网络沙皇CyberUK 2022畅谈俄乌网络战争：7个网络安全经验教训

俄罗斯入侵乌克兰两个半月后，网络安全领导人应该从冲突中吸取哪些网络安全教训？这个问题一直是今年由英国国家网络安全中心在威尔士纽波特举行的CyberUK 2022会议上多次演讲和讨论的焦点。在本次会议上，英、美、欧盟负责情报和网络安全的政府官员详细介绍了七个关键惊喜以及从持续冲突中吸取的教训。

1. 没有“大规模网络战行动”?

俄罗斯的入侵之所以引人注目，部分原因在于尚未发生的事情：任何类型的在线全面猛攻。“我们所期待的是一场具有更多溢出效应的大规模网络活动，”欧盟网络安全机构(ENISA)执行主任Juhan Lepassaar在周二(10日)与澳大利亚、美国和英国政府的网络安全领导人一起举行的小组讨论中说。

“我们已经看到了其中一些——针对卫星运营商的攻击，这基本上蔓延到了20个欧洲国家，影响了大约10,000名最终用户，”他说。“所以是的，我们已经看到了这一点，但我们还没有看到持续的努力。”

不出所料，同一天，美国、英国和欧盟正式将2月24日对Viasat的KA-SAT卫星通信网络的袭击归咎于俄罗斯。2月24日，俄罗斯总统弗拉基米尔·普京下令入侵乌克兰。

2. 黑客主义者的意外出现

似乎让所有人感到惊讶的俄罗斯-乌克兰战争的一个方面是黑客行动主义所扮演的角色。

澳大利亚网络安全中心负责人阿比盖尔·布拉德肖(Abigail Bradshaw)说：“让我们感到惊讶的一个方面是……我们称之为网络公民义务警员的出现，以及他们的规模。”该中心是该国信号局的一部分。

例如，根据一些报告，300,000或更多的人一直在支持一方或另一方，部分通过分布式拒绝服务攻击和泄露数据。“在任何一天，乌克兰方面可能有59个不同的黑客团体，俄罗斯方面可能有20多个；这些数字每天都在变化，”她说。“但是，行动者在这一事业中的公众参与，以及这样做的能力实际上带来了极端的不可预测性和溢出的机会，实际上是错误的归因——以及报复和升级……在我们的世界里，你知道，这是非常成问题的。”

同样，Lepassaar表示，这种“有组织的黑客行动主义......在这场冲突中被引导”的激增仍然是他的“关注点”。

“当然，我认为我们会同意这种观点，”主持周二小组讨论的NCSC首席执行官Lindy Cameron说。“坦率地说，我们希望看到人们遵守规则。”

美国国家安全局网络安全局局长Rob Joyce强调了黑客行动主义带来的进一步复杂性。“你想坐下来支持那些试图做高尚事情的人，”他在小组讨论中说。“这是有问题的”，尤其是因为美国和盟国正试图成为“网络舞台上的优秀国际公民”，并要求自己的人民行为端正。

布拉德肖说，在网上阐明民族国家及其支持者可接受的行为仍然至关重要。特别是，她主张“分析和呼吁打破我们珍视的全球规范的新行为”，不仅包括黑客行为主义，还包括“利用犯罪分子来支持国家行动”。

3.俄罗斯打击在线批评者

英国安全、情报和网络机构GCHQ主任杰里米·弗莱明(Jeremy Fleming)告诉CyberUK与会者，俄罗斯继续积极发起在线攻击和破坏，尤其是针对普京的外国批评者。

“也许‘网络战争’的概念被夸大了，”弗莱明在周二的主题演讲中说。“但是有很多关于网络的事情，包括我们和合作伙伴归因于俄罗斯的一系列活动。我们已经看到了一些影响其他国家的活动溢出效应。而且我们已经看到了俄罗斯网络行动人员继续寻找的迹象。反对其行动的国家的目标。”

4. Wiper恶意软件攻击仍在继续

俄罗斯继续通过在线攻击直接针对乌克兰基础设施和关键基础设施，包括政府机构、银行和电信提供商。这些攻击包括DDoS中断，在某些情况下，还包括旨在使受感染系统无法运行的擦除恶意软件。

美国国家安全局的乔伊斯说：“我能想到至少八种独特的雨刷器变体已经部署在乌克兰。” “他们做出了回应，保持系统正常运行，重建了系统。”

值得庆幸的是，这些擦除器恶意软件似乎都没有蠕虫般的功能或逃脱乌克兰的网络防御，这意味着至少到目前为止，俄罗斯毁灭性的2017年NotPetya擦除器恶意软件攻击没有重演。

5. 应急计划及反复演练

乔伊斯说，乌克兰能够抵制俄罗斯一再摧毁其系统的努力并非偶然。“他们所做的其中一件事是，他们制定了应急计划，多年来一直处于压力之下，”他说。“这不仅仅是这场危机，但他们已经能够练习，他们了解什么是好的事件响应，然后他们能够恢复。”

因此，他说，“制定一个练习计划以及恢复计划，是我们都应该吸取的非常重要的一个教训。”

NCSC的卡梅伦说：“当然，这是我希望公众从中学到的教训之一，那就是你不必被动地对此做出回应。” “其实，有些事情你可以做，请尽快进行。”

她补充说，这正是“积极参与自己的网络防御”的定义。“这对人们来说是一个非常重要的教训，即使面对一个半重要的国家对手，你也不需要在前照灯中冻结。所以......这是一个很好的教训，而且非常令人印象深刻。我们也能够帮助乌克兰人感到非常自豪。”

6. 专注于网络弹性

看待乌克兰看似成功的网络安全战略的另一种方式是，该国一直在继续专注于提高其弹性。当然，乌克兰在这方面并不孤单，美国、英国、欧盟和其他国家也更加关注确保公共和私营部门能够更好地彻底击退网络犯罪和民族国家攻击当攻击通过时进行恢复。

GCHQ的弗莱明说：“提高弹性并加倍采用我们的集体方法是长期成功的关键。”

这意味着什么?“投入时间、精力和资源来获得正确的基础，”他说。“确保您了解您使用的技术，遵循最佳实践以使其尽可能具有弹性，并且对不断变化的威胁以及如何防御它保持活力。”

7. 进行“压力测试”

在完善事件响应计划时，ENISA的Lepassaar建议组织也模拟各种不利情况。

“这是有回报的，对自己进行压力测试。我的意思是，自2014年以来，乌克兰人一直在不自觉地进行压力测试。我认为我们不需要在我们的系统中效仿，”他说。

但建议政府采取的一个行动方案是制定一个框架或计划，“在其中定期对社会中最关键的要素或基础设施部门进行压力测试”，并辅之以激励更多行业自己这样做的激励措施，Lepassaar说。

“我知道英国与这里的电信服务提供商合作做得很好，我认为这是我们应该真正尝试在不同关键部门复制的东西，”他说。

编者注

英国NCSC的旗舰活动CYBERUK 2022于2022年5月10日至11日在南威尔士纽波特的 ICC Wales举行。

CYBERUK已成为英国和世界各地网络安全和技术专业人士思想领袖的重要日期，之前的会议分别在利物浦(2017 年)、曼彻斯特(2018 年)和格拉斯哥(2019 年)举行。

在2021年虚拟活动取得成功的基础上，主题演讲也将在CYBERUK YouTube 频道上播放，以最大限度地提高所有人的可访问性。

为期两天的CYBERUK 2022有1500多名代表参加，将网络安全领导者与技术专业人士结合起来，加强网络安全社区。它将为整个网络安全社区提供重新连接、讨论业务需求和审查不断变化的威胁形势的关键机会。

CYBERUK 2022将以世界一流的内容和演讲者为特色，提供互动和网络的机会。该活动在纽波特举行，还将展示威尔士蓬勃发展的技术部门，包括研究、学术和设计。

参考资源

https://www.govinfosecurity.com/russia-ukraine-war-7-cybersecurity-lessons-learned-a-19057

https://www.cyberuk.uk/website/7174/

文章来源：网空闲话