从叙利亚电子军团(Syrian Electronic Army)入侵《纽约时报》网站,到针对主要数据中间商进行的、把数以百万计用户置于风险境地的长期黑客行为,网络攻击者在窃取敏感信息和造成重大服务中断方面正变得越来越复杂、且有效。窃取我们的个人信息和知识产权的网络攻击行为每天都在发生。针对企业的民族国家攻击日益将我们的工作与经济置于危险之中。
不幸的是,主动攻击者以及他们所构成的威胁,正在对传统安全防御措施的被动性质导致的基本不对称这一弱点加以利用。采用“城堡和护城河”策略的日子早已不复存在,那时的企业会投入巨资建设大型安全堆栈,以阻止外线攻击。“城堡和护城河”策略这种做法在阻止现代攻击方面是无效的,因为它使外线成为单点故障,而所有攻击者需要的就是一个单一缺口来达成自己的目的。
然而,如果在其他方向上走得太远,也是会出现问题的。用“以牙还牙”的方式对攻击者予以回击,或采取行动对付攻击者本人或他们用以发起攻击的机器,这在法律上是不允许的,同时也受到伦理道德的制约。试想一下,如果防御方发起反击,最终却伤害了无辜的人或者引起对方攻击升级,这种结果并非我们所想要的。所以这也不是个解决办法。
相反地,主动防御则是一个比较好的方法。所谓“主动防御”,是指当攻击者试图攻击公司的基础设施时,防御方可以采取积极措施扰乱他们,但不会做得太过分,以免导致遭受打击报复的风险。主动防御的重点是,一旦攻击者入侵企业的数字财产,则对他们加以识别和扰乱,而不是穷追不舍,迫使他们进入公共领域。
找到这一中间地带的技术今天已经出现。一种被称为“入侵诱骗”(intrusion deception)的方法可谓颇有前景,它可以在攻击者实施攻击过程中主动识别和拦截他们,并转移他们的注意力。对于Web应用程序而言,它可以在攻击者看来似乎可以利用的网站创建漏洞,但却不会导致成功的攻击,而是让防御者能够识别并扰乱攻击者。同样的道理,它可以通过创建似乎是有价值的文件、但实际上却是网络“焦油陷阱”的方式来有效地阻止攻击者——网络“焦油陷阱”可主动阻止攻击者达到其目标,并让他们误以为已成功完成一次攻击。实际上,这样做的结果是改变了黑客攻击行为的经济性,迫使攻击者不得不将活动集中在他们可以取得成功的其他地方。
推动主动防御措施的采用需要网络安全行业、政府和法律界联手来建立新的“交战”规范或规则。目前,由于没有明确的适当“交战”框架,这一事实本身导致了防御方在该问题上的无所作为。
虽然使主动防御成为防御常态仍有大量工作要完成,但我们却不能再继续等下去了,因为这样做的潜在成本太过高昂。维持现状只会给我们带来挫折感,并让攻击者持续坐收渔利。从现在开始,我们应共同合作构建壁垒,并实施积极防御。