美國的國家級網路安全戰略Part 3
支柱二:破壞和瓦解壞蛋
美國將利用一切國家力量手段對一切損害美國利益跟不聽話的人打屁屁。這些工作可能會整合外交、資訊、軍事(實體與虛擬)、金融、情報和執法能力。美國的目標是使壞蛋無法發起持續的網路活動,從而威脅美國的國家安全或公共安全。
憑美國政府及其私人單位的協調可以有效挫敗外國政府、犯罪分子和其他壞蛋的惡意網路活動。聯邦政府強化了應對網路事故的能力;逮捕並成功起訴跨國網路犯罪分子和某些國家支持的壞蛋;對壞蛋實施制裁,包括禁止旅行和拒絕與貨幣服務提供者(例如Swfit全球銀行金融電信協會)接觸;並剝奪壞蛋存取數位基礎設施和受害者網路的能力。聯邦政府也針對用於非法活動的金融基礎設施;制定新的外交舉措(長臂管轄又出現),將破壞性或其他破壞穩定的網路活動歸咎都是做壞事,以追究壞蛋做壞事的責任;並把錢通通要回來。
美國政府會持續、有效地瓦解壞蛋。美國政府需要公部門和私人企業合作夥伴加強合作,以改進情報共享,大規模執行破壞活動,阻止壞蛋使用美國基礎設施,並挫敗全球勒索軟體活動。
戰略目標2.1: 整合聯邦政府的阻止壞蛋活動
阻止壞蛋活動必須要一直持續和有針對性,讓網路犯罪活動變得無利可圖,並且參與惡意網路活動的其他國家政府不再將其視為實現其目標的有效手段。美國司法部和其他聯邦執法機構率先將國內法律當局與私人產業以及國際盟友和合作夥伴進行整合部署,以阻止能夠線上犯罪的基礎設施和資源,從摧毀臭名昭著的殭屍網絡到扣押從勒索軟體和欺詐活動中收集的加密貨幣。這些調查產生的資訊可用於其他工作,例如受害者通知、發佈網路安全諮詢、私人部門行動、制裁指定、外交行動和情報行動。
美國國防部的先進防禦戰略方法有助於深入了解壞蛋、識別和暴露惡意軟體,並在壞事會發生前將其阻止。根據經驗教訓和快速變化的威脅環境,國防部將制定或跟新與國家安全戰略、國防戰略和國家網路安全戰略一致的國家網路戰略。國防部的新戰略將闡明美國網路司令部和國防部其他部門如何將網路空間作戰整合到其防禦能力中,以防禦能夠對美國利益構成戰略層面威脅的國家、組織或個人,同時繼續加強其行動的整合和協調與民間、執法和情報合作夥伴合作,阻止大規模破壞的惡意活動。
為了提高這些綜合性阻止行動的數量和速度,聯邦政府必須進一步發展技術和組織平台,以實現持續、協調的行動。 NCIJTF國家網路調查聯合行動小組(National Cyber Investigative Joint Task Force)作為協調整個政府阻止行動的多機構聯絡點,將擴大其以更快的"速度、規模和頻率"來協調阻止行動的能力。同樣,國防部和情報單位致力於利用其全方位的互補權力來進行阻止行動。
戰略目標2.2: 強化公部門與私人單位的合作以阻止壞蛋的活動
私人單位對壞蛋的壞事了解越來越多。這種洞察力通常比聯邦政府的洞察力更廣泛、更詳細,部分原因在於私人單位及其威脅狩獵行動(threat hunting operations)的龐大規模,但也歸因於工具和能力創新的快速步伐。有效網路壞事的行動需要具有獨特見解和能力的私人單位與擁有採取行動的手段和權限的聯邦機構之間進行更多常規合作。 2021 年對 Emotet 殭屍網路的摧毀展示了這種協作方法的潛力,聯邦機構、國際盟友和合作夥伴以及私人單位合作破壞殭屍網路的運作。考慮到網路安全社群以及數位基礎設施老闆對這種協作繼續產生興趣,美國政府必須維持並擴展這種模式,以便能夠持續進行協作式的阻止行動。
鼓勵私人單位透過一個或多個NGO(例如NCFTA-National Cyber-Forensics and Training Alliance)聚集在一起並管理他們的作業,這些組織可以作為與聯邦政府進行業務合作的中心。針對特定威脅的協作應採取靈活的臨時小組的形式,由少數值得信賴的運營商組成,並由相關中心託管和支援。使用虛擬協作平台,小組成員可以雙向分享資訊並快速阻止對手。聯邦政府將迅速克服支援和利用這種協作模式的障礙,例如安全要求和記錄管理政策。
戰略目標2.3: 提高情報共享和受害者通知的速度和規模
聯邦和非聯邦政府單位之間及時共享威脅情報可以強化阻止壞蛋的協作努力。開源網路安全情報和私人單位情報提供者極大地提高了對網路威脅的集體意識,但只有政府才能收集的國家情報仍然非常寶貴。例如,美國國安局的網路安全協作中心的國家情報驅動的參與與產業的合作在組織針對國防工業基地的壞蛋行為方面非常有效。同樣,CISA的JCDC(Joint Cyber Defense Collaborative) 與私人單位實現持續、多向的威脅資訊共享,並與 FBI 協調,使用這些資訊來加速受害者通知並減少已識別入侵的衝擊。
聯邦政府將提高網路威脅情報共享的速度和規模,以便在政府獲悉某個組織正在成為主動目標或可能已受到損害時主動警示網路防禦者並通知受害者。 SRMA 將與 CISA、執法機構和 CTIIC(由白宮成立的網路威脅與情報整合中心) 協調,確定其部門內的情報需求和優先事項,並制定與政府和非政府合作夥伴共享告警、技術指標、威脅背景和其他相關資訊的流程。這些流程必須為私人單位提供及時回饋和自己的威脅情報向聯邦政府提供的機制,以改善網路威脅的針對性,以進行阻止活動和進一步的情報收集。聯邦政府還將審查解密政策和流程,以確定在什麼條件下需要擴大額外的機密存取和擴大許可範圍,以便為關鍵基礎設施的老闆提供可採取行動的情報。
戰略目標2.4: 防止亂搞美國的基礎設施
壞蛋們利用美國的雲端基礎設施、網域註冊商、主機和電子郵件廠商以及其他數位服務,對美國境內的個人受害者、企業、政府和其他組織進行犯罪活動、惡意影響行動和間諜活動。通常,這些服務是透過外國經銷商租賃的,這些經銷商與美國的提供者之間存在多層分離,這阻礙了這些提供者解決亂搞投訴或回應美國當局法律程序的能力。聯邦政府將與雲端和其他網路基礎設施提供者合作,快速識別對美國基礎設施的亂搞,與政府共享惡意使用報告,使受害者更容易報告這些系統的濫用情況,並使壞蛋不能這些資源的存取權限。
所有服務提供者必須做出合理的嘗試,以確保其基礎設施的使用免於濫用或其他犯罪行為。政府將優先在IaaS(Infrastructure-as-a-Service)提供者中採用和實施基於風險的網路安全方法(關於此一方法可參閱本部落格雲端運算的風險一文),解決已知的惡意活動方法和指標,包括實施 EO 13984 — “Taking Additional Steps to Address the National Emergency with Respect to Significant Malicious Cyber-Enabled Activities。”該命令的實施將使壞蛋更難濫用美國基礎設施,同時保護個人隱私。
戰略目標2.5: 打擊網路犯罪,挫敗勒索軟體
勒索軟體對美國的國家安全、公共安全和經濟繁榮構成威脅。勒索軟體營運商擾亂了醫院、學校、下水道運作、政府服務以及其他關鍵基礎設施和基本服務。勒索軟體攻擊者在對美國不友善的國家等安全港開展活動,利用有弱點的網路安全實踐來控制受害者網路,並依靠加密貨幣接收勒索款項並洗錢。
鑑於勒索軟體對關鍵基礎設施服務的影響,美國將動用一切的國家力量,從四個方面努力應對威脅:
- 利用國際合作破壞勒索軟體生態系統並孤立那些為壞蛋提供避難所的國家
- 調查勒索軟體犯罪並利用執法機構和其他當局阻止勒索軟體基礎設施和擁有者
- 增強關鍵基礎設施抵禦勒索軟體攻擊的能力
- 解決濫用加密貨幣洗錢贖金的問題
由於勒索軟體到處亂竄,需要國際合作,因此白宮召集(像不像齊桓公的九合諸侯)了來自 30 多個國家的 CRI(Counter-Ransomware Initiative反勒索軟體倡議)。 CRI 開展了全球演習以強化韌性能力,並於2023 年1 月成立了一個由澳大利亞為首的國際反勒索軟體工作小組,以分享有關實施勒索軟體攻擊的壞蛋和基礎設施的資訊,這將支持並進一步加速CRI 成員國現有的,經常協調阻止。 CRI 也將推動其成員之間政策和外交努力的同步。
美國政府致力於進行持續、協調和有針對性的阻止行動和其他作業,使勒索軟體不再有利可圖。由CISA 和FBI共同主持的JRTF(聯合勒索軟體工作小組The Joint Ransomware Task Force)將協調、消除衝突和同步現有的跨部門工作,以阻止勒索軟體的運作,並為私人單位和SLTT((State, Local, Tribal, and Territorial)的作業提供支持,以強化其能力。
美國的方法還包括針對勒索軟體攻擊者所依賴的非法加密貨幣交易所,並改善打擊虛擬資產非法融資標準的國際實施。美國將提供加密貨幣涵蓋服務的金融機構置於反洗錢和打擊資助恐怖主義 (AML/CFT) 控制之下,財政部、特勤局、司法部、FBI和私人單位合作夥伴合作追蹤和阻止勒索支付。 CRI 已獲得成員承諾實施國際 AML/CFT 標準,包括KYC(know-your-customer)規則,以使勒索軟體攻擊者更難洗錢。從長遠來看,美國將支持在全球範圍內實施國際AML/CFT 標準,以減少使用加密貨幣進行損害我們國家利益的非法活動,作為美國實施EO 14067「Ensuring Responsible Development of Digital Assets」作業的一部分。
最終,阻止這些犯罪集團動機的最有效方法是減少獲利的可能性。因此,美國政府強烈反對支付贖金(美國的風格:絕不跟恐怖分子談判)。同時,勒索軟體的受害者 — — 無論他們是否選擇支付贖金 — — 都應該向執法部門和其他適當機構報告該事件。這些報告強化了聯邦政府向受害者提供支援、防止進一步使用加密貨幣逃避 AML/CFT 控制以及降低未來勒索軟體攻擊成功的可能性的能力。
