“黑回去”，也可稱之為“主動防御”理論的支持者和反對者一如幾十年前剛剛興起時一樣，針鋒相對，難分上下。看起來也沒有很快結束的樣子。

正方：斯圖爾特·貝克爾——前美國國家安全局總顧問，前美國國土安全部政策助理部長，現世強律師事務所(Steptoe &Johnson LLP)網絡安全業務合伙人兼博客作家。

多年來，他一直在宣揚一種理念：“防御是不夠的”，有效應對網絡犯罪的唯一途徑是通過反擊攻擊者讓網絡犯罪成本更高。

反方：《華盛頓郵報》去年秋天的報道警告那些哪怕只是稍微想一下“黑回去”的人：《計算機欺詐與濫用法案》(CFAA)下絕大多數形式的“黑回去”都違法，而且“報復將會引爆全面網絡戰爭，造成全互聯網范圍內的連帶傷害”。

但這種論調從未說服過貝克爾。“現在這種網絡安全危機情況下我們根本不能從防御中找到出路，”他在博客中寫道。“這是因為將所有預防犯罪的責任推到受害者身上極少能獲得成功。明擺著的一個選擇是識別出攻擊者并施以懲罰。”

　　斯圖爾特·貝克爾

貝克爾還表示，法律風險正在消退——政府官員更傾向于支持那些黑回去的人而不是起訴他們。“政府在一點一點地默默讓步，他們表現得更為開放了。”

實際上，這一局面的形成有部分是由于五角大樓首次公開宣稱攻擊性網絡行動也是其對敵沖突中的一種選擇。

最新的網絡安全戰略文件中稱，國防部“應該有能力采取網絡行動摧毀敵方的命令與控制網絡、軍事相關關鍵基礎設施和武器的功能。”

正方：白帽安全公司白帽子實驗室副總裁羅伯特·漢森認為，執行CFAA 的另一個難題在于“該法案目前相當不完善，以致于我們當下在網上所做的事幾乎沒幾件是合法的。因此，如果不事事咨詢律師，完全有可能啥都沒做就違法了——參與犯罪、故意疏忽、事后共犯，諸如此類。”

反方：安 東尼·迪貝羅，他是全球計算機調查與取證先驅Guidance Software的戰略伙伴關系負責人，近期在信息技術安全領域新聞資訊網站Dark Reading上發表的一篇中反復警告道：“黑回去”，或者某些人聲稱的“主動防御”，是對禁止“非法侵入”另一個計算機網絡的CFAA的違反。

除了這個，他還爭辯道：防御確實已經足夠，而且防御做得好了，是比“自我意識驅動的報復戰”更有效果的。

在一次采訪中，迪貝羅說，那些不同意他的觀點的人在他的文章后回復說，“覺得沒有足夠的法律途徑可以求援。”

防御比‘自我意識驅動的報復戰’更有效果。他對此表示同意，并提到，聯邦調查局網絡部只有1000名探員，“他們已經傾盡全力疲于奔命，某種意義上說，讓受害者不得不考慮親自出馬教訓攻擊者。”

但是，他同時也引用他公司的總顧問馬克·哈林頓(“黑回去”的支持者)的話說：“‘黑回去’也是非法入侵的一種形式，我不認為短期內非法入侵會被列入合法范疇。”

　　安東尼·迪貝羅

迪貝羅和其他人主張，公司企業在考慮反攻回去之前需要深入理解自身環境以偵測出入侵者的存在，這些入侵者可是能夠在偷運數據或引發其他傷害之前在公司網絡中靜靜潛伏數月甚至數年之久的。

事實上，近期在舊金山召開的RSA大會上，麥克林風險伙伴公司(MacLean Risk Partners)創始人兼首席執行官容達·麥克林就在一次小組座談中宣稱，大多數組織都應該假定他們已經被侵入了。“如果有公司告訴你他們沒有被侵入，那只是他們不知道而已。”

然而，要在這個問題上進行有意義的爭論，需要對某些術語進行定義。有些專家認為使用“主動防御”作為“黑回去”的委婉說法是不恰當的。

反方：互聯網安全公司Accuvant解決方案研究與開發負責人拉法·洛斯說，他相信主動防御是一件好事，當且僅當主動防御的意思是指“防御團隊在自身系統/網絡上采取的保護自身的行動，絕對不是反攻攻擊者來保護他們自身及其資產。”

換句話說，在他看來，主動防御依然意味著防御。

洛斯說，他相信如果防御者作了攻擊者一直以來在做的事——了解對手的戰術、能力和工具，那他們將會在防御上更加成功。

但要做到這一點，他與迪貝羅持相同意見：防御者需要對自身環境了解更多。

“不事先了解清楚自身弱點和關鍵資產所在就妄圖應對敵人比徒勞無功更糟糕。如果不清楚自身內部情況，再了解外部因素也完全無用。”

反方：信息安全創業公司Dragos Security聯合創始人羅伯特·李，他與洛斯在使用“主動防御”描述“黑回去”上持類似的觀點。

李反對“黑回去”戰略有部分原因是因為他認為大多數組織不是太擅長這個。 “如果公司企業不能有效運行防御程序并解決安全基本問題，他們同樣不能有效運行進攻程序。”他說。

進攻比大眾想象的要難，進攻回報的價值也不如切實加強安全來得高。他還提到，進入網絡小偷的網絡可不像沖進小偷的家里要求歸還贓物那么簡單。

“一旦知識產權在一次諜報行動中被盜，它就再也不能尋回了。它可不像大多人鼓吹那樣能從對手的網絡中刪除。”

除了法律問題，爭論還延伸到了溯源、連帶傷害和矛盾升級。

反方：溯源，即準確識別攻擊者，幾乎是不可能的，因為攻擊者想要隱藏他們的蹤跡實在是太容易了。而且還會造成連帶傷害——報復目標被引向了無辜的組織——被真正的攻擊者利用了其網絡的無辜路人。

他們還說道，反攻擊只會導致沖突升級，有引發會帶來重大連帶傷害的全面網絡戰的風險。

“舉例來說，如果我是一個受國家支持的攻擊者。”洛斯說，“很顯然，我要是想攻擊你，會先搞定你的主要對手，再以他們為跳板，借他們的網絡來攻擊你。”

“然后，如果你盲目反黑回來，你攻擊的就是你的對手，而我，一箭雙雕。首先，我達成了我的目的，十有八九是通過偷取想要的東西。其次，現在你主動陷入與對手的戰爭了。”

正方：貝克不同意這個觀點，他堅稱，攻擊者沒有公眾認為的那么聰明。

他在文章中寫道，“所有讓我們的安全無法保障的人類弱點也同樣給攻擊者制造了麻煩。他們會在被拋棄了的命令與控制計算機上留下代碼蹤跡。他們也會重復使用密碼、電子郵件地址和電腦。他們的遠程訪問工具充滿了漏洞。”

這些，他說，讓調查員們得以追蹤溯源到用來實施攻擊的命令與控制計算機上，然后，進一步摸到黑客的老巢和辦公室。

他將之稱為貝克法則：“我們的安全很爛，他們的也一樣。”

喬·哈丁，退役軍事情報官，信息戰專家，博主。他表示，用來追蹤攻擊者的工具已經大幅改進了。

“溯源真的很難，但情況正變得越來越好。以前常常要耗費數周或幾個月的時間?，F在，我們的工具能在幾秒到幾分鐘內告訴我們答案。”

漢森，盡管不是一個“黑回去”的絕對支持者，也同意這樣的觀點：至少足以破壞攻擊的歸因是可及的。

“大多數案例里，我得說，實時取證幾乎毫無精準度可言，但大多數壞家伙無非就是用洋蔥頭路由(Tor)、代理或者肉雞來隱藏自身蹤跡。”

“如果你看到有機器在黑你，有可能那臺機器本身就已經被黑了。反黑回去并讓它宕機實際上并不能阻止你的敵人，但卻可以使你敵人在用的武器失效，還有可能提供你的真正敵人是誰的線索。”

漢森對矛盾升級理論也持懷疑態度。“我從沒見過此類案例，所以我也不確定這一理論是從何而來的。”

但是反對者依然沒有被說服。

洛斯說：“這就相當于去捅馬蜂窩。是的，對手很可能比你火力強大，因此，出演反派角色真不是公司的最佳選擇。”

李說：“你還冒著擾亂政府對敵行動的風險，一旦真擾到了政府，你的樂子就大了。總會有二階三階效應——我看不出來公司反黑回去有什么價值。”

哈丁稱，價值來自于僅防御戰略從來不是刀槍不入。他說：“進攻方總是占據優勢的。事實是，如果你真的沒有漏洞，那他們也不會瞄上你。問題在于，你的整個IT部門都忙于給系統和網絡打補丁。但漏洞總是出在人身上，所以說防御就夠了總是比做防御要難。”

對于這一點，防御支持者說，要做到更好也不是那么難。郵報那篇文章中提到的一個技術，叫做“信標”，相當于數字世界的被劫現金爆破染色包，可以幫助受害者“定位被盜物品并確定是誰悄悄從互聯網上偷走了它。”

漢森說他在很多案例里見識過信標的有效性，并補充道：“用壞數據在對手那里種下種子總是個好辦法，可以更容易地順藤摸瓜直搗黃龍。蜜標技術在這方面是非常有用的。”

但是李仍不為所動。“是的，這種戰術可以很有效，但鼓吹和施行這種戰術的人可沒他們自認為的那么的有效。”

洛斯認為，整個業界應該將焦點從感染指標(IOC，indicators of compromise，經常變，且攻擊者可能非常隱蔽而沒有留下感染指征)轉向攻擊指標(IOA，indicators of attack)。

“攻擊者沒法改變的是他們的目的，比如說必須提升權限以潛入公司。能達成這一目的的方法很少——這些就是我們需要監測的地方了。”他說。

原文地址：http://www.aqniu.com/news/7643.html