国家资助的黑客是否整夜都在阅读像约翰·勒·卡雷这样的冷战间谍小说家?看起来确实是这样。因为那些经典的间谍技术正在被重新发明,成为妥协西方民主国家的最新战略。
以最近有关俄罗斯袭击一家美国公司的报道为例,该公司向当地选举办公室提供投票支持和系统。根据这些报道,俄罗斯赞助的黑客通过向当地官员发送网络钓鱼电子邮件进入了公司系统。他们希望自己足够天真地打开电子邮件,这会将恶意软件引入投票基础结构。
这种 “最薄弱环节” 的方法类似于冷战期间克格勃试图渗透 “目标设施” 以损害脆弱的美国人的方式。(据报道,有一本关于招募美国人的KGBplaybook解释了他们的策略。)
因此,如果我们想向前看并保护自己免受黑客攻击,我们应该向后看如何将老式间谍技术应用于新学校的网络技术。原则没有改变。事实上,我们现在面临更大的风险,因为复杂的算法、人工智能和其他尖端技术正在将间谍技术转移到一个新的、几乎是超人的水平。
以下是冷战和网络战之间的一些惊人的相似之处-以及您可以采用的一些工具和策略来捍卫自己。
1.处理人员没有离开。
老式间谍技术: 在过去的美好时光中,中央情报局和克格勃的特工-间谍,痣和其他特工-渗透了关键组织并窃取了关键信息。精明的管理人员训练这些间谍或 “资产” 进行秘密调查,秘密地渗透他们的目标,并评估要追求的最重要信息。
新学校的网络工艺: 仍然有资产控制管理人员 -- 我们称这些管理人员为 “国家赞助者”,其资产为 “威胁行为者” -- 他们的任务包括渗透战略目标,如政府机构、企业数据库甚至关键基础设施。面向网络的军事单位以及政府雇用的国家资助的黑客团体都由这些恶意伪造者控制。
2.HUMINT-为我们的现代间谍建模。
老式间谍技术: 间谍101教间谍识别政府需要的信息来源,并比你说的 “穿风衣的卧底特工” 更快地收集它们。
一旦成功地沉浸在正确的社区中,间谍通常会保持沉默 (卧铺特工),等待他们的时间,直到收到处理人员的命令进行罢工。这些嵌入式代理长时间避免与其处理程序进行通信,以免引起怀疑。这需要大量的训练和 “伯恩” 式的自给自足 -- 包括身体和情感。
新学校的网络工艺: 就像人类间谍一样,自给自足的恶意软件可以被训练成秘密进入受保护的系统,搜索适合间谍作案手法的特定信息,同时融入风景 -- 或者相反,“藏在显眼的地方”。
像旧的间谍一样,自给自足的恶意软件也必须能够克服精心设计的安全陷阱序列,这些安全陷阱被部署以阻止其出站通信。恶意软件越自给自足,越成功。虽然他们的老式人类同行有自己的饮酒和咖啡因刺激极限,但与真实的人不同,机器人永远不会被烧坏。真正的间谍没有人工智能来筛选大量的通信和非结构化数据,包括电话对话、电子邮件和关键数据库,像人类一样自动理解上下文并识别他们需要的相关数据。
最近的DNC黑客攻击是教科书上的一个例子-敏感的电子邮件是通过自给自足的恶意软件暴露于外界的,这些恶意软件耐心地在DNC服务器内部徘徊了将近一年,默默地收集信…息直到正确的时刻。
3.双重代理人: 信任是一件容易的事。
老式间谍技术: 处理人员将他们最熟练的特工发送到目标丰富的网络 (例如情报机构) 中,以使内部人员能够访问最机密的信息并且容易被变成双重特工。通常是一个软弱的人使他们容易妥协-事务,饮酒问题,赌博债务等。这是克格勃和其他情报机构在冷战期间采用的经典策略。
新学校的网络工艺: 在当今世界,内部人员可能会反对他们的雇主,成为双重代理人的网络等效物。当您从内部造成严重破坏时,您就不再需要渗透受保护的,甚至是 “空中间隙” 的系统 (那些与互联网断开连接的系统)。爱德华·斯诺登 (Edward Snowden) 是内部威胁的完美例子,他成为了非常真实的威胁。许多专注于外部威胁的公司都在寻找内部危险。
防御新学校的网络技术。
发动网络攻击比投资建立间谍行动要负担得起得多。这使得最不期望的国家和组织更容易加入这场新奇的网络战。在进入门槛如此之低的情况下,至关重要的是,我们必须重新设计思维,以抵御新学校的cyber-craft.Here有五种不同的思维方式:
1.恢复到以前时代的方法。
有些方法似乎过时但不可破解。例如,荷兰政府宣布,由于担心在选举期间遭到网络攻击,它将重新计算选票。超级敏感的对话最好亲自处理。
2.提高数据加密的利用率。
这些方法已经存在多年,但通常没有在个人计算机和电话上使用,因为它们会减慢速度,并且可能需要额外的集成。网络威胁的风险抵消了这些反对意见。机构必须扩大其 “关键基础设施” 的定义,以包括数据中心以及关键政治和商业ps的pc中的数据加密。
3.更智能的反恶意软件。
就像复杂的反情报部门在情报组织中发现痣一样,我们需要更智能的反恶意软件软件 -- 比如可以嗅出软件中隐藏的人工智能能力的工具 -- 这些软件可以被 “训练” 来寻找自给自足的机器人。
4.行为分析。
情报机构有内部措施来识别双重间谍。现在是时候加快网络和身份行为分析的部署,该分析能够识别以奇怪和异常方式行事的内部人员 (即员工和承包商)。一个在周日晚上突然出现下载文件的人,相当于一个中级情报员,他突然开着宝马,买了一个度假屋。
5.协作
组织应通过交换威胁信息 (ttp) 和有关其背后的威胁行为者的知识来进行协作,以便他们能够主动实施更有针对性的安全措施。
为了保护自己免受明显和当前的危险,我们必须回到未来。今天的安全战略家最好看看过去的方式,让他们的课程适应今天的网络安全,创造一个更安全的明天。