美英等五眼聯盟聯合發布《俄羅斯支持的網絡行動和犯罪團體的網絡安全威脅》
4月20日,五眼聯盟國家(美國、英國、加拿大、澳大利亞、新西蘭情報共享聯盟,以下或簡稱“五眼聯盟”)網絡安全當局發布標題為《俄羅斯支持的網絡行動和犯罪團體的網絡安全威脅(Russian State-Sponsored and Criminal Cyber Threats to Critical Infrastructures)》的聯合網絡安全警告,旨在提醒關鍵基礎設施組織,俄羅斯可能會支持更多的網絡行動反擊其受到的前所未有的經濟制裁和美國及其盟友對烏克蘭提供的物質支持。隨著俄烏沖突影響地緣政治穩定,更多網絡活動正在進行中。自俄烏沖突以來,五眼聯盟網絡安全機構還檢測到了各俄羅斯政府機構針對IT網絡進行的攻擊行為。鑒于這種攻擊行動,五眼聯盟網絡安全機構已敦促關鍵基礎設施網絡防御者為潛在的網絡威脅做好準備,包括對破壞性的惡意軟件、勒索軟件、DDoS攻擊和網絡間諜活動加強防御,努力識別和調查網絡活動。
一、發布背景
1、俄烏沖突下對俄羅斯的全方位制裁
雖然俄羅斯自2014年克里米亞危機之后就已經持續遭遇美西方的經濟制裁,但此次俄烏戰爭中,美西方對俄羅斯的制裁規模之大、力度之強都前所未有。截至目前,俄羅斯被制裁的實體和個人數量已經遠超伊朗、敘利亞、委內瑞拉等國,成為世界上遭遇制裁最嚴厲、數量最多的國家。當前美西方對俄羅斯的經濟制裁體現在金融、貿易和投資等多個領域。俄羅斯可能會通過支持更多的網絡活動反擊其受到的前所未有的經濟制裁和美國及其盟友對烏克蘭提供的物質支持。
2、美軍和北約軍隊深度參與此次俄烏沖突
俄烏沖突是一場沖擊舊秩序的“新戰爭”,美國和北約憑借在數字領域的強大優勢,以信息通信技術為依托的各種對壘工具在這場沖突中大顯身手,除采取一系列制裁措施外,從此次俄烏戰爭進程上來看,美國及其北約盟友不僅不斷向烏克蘭出口和轉運武器裝備,而且對烏克蘭進行軍事人員培訓。同時,美國及其北約盟友對烏克蘭戰場情報體系的支持,在情報搜集、戰場態勢感知和作戰任務分配上,美軍和北約軍隊深度參與了此次俄烏沖突,對俄羅斯來說是雪上加霜。
3、俄羅斯開展新的一輪網絡攻擊進行反制
俄烏武裝沖突以來,以北約和歐盟為首的各國對俄羅斯展開全方位制裁,俄羅斯方面也宣布了一系列反制措施。各種情報顯示,俄羅斯政府在不斷探索潛在的網絡攻擊選項,俄羅斯國家支持的網絡行動不僅包括DDoS,也包括更早的針對烏克蘭政府和關鍵基礎設施部署的破壞性軟件。不僅如此,一些網絡犯罪組織近期公開表示支持俄羅斯政府。這些俄羅斯陣營的網絡犯罪團體或威脅稱以網絡行動回擊針對俄羅斯政府或人民的網絡攻擊,或聲稱要對那些向烏克蘭提供物資支持的國家和組織開展網絡行動。還有一些網絡犯罪團體有可能為了配合俄羅斯的軍事進攻,對烏克蘭網站進行了破壞性攻擊。
二、主要內容特點
1、明確網絡安全威脅三大主要來源
五眼聯盟網絡安全當局認為,網絡安全威脅主要來源于俄羅斯國家支持的網絡行動、俄羅斯陣營的網絡威脅團體和俄羅斯陣營的網絡犯罪團體(具體見表1),警告還對上述俄羅斯部門的網絡行動類型、特點、攻擊目標、技術手段、曾經實施過的網絡行動進行了列舉分析。
表1網絡安全威脅三大主要來源
2、提出四項立即更新措施應對當下網絡威脅
為了應對不斷增長的網絡威脅,五眼聯盟網絡安全當局呼吁各組織立即采取四項措施。該警告敦促關鍵基礎設施組織立即:1)更新軟件,包括操作系統、應用程序及固件;2)強制執行多重要素認證(MFA),使用高強度密碼;3) 使用遠程桌面協議(RDP)和其他潛在風險服務時,密切監控并確保安全;4)提升用戶防范意識,警惕針對性的社會工程和魚叉式網絡釣魚活動,通過這些措施提升網絡安全防御能力,應對網絡安全威脅。
3、給出其他方面建議預防和緩解潛在網絡威脅
為了進一步預防和緩解來自俄羅斯國家支持的或犯罪分子的網絡威脅,五眼聯盟網絡安全當局還給出了1)預防網絡安全事件;2)加強身份識別和訪問管理;3)強化保護性控制和架構;4)完善漏洞和配置管理四個方面的具體措施清單,為關鍵基礎設施組織強化網絡安全防范給出指引。
五眼聯盟網絡安全當局敦促關鍵基礎設施組織的網絡防御者在識別網絡活動時謹慎處理。當檢測到潛在APT或勒索軟件時應當以官方推薦的方式應對,并向適當的網絡和執法機構報告網絡安全事件。當局強烈反對向犯罪分子支付贖金,因為支付贖金將會鼓勵對手發起更多攻擊,刺激更多地犯罪分子投放勒索軟件及資助非法活動,且贖金并不能保證受害者的文件得以恢復。
三、幾點認識
1、 警鐘長鳴,保護關鍵基礎設施網絡安全迫不及待
當前,俄烏沖突的進程仍不明朗,五眼聯盟網絡安全當局在此背景之下,向所屬國家關鍵基礎設施組織發出網絡安全預警,認為俄羅斯方面將開展更多的網絡活動作為反報措施,反應了其對網絡安全態勢的感知預判。俄烏沖突以來,全球網絡安全局勢復雜嚴峻對各國關鍵信息基礎設施安全防護提出新挑戰。多國基礎設施和重要信息系統遭受網絡攻擊,引發全球震蕩,對國家安全穩定造成巨大風險。聚焦我國,我們應聚焦提升關鍵信息基礎設施防護體系與能力建設,吸收借鑒美西方在該領域積累的經驗教訓,筑牢網絡安全防護屏障。同時,要針對關鍵信息基礎設施安全保護工作中涉及的技術措施、人員機制、數據安全、風險評估等安全管理舉措提出更高要求,并強調通過配套立法進一步完善關鍵信息基礎設施安全保護制度,突出了關鍵信息基礎設施在國家整體網絡安全制度體系中的重要地位。
2、審時度勢 ,認知域正成為未來智能化混合戰爭主戰場
自俄烏戰爭打響,伴隨著戰場的炮聲隆隆,在世界輿論場展開的“認知戰”,也硝煙彌漫。可以說,俄烏戰爭是俄羅斯對美國、北約和整個西方世界的一場軍事大戰,但也是整個西方世界對俄羅斯進行一場規模空前的“認知戰”。五眼聯盟國家網絡安全當局在聯合公告發布之前,美國總統拜登已于上個月敦促當地組織加強網絡防御工作,俄羅斯可能對美國開展惡意的網絡活動,以此回應美國及與盟友一起向其施加的經濟制裁。美國政府一直在根據不斷變化的情報重申警告,即俄羅斯政府正在探索潛在的網絡攻擊選項。我們要看到,俄烏戰爭絕非單純的軍事斗爭,這是在軍事、經濟、認知的三條戰線同時進行的立體戰爭。在這場戰爭中,信息是武器,而那些創造、處理和散播信息的主體則影響著俄烏沖突的趨勢。認知戰不再局限于傳統戰爭的實體性威脅,它從以前的混合戰爭中吸取了一些要素,轉向大眾媒體、技術進步帶來的社會威脅和意識形態威脅,但所擁有的影響范圍、作戰效果比混合戰爭更危險。
3、找準賽道,密切關注發展網絡安全領域相關技術
從攻擊手段的視角來看俄烏戰爭,大量物聯設備不斷接入互聯網,脆弱性廣泛存在,成為DDoS攻擊的作戰資源,DDoS攻擊和破壞性APT攻擊目前成為國家、政治團體甚至恐怖組織最為直接的常用攻擊手段,目的正是配合真正的軍事戰爭行動。從俄烏網絡戰爭趨勢中可以判斷軍政網絡安全,物聯網安全,能源、通信、金融、交通關鍵基礎設施安全等,必將成為國家重點關注領域。密碼安全技術、網絡邊界防御、APT威脅對抗、主動防御、數據防護、反釣魚技術等或將成為未來行業重點發展的技術領域。此外,類似于重保支持、合規檢測、滲透測試、技術人才培養等也是未來的重點發展領域。對于網絡安全企業而言,當下迎來了發展的巨大機遇,選對賽道是必然的趨勢,也是當下發力業務和產品的攻克方向。
