美国国家安全局网络安全主管从乌克兰战争中获得的六点启示

2022 年 1 月 13 日，在一次网络攻击将其击落后，乌克兰政府的多个网站上显示的警告标语“不要害怕并期待最坏的情况”，美国国家安全局 (NSA) 网络安全主任罗布·乔伊斯 (Rob Joyce) 知道乌克兰和俄罗斯之间的某些事情将有所不同，并且非常具有侵略性，并且它也将在网络空间中发生。

十个月后，他受邀在2022 年 10 月 18 日Mandiant 全球信息安全交易所(mWISE) 的开幕主题演讲之一上发表演讲。

乔伊斯分享了我们从俄罗斯-乌克兰网络冲突中学到的六点，以及它对各国应如何保护其组织的影响。Infosecurity调查了这些知识。

1. 间谍活动和破坏性攻击都会发生冲突

首先，乔伊斯坚称，自战争开始以来已经部署了七个新的擦除器系列，“它们都是在战争背景下部署的独特的定制恶意软件。”

他还表示，“民用基础设施面临的风险不亚于政府，甚至更多，甚至针对乌克兰基础设施的网络攻击也蔓延到近邻或盟国。”

2022 年 3 月的 Viasat 攻击就是一个很好的例子。“它最终切断了与德国一些发电风力涡轮机以及法国能源服务的连接，”乔伊斯描述道。

美国国家安全局网络安全负责人还注意到，“情报收集的利用非常普遍——而且不仅仅是来自俄罗斯演员。我们看到中国和其他国家正在收集有关情况，以了解正在发生的事情。”

他补充说：“信息通常是领域的硬币，并在战争时期推动活动。”

2. 网络安全行业对这些冲突有独到的见解

乔伊斯说，虽然 NSA 从外部有很好的了解，但网络安全公司在报告和共享这些威胁的数据方面做得非常出色。

“通过他们的一些解决方案，比如端点检测和响应 (EDR) 服务，[他们] 发现了一些网络攻击尝试，有时会阻止它们，并找到受害者的证据。我提到的七个雨刷系列中的大多数都是由行业参与者首次报道的。他们所做的分享使我们大家一起更好地理解，增强了敏感的智慧，”乔伊斯回忆道。

3. 敏感的智力可以产生决定性的影响

据乔伊斯说，这场冲突还教会美国情报界“更好地净化情报，使其在国防目的方面对我们的外国合作伙伴和大规模网络安全行业有用和有效。”

虽然美国国家安全局的主要目标是保护美国国防工业基地，但该机构采取的行动“远远超出了你认为的国防承包商，”他说。

乔伊斯解释说，去年通过其网络覆盖了大约 25 亿个端点，并与行业专家进行了超过 85,000 次分析交流，国家安全局优先考虑“与外国情报分享其深厚的技术专长”。

正如他所说，“我们所知道的并不像我们如何知道它那么敏感，而敏感的情报可以产生决定性的影响。挑战在于了解如何从噪音中获取信号，应对大量威胁并将这些威胁结合起来，以确保具体了解什么是最有影响力的。”

4. 你可以培养弹性技能

乔伊斯说，由于乌克兰在过去十年中多次受到攻击，该国在建立强大的网络架构方面做得更好。“但是，最重要的是，他们擅长备份和恢复。他们有一个事件响应计划；他们知道面对这些紧急情况他们会做什么。”

“有些人对网络世界末日没有从俄罗斯入侵乌克兰发生的活动中推出感到失望，但我真的相信乌克兰人的事件响应能力部分归功于乌克兰人，”他说。

5. 不要试图单独行动

然后，罗伊斯又回到了网络安全行业在冲突中的角色。他说，它对乌克兰的援助之快给他留下了深刻的印象。

“当 DDoS 努力、擦除器和所有其他攻击在入侵之前开始出现时，我们正在谈论加强和防御即将到来的入侵的迫在眉睫的威胁的必要性——并且一部分行业倾听并开始提供帮助. 他们团结起来，许多国内进程在受威胁区域内的服务器上运行，这些服务器可能没有电力，甚至可能没有建筑物，被转移到云端。他们被带离乌克兰土地，转移到有弹性的数据中心，通常在美国发生，如果它们被集体取缔，那将是一个更重大的事件。”

Royce 直接在华盛顿特区对 mWISE 的观众说：“不要试图单打独斗；让自己得到一些大规模的安全保障。”

6. 你还没有为突发事件做足够的计划

最后，从网络冲突中学到的另一个教训是，包括网络安全行业在内的许多公司意识到他们与乌克兰和俄罗斯有很多联系，乔伊斯说。

“他们公司网络的一部分在乌克兰或俄罗斯，或者他们在那里有为他们工作的人。他们想保护他们的安全。那么来自俄罗斯人甚至乌克兰人的内部威胁又如何呢？他们想要摧毁他们的公司？这些不是组织以前考虑过的问题——你应该始终假设你没有足够的计划。”

在主题演讲结束时，乔伊斯建议听众根据中台冲突升级的乌克兰事件模拟一个场景，看看他们应该采取什么措施来更好地为这样的事件做准备。

“在优先打击恐怖主义 20 年后，我们又回到了我们担心民族国家威胁的地步，战时和和平时期之间的界限越来越模糊，对基础设施的民用部分的影响越来越大。网络战时代，”乔伊斯说。

“从民族国家对手的角度来看，我们获得成功的不是受害者认为他们已经到位的防御措施，而是实际到位的技术，因此组织需要将他们的影子 IT 和未打补丁的软件修复为尽快，”他总结道。