（上海社會科學院新聞研究所）

編者按：美國商務部和國土安全部2018年1月發(fā)布報告《提高互聯(lián)網和通信生態(tài)系統(tǒng)對僵尸網絡和自動化分布式威脅的響應能力》。商務部和國土安全部要求所有感興趣的利益相關方（包括私營行業(yè)、學術界、民間社會和其他安全專家）公開評論這份報告草案，包括對威脅形勢的描述、制定的目標以及進一步實現(xiàn)這些目標的行動。公眾意見征詢期至2018年2月12日，5月11日將提交最終報告。此份報告提出的問題、預期的目標、選擇的路徑都比較簡潔直接，其中的一些看法雖然不是特別新穎，但也非常明確，并且由于其將廣泛吸引企業(yè)的意見建議，從而最終會對網絡安全產業(yè)的發(fā)展導向產生影響。通過對該報告的研析，可以為國內網絡安全企業(yè)在工具產品研發(fā)、技術支持服務和參與標準制定等方面提供發(fā)展啟示。

《提高互聯(lián)網和通信生態(tài)系統(tǒng)對僵尸網絡和自動化分布式威脅的響應能力》（以下簡稱報告），旨在回應2017年5月11日特朗普總統(tǒng)簽署的第13800號行政令中關于“加強聯(lián)邦網絡和關鍵基礎設施的網絡安全”的呼吁——“抵御僵尸網絡和其他自動化、分布式威脅”。報告在結構上呈現(xiàn)層層推進：首先，報告給予物聯(lián)網市場準確的定位，稱物聯(lián)網設備“很像上世紀90年代的臺式機”，安全性不容樂觀；其次，報告承認，即使消費者在商家購買了設備，又將這些設備聯(lián)入家用無線網絡，也不能、不應該指望他們?yōu)檫@些設備的網絡安全負責；再者，報告明確，如果想要應對當前的僵尸網絡攻擊，需要美國政府、行業(yè)等多利益相關方的通力合作；然后，報告提議，美國政府應當利用自身重要采購方的角色，對美國政府環(huán)境的物聯(lián)網設備采用基準安全配置，以此加快普及安全配置的進程；最后，報告建議，美國政府應當資助一場提高全民物聯(lián)網安全意識的運動，讓網絡安全成為未來學生獲得工程學學位的必修內容。

1.報告背景與說明

自動化分布式攻擊所形成的威脅已經超越了任何單一公司或部門。這些威脅被用于各種惡意活動，包括分布式阻斷攻擊（DDoS），勒索軟件攻擊，計算機宣傳操縱等。傳統(tǒng)的DDoS緩解技術旨在防范預期規(guī)模的僵尸網絡，但物聯(lián)網的普及帶來了設備數量龐大的新型僵尸網絡，DDoS的攻擊規(guī)模已經擴大到每秒超過1太比特，大大超出了預期。2016年秋季出現(xiàn)的Mirai僵尸網絡，攻擊時達到的持續(xù)流量水平甚至破壞了一個常用的組件域名系統(tǒng)。更復雜的僵尸網絡也隨之而來，比如收割者（Reaper）。Mirai和收割者僵尸網絡清楚地表明了這種攻擊的規(guī)模和范圍，在未來，僵尸網絡的攻擊規(guī)模和復雜性都將增加。

目前，應對自動化分布式攻擊的傳統(tǒng)技術恢復時間太慢，尤其是在涉及關鍵性任務時，而且這些技術并不是為了減輕其他類型的惡意行為，如勒索軟件或計算機宣傳。隨著新情況的出現(xiàn)，迫切需要在各利益相關方之間進行協(xié)調和協(xié)作。聯(lián)邦政府之前一直與利益相關方密切合作以應對新出現(xiàn)的威脅，以前的努力包括：

（1）建立產業(yè)僵尸網絡組（Industry Botnet Group），擬定了“減少網絡空間僵尸網絡影響的自愿工作原則”（2012年）;

（2）通信安全性、可靠性和互操作性委員會（CSRIC）的“反機器人行為守則”（2013年），以及“互聯(lián)網服務提供商網絡保護實踐（2010年）”和“基于服務器的DDoS攻擊修復（2014年）”的報告；

（3）司法部與其他部門也在積極行動，解決問題和重新定向（sink-holing）支持這些威脅的基礎設施。

雖然這些舉措取得了一些進展，但仍然存在重大挑戰(zhàn)。本屆政府和主要利益相關方希望通過努力進一步加強未來互聯(lián)網和通信生態(tài)系統(tǒng)的復原能力。

2.技術與政策現(xiàn)狀

報告介紹了當前互聯(lián)網和通信生態(tài)系統(tǒng)的技術和政策領域現(xiàn)狀，并設想未來會有所改善。其中，生態(tài)系統(tǒng)的技術領域現(xiàn)狀和未來預期主要包括：

（1）基礎設施：是指將其他多種技術領域連接起來的單一系統(tǒng)。目前基礎設施的最佳實踐是采用混合方法，圍繞過去的危機規(guī)模建立，造價昂貴，難以管理，還需要熟練工作人員操作。未來必須通過新的自動化工具和實踐更有效地檢測惡意流量。

（2）企業(yè)網絡：是由本地連接的設備與區(qū)域互聯(lián)網注冊表分配的IPv4和IPv6地址組成。過去遭遇過DDoS攻擊或受其影響較大的企業(yè)和行業(yè)，往往采用基礎設施提供商提供的DDoS緩解措施和企業(yè)管理的內部部署緩解措施，聚焦可用性、功能性和成本。未來企業(yè)可以通過融合最新的技術，運營和采購政策，以及IT員工和決策者教育和意識，為更有彈性的生態(tài)系統(tǒng)做出貢獻。實現(xiàn)這一目標的基本步驟是廣泛采用NIST網絡安全框架（CSF），將大部分必要的行動歸因于五個并行和連續(xù)的功能：設備識別、設施保護、流量檢測、流程回應和系統(tǒng)修復。

（3）邊緣設備：如服務器，個人電腦，移動設備和其他連接設備等。目前物聯(lián)網的安全水平與20世紀90年代的臺式機水平相當。要提高邊緣設備技術的安全水平，需要有一個全球公認的、可被廣泛理解和采用的安全標準。這些標準應該是靈活的、適時的、開放的、自愿的、工業(yè)驅動的、全球性的。

（4）家用和小型企業(yè)網絡：由使用通過網絡地址轉換（NAT）在外部尋址的“私有地址空間”的設備組成。該部分的網絡安全水平和意識同樣不佳，不僅對于遭到攻擊時可能準備不足，還包括對隱私、數據、設備接入的素養(yǎng)不足。市場力量是提升設備安全性的關鍵要素，智能路由和防火墻可以減輕和檢測設備是否受到攻擊，而用戶也應當接受更為有效的教育提升技術水平。

在政策與治理領域，呈現(xiàn)出與技術領域相互交織的狀態(tài)，要點包括：

公私伙伴關系：包含對于攻擊信息的共享安排;

自愿性認證或認證過程：供應商和客戶選擇共同的安全目標和期望;

標準與準則：由多利益相關方論壇商議制定;

采購政策：特別是推薦在聯(lián)邦政府內部推行，制定市場激勵措施;

監(jiān)管和立法行動：主要在聯(lián)邦和州級層面展開;

多邊和雙邊協(xié)調/協(xié)議：使得包括互聯(lián)網治理在內的國際協(xié)調與合作制度化。

3.面臨六大機遇挑戰(zhàn)

報告認為，為大幅減少自動化與分布式威脅，目前面臨的機遇和挑戰(zhàn)可歸納為六大主題：

（1）自動化、分布式攻擊是一個全球性問題。近期僵尸網絡中的大多數受感染的設備都位于美國。增強互聯(lián)網和通信生態(tài)系統(tǒng)抵御這些威脅需要與國際伙伴合作，采取協(xié)調一致的行動。

（2）有效的工具存在但未被廣泛使用。用于顯著增強互聯(lián)網和通信生態(tài)系統(tǒng)響應能力的工具、流程和做法是廣泛可用的，有些雖然不夠完善，但可以在特定的市場部門經常使用。但由于各種原因，包括缺乏意識，成本規(guī)避，技術專業(yè)知識不足以及缺乏市場激勵等，這些產品在其他許多領域的開發(fā)和部署并不常見。

（3）產品應當得到全生命周期保護。在部署時就易受攻擊的設備，發(fā)現(xiàn)漏洞后卻缺乏修補設施，供應商已經結束支持但仍在服役的設施，這些都使得自動化分布式威脅過于容易。

（4）需要教育和形成必要的意識。家庭、企業(yè)客戶、產品開發(fā)人員、制造商和基礎設施運營商之間的知識差距妨礙了使生態(tài)系統(tǒng)更具彈性的工具、流程和實踐的部署。

（5）市場激勵機制存在錯位。目前可以感受到的市場激勵機制與“大幅度減少自動化和分布式攻擊所帶來的威脅”的目標不一致。市場激勵產品開發(fā)者、制造商和供應商將開發(fā)的成本和時間降至最低，而不是為了進行安全建設或提供有效的安全更新。在開發(fā)產品時，安全性和便利性之間必須有一個更好的平衡。

（6）自動化分布式攻擊挑戰(zhàn)的是整個生態(tài)系統(tǒng)。沒有一個單一的利益相關方社區(qū)可以單獨解決這個問題。

4.五大目標與行動

報告確定了五個相互支持的互補目標，每個目標下設有具體的行動路徑。報告希望通過將目標和行動結合起來的方式，大大減少自動化分布式攻擊的威脅，并提高生態(tài)系統(tǒng)的彈性。這五個目標與具體行動如下：

目標1：為建立一個適應性強，可持續(xù)和安全的技術市場確定一個明確的路徑。1.1為家庭和工業(yè)應用中的物聯(lián)網設備建立一個可被廣泛接受的基線安全概要，并通過雙邊安排和使用國際標準推動該概要被國際采用。聯(lián)邦政府應該在美國政府環(huán)境中增加使用基準的物聯(lián)網設備安全配置文件，與傳統(tǒng)計算的標準和實踐配套，加速通過這一進程。1.2軟件開發(fā)工具和流程能夠顯著降低商業(yè)既有軟件中安全漏洞的發(fā)生率，這一點必須得到業(yè)界的廣泛采用。聯(lián)邦政府應與業(yè)界合作，通過提高投資回報率或為落后行業(yè)或行業(yè)組織創(chuàng)造市場激勵措施，支持行業(yè)采用這些工具，并改善市場的采用和問責制。1.3行業(yè)應加快開發(fā)和部署預防和緩解分布式威脅的創(chuàng)新技術。政府應優(yōu)先考慮應用研發(fā)資金和技術轉型防范和緩解DDoS攻擊，防止僵尸網絡生成的技術。1.4政府應支持行業(yè)采用最佳實踐，讓社區(qū)參與以前的活動，并討論先前的建議未得到廣泛實施或不成功的原因，確定促進組織變革的適當途徑，并將重點放在實用，可靠的工具和手段上，確保透明度程序在數字生態(tài)系統(tǒng)中得到更廣泛的應用。目標2：促進基礎設施創(chuàng)新，以適應不斷變化的威脅。2.1互聯(lián)網服務+提供商及其對等合作伙伴應當擴大當前的信息共享，以便在國內國際對可操作性的威脅信息有更及時有效的共享。聯(lián)邦政府則可以通過通信信息共享和分析中心（ISAC）（如國家通信協(xié)調中心（NCC））通過與網絡運營商團體（NOGs）建立伙伴關系，在國內推動這一活動，并通過擴大與國際同行的信息共享協(xié)議實現(xiàn)國際化。政府可以在這些討論中發(fā)揮重要的作用，在需要的地方召集多方利益相關者進行討論，提供全球視野，并確保這一進程對所有利益相關方都是公平的。2.2通過與NIST磋商，包括業(yè)界、學界和其他主題專家在內的利益相關方應共同合作開發(fā)CSF配置文件幫助企業(yè)防御和緩解DDoS，重點要關注組織網絡安全的預期狀態(tài)以減輕DDoS攻擊。2.3聯(lián)邦政府應該以身作則，評估和實施有效的方法來強制使用軟件開發(fā)工具和流程，展示技術的實用性，為早期采用者創(chuàng)造市場激勵機制。2.4作為一個重要的經驗教訓，NSTAC報告指出，公共和私營部門之間的合作對于減輕僵尸網絡攻擊至關重要。目前正在使用的信息共享協(xié)議是由聯(lián)邦政府率先推出的，并得到了廣泛的利益相關方的積極投入。為了滿足高度復原基礎設施的協(xié)調和協(xié)作需求，這些協(xié)議必須是全面和足夠精確的，允許自動處理和響應。為確保達到這些目標，工業(yè)界應與聯(lián)邦政府和其他利益相關方合作，加強信息共享協(xié)議，以滿足利益相關者的需求，并建立國際標準以促進全球協(xié)調。2.5學術和工程師社群應該研究如何將新的工具和開發(fā)實踐納入政府框架和實施。工業(yè)界和聯(lián)邦政府應以這些發(fā)現(xiàn)為基礎，擴大對整個生態(tài)系統(tǒng)網絡流量的管理。現(xiàn)有的工具和框架，比如美國的ISP反盜版行為準則，應該在與多利益相關方協(xié)商的過程中探索新的解決方案。

目標3：促進網絡邊緣創(chuàng)新，防止、監(jiān)測和緩解不良行為。3.1互聯(lián)網行業(yè)應擴大當前產品的開發(fā)和標準化工作，以便在家庭和企業(yè)環(huán)境中進行有效和安全的流量管理。3.2家用IT設備和物聯(lián)網產品的用戶界面，在設計時應最大限度地提高安全性，同時減少或消除對安全管理的知識要求。3.3企業(yè)應該遷移到網絡架構，以便監(jiān)測、中斷和減輕自動化分布式的威脅。政府、行業(yè)和公民社會應通過伙伴關系和戰(zhàn)略參與等進行合作，努力提高用戶和企業(yè)對威脅和最佳安全實踐的認識。3.4聯(lián)邦政府應該調查如何擴大IPv6的部署，鼓勵互聯(lián)網服務提供商更快地完成向IPv6的過渡，通過在網絡邊緣的進一步創(chuàng)新，實現(xiàn)防御和降低風險。目標4：在世界范圍內建立包含安全、基礎設施和運營技術社區(qū)的聯(lián)盟機構。4.1互聯(lián)網服務提供商和大型企業(yè)應該增加與執(zhí)法部門的信息共享，以提供有關自動化分布式威脅的更及時可行的信息。4.2聯(lián)邦政府應通過雙邊和多邊國際交流，努力促進國際上采用最佳實踐和相關工具。4.3監(jiān)管機構應與行業(yè)合作，以確保非欺騙性營銷，促進某些部門特定的正當安全要求。4.4社區(qū)應采取具體措施限制“快速通量托管”，打擊以隱藏和支持惡意、非法或犯罪活動為目的的自動快速IP地址修改行為。4.5網絡安全社群應與運營技術社群保持持續(xù)的接觸互動，以提高認識并加速網絡安全技術的轉移。目標5：提高對整個生態(tài)系統(tǒng)的認識和教育。5.1私營部門應建立自愿信息工具，用來管理家庭物聯(lián)網設備，并輔以可擴展的和具有成本效益的評估流程，取得消費者直觀的信任和理解，并為安全性產品設計開發(fā)創(chuàng)造市場激勵。5.2私營部門應建立工業(yè)物聯(lián)網應用的自愿標簽計劃，在可擴展的和具有成本效益的評估過程的支持下，為物聯(lián)網的關鍵基礎設施應用提供充分保證。5.3政府應鼓勵學界和培訓界將安全編碼實踐全面納入計算機科學及相關計劃。5.4學術部門應與國家網絡安全教育倡議合作，將網絡安全作為一項基本工作。

5.評價與啟示

總體而言，該報告就“如何提高抵御自動化分布式攻擊能力”這一問題，認為需要在各個國家、部門和技術層面上協(xié)調政策和治理解決方案。報告提出，有效的政策將為使用標準和最佳實踐提供明確的預期，同時在防控安全風險時保持靈活性。更高水平的跨領域信息共享將提高生態(tài)系統(tǒng)成員抵御僵尸網絡威脅。同時，一些協(xié)調模式可能需要創(chuàng)建新的標準、規(guī)則和指標。而對于國內企業(yè)而言，該問題可以從以下幾個方面進行考量：

5.1.積極研發(fā)高效技術工具，促進產品推廣與使用落地

從目前對于自動化分布式攻擊的預防、檢測、減輕和抵御情況來看，從基礎設施到企業(yè)網絡，乃至到用戶級別的邊緣設備等都急需高性能、易管理、成本適合且具有一定彈性的技術工具。國內企業(yè)針對這些需求具有非常有利的技術競爭優(yōu)勢。同時，高性能的工具設備還需要有一整套與之相對應的推廣落地流程，以促進產品切實抵達關鍵使用節(jié)點。

5.2.強化產品技術服務支持，獲取政府與市場廣泛認可

自動化分布式攻擊之所以具有壓倒性的破壞能力，一個關鍵點在于利用了傳統(tǒng)技術中保守且有限的技術能力。這其中包括產品服務提供商對于技術服務支持的時間期限，即即使一般設備服務支持期已過，一般情況下政府、企業(yè)和用戶也不會馬上換掉。因此對于國內企業(yè)來說，如果可以延長產品服務支持期限、擴大產品服務支持范圍、強化產品服務支持質量，對于政府采購、企業(yè)引進和用戶普及會有很強的正面效益，可以獲取更為廣泛的市場認可與用戶滲透率。

5.3.抓住標準國際化窗口期，爭取進一步拓展全球市場

該報告中多次指出，自動化分布式攻擊在很多時候并非局限在美國本土，而是來自世界各地，因此對于自動化分布式攻擊的防御需要有全球視野，信息共享協(xié)議需要實現(xiàn)國際化。這對于國內企業(yè)來說也是一個非常有利的政策窗口期。美國在尋求國際合作的過程中必然會考慮現(xiàn)有的基礎設施與落地企業(yè)網絡，因此如果可以實質性地參與到其安全標準與信息共享協(xié)議的制定和商議過程中，對于未來國內企業(yè)拓展美國乃至全球市場都具有深遠的意義。