网络攻击非常常见,被攻击之后该怎么办呢? 好像投诉无门,因为衡量攻击者的攻击行为及取证都有难度,而且大多数攻击行为规模都不大。这个时候很多受害者选择了反击,那“ 主动反击 ”(Hack Back) 合法吗 ? 针对 “ 主动防御 ” 的概念存在着激烈的辩论。
何为主动网络防御可靠性(ACDC)法案?
在几乎无法追溯网络犯罪的时代,让公司对攻击者进行主动反击似乎异想天开。尽管如此,Tom Graves(R-GA)还是对《主动网络防御可靠性(ACDC)法案》进行了修订,为试图主动回击攻击者的公司提供保护,使其不会因此遭到刑事诉讼。要获得此类保护,受害公司必须通知联邦调查局(FBI)国家网络调查联合特遣队,并提供如下信息:
• 详细的被攻击信息;
• 对最初网络入侵的证据将采取何种保护措施;
• 如何避免对不相关第三方的系统造成不利影响。
提交的修正案并未要求事先审批或遵守合理的最低标准以最大程度地降低意外后果。这样的话,最好的情形是案件审理困难,而在最糟糕的情况下,可能会造成巨大损失。
问题1:网络攻击溯源准确吗?
早期进行拒绝服务(DoS)防护时,普遍采用的防御措施是丢弃攻击网络发送的所有流量。然而,对攻击源进行伪装并不是什么难事,这样,就会卷入无辜的第三方。例如,A公司和B公司进行正常的生意往来。突然,有坏蛋伪装成A公司向B公司的防火墙发送了大量报文,B公司防火墙因而阻断了所有来自A公司的流量,但同时两家公司之间的正常通信也因此中断。人们很快发现,这种防御措施比最初的DoS攻击还要糟糕,转而采用其他技术。
想象一下:这不仅仅是发送DoS流量而已,更重要的是A公司看似攻击了B公司。若B公司转而攻击A公司进行报复,应该如何划分责任?修订案中未要求受害者提供反击理由或溯源证据。大量事实反复证明,在互联网上进行溯源难于上青天。索尼公司在2014年被攻击时,多数人认为朝鲜是幕后黑手。然而几年后,虽然有几国政府的资源支持,仍然无法最终确定真正的攻击源。Bruce Schneier在2015年时表示,
“ 一般情况下 , 可通过武器确定攻击者。看到街上有坦克驶过时,我们知道这是军事行动,因为唯有军方才有坦克。但网络空间是另一回事。网络空间中,技术能力广泛传播,一种武器会被不同的人使用,包括黑客、犯罪分子、有政治动机的激进黑客、国家间谍、军方,甚至潜在的网络恐怖分子,”
若他们都无法确知攻击源,凭什么你认为自己可以?你们公司的资源比政府和几家顶尖的事件响应公司还厉害?
问题2:公司能使用的资源规模 vs 攻击者的恶意软件即服务
公司缺少资源。请看以下场景:你被攻击过,因而别人知道你的弱点,坏蛋会肆无忌惮地进行攻击。因为穿着狗熊套装就去捅狗熊的眼睛,这是什么逻辑?或许你已识别并修补了坏蛋利用的漏洞,但你敢说就没有其他的漏洞了?你的团队受道德和预算的限制,同时还要与其他任务比拼优先级。而坏蛋不受任何道德约束,可选择使用强大的“ 恶意软件即服务 ”,这点是你无法匹敌的。查看僵尸网络统计数据,你会立刻发现坏蛋的装备比你的好得多。更让人气馁的是,网络上的攻击能力是不对称的,而你处于不利位置。
问题3:第三方云平台牵扯其中怎么办? 网络攻击也有三角债
ACDC法案许诺“防止因欺诈或相关活动受到起诉”,但对民事责任只字未提。想象一下,坏蛋入侵了云服务提供商托管的共享服务器,利用这台服务器攻击受害者。受害者转而攻击共享服务器,影响到多家无辜公司的运营。这些无辜的第三方可以诉诸法律要求赔偿吗?既然已遭受攻击,这些公司可以回过头攻击最初的受害公司吗?“若第三方没有遭受直接损失,但是受数据泄露通知要求的约束,会因为受害者的反击而需要履行通知义务吗?”
问题4:反击真的能实现目的吗?
受到网络攻击时会让人感觉攻击者在针对自己。人在受到冤屈时想反击可以理解。但是反击想达到什么目的呢?若因为勒索软件攻击丢失了数据,反击攻击者(假使能找到攻击者的话)也无法使数据回来。对于公司股东来说,还是没有拿回数据,但却浪费了时间和金钱。假设被“窃取”的是个人身份信息(PII)。与现实世界的盗窃不同,原始数据可能还在你手上,攻击者拿到的只是拷贝。若能够神奇地找到坏蛋, 并且 进入他们的系统, 并且 “取回”被偷走的PII,只是拿到了又一份数据拷贝而已。坏蛋手中还是握有数据拷贝,备份在某处。数字盗窃的挑战在于,使用权不会受到损害,这使损失难以评估。
还没有评论,来说两句吧...