近年来,美国政府、军方以及商业界受到黑客攻击的次数越来越多,损失也越来越严重。网络安全专家、乔治华盛顿大学网络与国土安全中心主任希路佛提出“主动防御”概念,希望能扭转情势。希路佛11月9号接受美国之音科技记者黄耀毅专访,谈应该如何进行主动防御,未来云计算以及物联网的安全,还有川普新政府在网络安全方面应该如何作为。请看专访片段。
美国之音黄耀毅:法兰克,感谢你接受采访,尤其是在忙碌的选后第二天。第一个问题,有关于你发表的这份“主动防御”报告,什么是主动防御(Active Defense),它的框架又是什么?在政府部门以及私人产业,是否有不同的运用方式?
乔治华盛顿大学希路佛主任:我们之所以启动这份报告,并且组成这个行动小组,是因为我们理解企业光是将墙越盖越高(防火墙),扩大保护范围,把锁头加大,是没有用的。我们目前网络安全的做法是被动的,就像是你家被抢了之后,才打电话给锁匠,这根本就没有用。我们看的是,这些公司能够采取哪些主动的步骤,来更好地保护他们的系统。我们并非提倡攻击性的网络手段,也就是‘黑回去’,但在现在主要的被动性与防卫性的作法,以及黑回去的做法之间,有许多空间。我们试图要做的,就是定义一些技术面的机会,看看如何进行策略上的应用,制定法律的基本面,看哪几方面必须要重新校准,重新对焦,并且更新。基本上,就是介于防卫性与攻击性之间,一套的技术解决方案,包括能够在自己的资讯里加上‘信号’(Beacon),可以加在你的资料里面,你的信息系统里面,当有人入侵你的系统,就会向捍卫者发出警告,你的资料已经离开你管辖的范畴,还可以追踪找到谁是入侵者,是谁来偷走资料的。我们同时也认为可以使用,基本上就是使用‘蜂蜜罐’,以假的网站吸引罪犯进来,阻碍他们的行动,好能研究他们的攻击手法,步骤等,给你机会能够进行逆向工程,进一步了解敌人的动机与能力。这就是我们称之为‘白灰地带’,也就是更为巧妙的利用既有的科技。另外就是所谓的‘黑灰地带’,现在有几个成功将僵尸网络下架的案例,或是打败恶意软件的散播者。私人公司自己不能这样做,因为这样他们将要入侵国内外的网络系统,但是与政府合作,私人公司可以与执法单位合作,最终能够主动的,积极的将僵尸网络下架。就想想最近在美国的DYN 公司阻断服务攻击事件,黑客攻击了网域名称系统,基本上就是互联网的电话簿,造成极大的影响。但如果该公司内部采取了某些主动防御的做法,就可以在伤害造成之前就阻止黑客。这些是有创意的想法,但并不符合期望。技术其实已经到位,问题是谁要来做?要做什么?政府不会尽其所能地做,也没有足够资源这样去做,我们必须确保私人企业有足够的空间能够主动防卫他们的系统。
美国之音黄耀毅:很有趣你提到DYN攻击事件,我记得当天有三起攻击,不过他们成功地阻挡了第三起攻击。事实上,我与一家网络安全公司的网络安全专家谈过,他叫做史蒂芬·寇替(Steven Coty),他之前也是黑客。当我问他,在网络安全方面,他希望能够做什么,或希望私人公司有哪些能力,他回答我“解开手铐”。他希望有更多自由,他希望能做更多,来阻止攻击。他提到他其中一名客户,追踪那些被偷窃的资料,一路追到北京。你认为是否更为积极的手段是必须的,而我们应该给私人企业那样的力量来这样做?
乔治华盛顿大学希路佛主任:当然,现在我们责怪受害者。当一家公司被黑之后,他们反而被不同的投资人告上法庭。我们必须开始让罪犯感到痛苦,要劝阻、吓阻、迫使未来不再发生犯罪行为。绝对无法光盖防火墙就能解决这些问题。但除了要采取更防卫性的想法,我们也要考虑到,有时解药比疾病本身更糟糕,我不想要“黑回去”,因为如果有人黑回去,攻占某个在北京的服务器,那可能引爆网络战,这是大家都不乐见的,应该要跟政府合作办案,因为中国政府可能会认为那是美国政府干的,情势就会越来越紧张。但是,关于鉴识证据的主动搜集,还有太多太多需要做的,包括资料是怎么移转的,设定吸引黑客的蜂蜜罐陷阱(Honey pot)、沥青湖陷阱(Tar pit)等,在你的网络内部主动狩猎,搜集情报。甚至在你的网络当中置放虚假资讯,让罪犯虽然进行了攻击,却不会真的造成损失。这些都是可以做的。我不要牛仔,我不要为所欲为,但现实就是,光盖防火墙是无法解决问题的。知识产权被盗窃的成本实在是太高,为何要花费数千万美元做研究,如果你可以顺手牵羊,可以将这些偷来的技术做成自己产品,并且获得市占率?我们需要新的手段,且正确的使用主动防卫,而不是过度侵略性的,这才是解决方法的一种。
美国之音黄耀毅:所以主动防御只适用于私人企业?构想是这样?
乔治华盛顿大学希路佛主任:主要是这样。当你想到网络,这里有个两难。说到底,即使是世界上最大的公司,不管是最大的银行、最大的科技公司、最大的电信公司,他们开业时都没有想到过必须要对抗外国情报部门。但这就是正在发生的。战场已经延伸到整个社会,它们身处前线,它们成为目标。所以除非政府能够用更强力的手段应对,不然我们不能让私人企业不做出自己的回应,否则它们就要关门了。所以没错,我讲的是私人企业能够采取的手段,来捍卫它们的系统,不是主动出击,而是保护它们的资料,它们的资讯,并且试图将被偷走的拿回来。
美国之音黄耀毅:讲到私人企业,许多私人企业都是跨国公司,打个比方来说,思科,可能在美国境内提供网络的安全,但同时也在中国做生意。即使对于网络安全公司,它们也同时在美国,以及其他有敌意的国家都有生意。对于这些公司,可能一方面必须要与这些政权分享某些资讯,但同时又要保护自己不受到这些政权的侵害,你有什么样的建议?
乔治华盛顿大学希路佛主任:这是一个很棒的问题,而我希望有个简单的答案。但首先,网络是一个不分国界的议题,所以我们都理解必须要有个跨越国界的国际准则。不幸的是,有好几个国家为网络犯罪行为提供避风港,俄罗斯莫斯科、中国北京都窝藏了许多黑客,而我们与这些国家没有签署引渡条约。但对于美国公司,我们的报告当中提出建议,有国务院能够采取的主动防御外交手段,因为现在已经没有单纯的美国公司,现在都是跨国公司。但我们也需要考虑,你提供的防卫工具,心怀不轨的人也可以拿来攻击你。所以我想某个方面你会看到大家开始注意到,从‘出口管理’的角度来看网络安全。因为它们用来防卫自己系统所采取的步骤,也会被当成武器用来攻击美国。这是一个很棒的问题,我希望有一个简单的答案,而且很清楚,这有个国际的元素,我们还是有个独特的、需要我们保护并且保存的国际利益。
美国之音黄耀毅:这带到下一个问题,就是在美国军方以及美国政府内部,都越来越担心使用某些产品,例如它们被建议不要采购或使用联想电脑的产品,因为担心那构成网络风险。这是与中国公司有关的,那我们刚才谈到的,在美国内的公司,但在中国也有做生意的公司,我们是否也要担心?我们要如何确保,这些公司取得政府采购案之后,能够确认我们的互联网是干净安全的?
乔治华盛顿大学希路佛主任:这也是一个很好的问题。我们先退一步说,大部分网络安全信息泄露都是第三方供应链的问题。所以最近在美国有一股很强的推动力,叫做美国境内外资委员会(CIFIUS),要找出哪些国际公司在美国动作较大,尤其是与政府有合作的公司。比如华为就很令人担忧,他们的产品比思科的要便宜很多,但虽然买的便宜,华为的产品有可能将信息传回中国。监管第三方供应链是一件很重要的事情,也很难。很多国际公司就设置了障碍,拒绝购买美国公司的产品,除非他们没有别的选择,比如面临行业垄断。如果你问我的话,设置更高的贸易障碍并不是正确解决办法,但是大部分国际公司都在这样做。从美国的角度来说,要做的就是仔细观察动机,确认没有陷阱。美国公司一直都在与国际公司设立合资企业,从宏观角度讲我认为这是一件好事,但我们必须认识到这也带来了很多的网络安全风险。最关键的部分包括军事系统,电子通信,电力工程,金融银行业。这些系统非常重要,网络安全应该是企业采购当中很重要的一环。因为保障安全的最终方式就是在设计系统时、采购时,就已经考虑到安全问题。对我来说,安全问题不是事发后再补救而是在最初阶段就设计好。这会从我们的防御系统开始,以后那些关键的系统也都会采用。
美国之音黄耀毅:再回到主动防御。为了要让全国的私人企业都能采用主动防御,需要行政当局以及国会推出什么样的新政策跟新法案?
乔治华盛顿大学希路佛主任:大部分与网络安全相关的法律跟法规,都是在1970年代制订的,而当时设计互联网的目的,跟现在是完全不一样的,网络安全当时根本没有考虑进去。而我们大部分的法律其实都已经非常过时了,这些法律的依据的是老旧的技术,现在人们只能适用这些法律制订时的精神跟动机。所以最终我们要求的是,《电脑诈骗滥用法案》(CFAA),这是一个主要的电脑黑客以及犯罪法律,需要根据我们报告中所提的白灰色地带与中灰色地带,进行更新。有些技术早就已经有了,可以被运用来更好的防卫系统。同时我们也提出一些建议,让产业界、私人公司与政府之间,能够有更良好的交流。我们需要能够更好的来确保程序完善,公私部门的合作流畅。最重要的是,就策略上来讲,网络安全需要被认为是首要优先,不只是为了国家安全,也是为了我们的经济,也是为了我们的生活方式。第二,我不要求重写现行法律,但必须要根据当今我们生活的世界,做出符合现实的修改。我们正面对21世纪的威胁,却使用19世纪的法律,所以法律必须要符合最新情况。
美国之音黄耀毅:往前看,云计算、物联网都正在崛起。在制定法律来保护我们的时候,是否应该往未来的环境着想?
乔治华盛顿大学希路佛主任:首先,如何定义界限跟范畴。由于物联网还有云计算,现在我根本不知道我的网络当中有些什么,因为整个界限都模糊了。传统的用户端安全以及参数安全已经过时,无法与现今的环境接轨,而物联网将会度膨胀认知的范围,同时也将极度膨胀受到攻击的范围,创造出新的被攻击目标。所以对我而言,在开发新设计时,就要确保这些设计成真之前,先把安全性考虑进去。然后在立法方面,我们的国会议员必须要活在21世纪,确保他们了解这个充满威胁的环境,以及我们生活的世界正在急剧的改变。没有人能够预料到现在的市场,也没有人预料到互联网会从当年美国国防部的防卫系统发展成现在这么大的规模。不过我们现在有机会,在物联网上一次做好安全。如果要等到物联网已经架设完成才做,将会非常困难。我不确信法规能够解决,但是研究与开发,在设计时将安全考量进去,还有允许系统当中有主动检查功能,是解决方法的一部份。
美国之音黄耀毅:你知道在这方面已经有任何努力了吗?
乔治华盛顿大学希路佛主任:是的,现在已经有几家公司朝这方向在做,而我认为会最成功的,是正在推动物联网环境的。当然继续可以有安全防护公司,但对我来说,这就像是在补破洞。像思科还有其他正在推动物联网的公司,都有将安全考虑进架构当中。他们不将安全看作成本支出,而是当成生意的推动力量。因为终究来说,这样消费者才会感到安全。这是要花钱的。而不只是美国公司要这样做,这必须要是全球性的。
美国之音黄耀毅:说到世界正在改变,我们刚选出了一位新总统。你对当选总统川普的网络安全政见有何了解?你会给他什么样的建议?
乔治华盛顿大学希路佛主任:我想几个星期前他的竞选白皮书当中有提到,网络安全必须是,也将会是他执政的优先项目,他组了一个行动小组,来寻找美国政府内外的弱点。我认为他会了解私人企业必须在这件事上打前锋,缺乏私人企业的才智以及创新,政府无法达成目标。就他的商业背景而言,我认为他会了解。而我也认为,不管到目前为止,是谁在辅佐总统这方面的政策,目前形成的网络吓阻策略,对我来说是绝对的优先。劝阻,吓阻,迫使。最终你无法劝阻科技,你吓阻与劝阻的对象是网络使用者。我们需要制定针对俄罗斯,中国,朝鲜,伊朗,外国恐怖组织,犯罪集团的吓阻策略。他们各自都有不同,也都需要有不同的解决方案。对我而言,这是我们现行网络安全策略所欠缺的。时间会证明一切,我认为这是一个最跨党派的议题,而我们都依赖一个强大的网络安全策略。
美国之音黄耀毅:谢谢你法兰克。
