現(xiàn)在世界各地的企業(yè)都在關注如何保護他們的信息資產(chǎn),他們需要這些資產(chǎn)用以制造產(chǎn)品、提供服務、在市場區(qū)分自己、生成利潤以及為其客戶和股東創(chuàng)造價值,為此,這些企業(yè)正在投入巨大的資源來保護重要的信息資產(chǎn)。
企業(yè)和政府機構每天都在攻擊籠罩之下,這種預防攻擊的成本非常巨大。根據(jù)國際戰(zhàn)略研究中心和安全公司McAfee在2014年的研究顯示,美國網(wǎng)絡犯罪成本每年占國內(nèi)生產(chǎn)總值的0.64%。從2015年18萬億美元國內(nèi)生產(chǎn)總值來看,這意味著每年的網(wǎng)絡犯罪成本是1152億美元。
鑒于網(wǎng)絡犯罪成本如此之高,企業(yè)可能會想“為什么我不能保護自己以抵御不斷的攻擊,并減少損失呢?”其實,企業(yè)可以保護自己,甚至可以進行“反攻擊”。但典型網(wǎng)絡安全防御通常是這樣:被動地坐著,等待下一次攻擊,同時祈禱自己部署的防御措施會發(fā)揮作用。
企業(yè)可能希望攻擊者不會發(fā)現(xiàn)他們沒有部署任何防御措施的位置,但也知道攻擊者會比他們更早地知道下一個新漏洞。攻擊者在企業(yè)部署有效防御之前就已經(jīng)有了漏洞利用包,企業(yè)最終會意識到,這種采用純粹的防御戰(zhàn)略來保護其信息資產(chǎn)的方式已然行不通。
這種類型的戰(zhàn)略會失敗在于信息防御的不對稱性。這種不對稱性往往表現(xiàn)在,“要想成功抵御攻擊者,防御者需要確保所有時間內(nèi)100%的正確,而攻擊者只需要找準‘一次的錯誤’就可成功。”
常用的防御戰(zhàn)略無法有效保護重要信息資產(chǎn),這增加了企業(yè)的挫敗感,他們花費在網(wǎng)絡安全的資源充其量只能提供低水平的保護。
對于投資了網(wǎng)絡安全但仍遭受攻擊、入侵和損失的企業(yè),受挫和憤怒之情會讓他們變得更加愿意積極進取地應對攻擊者。美國黑帽大會2012年的調(diào)查顯示,36%的受訪者聲稱他們已經(jīng)開始對網(wǎng)絡安全攻擊進行打擊報復。
打擊報復攻擊者的一種具體方法是“反攻擊”,是指受攻擊的目標會反過來攻擊網(wǎng)絡罪犯或黑客。對于愿意考慮對黑客進行反攻擊的企業(yè)來說,都有哪些問題需要考慮呢?
攻擊與反攻擊
攻擊的定義是在未經(jīng)授權的情況下,訪問計算機、網(wǎng)絡或信息系統(tǒng),包括其信息。攻擊涉及繞過安全控制或惡意的漏洞利用。
反攻擊也是指在未經(jīng)授權的情況下訪問計算機、網(wǎng)絡或信息系統(tǒng)。這兩者的區(qū)別在于動機不同。企業(yè)進行反攻擊的動機可能是恢復或擦除被盜數(shù)據(jù)或知識產(chǎn)權,其他反攻擊的動機可能從本質(zhì)上來看屬于報復,包括破壞或損壞攻擊者的系統(tǒng)以及破壞他們今后執(zhí)行攻擊的能力。
是否執(zhí)行反攻擊應該由最高管理層作出決策。反攻擊是技術性活動,是否要這樣做屬于企業(yè)性決策。信息安全是以業(yè)務為核心的運營風險管理活動,用反攻擊來保護信息需要從風險管理的角度來考慮。
法律和道德問題
如果惡意攻擊是非法活動,那么反攻擊也是非法的。在美國,1986年的計算機欺詐與濫用法案(CFAA)表明,對計算機的未經(jīng)授權訪問被視為非法。
反攻擊的另一個問題是附帶損害。網(wǎng)絡罪犯通常使用不知情的第三方計算機執(zhí)行攻擊,有時候會整合這些受感染計算機為僵尸網(wǎng)絡,用于發(fā)動攻擊和分發(fā)垃圾郵件及惡意軟件。明確攻擊者的真正來源很困難,對第三方擁有的計算機執(zhí)行的反攻擊帶來了嚴重的責任問題。1994年對CFAA法案的修正案允許民事索賠。
撇開合法性來看,簡單的道德準則包括“不傷害”,“尊重員工、承包商和供應商”以及“遵守法律”等都會被反攻擊涉及的活動和結果所侵犯。
風險
反攻擊包含以下風險:
經(jīng)濟損失
企業(yè)需要回答幾個問題:反攻擊是否提供任何財政激勵措施?反攻擊是否會減少損失或恢復信息資產(chǎn)及知識產(chǎn)權?反攻擊是否可防止對計算機和網(wǎng)絡的損壞?反攻擊可節(jié)省多少成本?反攻擊需要什么代價?
信譽與客戶信心
如果反攻擊活動吸引了媒體和執(zhí)法組織的目光,這可能會影響企業(yè)的聲譽。如果反攻擊對第三方造成損害呢?這還會影響客戶的信心,可能影響企業(yè)收入。
民事和刑事處罰
反攻擊可能導致哪些潛在處罰?攻擊者不太可能被起訴,但企業(yè)可能因為反攻擊被強制執(zhí)行離線及造成業(yè)務損失。
對于刑事起訴,美國政府在積極查找違反CFAA的行為,盡管不是針對反攻擊而言的。
生產(chǎn)效率
拒絕服務供給帶來的工作效率和業(yè)務損失可能非常嚴重。反攻擊是對拒絕服務供給的現(xiàn)實應對策略嗎?反攻擊能否減少破壞以及加速從惡意攻擊事件中恢復的速度?
安全性
在試圖反攻擊后,如果攻擊者決定進行更多攻擊,僅僅是為了破壞你的信息系統(tǒng)以及你開展業(yè)務的能力呢?全面的拒絕服務對你的企業(yè)意味著什么?
責任
如果反攻擊對第三方造成損害呢?第三方?jīng)Q定在民事法庭尋求賠償呢?
反攻擊并非……
反攻擊并非網(wǎng)絡安全最佳做法的替代品,反攻擊是所有其他辦法都失效情況下,不得已而為之的策略。在企業(yè)已經(jīng)部署了世界級的網(wǎng)絡安全計劃、政策和程序,并有豐富運作經(jīng)驗后,才可考慮反攻擊。對于可能存在的各種法律和道德問題,企業(yè)應該思考反攻擊是否確實是合理可行的網(wǎng)絡安全保護戰(zhàn)略。