接上篇的翻譯轉(zhuǎn)載，其實(shí)那些小說(shuō)似的采訪并沒有多少料，筆者在三年前事件發(fā)生時(shí)就已經(jīng)有一篇短文分析出來(lái)劇情了，表面上看起來(lái)美國(guó)頂級(jí)安全公司和政府機(jī)構(gòu)亂作一團(tuán)，而后面這兩年美國(guó)的反應(yīng)才是真的讓人大跌眼鏡...

在前不久的RSA Conference 2023大會(huì)上，美國(guó)國(guó)家任務(wù)網(wǎng)絡(luò)部隊(duì)（Cyber National Mission Force，CNMF）與美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (Cybersecurity and Infrastructure Security Agency，CISA)的兩位代表首次分享解密了最近“前出狩獵行動(dòng)（Hunt Forward Operations，HFOs）”的一些信息，其中就包括了2021年的Solarwinds供應(yīng)鏈攻擊事件在美國(guó)國(guó)家層面的一些反應(yīng)。

【資料圖】

CISA的Eric Goldstein公開說(shuō):“我們使用了來(lái)自Mandiant和Microsoft的數(shù)據(jù)，快速識(shí)別了可能受到Solarwinds供應(yīng)鏈攻擊活動(dòng)影響的九家機(jī)構(gòu)，攻擊活動(dòng)廣泛地針對(duì)了Microsoft Office 365基礎(chǔ)設(shè)施，我們?cè)谠S多受害機(jī)構(gòu)中啟動(dòng)了防御應(yīng)對(duì)措施。作為這項(xiàng)工作的一部分，我們定位了許多受影響機(jī)構(gòu)使用的失陷SolarWinds服務(wù)器，當(dāng)我們對(duì)這些服務(wù)器進(jìn)行鏡像快照后，會(huì)立即與CNMF共享信息和數(shù)據(jù)，以供他們?cè)?strong>HFOs中使用”。

而CNMF的William J. Hartman少將解釋了CNMF的進(jìn)一步行動(dòng)，他們能夠訪問(wèn)失陷服務(wù)器的鏡像快照，這對(duì)他們來(lái)說(shuō)非常寶貴的資源，他們會(huì)立即在虛擬環(huán)境中對(duì)其進(jìn)行了模擬分析，然后開始研究對(duì)策，以期在其他任務(wù)中尋找對(duì)手類似的攻擊活動(dòng)，最終CNMF能夠開發(fā)出一種高端威脅狩獵能力來(lái)尋找對(duì)手。他還表示：“由于CISA共享了信息和情報(bào)，我們確切地知道在尋找什么，并且當(dāng)我們開始執(zhí)行前出狩獵行動(dòng)（Hunt Forward Operations，HFOs）時(shí)，我們幾乎立即就能看到對(duì)手的活動(dòng)，我們不僅能夠接近對(duì)手，而且我們能夠以對(duì)手不知道的方式進(jìn)行網(wǎng)絡(luò)作戰(zhàn)和收集信息，最終我們破獲了18個(gè)新的惡意樣本”。

看到這里大家肯定會(huì)很懵逼，什么是前出狩獵行動(dòng)（Hunt Forward Operations，HFOs）？

這里的HFOs就是美國(guó)國(guó)家級(jí)的溯源反制行動(dòng)，涉及美國(guó)政府機(jī)構(gòu)和軍隊(duì)的合作，一些所謂的美國(guó)頂級(jí)網(wǎng)絡(luò)安全公司（民企）不過(guò)是提供數(shù)據(jù)支持打輔助而已，HFOs甚至?xí)褂梅粗剖侄魏诨厝ニ菰慈∽C。

繼續(xù)來(lái)給APT“磚家”們科普什么是HFOs...

前出狩獵行動(dòng)（Hunt Forward Operations，HFOs）是由美國(guó)網(wǎng)絡(luò)司令部（USCYBERCOM）在合作伙伴國(guó)家的請(qǐng)求下嚴(yán)格執(zhí)行的防御性網(wǎng)絡(luò)行動(dòng)。在受邀情況下，USCYBERCOM的HFOs團(tuán)隊(duì)會(huì)部署到合作伙伴國(guó)家，觀察和偵測(cè)目標(biāo)國(guó)家網(wǎng)絡(luò)上的惡意網(wǎng)絡(luò)活動(dòng)。HFOs行動(dòng)產(chǎn)生的見解能夠增強(qiáng)國(guó)家間的網(wǎng)絡(luò)安全防御，并和合作伙伴國(guó)家共享和提高網(wǎng)絡(luò)空間抵御威脅的能力。

前出狩獵行動(dòng)的人員全部隸屬于美國(guó)網(wǎng)絡(luò)司令部（USCYBERCOM）下屬的國(guó)家任務(wù)網(wǎng)絡(luò)部隊(duì)（Cyber National Mission Force，CNMF），該部隊(duì)由受過(guò)特殊培訓(xùn)的人員組成，負(fù)責(zé)保護(hù)和捍衛(wèi)美國(guó)國(guó)防信息網(wǎng)絡(luò)（DODIN）免受惡意網(wǎng)絡(luò)行動(dòng)者和外國(guó)的國(guó)家級(jí)對(duì)手攻擊。

在海外，美國(guó)CNMF運(yùn)營(yíng)團(tuán)隊(duì)與合作伙伴并肩作戰(zhàn)，搜尋目標(biāo)國(guó)家網(wǎng)絡(luò)上的安全漏洞、惡意軟件以及對(duì)手的存在。美國(guó)網(wǎng)絡(luò)司令部（USCYBERCOM）與目標(biāo)國(guó)共享前出狩獵行動(dòng)的見解，與聯(lián)邦調(diào)查局（FBI）、國(guó)土安全部（DHS）等其他政府機(jī)構(gòu)以及私營(yíng)企業(yè)分享信息。這些行動(dòng)強(qiáng)化了美國(guó)國(guó)土安全和網(wǎng)絡(luò)安全，同時(shí)暴露了美國(guó)對(duì)手的技戰(zhàn)術(shù)和網(wǎng)絡(luò)武器，避免它們被用于攻擊美國(guó)。

HFOs團(tuán)隊(duì)實(shí)施了美國(guó)網(wǎng)絡(luò)司令部（USCYBERCOM）持續(xù)的前向防御策略。美國(guó)網(wǎng)絡(luò)不斷受到對(duì)手國(guó)家和惡意網(wǎng)絡(luò)行為者的攻擊，他們?cè)噲D利用漏洞破壞美國(guó)的社會(huì)穩(wěn)定和軍事能力。為應(yīng)對(duì)這種情況，美國(guó)網(wǎng)絡(luò)司令部（USCYBERCOM）在網(wǎng)絡(luò)空間中持續(xù)與對(duì)手進(jìn)行交戰(zhàn)，以打擊網(wǎng)絡(luò)威脅，削弱對(duì)手的能力和網(wǎng)絡(luò)，不斷加強(qiáng)國(guó)防部信息網(wǎng)絡(luò)（DODIN）的安全防御。前向防御需要盡可能地接近對(duì)手活動(dòng)的來(lái)源，擴(kuò)大美國(guó)網(wǎng)絡(luò)作戰(zhàn)人員的覆蓋范圍，并在源頭消除威脅。

從2018年到2022年，美國(guó)網(wǎng)絡(luò)司令部（USCYBERCOM）下屬的網(wǎng)絡(luò)國(guó)家任務(wù)部隊(duì)與合作伙伴國(guó)家進(jìn)行了二十多次前出狩獵行動(dòng)。CNMF運(yùn)營(yíng)團(tuán)隊(duì)部署到了全球范圍內(nèi)的十六個(gè)不同國(guó)家，包括烏克蘭、愛沙尼亞和立陶宛等。經(jīng)過(guò)多次合作，這些由合作伙伴支持的行動(dòng)已經(jīng)發(fā)現(xiàn)了多個(gè)高級(jí)威脅捕獲成果向網(wǎng)絡(luò)安全界公開以供分析。

前出狩獵行動(dòng)產(chǎn)生的見解已被證明對(duì)保衛(wèi)美國(guó)網(wǎng)絡(luò)空間、防御外部入侵和惡意攻擊來(lái)說(shuō)非常寶貴。2020年，美國(guó)網(wǎng)絡(luò)司令部（USCYBERCOM）就在九個(gè)不同國(guó)家進(jìn)行了十一次前出狩獵行動(dòng)，對(duì)保衛(wèi)2020年美國(guó)選舉免受外部影響和干擾做出了貢獻(xiàn)。在2021年，美國(guó)網(wǎng)絡(luò)司令部（USCYBERCOM）與網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）聯(lián)合進(jìn)行了一次HFOs行動(dòng)，以應(yīng)對(duì)SolarWinds供應(yīng)鏈攻擊，最終將攻擊歸因于俄羅斯APT29組織，HFOs行動(dòng)有效的產(chǎn)出了有關(guān)對(duì)手的技戰(zhàn)術(shù)、意圖和情報(bào)。

當(dāng)然最終的結(jié)果是某些APT“磚家”想要的成功溯源，大結(jié)局是白宮發(fā)了制裁令。但就此Solarwinds攻擊劇終了么...？

答案是沒有！美國(guó)其實(shí)對(duì)于APT攻擊一點(diǎn)都不怵，反而很高興，因?yàn)榻柽@次SolarWinds安全事件的驅(qū)動(dòng)，美國(guó)軍方終于依靠“受害者”的身份發(fā)明了HFOs這種去海外網(wǎng)絡(luò)空間交戰(zhàn)的“正當(dāng)防衛(wèi)”手段。至此美國(guó)可以堂而皇之地去侵犯對(duì)手國(guó)家的網(wǎng)絡(luò)空間主權(quán)，網(wǎng)絡(luò)戰(zhàn)的號(hào)角已經(jīng)被悄悄吹響...

標(biāo)簽：