信息中心

news

-私营部门网络防御:主动措施是否能够帮助稳定网络空间? _0

来源: 凯越国贸 作者: 发布日期: 2021-03-16 点击次数: 939

作者:韩晓涵来源:网络空间治理创新引言6月,卡内基国际和平基金会(Carnegie Endowment for International Peace)的网络政策项目发表报告《私营部门网络防御:主动措施是否能够帮助稳定网络空间?》,报告针对企业主动网络防御措施的内容、特点、问题和解决方案进行了探讨,认为只要加以利用和管理,主动网络防御措施将有助于网络安全发展的过渡. 主动网络防御介绍大多数政府变得越来越无力且不愿保护公民和私人企业的数字资产,使其免受众多成熟网络掠夺者的破坏、操纵或摧毁.政府的重点不可避免的落在保护政府资产和国家基础设施上,它们没有足够的能力和决心面对其他网络安全风险.面对这一现实,私人实体虽不情愿,但也必须用更有效的“主动网络防御”(Active Cyber Defense, ACD)措施作为其被动网络安全措施的补充.这种方法带来了巨大的风险,但如果以原则和行业模型加以指导,也有可能带来长期的累积收益. 主动网络防御包括一系列网络措施和实践,从相对无害的——如在防御者的网络中设置诱饵目标,到在防御者内网之外采取更为果断的措施,但无论如何都是为了阻止即将到来的网络攻击或减轻其后果. 图1 网络防御图谱 图1中黑色虚线内的措施可能会对防御者之外的网络产生影响.然而,内网和外网的区别通常是模糊的;可能一些措施部署在了防御者网络之内和/或指向防御者内网的目标,但是它们仍然有可能(甚至是有意图)影响外部网络.此外,即使是网络之间的界限也存在争议.采用主动防御措施的优势:深入了解潜在威胁以及攻击者的能力和意图,有助于减少意外,保护资产;在迎接攻击上有了更广泛的选择,如时间、地点和方式等;增强防御能力,即使防御者网络已被初步渗透,仍能够破坏或终止计划或正在进行的攻击;增加了攻击的复杂性、阻止了数据的使用、提高了攻击者的直接和间接成本(特别是在身份识别方面),从而更可能阻挡未来攻击.采用主动防御措施的劣势:由于人为错误或攻击者操纵而产生反效果;破坏或损坏无辜第三方的计算机或网络、攻击源认定错误造成的间接损害;攻击者响应主动防御措施,攻击者和防御者之间的冲突升级;不确定的战略影响,如影响到外部网络的措施有可能带来政治和法律后果.将主动网络防御作为网络安全战略私营企业主动防御与政府主动防御的一个区别在于功能: 收集威胁情报,协助溯源; 保护防御者内网资产; 扰乱即将到来或正在进行的攻击; 直接或间接地增加攻击成本; 减少攻击收益,追踪和回收泄露的资产; 阻塞或禁用攻击向量,使计划攻击更困难; 抑制对手的能力,减少未来攻击的吸引力(拒止威慑〔deterrence by denial〕),以防止未来攻击. 从这个意义上说,政府和私营部门的主动防御职能并不是相互排斥的,但它们可以以多种方式区别开来.各国政府可更广泛的利用主动防御,如将其与网络空间之内或之外的其他活动相结合,保护其权限范围之内“友好”的系统和网络.各国政府可能采取的一些惩罚性行为(包括执法行动),不应存在于私营部门主动网络防御范围内.网络空间的无边界性,为政府提出了很多法律和伦理问题,如国家是否应该承担起保护本国公司境外网络和计算机的责任? 国际监管环境的不平衡加剧了许多政府所面临的困境.一些国家承担着私营部门网络安全(包括主动网络防御)的责任,而另一些国家则保留在必要时进行干预的权利,比如在关键基础设施的防御方面.私营部门对主动网络防御的需求上升越来越多的网络安全供应商在其广告中宣传诱捕系统(Honeypots)和其他更无害的主动网络防御形式.这些公司所提供的主动防御服务是迅速扩张的网络安全行业的一部分,一些人预计,到2017年底,网络安全市场将达到1,750亿美元(相比2015年的780亿美元).在表面之下,存在一个更广泛的灰色市场,提供未确认合法性的服务.据报道,一些网络安全公司在海外设有分支机构,以从事在美国法律之下无法从事的活动.私营版块主动网络防御合法化的风险和利益风险:干预执法活动和意外的政治后果;因承担不必要的风险和缺乏能力,防御者和第三方可能更容易受到攻击;各国法律不同,管理复杂.利益:减轻政府负担,使资源利用更有针对性;响应时间更快和效果更好;系统性的长期提升网络安全. 图2 平衡企业网络风险请注意,这些曲线的位置和形状并不反映准确的技术判断;该图仅仅是为了便于说明.任何单一的主动防御措施都不能保证减少公司被攻击的风险.对于特定公司来说,这张图表将取决于该公司独特的威胁环境、能力和使用主动防御措施的选择. 图3 主动网络防御企业的累计风险海运安全的启示二十一世纪初,索马里的治理崩溃使亚丁湾海盗猖獗.航运公司无法避开这一高风险的全球重要地区.虽然它们采取了一些被动防御措施,如安全房,甚至是无武装警卫,但都不足以阻止日益严重的威胁.于是,这些公司开始转向私人武装警卫,这刺激了私人海上安全承包商(PMSCs)的快速发展.许多国家政府都不赞成这种做法,但大多数政府要么没有明确规定禁止商业船只雇佣私人武装警卫,要么不愿执行这些规定,企业因此要在没有官方监督的情况下雇佣承包商.各国政府面临着一个根本性的问题——它们希望维持对武力使用的垄断,但在许多情况下,它们既没有能力也没有意愿来满足打击海盗的防御需求.国家层面,更不用说国际层面的有效监管和问责制的缺乏,有些公司因此依靠的是缺乏充分训练,会有鲁莽行为的保安.2011年发生了两件事:第一件是一家主要海上保险公司发布公共指导,为航运公司雇用安全承包商提供建议;第二件是海运业安全协会(Security Association of the Maritime Industry, SAMI) 的建立.随着行业协会和保险公司对这两个做法的接受,行业标准因此建立,比如雇佣有过军事培训的人员.海运业安全协会最终成为了海运行业基础标准的制定者,实施了《ISO 28007》和《100套武力使用规则》(100 Series Rules for the Use of Force)等准则.海上安全行业的快速扩张使得海盗活动大幅减少.对于私营版块主动防御措施的主要启示🔸当违法行为盛行,政府行动软弱无能时,面临生存威胁的私人实体将倾向于自我保护.🔸风险的权衡是不可避免的.🔸政府对某领域,尤其是国际领域的控制有限时,私营部门就有机会为了提高效用而规避监管.🔸人们担心私营部门行动可能导致问题的系统性升级,这在很大程度上是没有根据的,或者至少被夸大了.🔸动机将推动规范和最佳实践的购买和遵守.🔸临时措施可能无法永久解决问题,但会创造一个更稳定的发展环境. 类比的限制遭受网络攻击的私人公司,可能无法立即辨别攻击者或其攻击动机,这增加了主动防御措施无意中被用于对抗另一国的安全或军事力量的可能性. 被地缘政治目标驱使的恶意网络参与者与网络犯罪分子的攻击动机截然不同,威慑的可能性和方法也不相同. 网络攻击和防御措施可能影响到其他第三方的国家. 在任何情况下,海洋和网络领域之间的差异都无法否定这一类比的价值.主动防御措施的行为规范原则🔸目的:主动防御措施应有一个预定的目标.🔸范围和持续时间:主动防御措施范围应尽量缩小,并在达到预定目标后停止.🔸必要性:主动防御措施只能用作补充,其他网络攻击损害的防御或减轻措施应占主导.🔸比例性:主动防御的潜在副作用必须与直接利益相匹配.🔸效果:主动防御措施应设计为防止间接伤害,例如无法自我繁殖或自我复制.🔸监督:主动防御人员应该承诺遵守原则,在外网进行主动防御操作时需受到临时监督.🔸分享:主动防御人员应该与同行分享最佳实践和经验,在可能和相关的情况下进行合作.🔸协作:应鼓励主动防御人员与执法部门合作,控制主要网络威胁,时刻考虑信息保护的独特敏感性和要求.🔸问责:主动防御人员应有操作记录,以便在必要时证明其反应的必要性和比例性.🔸责任:防御方应对其导致的第三方的无辜损害和/或正当服务的中断负责.🔸自由裁量权:尽管上述原则是普遍适用的,但主动防御行为可能还受制于不同政府施加的独特的要求和条件.保险行业的作用只有保险行业能够近乎完美的成功洞察主动网络防御的所有重要信息.在承销过程中,它可以了解各公司部署的控制措施、流程和功能.在索赔过程中,它能够了解导致损失的原因、涉及的各方以及损失是什么.最后,由于大多数公司都购买保险,使保险行业有能力对比各个行业中的风险管理情形和期限.当这一信息潜力得到实现时,保险业就可能像例子中那样,成为最灵活的激励者和有效降低风险的管理者.

下一篇:-响铃:平台、商家及监管,二选一电商竞争困局出路在哪里?上一篇:没有了