攻击成功实施后才能发现和应对的问题,而TUTELAGE可以和信号情报(SIGINT)、商业防护工具一起,协作应对威胁。TUTELAGE通过SIGINT提前发现对手的工具、意图并设计反制手段,在对手入侵之前拒止。即使对手成功入侵,也能通过阻断、修改C2指令等方法,缓解威胁。

TUTELAGE系统由美国国家安全局(也即网络战司令部)的威胁作战中心进行运行、管理,具有网络流量监控、主动防御与反击功能,用于保护美军网络基础设施网络安全,同时TAO等网络行动部队也可以在此系统中受到保护。

网络归因的第一步就是尽早发现网络攻击行为,通过这两个系统极大提升了针对美国军事网络和联邦网络这两个重点关注区域的网络攻击威胁预警感知能力, 这一点也得到了美国官方高管的证实。在2015年,时任国家情报总监詹姆斯克拉珀作证说,“政府部门在检测和归因网络入侵方面取得了重大贡献和进步,虽然网络攻击者可能渗透或破坏国家重要信息和通信技术网络,但攻击者不能再假设网络攻击活动能够一直进行而不会被发现,也不能假设如果被发现,他们将能够隐藏他们的身份。”

2.专业化威胁分析框架。

美国在应对网络空间威胁方面十分注重鼓励支持院校及民营企业开展体系化、框架化的威胁分析模型研究,并快速将这些研究成果转化应用,使其网络空间威胁分析能力,特别是攻击溯源能力得到极大提升。

TTP情报模型:

TTP情报是提供给安全分析师及安全运营者使用的情报,关注于恶意软件、漏洞、攻击事件,着重分析其目的、危害、机制、影响范围以及检测防范机制。通过这些情报可以提前预防威胁的发生、或者获取威胁发生时的处理方法,分析师还能通过TTP情报扩展、积累安全狩猎的手段方法。

TTP情报模型主要包含战术(Tactics)、技术(Techniques)、攻击过程(Procedure)三部分内容。

钻石分析模型:

钻石模型(The Diamond Model)是针对网络入侵攻击的分析框架模型,它提供了一个方法,如何将情报集成到分析平台中,基于攻击者的活动来进行事件的关联、分类,并进行预测,同时计划和实施威胁处置策略。

钻石模型是首次将科学原理应用于入侵分析的正式方法:可衡量、可测试和可重复——提供了一个对攻击活动进行记录、(信息)合成、关联的简单、正式和全面的方法。这种科学的方法和简单性可以改善分析的效率、效能和准确性。

钻石模型认为,不论何种入侵活动,其基本元素都是一个个的事件(Event),而每个事件都由以下四个核心特征组成:对手(adversary)、能力(capability)、基础设施(infrastructure)和受害者(victim)。四个核心特征间用连线表示相互间的基本关系,并按照菱形排列,从而形成类似“钻石”形状的结构,因此得名为“钻石模型”。模型还定义了社会-政治关系(对手和受害者之间的)和技术能力(用于确保能力和基础设施可操作性的)两个重要的扩展元特征。

杀伤链分析模型:

网络杀伤链(Intrusion Kill Chain)模型由洛克希德·马丁公司于 2011 年提出,杀伤链模型用于识别和预防网络入侵活动,其精髓在于将网络攻击模型化,有助于指导对网络攻击行动的识别和防御,模型明确提出网络攻防过程中攻防双方互有优势,攻击方必须专一持续,而防守方若能阻断/瓦解攻击方的进攻组织环节,即成功地挫败对手攻击企图。同时,其提供了一种纵深防御的概念,即在攻击最终造成损失的七步中,任何一步的察觉或者阻挡均能有效阻止和阻断。

杀伤链模型将网络空间攻击行为分为七个步骤。包括侦察阶段(Reconnaissance)、武器化阶段(Weaponization)、散布阶段(Delivery)、利用阶段(Exploitation)、安装并控制(Installation)、主动外联(Command & control)、目标达成(Actions on Objectives)。

ATT&CK分析框架:

杀伤链模型将网络攻击模型化,有助于指导对网络攻击行动的识别和防御,但整体上粒度较粗,全面性不足,相应的应对措施也缺乏细节支撑。为解决上述问题,MITRE公司在Kill Chain 的基础上,2013年提出了 ATT&CK 框架,ATT&CK的全称是Adversarial Tactics, Techniques, and Common Knowledge,顾名思义,这并不是一项技术,而是更加底层“知识库”的基础框架。它是一个站在攻击者的视角来描述攻击中各阶段用到的技术的模型,目标是创建网络攻击中使用的已知对抗战术和技术的详尽列表。

ATT&CK框架将入侵全生命周期期间可能发生的情况划分为 12 个阶段,分别为初始访问、执行、权限提升、防御逃避、凭证访问、发现、横向移动、收集、命令与控制、渗出和影响,每个阶段又细分了具体的攻击技术。ATT&CK 提供了对每一项技术的细节描述、用于监测的方法及缓解措施,有助于安全人员更好地了解网络面临的风险并开展防御工作。

NSA/CSS网络威胁技术框架:

NSA 和 CSS 参考各类现有框架,于2018年3月发布了《 NSA/CSS 技术网空威胁框架》(NSA/CSS Technical Cyber Threat Framework)V1版本,该框架是一个基于国家情报总监(DNI)网络威胁框架开发的、与网空行为活动紧密结合的通用技术词典,NSA在整个情报体系内共享这一词典,实现对情报共享、产品研发和作战规划的支撑,促进情报体系各机构间更紧密地合作。

随着网络威胁不断升级,NSA和CSS在“威胁框架”V1的基础上进行调整和延伸,将网络威胁者的主要行动流程进行了标准化划分,形成了“NSA/CSS网络威胁技术框架v2”(NTCTF v2)。该文件是美国国家情报网络威胁框架的技术性延伸,旨在通过使用具有独立运行系统且与行业定义紧密结合的通用技术词典,将对手活动的表征和分类进行标准化,以期为美国政府与合作伙伴、利益相关者讨论对手生命周期中各阶段活动及开展协作提供参考。

“NSA/CSS网络威胁技术框架v2”作为网络技术词典,提供了标准定义的基线,涵盖美国全情报社区的信息共享、产品开发、运营规划和知识驱动的操作等,有助于全社群间对公传播和开展合作,有助于组织检测对手活动,支持知识管理并实现分析工作。从流程上看,NSA将对手开展的网络威胁行动分为六个阶段,分别是行动管理、准备活动、接触目标与进攻突防、持久化驻留潜伏、效果影响、持续支持作业。

网络归因的一个关键问题是如何从众多看似杂乱无章并且不同时间不同来源的威慑感知信息中分析提取出数字证据,这些分析工作不仅仅依靠大数据分析能力,更重要的是建立一套人和机器都能够懂的 “通用分析语言”。美国政府主导的这些标准化分析框架就可以作为开展网络归因工作各方均遵守的“通用分析语言”,能够促进实现威胁情报共享、分析成果互认、部门协作顺畅、工作效率提升。

3.体系化主动追踪手段。

美军依托其主动防御体系,建立起一套有效的网络攻击快速反制机制,同时储备了大量零日漏洞,拥有针对多套网络设备等专业设备包含持久化驻留和隐蔽控制功能的网络武器库,这些主动进攻性网络攻击能力为开展网络归因溯源提供了有力支撑。

美军TUTELAGE系统在发现对手的网络攻击行为时可以快速进行处置,其中在追踪溯源反制方面可以向量子系统发送提示,通过PANDORAS MAYHEM利用量子射手(Quantum Shooter)或通过TURBINE对敌人网络发起攻击,做到第一时间锁定攻击来源。

2017年4月14日,影子经纪人组织曝光了一批NSA的网空攻击装备与相关漏洞的资料。其中的Fuzzbunch 是针对Windows 操作系统的漏洞利用平台,能够向目标主机植入有效载荷,在植入的过程中可直接内存执行,不需要生成实体文件。平台中还包含数个针对特定类型目标,并且可以直接使用的零日漏洞,包括“永恒之蓝”(EternalBlue)、“永恒浪漫”(Eternalromance)等。

可以看到,美国政府,特别是美军早已具备较强的网络攻击反制能力,通过各种先进系统和核心技术突破,促使其能够掌握网络归因的主动权。

三、美国政府网络归因战略动向

美国政府在网络归因领域取得的 “丰硕成果”坚定了其持续投入大量资金加快网络归因手段建设的信心,无论是特朗普时代的“美国优先”战略还是拜登时代的“战略竞争中胜出”的战略,巩固网络归因优势地位始终是重要内容,其决心始终是坚定不移的,其行动举措也是层出不穷的。

(一)发布法律法规政策准则,抢占网络归因话语权

美国政府历来十分注重网络归因手段建设,不断强化网络归因的政治正确性、法律合法性、规则合理性,谋求在网络归因领域的话语权主导,事实上也是如此,虽然目前全球公认的在网络归因方面的规则标准还没有出台,但在实际开展工作与合作过程中,大部分国家政府和民间机构使用的还是美国在网络归因方面的话语体系。

此外,美国政府会根据形势变化情况出台一系列战略、法规、政策,特别是在重大网络攻击事件后,政府为扭转不利局面加紧出台政策法规,加大网络归因方面的投入。比如俄罗斯通过社交媒体影响2016年美国大选的事件、2020年太阳风网络攻击事件以及2021年输油管道Colonial公司受到的勒索软件攻击事件后,美国政府趁势将网络归因提升到国家战略层面。

2018年特朗普政府《国家网络战略》关于网络归因的建议:

特朗普政府在2018年度的国家网络战略明确提出网络归因作为巩固美国实力保持威慑的一个主要支柱。在“支柱三:以实力维护和平”中提出“归因和威慑网络空间中网络攻击行为”,强调情报部门(IC)将继续引领世界使用全源网络情报来推动恶意软件的识别和归因威胁美国国家利益的网络活动。客观可行情报将在整个美国州政府和主要合作伙伴之间共享,识别敌对的外国国家以及非国家网络计划、意图、能力,研究和开发工作,战术和作战活动,通知整个政府对保护美国在国内外的利益。

2020年美国日光浴室(CSC)委员会《分层网络威慑战略》关于网络归因的建议:

2020年在美国日光浴室(CSC)委员会发布的建议报告中提出了《分层网络威慑》战略,网络归因是实施威慑战略的重要组成部分,明确提出改进归因分析和归因决策准则的多条建议意见,(1)通过标准化ODNI的归因指南和评估时间表来实现;(2)建立归因分析工作组(不是常设的,而是指定的),该工作组应包括私营部门的分析和数据,以加快联邦政府的反应;(3)通过应用新兴技术和多样化数据源来提高分析能力,以克服不断变化的技术挑战。建议1.4.1“编纂和加强网络威胁情报集成中心”,通过加强评估归属的聚合和消除冲突实体,进一步支持该建议。

2021年拜登政府在《临时国家安全战略指南》再次强调了网络归因的重要性必要性:

《指南》提到“我们将重申对网络问题国际参与的承诺,与我们的盟友和合作伙伴一起努力维护现有并塑造新的网络空间全球规范。我们将追究网络攻击者的破坏性责任,并且以其他方式阻止恶意网络活动,并通过网络和非网络手段迅速做出反应并。”

在法律法规方面,美国颁布或即将颁布一系列促进网络归因的法案。如,《2021年网络事件通知法案》)《2021年网络事件报告法案》、《网络安全信息共享法案》、《2021 年制裁和阻止勒索软件法案》、《2022财年国防授权法》、《2021年关键基础设施网络事件报告法案》、《网络感知法案》、《2021年网络外交法案》、《网络攻击响应选项法研究法案》等,其中值得关注的是在“S.2875- 2021年网络事件报告法案”中明确规定了网络攻击事件发生后报告政府相关主管部门的时间要求限定为为72小时以内。

(二)强化国际同盟共享合作,提升网络归因公信力

美国政府十分注重与五眼联盟、北约、欧盟等传统盟友合作,一方面避免在网络归因领域成为“孤家寡人”,另一方面将联合盟友形成共识建立有利于自身的网络归因公信力。

1.通过五眼联盟发布公告。近年来,五眼联盟在网络攻击事件响应方面加强协同和情报共享,特别是在网络归因方面合作更加紧密,联合发布了多份将网络攻击归因于特定国家的网络归因公告,比如,将 NotPetya勒索软件的爆发归咎于俄罗斯的军事情报机构GRU,将APT10网络攻击归咎于我国。

2.推动北约发布谴责声明。北约一直以来是以军事同盟面目示人,近年来,在美国主导的下通过网络威慑倡议,要求成员国之间共享情报、共同采取行动应对网络威胁,更进一步,包括美国、英国、荷兰、爱沙尼亚和丹麦在内的国家已公开宣布愿意提供主权进攻性网络效应,以威慑、防御和应对各种威胁。2021年,北约成员国还将网络安全问题提上联盟议程,议题包括发布综合网络防御政策,建立一个将于2023 年全面运作的军事网络空间运营中心,并确认(在2021 年 6 月布鲁塞尔峰会之后)网络事件可能触发北约的共同防御条款。

在网络归因领域,北约2021年发布了引人注目的声明,声明中首次公开谴责某国的网络行为。

3.影响欧盟发布共同声明。美国还加强同欧盟在网络空间安全立场上的协调一致,在2021年7月19日北约发布谴责声明的同一天,欧盟也发布了一份共同声明,声明中附和了美国和北约网络归因的结论,声明内容包含“今天,欧盟及其成员国与合作伙伴一起揭露了严重影响我们的经济、安全、民主和整个社会的恶意网络活动。欧盟及其成员国评估这些恶意网络活动是在某国境内进行的。”、“欧盟及其成员国强烈谴责这些恶意网络活动,这些活动违反了联合国所有成员国认可的负责任的国家行为准则。我们继续敦促某国遵守这些规范,不允许其领土被用于恶意网络活动,并采取一切适当措施和合理可行的步骤来检测、调查和处理这种情况。”等内容。

(三)理顺国内公私协作机制,扩展网络归因资源池

一直以来,美国政府和民间网络公司在网络归因方面各自发展,实质性合作交流较少,美国国防部一度还认为民间网络安全公司在网络归因方面质量不高且标准不统一。但随着民营网络安全公司在技术方面的进步以及积极参与美国政府重大工程项目建设,政府越来越认识到民间网络安全公司是网络归因领域一只不容忽视的力量。

美国政府在网络归因方面逐渐形成政府主导为主,民间私营部门参与,公私密切协同的态势,大力推动“正式的公私合作”、“非正式公私合作”、“私营部门之间的合作”和“政府部门间合作”等各种协作模式的落地实施,不断扩展网络归因资源池,提升网络归因的数量规模和质量标准。

1.开始采纳私营部门网络归因成果。

在2016年6月,威胁情报公司CrowdStrike将针对民主党全国委员会(DNC)的网络攻击行为归因为与俄罗斯政府密切相关的网络攻击者,并与FBI合作将相关证据线索提交给美国政府。几个月后的10月,也就是美国总统选举前一个月,美国政府(USG)通过国土安全部(DHS)和国家情报局局长(DNI)的联合声明公开了官方的网络归因结果。在相关的国会听证会上,美国政府高级领导人被详细询问了他们为确定归属所采用的方法。对此,前联邦调查局局长詹姆斯·科米(James Comey)指出,联邦调查局专家分析了CrowdStrike提供的法医证据和其他技术细节。可以看到,以CrowdStrike为代表私营部门网络归因结论开始得到美国政府官方认可。

2020年底SolarWinds(太阳风)网络攻击事件被火眼(FireEye)公司首先发现并报告给政府,随后在2021年2月和3月两场美国参议院听证会上,微软公司、网络安全公司 FireEye和 CrowdStrike Holdings的高管向国会议员提交了网络归因为俄罗斯黑客的证据,这是首次私营部门在网络归因工作中领先政府部门,事实上,美国政府相关部门并没有掌握相关线索,而在美国政府随后发布的官方网络归因结果也能证实这一点,其网络归因主要采用的是私营部门的分析成果。

美国政府已经认识到在网络归因领域私营部门和政府部门各有优势。

2.借助私营部门资源共建 “预警网络”。

在2020年CSC发布的《分层网络威慑战略》中,明确提出了“国家情报局长办公室(ODNI)应通过国土安全部和联邦调查局与私营部门合作,改进归因分析”建议。其中一项具体举措就是建立“联合协作环境”,这是一个基于云的公共环境,联邦政府的非机密和机密网络威胁信息、恶意软件取证、,监控计划中的网络数据尽可能广泛地用于查询和分析。初始阶段将集中于整个联邦政府计划的整合,以及与具有系统重要性的16个关键基础设施部门整合,而后续阶段的重点将是将此环境扩展到更大的关键基础设施用户群,包括ISAC。该计划将实现“政府整体”和公私合作的网络安全承诺,确保每个部门或机构以及私营部门的网络数据、网络威胁情报和恶意软件取证以机器速度进行全面检测和分析。

3.将私营部门纳入国家网络防御计划。

2021年8月,网络安全和基础设施安全局 (CISA) 宣布成立联合网络防御协作组织 (JCDC),新的机构将领导制定国家网络防御计划,该计划概述了预防和减少网络入侵影响的活动。利用2021年《国防授权法》(NDAA) 提供的新权限,JCDC将汇集公共和私营部门实体,以统一深思熟虑的危机行动计划,同时协调这些计划的综合执行。这些计划将通过协调行动来识别、防御、检测和响应针对美国关键基础设施或国家利益的恶意网络活动,从而提高国家的复原力。

JCDC的联合网络规划办公室将由来自整个联邦政府的代表组成,包括国土安全部 (DHS)、司法部 (DOJ)、美国网络司令部 (USCYBERCOM)、国家安全局 (NSA) 、联邦调查局 (FBI) 和国家情报总监办公室 (ODNI)。此外,JCDC将与自愿合作伙伴协商,包括州、地方、部落和地区 (SLTT) 政府、信息共享和分析组织和中心 (ISAO/ISAC),以及关键信息系统的所有者和运营商,以及其他私人实体。

参与JCDC的最初行业合作伙伴包括 Amazon Web Services、AT&T、CrowdStrike、FireEye Mandiant、Google Cloud、Lumen、Microsoft、Palo Alto Networks 和 Verizon。

可以看到,联合防御协作组织的成立,某种意义上给予了私营部门“半官方”的身份地位,激发了私营部门参与网络归因工作的积极性,事实扩展和加强了参与网络归因工作的力量。

(四)加强新兴技术应用研发,提升网络归因置信度

美国政府十分注重新兴技术的创新应用,美国国防高级研究计划局 (DARPA)负责提出创新性的课题计划进行前瞻性的研究。

在网络归因领域同样如此,DARPA研究人员正在识别和解决威胁全球稳定的关键网络漏洞和安全。以往网络空间中的恶意行为者事实上几乎不担心被抓获,在某些情况下甚至不可能将恶意行为归咎于特定个人的网络空间。网络归因困难的原因至少部分源于缺乏当前互联网基础设施中的端到端问责制。

为了解决这个问题,DARPA已着手资助网络安全威胁归因的根本转变。于2016年5月12日启动了增强归因(EA)计划。计划的目标是“开发技术以生成有关多个并发独立恶意网络活动的操作和战术相关信息。” ,目标不仅是收集和验证这些相关信息,而且还要创造“与许多相关方中的任何一个共享此类信息的方法,而不会危及用于收集的来源和方法。”

在EA计划中,DARPA首先在来源、准确率、时间线、规模和共享性等五个维度对比了政府机构、商业公私以及归因增强计划的能力。

DARPA将EA计划划分为三个阶段。通过在红色空间收集,监控和了解对手网络攻击的行动,预期计划分为三个技术领域 (TA),它们将相互并行工作。它们将跨越三个18个月的阶段,之后该机构将介入以获取高质量的结果,同时不会失去对归因来源的控制。

TA1:活动跟踪和总结

DARPA 解释说,“TA1执行者将开发用于网络行为和活动跟踪和汇总的技术”。

TA2:数据融合和活动预测

DARPA指出“TA2 执行者将开发用于融合TA生成的数据以及对恶意网络运营商活动进行预测分析的技术。”,为网络领域开发多点融合和跟踪。

TA3:验证和浓缩

TA3将专注于使用更多公开信息来丰富收集的数据。然后事情变得稍微复杂一些,因为政府将为网络威胁创建一个面向公众的档案,而不会透露来源或方法。因此TA1会因数据收集而陷入困境,TA2对这一切进行操作,而TA将其清理干净,以便可以公开发布。

EA计划结构和时间表

计划持续时间:54个月。

•三个为期18个月的计划阶段

•所有TA工作并行工作

•经常使用各种数据集进行非正式评估

•增强真实感/环境

•能够在机会出现时在实际条件下进行按需测试,可能在项目早期开始

2020年底,DARPA EA研究人员使用他们的数据分析来开发及时、准确的威胁有关俄罗斯归因的恶意网络基础设施和相关攻击者角色的信息。EA与 FBI亚特兰大和匹兹堡外地办事处的密切合作伙伴分享了这些信息,为2020 年1月对与全球破坏性恶意软件相关的六名GRU人员的起诉提供归因证据,详细分析了其在美国和盟军关键基础设施中的恶意软件攻击活动和补救措施。

美国官方已然将网络归因作为重要战略威慑手段进行建设发展,美国官方主导民间企业参与的网络归因力量体系逐步建立,在巩固军方、政府网络归因能力的同时,不断加强针对民间私营部门关键基础设施领域的网络归因能力建设。可以看到,未来要想谋求网络空间斗争中的战略主动权,网络归因能力建设将是必不可少的关键一环。

(节选自《美国政府网络归因实力分析报告》,如需报告全文请联系。)

关于作者

陈波:虎符智库专家、奇安信集团高级网络安全专家 、高级工程师。从事网络安全相关工作20余年;荣获三等功一次;获得国家级二等奖1项、三等奖7项,部委成果奖10余项。具有数学、系统工程、通信、网络安全等专业知识背景,现从事网络攻防技术研究工作。

声明:本文来自虎符智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。