網絡沙皇CyberUK 2022暢談俄烏網絡戰爭：7個網絡安全經驗教訓

俄羅斯入侵烏克蘭兩個半月后，網絡安全領導人應該從沖突中吸取哪些網絡安全教訓？這個問題一直是今年由英國國家網絡安全中心在威爾士紐波特舉行的CyberUK 2022會議上多次演講和討論的焦點。在本次會議上，英、美、歐盟負責情報和網絡安全的政府官員詳細介紹了七個關鍵驚喜以及從持續沖突中吸取的教訓。

 1. 沒有“大規模網絡戰行動”？

俄羅斯的入侵之所以引人注目，部分原因在于尚未發生的事情：任何類型的在線全面猛攻。“我們所期待的是一場具有更多溢出效應的大規模網絡活動，”歐盟網絡安全機構(ENISA)執行主任Juhan Lepassaar在周二（10日）與澳大利亞、美國和英國政府的網絡安全領導人一起舉行的小組討論中說。

“我們已經看到了其中一些——針對衛星運營商的攻擊，這基本上蔓延到了20個歐洲國家，影響了大約10,000名最終用戶，”他說。“所以是的，我們已經看到了這一點，但我們還沒有看到持續的努力。”

不出所料，同一天，美國、英國和歐盟正式將2月24日對Viasat的KA-SAT衛星通信網絡的襲擊歸咎于俄羅斯。2月24日，俄羅斯總統弗拉基米爾·普京下令入侵烏克蘭。

 2. 黑客主義者的意外出現

似乎讓所有人感到驚訝的俄羅斯-烏克蘭戰爭的一個方面是黑客行動主義所扮演的角色。

澳大利亞網絡安全中心負責人阿比蓋爾·布拉德肖(Abigail Bradshaw)說：“讓我們感到驚訝的一個方面是……我們稱之為網絡公民義務警員的出現，以及他們的規模。”該中心是該國信號局的一部分。

例如，根據一些報告，300,000或更多的人一直在支持一方或另一方，部分通過分布式拒絕服務攻擊和泄露數據。“在任何一天，烏克蘭方面可能有59個不同的黑客團體，俄羅斯方面可能有20多個；這些數字每天都在變化，”她說。“但是，行動者在這一事業中的公眾參與，以及這樣做的能力實際上帶來了極端的不可預測性和溢出的機會，實際上是錯誤的歸因——以及報復和升級……在我們的世界里，你知道，這是非常成問題的。”

同樣，Lepassaar表示，這種“有組織的黑客行動主義......在這場沖突中被引導”的激增仍然是他的“關注點”。

“當然，我認為我們會同意這種觀點，”主持周二小組討論的NCSC首席執行官Lindy Cameron說。“坦率地說，我們希望看到人們遵守規則。”

美國國家安全局網絡安全局局長Rob Joyce強調了黑客行動主義帶來的進一步復雜性。“你想坐下來支持那些試圖做高尚事情的人，”他在小組討論中說。“這是有問題的”，尤其是因為美國和盟國正試圖成為“網絡舞臺上的優秀國際公民”，并要求自己的人民行為端正。

布拉德肖說，在網上闡明民族國家及其支持者可接受的行為仍然至關重要。特別是，她主張“分析和呼吁打破我們珍視的全球規范的新行為”，不僅包括黑客行為主義，還包括“利用犯罪分子來支持國家行動”。

 3.俄羅斯打擊在線批評者

英國安全、情報和網絡機構GCHQ主任杰里米·弗萊明(Jeremy Fleming)告訴CyberUK與會者，俄羅斯繼續積極發起在線攻擊和破壞，尤其是針對普京的外國批評者。

“也許‘網絡戰爭’的概念被夸大了，”弗萊明在周二的主題演講中說。“但是有很多關于網絡的事情，包括我們和合作伙伴歸因于俄羅斯的一系列活動。我們已經看到了一些影響其他國家的活動溢出效應。而且我們已經看到了俄羅斯網絡行動人員繼續尋找的跡象。反對其行動的國家的目標。”

 4. Wiper惡意軟件攻擊仍在繼續

俄羅斯繼續通過在線攻擊直接針對烏克蘭基礎設施和關鍵基礎設施，包括政府機構、銀行和電信提供商。這些攻擊包括DDoS中斷，在某些情況下，還包括旨在使受感染系統無法運行的擦除惡意軟件。

美國國家安全局的喬伊斯說：“我能想到至少八種獨特的雨刷器變體已經部署在烏克蘭。” “他們做出了回應，保持系統正常運行，重建了系統。”

值得慶幸的是，這些擦除器惡意軟件似乎都沒有蠕蟲般的功能或逃脫烏克蘭的網絡防御，這意味著至少到目前為止，俄羅斯毀滅性的2017年NotPetya擦除器惡意軟件攻擊沒有重演。

 5. 應急計劃及反復演練

喬伊斯說，烏克蘭能夠抵制俄羅斯一再摧毀其系統的努力并非偶然。“他們所做的其中一件事是，他們制定了應急計劃，多年來一直處于壓力之下，”他說。“這不僅僅是這場危機，但他們已經能夠練習，他們了解什么是好的事件響應，然后他們能夠恢復。”

因此，他說，“制定一個練習計劃以及恢復計劃，是我們都應該吸取的非常重要的一個教訓。”

NCSC的卡梅倫說：“當然，這是我希望公眾從中學到的教訓之一，那就是你不必被動地對此做出回應。” “其實，有些事情你可以做，請盡快進行。”

她補充說，這正是“積極參與自己的網絡防御”的定義。“這對人們來說是一個非常重要的教訓，即使面對一個半重要的國家對手，你也不需要在前照燈中凍結。所以......這是一個很好的教訓，而且非常令人印象深刻。我們也能夠幫助烏克蘭人感到非常自豪。”

 6. 專注于網絡彈性

看待烏克蘭看似成功的網絡安全戰略的另一種方式是，該國一直在繼續專注于提高其彈性。當然，烏克蘭在這方面并不孤單，美國、英國、歐盟和其他國家也更加關注確保公共和私營部門能夠更好地徹底擊退網絡犯罪和民族國家攻擊當攻擊通過時進行恢復。

GCHQ的弗萊明說：“提高彈性并加倍采用我們的集體方法是長期成功的關鍵。”

這意味著什么？“投入時間、精力和資源來獲得正確的基礎，”他說。“確保您了解您使用的技術，遵循最佳實踐以使其盡可能具有彈性，并且對不斷變化的威脅以及如何防御它保持活力。”

 7. 進行“壓力測試”

在完善事件響應計劃時，ENISA的Lepassaar建議組織也模擬各種不利情況。

“這是有回報的，對自己進行壓力測試。我的意思是，自2014年以來，烏克蘭人一直在不自覺地進行壓力測試。我認為我們不需要在我們的系統中效仿，”他說。

但建議政府采取的一個行動方案是制定一個框架或計劃，“在其中定期對社會中最關鍵的要素或基礎設施部門進行壓力測試”，并輔之以激勵更多行業自己這樣做的激勵措施，Lepassaar說。

“我知道英國與這里的電信服務提供商合作做得很好，我認為這是我們應該真正嘗試在不同關鍵部門復制的東西，”他說。

編者注

英國NCSC的旗艦活動CYBERUK 2022于2022年5月10日至11日在南威爾士紐波特的 ICC Wales舉行。

CYBERUK已成為英國和世界各地網絡安全和技術專業人士思想領袖的重要日期，之前的會議分別在利物浦（2017 年）、曼徹斯特（2018 年）和格拉斯哥（2019 年）舉行。

在2021年虛擬活動取得成功的基礎上，主題演講也將在CYBERUK YouTube 頻道上播放，以最大限度地提高所有人的可訪問性。

為期兩天的CYBERUK 2022有1500多名代表參加，將網絡安全領導者與技術專業人士結合起來，加強網絡安全社區。它將為整個網絡安全社區提供重新連接、討論業務需求和審查不斷變化的威脅形勢的關鍵機會。

CYBERUK 2022將以世界一流的內容和演講者為特色，提供互動和網絡的機會。該活動在紐波特舉行，還將展示威爾士蓬勃發展的技術部門，包括研究、學術和設計。 

參考資源：

1.https://www.govinfosecurity.com/russia-ukraine-war-7-cybersecurity-lessons-learned-a-19057

2.https://www.cyberuk.uk/website/7174/