外媒解讀為何像Colonial Pipeline這樣的勒索軟件攻擊是不可避免的
據外媒報導,2021年5月7日對Colonial Pipeline的勒索軟件攻擊體現了美國在加強網絡防禦方面面臨的巨大挑戰。這家私營公司控制著美國能源基礎設施的一個重要組成部分,它供應著東海岸近一半的液體燃料。這樣的公司很容易受到一種非常常見的網絡攻擊。FBI將此次攻擊歸咎於俄羅斯網絡犯罪團伙。
SolarWinds也曾遭遇過類似的黑客攻擊,該攻擊是歷史上最具破壞性的網絡攻擊之一。這個於2020年12月曝光的網絡攻擊暴露了影響政府和私營部門計算機系統的全球軟件供應鏈的漏洞。這是國家安全的重大漏洞,其暴露了美國網絡防禦的漏洞。
SolarWinds的漏洞可能是由俄羅斯聯邦安全局(FSB)下屬的一個組織實施,當時它破壞了這家公司用來為Orion網絡管理產品的1.8萬名用戶提供更新的軟件開發供應鏈。這場據稱始於2020年初的黑客攻擊直到去年12月才被發現。而更令人擔憂的是,這可能是針對美國政府和商業目標的更廣泛攻擊的一部分。
對此,拜登政府正在準備一項行政命令,預計將解決這些軟件供應鏈的漏洞。然而,這些變化雖然重要,卻可能無法阻止SolarWinds這樣的攻擊。防止像Colonial Pipeline這樣的勒索軟件攻擊需要美國情報和執法部門滲透到東歐的每一個有組織的網絡犯罪集團才行。
供應鏈、鬆懈的安全和人才短缺
軟件供應鏈的脆弱性–軟件組件和軟件開發服務公司用來構建軟件產品的集合–是安全領域的一個眾所周知的問題。作為對2017年一項行政命令的回應,美國國防部領導的一個跨部門工作小組的一份報告指出,美國企業“對外國的依賴程度令人驚訝”、勞動力挑戰及印刷電路板製造等關鍵能力正將業務轉移到海外以追求具有競爭力的價格。所有這些因素都在SolarWinds的襲擊中發揮了作用。
網絡安全專家表示,SolarWinds在其增長戰略的推動下,計劃在2021年分拆其託管服務供應商業務–對此次損害負有很大責任。
據一位網絡安全研究人員稱,SolarWinds也沒有實踐基本的網絡安全衛生。
據Vinoth Kumar報導,該軟件公司開發服務器的密碼據稱是“solarwinds123”,這顯然嚴重違反了網絡安全基本標準。鑑於SolarWinds因其Passportal在2019年獲得了年度密碼管理解決方案獎,該公司草率的密碼管理具有諷刺意味。
該公司在一篇博客文章中承認,“攻擊者能夠繞過SolarWinds、其他私營公司和聯邦政府所採用的威脅檢測技術。”
更大的問題是,為什麼美國公司SolarWinds不得不向外國供應商尋求軟件開發。美國國防部一份關於供應鏈的報告將軟件工程師的缺乏描述為一場危機,部分原因是教育渠道沒有提供足夠的軟件工程師來滿足商業和國防部門的需求。
另外,美國還缺乏網絡安全人才。工程師、軟件開發人員和網絡工程師都是全美最需要的技能,尤其缺乏專注於軟件安全的軟件工程師。
支離破碎的權威
或許SolarWinds需要承擔很大的責任,但它本不應該獨自抵禦國家精心策劃的網絡攻擊。2018年美國國家網絡戰略描述了供應鏈安全應該如何工作。政府通過審查SolarWinds等聯邦承包商的風險管理策略來確定其安全性、確保他們了解威脅和漏洞並對系統上的事件做出反應。
然而這一官方戰略將這些責任劃分給負責國防和情報系統的五角大樓和負責民事機構的國土安全部並繼續了裡根時代開始的信息安全問題上的分散做法。該戰略的執行依賴於國防部的美國網絡司令部和國土安全部的網絡和基礎設施安全局。國防部的戰略是“向前防禦”:即從源頭阻斷惡意網絡活動,這在2018年中期選舉前被證明是有效的。2018年成立的網絡和基礎設施安全局負責提供關鍵基礎設施部門面臨的威脅信息。
無論是哪個機構似乎都沒有發出警告,也沒有試圖減輕對SolarWinds的攻擊。美國政府則是在襲擊發生後才做出回應的。網絡和基礎設施安全局則發布了警報和指導並成立了網絡統一協調小組以促進聯邦機構之間的協調。
這些戰術行動雖然有用,但只能部分解決更大的戰略問題。SolarWinds遭黑客攻擊所顯示出的國家網絡防禦部門的分裂是一個戰略弱點,它讓政府和私營部門的網絡安全變得複雜並引發了對軟件供應鏈的更多攻擊。
一個棘手的問題
國家網絡防禦是一個“棘手問題”的例子,這是一個沒有明確解決方案或成功衡量標準的政策問題。Cyberspace Solarium委員會指出了美國國家網絡防禦的許多不足之處。在其2020年的報告中,該委員會指出,“在聯邦政府保護和保障網絡空間的方法上,仍沒有一個明確的統一努力或勝利理論。”
許多因素使得建立一個中央集權的國家網絡防禦極富挑戰性,而這些因素不在政府的直接控制範圍內。
不過拜登政府似乎在認真對待這一挑戰。這位總統已經任命了一名國家網絡安全主管來協調政府的相關努力。至於是否會以及將如何解決權力分散的問題並闡明政府將如何保護提供關鍵數字基礎設施的公司則還有待觀察。很顯然, 指望任何一家美國公司能夠抵禦外國的網絡攻擊都是不合理的。
措施
與此同時,軟件開發人員還可以採用國家標準跟技術研究所倡導的安全軟件開發方法。政府和行業可以優先發展能夠識別現有系統中的惡意軟件的人工智能。然而所有這些都需要時間,而另一方面,黑客行動迅速。最後,公司需要積極評估自己的漏洞。
認識到為外國對手服務的黑客是專注的、徹底的、不受任何規則約束的,這對預測他們的下一步行動以及加強和改善美國國家網絡防禦非常重要。