针对犯罪网络攻击者的“黑客反击”(也称为“积极防御”)争论已经持续了几十年。而且它看起来不会很快结束。
支持这一观点的专家包括美国国家安全局(NSA)前法律总顾问、国土安全部(DHS)前政策助理部长斯图尔特·贝克(Stewart Baker),他现在是Steptoe & Johnson公司的博主和网络安全合伙人。
多年来,传“防御是不够的”,有效应对网络犯罪的唯一方法是通过攻击攻击者来提高成本。
另一边是专家,作为华盛顿邮报》报道去年秋天,他警告大家,根据《计算机欺诈和滥用法案》(CFAA),大多数形式的黑客反击都是非法的,“报复可能会引发全面的网络战争,对整个互联网造成连带损害。”
这一点从来没有说服过贝克。“我们永远不会在当前的网络安全危机中找到出路,”他在自己的博客中写道斯特普托Cyberblog。“这是因为把预防犯罪的重担都放在受害者身上很少能成功。显然,另一个选择是识别袭击者并惩罚他们。”
斯图尔特还告诉《邮报》的记者,法律风险正在下降——政府官员更有可能帮助那些黑客,而不是起诉他们。他说:“政府正在无声地、一点一点地做出让步,变得更加开放。”
事实上,这可能部分是因为五角大楼首次公开宣布,它认为攻击性网络行动是与敌人发生冲突时的选项之一。
其最新的网络安全战略文件国防部说,“应该能够使用网络行动来破坏敌人的指挥和控制网络,军事相关的关键基础设施和武器能力。”
怀特哈特安全公司(WhiteHat Labs)的副总裁罗伯特·汉森(Robert Hansen)说,执行CFAA的另一个问题是,“目前的法律写得很糟糕,我们在网上做的事情几乎都不合法。”所以如果你做的每件事都没有咨询律师,你完全有可能没有做什么事就触犯了法律——串通一气、故意疏忽、事后帮凶等等。”
不过,持另一种观点的是指导软件公司(Guidance Software)战略合作主管安东尼•迪•贝洛(Anthony Di Bello)帖子《黑暗阅读》杂志再次警告称,黑客反击,也就是一些人所说的“积极防御”,违反了禁止“侵入”其他计算机网络的CFAA。
除此之外,他认为,自卫确实足够了,而且,如果做得恰当,比“一场自我驱动的复仇战争”更有效。
在一次采访中,迪贝罗说,那些对他的帖子做出回应的不同意他观点的人,“觉得没有足够的法律渠道来追索。”
安东尼·迪·贝略,战略合作伙伴,指导软件总监
他表示同情,并指出,联邦调查局网络部门只有1000名特工“已经到了极限,从某种意义上说,让受害者自己考虑如何解决问题。”
但是,他也引用了公司的总法律顾问马克·哈林顿(Mark Harrington)的话,哈林顿称黑客行为是“一种非法侵入,我认为非法侵入不会很快成为合法行为。”
Di Bello和其他人认为,在组织考虑发起攻击之前,他们需要充分了解自己的环境,以检测入侵者的存在,入侵者可以在泄露数据或造成其他破坏之前,在网络中沉默数月甚至数年。
事实上,在最近的一个小组中RSA会议在旧金山,MacLean Risk Partners的创始人兼首席执行官朗达•麦克林(Rhonda MacLean)宣称,大多数组织都应该认为自己被攻破了。“如果一家公司告诉你他们没有被攻破,他们并不知道,”她说。
然而,要对这个问题进行有意义的辩论,就需要对一些术语进行定义。一些专家反对使用“积极防御”作为黑客反击的委婉说法。
Accuvant解决方案研发总监Rafal Los说,他认为积极防御是一件好事,它意味着“防御团队采取行动保护自己,在自己的系统/网络上,而不是为了保护自己和资产免受攻击而进行黑客攻击。”
换句话说,在他看来,积极的防御仍然意味着防御。
洛斯说,他相信,如果防御者像攻击者一样,学习敌人的战术、能力和工具,他们将会更成功。
但要做到这一点,他同意迪·贝罗的观点,即后卫需要更多地了解自己的环境。
“在不知道自己的弱点和关键资产所在的情况下,试图去适应对手是徒劳无益的,”他说。期。”
这也是Dragos安全公司的联合创始人Robert M. Lee的观点,他和Los一样对使用“积极防御”来描述黑客反击感到沮丧。
罗伯特·李他是Dragos Security LLC的联合创始人
李反对反击策略,部分原因是他说,大多数组织并不擅长这种策略。他说:“如果组织不能有效地运行防御项目和解决安全基础问题,他们就不能运行有效的进攻项目。”
“进攻比人们想象的要难,回报也比实际做安全工作要少。”
他还指出,进入一个网络小偷的网络与进入一个小偷的实体财产取回被偷的物品是不一样的。