安全研究
全部分类

关键信息基础设施安全动态周报【2019年第19期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2019-12-27 13:16
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2019年第19期】天地和兴播报。

关键信息基础设施安全动态周报【2019年第19期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2019年第19期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2019-12-27 13:16
  • 访问量:
详情

目   录

第一章 国内关键信息基础设施安全动态

(一)《工业信息安全标准化白皮书(2019版)》发布

第二章 国外关键信息基础设施安全动态

(一)美国阿拉斯加航空公司RavnAir遭受网络攻击取消航班

(二)Citrix NetScaler严重漏洞至80,000家公司面临风险

(三)俄罗斯成功断开互联网

(四)2020年前利用最多的20大漏洞

(五)泰国监狱摄像设备遭受黑客入侵

(六)FBI发布勒索软件LockerGoga和MegaCortex警报

(七)PayPal遭受网络钓鱼攻击 威胁帐户安全

(八)加拿大银行遭受历时两年的网络钓鱼活动

(九)广播网络Entercom遭受第二次网络攻击

(十)中美博弈对网络空间的影响:美国扩大进攻性网络行动作用范围

 

第一章 国内关键信息基础设施安全动态

(一)《工业信息安全标准化白皮书(2019版)》发布

12月20日,工业信息安全产业发展联盟在2019年联盟年会上发布了《工业信息安全标准化白皮书(2019版)》。该白皮书是国内首份专门面向工业信息安全领域的标准化白皮书,旨在进一步贯彻落实《网络安全法》《工业控制系统信息安全行动计划(2018-2020年)》《加强工业互联网安全工作的指导意见》等法规政策要求,推进当前及未来一段时间工业信息安全标准化工作,推动解决标准缺失、滞后、交叉重复、体系化不足等问题,为工业信息安全标准研究与制定提供参考。白皮书梳理分析了工业信息安全、工业互联网安全等概念和内涵,界定了相关概念之间的关系,归纳总结了当前国内外工业信息安全标准化工作现状、存在的问题和未来发展趋势,研究提出了工业信息安全标准体系框架,为下一步工业信息安全标准化工作提出了思考和建议。

本文版权归原作者所有,参考来源:工业信息安全产业发展联盟 http://dwz.date/c3U

 

第二章 国外关键信息基础设施安全动态

(一)美国阿拉斯加航空公司RavnAir遭受网络攻击取消航班

当地时间2019年12月21日周六,美国阿拉斯加RavnAir航空公司宣布取消了六次航班,因其计算机网络遭到了恶意攻击。该公司发言人Debbie Reinwand表示,此次航班取消影响了约260名乘客。

该公司在书面声明中说,该航空公司取消了涉及Dash 8飞机的所有航班。该航空公司为阿拉斯加的100多个社区提供服务,其中许多社区无法通过公路到达。

该公司正在与FBI、其他机构、以及一家网络安全公司合作,以恢复系统。阿拉斯加RavnAir随后宣布,下午的Dash8航班照常运行,并将在接下来两天内增加航班数量并尽可能重新预订其他航班的乘客。

天地和兴安全研究院翻译整理,参考来源:AP News http://dwz.win/upv

 

(二)Citrix NetScaler严重漏洞至80,000家公司面临风险

2019年12月23日,Positive Technologies的专家Mikhail Klyuchnikov 发现了Citrix Application DeliveryController(NetScaler ADC)和Citrix Gateway(NetScaler Gateway)中的一个严重漏洞。如果利用了该漏洞,攻击者可以从Internet直接访问公司的本地网络。此攻击不需要访问任何帐户,因此可以由任何外部攻击者执行。

Positive Technologies专家确定,在158个国家中,至少有80,000家公司面临潜在风险。拥有此类组织的前5个国家/地区包括美国(绝对领导者,占所有脆弱组织的38%以上),英国,德国,荷兰和澳大利亚。在不到一分钟的时间内,外部攻击者可以进入公司的内部网络。

该漏洞的漏洞编号为CVE-2019-19781。供应商尚未为此漏洞分配正式的CVSS严重级别,但是Positive Technologies专家认为该漏洞的CVSS应为最高级别10。此漏洞影响产品的所有受支持版本以及所有受支持的平台,包括Citrix ADC和Citrix Gateway 13.0,Citrix ADC和NetScaler Gateway 12.1,Citrix ADC和NetScaler Gateway 12.0,Citrix ADC和NetScaler Gateway 11.1,以及Citrix NetScaler ADC和NetScaler Gateway 10.5。

取决于特定的配置,Citrix应用程序可用于连接到工作站和关键业务系统(包括ERP)。几乎在每种情况下,Citrix应用程序都可以在公司网络范围内访问,因此是第一个受到攻击的应用程序。此漏洞使任何未经授权的攻击者不仅可以访问已发布的应用程序,还可以从Citrix服务器攻击公司内部网络的其他资源。Citrix发布了一系列缓解此漏洞的措施,坚持要求立即将所有易受攻击的软件版本更新为推荐的版本。

 天地和兴安全研究院翻译整理,参考来源:Positive Technologies http://dwz.date/c4e

 

(三)俄罗斯成功断开互联网

俄罗斯当地时间2019年12月23日,俄罗斯政府成功完成了首次国家级“断网”测试演习,成功保证了俄罗斯国家互联网基础设施在无法访问全球系统和外部互联网的情况下,依然可以正常运转。俄罗斯国家互联网基础设施在俄罗斯内部称为RuNet。

测试从上周开始进行,涉及俄罗斯政府机构、本地互联网服务提供商、及俄罗斯本地互联网公司。该测试的目的是确保俄罗斯的国家互联网基础设施可以在不访问全球DNS系统和外部互联网的情况下仍能运行。

此外,由于此次测试是互联网流量在俄罗斯内部的重新路由,故俄罗斯的RuNet称为了世界上最大的内部网。

政府没有透露有关测试的任何技术细节,只说政府测试了几种断开连接的方案,包括模拟来自国外的敌对网络攻击的方案。

在23日的新闻发布会上,俄罗斯通信部长Alexei Sokolov表示,该测试是成功的,政府和电信运营商都已准备好有效应对可能出现的风险和威胁,以确保俄罗斯的互联网和统一电信网络正常运行。

天地和兴安全研究院翻译整理,参考来源:ZDNet http://dwz.date/c4h

 

(四)2020年前利用最多的20大漏洞

在理想情况下,组织会在发现每个新漏洞后修补它们。但在现实生活中,这是不可能的。负责漏洞管理活动的安全分析人员面临着多种挑战,这些挑战导致行业称之为“ 补丁悖论 ”。常识告诉我们必须对每个系统进行更新以进行保护,但是由于资源有限,这是不可能的,所以会存在未升级的系统和缓慢修复的补丁。

安全情报公司Verint的网络威胁情报小组(CTI)2019年12月19日分析了全球攻击组织目前利用的前20个漏洞。该分析的目的是为安全专业人员提供改善其补丁管理活动的动力。该分析发现,利用这些漏洞的攻击中有34%来自中国、45%的漏洞影响Microsoft产品、早在2012年以来的漏洞仍被用来进行成功的攻击。 

Verint和Thales Group 近日对全球范围内66个最著名的威胁行为体进行了全面分析,收集到的威胁情报表明,高级威胁行为体利用了尚未修复的旧漏洞。根据ServiceNow的Ponemon Institute的近期研究表明,60%的事件与有补丁但未修补的漏洞有关。据美国国家漏洞库(NVD)数据,自2016年以来,公开漏洞数量增加了130%以上,平均每天新增45个新漏洞,其中近60%的漏洞等级为“高”或“严重”。

Verint的CTI小组不断监控不同的情报数据源,基于该小组在过去两年半年分析的5300多个情报项目,涵盖800多个CVE,提取出20个漏洞。根据网络攻击组织利用它们的次数从高到低排列:

No.

CVE

受CVE影响的产品

CVSS分数(NVD)

初次发现(天)

使用该CVE的威胁组织

1

CVE-2017-11882

微软办公软件

7.8

713

APT32(越南),APT34(伊朗),APT40(中国),APT-C-35(印度),钴集团(西班牙,乌克兰),Silent Group(俄罗斯),荷花(中国),云图集(未知), FIN7(俄罗斯)

2

CVE-2018-8174

微软Windows

7.5

558

Silent Group(俄罗斯),APT暗酒店(朝鲜)

3

CVE-2017-0199

Microsoft Office,Windows

7.8

960

APT34(伊朗),APT40(中国),APT-C-35(印度),钴集团(西班牙,乌克兰),APT37(朝鲜),Silent Group(俄罗斯),高贡集团(巴基斯坦),加沙赛刚(伊朗)

4

CVE-2018-4878

Adobe Flash Player,红帽企业版Linux

9.8

637

APT37(朝鲜),拉撒路集团(朝鲜)

5

CVE-2017-10271

Oracle WebLogic服务器

7.5

578

洛克帮(中国网络犯罪)

6

CVE-2019-0708

微软Windows

9.8

175

Kelvin SecTeam(委内瑞拉,哥伦比亚,秘鲁)

7

CVE-2017-5638

Apache Struts

10

864

拉撒路集团(朝鲜)

8

CVE-2017-5715

ARM,英特尔

5.6

424

未知

9

CVE-2017-8759

Microsoft .net框架

7.8

671

APT40(中国),钴集团(西班牙,乌克兰),APT10(中国)

10

CVE-2018-20250

RARLAB WinRAR

7.8

189

APT32(越南),APT33(伊朗),APT-C-27(伊朗),拉撒路集团(朝鲜),MuddyWater APT(伊朗)

11

CVE-2018-7600

Debian,Drupal

9.8

557

Kelvin SecTeam(委内瑞拉,哥伦比亚,秘鲁),海龟(伊朗)

12

CVE-2018-10561

DASAN网络

9.8

385

Kelvin SecTeam(委内瑞拉,哥伦比亚,秘鲁)

13

CVE-2017-17215

了华为

8.8

590

“无政府状态”(未知)

14

CVE-2012-0158

微软

不适用;9.3(根据cvedetails.com)

2690

APT28(俄罗斯),APT-C-35(印度),钴集团(西班牙,乌克兰),莲花(中国),云图集(未知),哥布林熊猫(中国),高更集团(巴基斯坦),APT40(中国)

15

CVE-2014-8361

D-Link,瑞昱

不适用;10(根据cvedetails.com)

1644年

“无政府状态”(未知)

16

CVE-2017-8570

微软办公软件

7.8

552

APT-C-35(印度),钴集团(西班牙,乌克兰),APT23(中国)

17

CVE-2018-0802

微软办公软件

7.8

574

钴集团(西班牙,乌克兰),APT37(朝鲜),Silent(俄罗斯),云图集(未知),钴集团(西班牙,乌克兰),哥布林熊猫(中国),APT23(中国),APT27(中国),兰科集团(中国),三叉戟(中国)

18

CVE-2017-0143

微软中小企业

8.1

959年

APT3(中国),Calypso(中国)

19

CVE-2018-12130

软呢帽

5.6

167

铁虎(中国),APT3(中国),卡里索(中国)

20

CVE-2019-2725

Oracle WebLogic服务器

9.8

144

熊猫(中国)

Bonus

CVE-2019-3396

阿特拉斯融合

9.8

204

APT41(中国),Rocke Gang(中国网络犯罪)

天地和兴安全研究院翻译整理,参考来源:VERINT http://dwz.win/upg

 

(五)泰国监狱摄像设备遭受黑客入侵

监狱生活通常很困难,尤其是在监狱系统可用资源不足的情况下。12月23日晚,黑客入侵了泰国春蓬省Lang Suan监狱的监视摄像机系统后,在YouTube 的网络安全频道上发布了一段视频囚犯服刑的危险状况的视频。 

泰国司法部长索姆萨克·塞普苏汀在一次新闻发布会上提到,泰国惩教部已经发现了该事件。尽管泰国当局无视这些材料如何泄漏,但他们指出,近来这在各国监狱中一直存在。泰国惩教部门与网络安全公司合作,对该事件提出了投诉,该事件将由特别调查部门负责;当局希望尽快找到责任者。该录像带名为“泰国曼谷监狱安全摄像机直播”,并于上周二在广播平台上发布。视频说明可确保它是该监狱日常生活中100%的真实镜头。

一家当地媒体发表了一位匿名告密者的声明,他声称泰国的监狱监视系统是由一家私人公司安装的,该公司通过采购过程赢得了合同。此外,消息人士指出,这些系统可以联网,可以实时访问提要。换句话说,监狱管理人员以及一些安全人员可以通过任何智能设备完全实时地访问监控图像。

该事件严重损害了该国监狱系统的声誉。泰国政府提到,很可能某些用户对该系统的访问权限已泄露,并落入事件负责人的手中。事件发生后,他们发布了录像片段,表明囚犯必须住在人满为患的Lang Suan监狱。

天地和兴安全研究院翻译整理,参考来源:Information Security Newspaper http://dwz.date/c4g

 

(六)FBI发布勒索软件LockerGoga和MegaCortex警报

近日,FBI向私营业者发出警告,并提供有关LockerGoga和MegaCortex勒索软件的相关信息和指导,它们通过破坏网络后对所有设备进行加密来攻击企业。

自2019年1月以来,LockerGoga勒索软件已针对美国,英国,法国,挪威和荷兰的大型公司和组织。MegaCortex勒索软件于2019年5月首次发现,主要攻击危害指标(IOC),命令和控制(C2)基础架构,及其他类似于LockerGoga的攻击目标。

根据该警报,LockerGoga和MegaCortex背后的参与者将利用漏洞、网络钓鱼攻击、SQL注入、被盗的登录凭据在企业网络中立足。

一旦网络受到威胁,威胁行为体将安装名为Cobalt Strike的渗透测试工具。该工具允许攻击者在受感染的设备上部署“信标”,以“创建shell,执行PowerShell脚本,执行特权升级或生成新会话以在受害系统上创建侦听器”。当网络受到威胁时,行动者在部署LockerGoga或MegaCortex勒索软件感染之前将在网络上驻留数月。

尽管FBI并未透露这些攻击者在此期间的行为,但行动者可能正在窃取数据,部署窃取信息的木马程序,并进一步损害了工作站和服务器。一旦网络收获了任何有价值的东西,攻击者就会部署LockerGoga或MegaCortex感染,以便他们开始对网络上的设备进行加密。这将为攻击者带来最终的收入来源。

在勒索软件部署期间,FBI声明参与者将执行kill.bat或stop.bat批处理文件,该文件将终止与安全程序相关的进程和服务,禁用Windows Defender扫描功能,并禁用与安全相关的服务。

威胁行为体还将使用各种LOLBins和合法软件,例如7-Zip,PowerShell脚本,wmic,nslookup,adfind.exe,mstds.exe,Mimikatz,Ntsdutil.exe和massscan.exe。不幸的是,这两种勒索软件感染都使用安全的加密算法,这意味着不可能免费解密它们。

FBI提供了指导和缓解建议,企业主可利用该建议来最大程度地降低对LockerGoga和MegaCortex勒索软件的风险。

FBI提供的最重要的缓解措施是确保“定期备份数据,保留脱机备份并验证备份过程的完整性”。

联邦调查局建议的其他缓解措施包括:确保所有已安装的软件和操作系统都保持更新,这有助于防止攻击者利用漏洞;启用双因素身份验证和强口令,以阻止网络钓鱼攻击,凭据被盗或其他登录危害;由于公开的远程桌面服务器是攻击者首先获得网络访问权限的常用方法,因此企业应审核所有远程连接协议的日志;审核新帐户的创建;扫描网络上的打开或侦听端口,并阻止它们访问;禁用SMBv1,因为该协议中存在许多漏洞和弱点;监视组织的Active Directory和管理员组的更改,以查找未经授权的用户;确保您使用的是最新的PowerShell,并卸载所有旧版本;“启用PowerShell日志记录并监视异常命令,尤其是执行Base64编码的PowerShell”。该指南特别通用,适用于所有勒索软件感染,所有组织甚至消费者都可遵循。

天地和兴安全研究院翻译整理,参考来源:Bleeping Computer http://dwz.date/c4c

 

(七)PayPal遭受网络钓鱼攻击 威胁帐户安全

ESET的研究人员发现了一个冒充Paypal的欺诈网站,并试图诱骗用户将其访问凭证只交给他们的支付服务。该网络钓鱼活动针对PayPal客户,发送伪装成“异常活动”警报的电子邮件,警告用户来自未知设备的可疑登录,并试图窃取用户的所有凭证和财务信息。 

受害者登陆Paypal的网络钓鱼网站后,网络钓鱼者将再次提醒他们,他们需要防止未经授权的访问来保护自己的帐户,并要求他们通过输入显示在页面上的验证码来确认其“信息”。下一步,将受害者带到一系列伪造的登录页面,这些页面旨在获取其PayPal用户名和口令,但数据收集过程并未在此处结束。点击登录按钮后,网络钓鱼链接会继续显示一个页面,该页面要求受害者如果要删除“限制”并完全还原它们,则通过更新其信息来验证其帐户。在接下来的几个步骤中,将要求受害者填写账单地址(包括姓名,电话号码和出生日期)以及信用卡和借记卡数据,以避免以后再填写时使用贝宝。为了确保他们不会收集到无用的信息,攻击者还将要求受害者通过输入帐号,卡背面的安全码以及母亲的姓氏来确认受害者的信用卡和借记卡信息。在最后一步中,还将要求输入他们的电子邮件口令,以便攻击者将来可以访问其他帐户-但是,他们承诺不会使用口令。为了确保潜在的受害者被吓到并点击网络钓鱼消息中嵌入的链接,攻击者在诱饵邮件中说:“请登录到您的PayPal帐户,并完成确认身份的步骤。为保护您的帐户,在完成必要的步骤之前,您的帐户将一直受到限制。您的贝宝(PayPal)帐户的安全性是我们的重中之重,我们希望共同努力以保护它。”

一旦恶意活动的操作者成功地从受害者身上窃取了最后一部分敏感信息,会弹出一个页面,祝贺用户恢复对帐户的访问,他们的“帐户将在接下来的24小时内验证。”整个活动中,攻击者使用了多个钓鱼域,其域名设计与官方的PayPal网站有些相似。所有网络钓鱼站点均通过HTTPS安全连接进行传递,并显示绿色的挂锁以增加目标的信任度并使其具有合法性。

ESET研究人员发现,其中一个域名是在12月5日使用NameCheap注册的,注册人信息使用WhoisGuard保护并拥有在2019年12月4日至2020年10月9日期间有效的Cloudflare SSL证书,同时ESET没有发现该活动在受害者的计算机上安装了恶意软件。

研究人员建议单击通过电子邮件发送的链接后,检查登录的网站的URL,并尽可能避免单击任何链接或打开收件箱中收到的任何附件。最安全的方法是在网络浏览器中手动写入站点的地址,或者使用以前创建的书签(如果可用),以避免重定向到旨在收集您的信息或感染恶意软件的计算机的站点。

PayPal还提供了有关如何在其帮助中心站点中发现网络钓鱼电子邮件的一系列建议,建议用户不要回复电子邮件,单击任何嵌入式链接或下载并打开附件。

天地和兴安全研究院翻译整理,参考来源:Bleeping Computer http://dwz.win/upt

 

(八)加拿大银行遭受历时两年的网络钓鱼活动

Check Point近日监测到一个新型钓鱼活动,冒充加拿大皇家银行RBC向加拿大多个组织和受害者发送包含PDF附件的看上去合法的电子邮件。

附件的设计还看起来像是受害者银行的官方通讯,包括银行徽标和几乎完美的官方语句。攻击者利用了引起紧急情况的语言,这是网络钓鱼攻击中非常普遍的一种策略,警告受害者如果在接下来的两天内不采取任何措施,他们的帐户将被锁定。对检测到的证据进行调查后发现,正在持续进行网络钓鱼攻击可以追踪到至少两年前。通过向其目标发送令人信服的电子邮件,注册和加拿大主流银行网站相似的域名,并制作量身定制的文档,其背后的攻击者能够进行大规模的行动,并可在监视下长时间生存。

在网络钓鱼电子邮件中,攻击者要求受害者尽快紧急登录其银行帐户,以更新各种与帐户有关的信息。点击嵌入在PDF附件中的链接之后,受害者将被链接到网络钓鱼登录页面,该页面克隆银行的真实登录页面,并要求受害者使用双因素身份验证输入账号口令登录。攻击者使用了一种快速的技术来克隆银行的登录页面,在用于收集受害者凭证的登录页面上添加了其网站的屏幕截图,在登录字段顶部的文本框需要输入信息。在受害者等待请求处理期间,攻击者窃取了这些凭据并在幕后转移资金。

Check Point的研究团队发现300多个与银行网站非常相似的虚假域,包括:加拿大皇家银行、丰业银行、蒙特利尔BMO银行、Interac、Tangerine、Desjardins银行、CIBC加拿大帝国商业银行、TD加拿大信托、Simplii Financial、ATB Financial、美国运通、罗杰斯通讯、海岸资本储蓄、富国银行等。

天地和兴安全研究院翻译整理,参考来源:Bleeping Computer http://dwz.win/upz

 

(九)广播网络Entercom遭受第二次网络攻击

2019年12月23日,广播网络公司Entercom确认其IT系统在周末遭受了网络攻击,该事件影响了其后台功能,在某些情况下被迫使用已录制好的节目。

Entercom是一个大型网络公司,拥有235多个广播新闻、体育、和音乐广播电台,每月的收视人数超过1亿7千万。

这是Entercom公司今年第二次遭受网络攻击,第一次发生在9月份,造成了40万美元的收入损失。三个月后,这次的攻击规模小得多,但也导致了系统暂时中断。根据各种报告,该公司的连接问题影响了该公司的数字平台的电子邮件、文件、和内容的访问。

周一早上这些操作功能均已完全恢复。目前尚不清楚恢复时间短是由于第一次网络攻击后增加了额外的安全措施,还是公司支付了赎金以恢复其数据。

天地和兴安全研究院翻译整理,参考来源:Security Affairs http://dwz.date/c4d

 

(十)中美博弈对网络空间的影响:美国扩大进攻性网络行动作用范围

美国总统国家安全顾问约翰·博尔顿在正式场合发言时表示,美国正开始采取进攻性网络措施以应对商业间谍等经济攻击。

2019年6月11日,美国网络安全网站CyberScoop发表了题为《美国正加强进攻性网络措施以阻止经济攻击》的文章,文章称,美国总统国家安全顾问约翰·博尔顿(John Bolton)在华尔街日报首席财务官网络年会(WSJ CFO Network 2019)上发言时表示,美国正开始采取进攻性网络措施以应对商业间谍等经济攻击。

博尔顿指出,自从2018年特朗普总统放宽了有关限制,美国的进攻性网络措施主要集中在阻止选举干涉方面,“我们现在正在考虑在选举背景之外采取一系列其他手段,以防止经济领域的网络干扰。回应不仅仅是在网络空间,我们真正关注的是我们可以做的所有事情。”同时他提到了俄罗斯和中国在美国施加影响力的行动。

文章认为,博尔顿此番讲话标志着白宫高级官员首次公开承认去年对美国网络司令部的授权不仅仅针对美国大选。他警告对手,如今美国的重点正在扩大,即使在网络领域之外,美国保留着报复含有经济动机的网络攻击的权利,以阻止知识产权被盗等行为。

事实上,作为美国保守派代表人物之一,约翰·博尔顿并非第一次提到美国进攻性网络措施,早在去年8月白宫公布以防御措施为核心的国家网络安全战略(National Cyber Security)时,他就表示“我们将在进攻中做很多事情,我认为我们的对手需要知道这一点。”

值得注意的是,上述两次表述中从“很多事情”到“所有事情”,博尔顿的网络进攻决心不断增强,进攻范围不断扩大,表示可能不惜一切代价以攻为守。2018年11月美国中期选举前,他也强调,美国正采取攻击性的网络行动以捍卫选举过程的完整性,并预计攻击者将意识到特朗普政府较于往届政府在网络行动方面有明显提升。

可以说,自去年4月份博尔顿加入国家安全委员会以来,白宫对网络安全的态度发生了显着变化,美国总统政策指令20(Presidential Policy Directive 20,PPD20)的取消就是一个有力证明,这一关键文件的取消让美国军方黑客有更多的余地追捕攻击方。

文章认为,美国国家安全顾问的上述表态属于带有威慑性质的放话,即将以防止经济目的的网络攻击为由对中国、俄罗斯等国采取积极防御措施的同时发动网络攻击,美国的网络战略将更加激进和富有进攻性。

具体分析来看,在中美在贸易摩擦等多领域博弈的背景下,美国将对中国采取更加强硬的态度,其进攻性网络措施已不限于为美国大选保驾护航,而会拓展到其他领域,同时其(进攻性)应对措施不限于网络空间。

其理由之一是中国频频通过网络手段“窃取”美国知识产权,发动各种经济目的的网络攻击。事实上美国已经通过全面打压华为、拉帮结派签署《布拉格提案》等手段试图对中国展开5G技术封锁和战略包围。有理由预测,不排除美国将借助国防授权法案等手段赋予相关行动合法性。

事实上,无独有偶,美国政界关于“进攻性网络政策”的声音不绝于耳。众议员汤姆·格雷夫斯(Tom Graves, R-Ga.)近日重新提出允许企业在自身网络之外识别攻击者的法案,其核心思想是被誉为“网络界最糟糕思想”的“黑回去(hack back)”,格雷夫斯的态度实际上是对博尔顿相关思想和行动概念的接纳和回应。

中美经贸摩擦一年多来,双方争端早已超出了贸易不平衡的范畴,而正在从贸易战转向科技战、网络战和战略层面。其背后的实质是美国认为中国作为世界第二大经济体可能成为其战略对手,动摇其世界霸主地位,因此想方设法遏制中国的发展,不择手段阻止中国的赶超。

所谓的盗窃知识产权、贸易不平衡、强制技术转让等谴责,都是实现其国家目的、维护国家利益的形式和借口。其多名高级官员在各种场合的相关表态很大程度上是为了掩盖其上述企图并为今后进一步举措造势,美国可谓是“贼喊捉贼”伎俩的老手。

与此同时,美国国内冷战思想抬头。2019年3月,美国成立了应对中国当前危险委员会(The Committee on the Present Danger: China) ,该委员会声称,美国须立即警觉,就战胜威胁所需的政策和优先事项达成新共识。

美国恢复这一曾于冷战时期成立的委员会,以应对所谓“来自中国的威胁”,因为担心中国的不断崛起会令美国在军事、信息和技术领域的优势荡然无存。可以看出美国对于中国的戒备似乎已经到了无可复加的地步,当前美国高层的政治生态对中国非常不利。

需要回顾的是,作为2019年国防授权法案的一部分,立法者去年授权网络司令部在其网络之外进行防御。网络司令部还通过名为NSPM 13的机密总统备忘录(National Security Memorandum 13)以及五角大楼的网络战略获得了新的授权,这两项战略都给予了国防部更灵活地采取攻击性网络措施的权利。

作为这些最新授权的直接结果以及保护2018年美国中期选举行动的一部分,网络司令部将人员部署到乌克兰、马其顿等国收集有关俄罗斯活动的情报,并帮助当地官员保卫本国网络。据网络司令部的网络国家使命部队官员透露,美国将继续发展这些关系。

在2020年美国国防授权法案草案出台之际,有理由推断美国的网络安全政策将更加强调进攻,且其在海外的辅助基地将进一步扩大配合本土相关措施。中国应该警惕美国针对俄罗斯的网络措施转而或已经用于针对中国。

对此,从美国国防部及网络司令部的最新动作中已能看出一些端倪。

首先在人事变动方面,美国陆军部长马克·埃斯珀(Mark Esper)近日被任命为新任助理防长,埃斯珀此前曾表示“在认识到我们(美国)与中国处于战略竞争的问题上,我们可能有点晚——确实有点晚。”可想而知上任后埃斯珀将着力加强抵消中国的战略优势。美国网络司令部负责人保罗·中曾根(Paul Nakasone)今年5月将参谋长罗斯·梅尔斯(Ross Myers)选为他的最高副手。

另外,工作重心方面,该司令部的作战主任(director of operations)查尔斯·摩尔(Charles Moore)少将在今年4月的一次吹风会中透露,现在的重点领域之一是更好地协调与武装部队的工作。

“几年来,我们非常专注于建立133支队伍,组成网络任务部队,提供装备、配备人员,”摩尔称,“现在我们的中心问题是如何使用这些力量。”

可以看出,美国强力部门已做好多方面准备,网络司令部已从成立、升级逐渐走向成熟,人员和技术已相对完备,将会围绕美国整体利益做出更多动作,产生更大影响。

同时该司令部具体行动战略可能尚处于酝酿或修改阶段,或虽然因保密等原因暂不公布,但已希望通过类似发声对敌手施加压力。

另外,据五角大楼于5月2日发布的对中国军事行动的最新评估《中国军事评估》(Annual Report to Congress: Military and Security Developments involving People’s Republic of China 2019)称,美国面临着许多数字经济威胁,其中包括来自北京的特别激进的攻击,解决中国黑客问题的紧迫性正在增加,因为该问题已经严重到可以“降低美国核心业务和技术优势”的程度。

五角大楼评估说,中国人民解放军(PLA)加强数字能力建设的部分原因是使用攻击性网络工具攻击对手重要军事和民用基础设施的成本较低。

报告称,中国也认为在战争中使用网络措施是向对手展示决心和技术敏锐性的一种方式。五角大楼特别关注的是中国在网络活动中可能拥有美国军事网络蓝图。美国国防部评估说,这些入侵的重点是收集信息以支持中国对国防工业基地的情报行动,也针对美国的外交、经济和学术领域。

美国助理国防部长兰德尔·薛瑞福(Randall G. Schriver)在该报告的新闻发布会上表示,威胁和挑战是持久的。中国人在使用网络方面十分具有进攻性。

虽然五角大楼评估认为中国(网络)能力和人员现在“落后于”美国,但后者正在努力扭转这种权力平衡。正如施里弗所指出的那样,“中国在网络上投入了大量资金”,并在网络领域取得“快速进步”。“我们看到这项非常积极的现代化事业得到了资源支持,”他补充道,“近二十年来,中国的官方国防预算几乎达到了两位数的增长——其国防预算可能实际上高于此数字。”

由此不难看出,知己知彼,百战不殆。中美两国对于双方在网络领域的动作密切关注、高度重视和时刻警惕。美国各部门紧密关注中国网络政策动向和最新举措,纷纷出台文件将斗争矛头直指中国,其担忧与防备跃然纸上。

此外,美国对于中国国防预算等军事支出非常敏感。中国如今面临着来自世界头号强国的巨大压力甚至是阻力,在此大背景下,两国在网络空间的博弈进一步加剧并在走向白热化。

放眼世界,2019年上半年“网络攻击”已经成为全球热点词汇,从委内瑞拉断网事件到南美五国大规模断电,从传言美国在俄罗斯电网植入恶意代码到公开宣布对伊朗发动网络攻击,网络攻击已经上升为越来越受“青睐”的国家对抗手段。

其中很重要的原因在于网络攻击的成本低且溯源难。中国需重点防范类似事件的发生,因为网络攻击这一杠杆撬动的是关键基础设施的运转、人民生产生活的稳定以及国家战略大计的安全。

虽然G20会面后,中美双方愿意在平等和相互尊重的基础上重新启动经贸磋商,美方同意不再对中国出口美国的商品加征关税。但中国不能因暂时的局势缓和而掉以轻心,中美博弈是一场战略持久战,更是全方位各领域的发展竞赛。网络对抗则是这盘博弈大棋中举足轻重的一步。中国需保持战略定力,完善战略打法,巩固战略优势。

具体来说,首先,在国家战略层面,制定前瞻性国家网络战略,避免在两国博弈中处于被动。积极应对美国相关国家行动,包括尽早制止美国在最新国防授权法案中制定反华或有明显反华倾向的相关条款。

另外在信息安全层面,破除中国威胁论的煽动作用等恶劣影响,对无端指控应借助国际法律手段给予回应。关注“一带一路”沿线国家等地区的舆论动态,及时发现并坚决抵制虚假新闻。积极发出中国声音,真正讲好中国故事,营造有利舆论环境,提高在网络空间国际治理领域的话语权和感召力。

网络对抗方面,打铁还需自身硬,应从政策、技术、实操等多维度加强网络防护,全面提高网络攻防能力。对于美国向中国展开网络的攻击应掌握证据并适当公布。

同时中国应时刻警惕并依法打击来自美国的网络攻击,时刻准备好两国强力部门的网络对抗。

当然在做好最坏打算的同时,还应积极开展与美国在网络安全等领域的对话与合作。正如我国外交部发言人耿爽所言,“冷战色彩”的对抗性思维只会毒化合作环境,无助于网络空间的和平与安全。

本文版权归原作者所有,参考来源:知远战略与防务研究所 http://dwz.date/c3T

关键词:

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号