网络战、自卫和防御者困境

思考、研究、喝了几杯酒，我决定对网络战做一个分析……

因为我目前住在加拿大，所以我将从加拿大的角度来写这个话题。与加拿大的大多数事情一样，我们的指导来自美国，我们的网络安全方法也没有什么不同。美国有许多关于在全国范围内合法和非法使用计算机的法律和法规。我在上一篇题为“网络战争时代”的博文中列出了其中一些，因此我不会在这里重复它们。

然而，我确实想重申，滥用系统会导致比人们想象的更大的后果。当我第一次进入网络安全领域时，我的任务是帮助我的团队开发和实施漏洞管理程序。与信息技术中的大多数事情一样，人们必须快速学习并适应不知道下一个任务是什么的情况。在这种情况下， Google和Youtube就成了你最好的朋友。

当我收集了所有必要的信息开始时，我被围绕该计划的各种法律法规淹没只是时间问题。例如，您是否知道如果您没有得到系统所有者的许可就探测系统是违法的？

我的一个好朋友在阅读我上一篇网络战文章时将他女儿的硕士论文发给我。题为Canadian Hack-Back?: A Consideration of the Canadian Legal Framework for Private-Sector Active Cyber Defense 的论文是一本很好的读物，也是我在该主题上遇到的仅有的学术论文之一。在她的研究过程中，作者遇到了术语“主动网络防御”（“ACD”），它似乎有很多定义可以想出。然而，她将 ACD 定义为“任何使用技术手段对网络威胁或入侵做出的非政府响应，当该响应在防御者自己的网络之外产生影响时”。根据这个定义，防御者将采取的每一项行动都将被归类为 ACD，包括调查渗透系统。请注意，我将她的论文带入这篇文章，并不是作为批评或评价，而只是为了强调这个话题会变得多么复杂。

由于我无论如何都不是律师，所以我将把剩下的法律讨论留给专业人士。然而，由于网络安全现在触及我们生活的方方面面，网络安全专业人员现在必须接受培训以遵守所有这些法律，以便为他们的客户提供称职的服务。这逐渐成为网络安全领域的一个重要缺陷：缺乏经验丰富、称职和合格的网络安全专业人员。想象一下必须保护任何有芯片的东西，它本质上是敏感的，并且涉及和我一样有缺陷的人......

任何网络安全专业人士都知道，网络安全大致分为 8 个领域：

1. 安全和风险管理

2. 资产安全

3. 安全架构与工程

4. 通信和网络安全

5. 身份和访问管理

6. 安全评估与测试

7. 安全运营

8. 软件开发安全

   
   

每个领域都包含涵盖组织的人员、流程和技术的小节。其中一些部分包含您可能认为与网络无关的领域。例如，您是否知道灭火、洪泛区缓解和室外照明可以归类为网络安全？我也没有，直到我意识到如果系统着火、浸水或在夜幕下被盗，就无法确保系统安全。只要说网络安全涉及许多领域就足够了，每个领域都应该由经验丰富的专业人员来保护。

网络安全防御

当我们开始了解网络安全的真正范围时，我们可以开始了解首先避免对我们系统的攻击是多么重要。然而，我们似乎面临着一场艰苦的战斗，每一步都遇到阻力。

有一些项目会从一开始就削弱我们的网络安全态势。首先，您从信誉良好的商店购买的新计算机并不像您想象的那么安全。例如，您是否注意到计算机上安装了您不想要的程序，例如防病毒程序或游戏套件的试用版？这称为英国媒体报道软件，它会使您的计算机受到攻击。 Windows 上的“定位服务”和 AI 语音助手“Cortana”怎么样？这些服务可以公开您的物理位置，并让Microsoft对您的语音模式进行指纹识别。禁用这些服务以减少您的攻击面。

另一个问题是，大多数智能设备（例如智能手表和智能电视）都容易受到基本网络攻击。这些设备通常不如笔记本电脑或台式机安全，因为安全性并不是制造这些设备的首要考虑因素。一个极端但很好的例子是通过赌场的鱼缸传感器发生的网络攻击。

还有一点需要考虑的是，计算机用户通常没有网络意识。例如，您是否知道您可能会在不知不觉中遭受数以千计的网络攻击？这可以通过网络钓鱼电子邮件、拒绝服务攻击和数据泄露（例如， 2017 年的 Equifax 数据泄露）来完成。更不用说大多数人为他们的大部分帐户重复使用弱密码。你有罪，几年前我也有罪。请帮我和社会其他人一个忙，停止使用“ 123456”作为您的唯一密码。

我认为可以肯定地说，机会对我们不利。然而，由于网络攻击的成本不断增加，过去几年在网络安全世界方面取得了一些进展。有希望，但在这方面还有很多工作要做。因此，如果您有兴趣进入网络安全领域，现在是个好时机。

网络安全罪行

当我们进入攻击策略的主题时，重要的是要注意任何攻击都会引起受害者的反应。对某人的人身攻击会招致以自卫形式进行的报复，范围从简单的打击到致命的打击不等。

考虑到这一点，我想讨论两个问题：

1. 如果我们的系统受到网络攻击，我们是否有权进行自卫？

2. 如果我们有权进行自卫回应，我们可以回应到什么程度？

   
   

在现实世界中，如果我们被另一个人激怒或伤害，我们作为一个社会已经决定通过自卫来做出可接受的反应。如果有人试图伤害我，我有权为自己辩护。尽管我有权利为自己辩护，但我是否行使这项权利取决于我当时的决定。作为一个正在学习武术的人，我只能说，我会以某种身份应对攻击。你被警告了。

然而，在数字世界中，自卫问题变得非常复杂。对于初学者，您永远无法 100% 确定谁伤害了您（或对您的系统进行了网络攻击）。大多数网络攻击都是从无辜第三方的受损系统发生的，而不是实际攻击者的机器。这是设计使然，因为即使不是不可能，也很难弄清楚攻击的人、事、时间、地点、原因和方式。因此，即使您有能力对肇事系统发动全面网络攻击，您也可能在攻击一个无辜的旁观者，导致他们对您的系统采取行动……一个自我实现的预言。

另一个问题是，网络攻击会对系统造成重大损害，造成不可预见的后果，因为被攻击的系统可能连接到数百个（如果不是）数千个其他系统，无论是在技术领域还是在地缘政治领域。例如，如果网络攻击成功关闭了输油管道，那么在受影响的系统可以安全地重新上线之前，一个国家可能没有石油。 Colonial Pipeline Ransomware 事件就是这方面的一个例子，因为美国东南部因袭击而经历了石油短缺。

报复的第三个问题是责任和升级的可能性。报复行为造成的损失谁来承担？即使网络攻击破坏了攻击者的系统，谁又能说他们不会以牙还牙呢？如果报复不是由专业人士完成的，那么攻击者查明你是谁以及攻击什么系统的可能性几乎是肯定的。您是否准备好应对不仅针对您的系统而且针对您的身份、家人和朋友的全面网络攻击？谁知道攻击会进行到什么程度呢？

我认为可以肯定地说，大多数人都没有为这种后果做好准备。

为了争论起见，假设我们提出的第一个问题的答案是肯定的。下一个问题是我们可以在多大程度上应对网络攻击？我们可以以探测系统的形式来做最基本的响应，看看它是开着还是关着。我们还可以对肇事者的系统进行全面的拒绝服务、勒索软件或暴力攻击。我们在哪里画线？或者更好的问题是对我们遇到的每次攻击的适当响应是什么？

如果我们检测到攻击者正在扫描我们的系统以查找漏洞，是否也应该这样做？如果攻击者向我们的电子邮件地址发送网络钓鱼电子邮件，我们是否可以尝试以某种方式欺骗他们呢？如果我们受到勒索软件攻击，我们可以进行网络钓鱼攻击吗？我想你可以看到我要去哪里，这个问题没有好的答案。事实是，我们永远不会拥有“安全地”对犯罪系统进行网络攻击所需的所有信息。问题没完没了，我们甚至还没有谈及这一切的道德和伦理。这个话题改天再说。

结束语

我不得不承认我喜欢网络自卫的概念，但在我看来，这是不可行的。专业人士太少，不安全的设备太多，如果个人或公司开始“回击”，风险太大。 Defender's Dilemma 就是这样一直存在的：攻击者总是领先于防御者一步。我可以将“黑客攻击”视为一种选择的唯一情况是，如果世界人口因类似世界大战的事件而处于危险之中。在这种情况下，每个人的正常生活都会被打乱，网络攻击的发生也无关紧要，因为会有更紧迫的事情需要处理，例如核辐射、饥饿、谋杀和疾病。让我们祈祷它不会变成那样......

不管怎样，我希望这对阅读我博客的人有用。我总是说不是我选择了这个职业，是它选择了我。我将继续写对我来说很重要的主题，我认为这些主题对社会具有价值。

与往常一样，如果您对我写的内容有任何问题、意见或疑虑，我随时待命。

和平、爱和所有幸福的东西！

也发布在这里。