美英等五眼联盟联合发布《俄罗斯支持的网络行动和犯罪团体的网络安全威胁》

4月20日，五眼联盟国家（美国、英国、加拿大、澳大利亚、新西兰情报共享联盟，以下或简称“五眼联盟”）网络安全当局发布标题为《俄罗斯支持的网络行动和犯罪团体的网络安全威胁（Russian State-Sponsored and Criminal Cyber Threats to Critical Infrastructures）》的联合网络安全警告，旨在提醒关键基础设施组织，俄罗斯可能会支持更多的网络行动反击其受到的前所未有的经济制裁和美国及其盟友对乌克兰提供的物质支持。随着俄乌冲突影响地缘政治稳定，更多网络活动正在进行中。自俄乌冲突以来，五眼联盟网络安全机构还检测到了各俄罗斯政府机构针对IT网络进行的攻击行为。鉴于这种攻击行动，五眼联盟网络安全机构已敦促关键基础设施网络防御者为潜在的网络威胁做好准备，包括对破坏性的恶意软件、勒索软件、DDoS攻击和网络间谍活动加强防御，努力识别和调查网络活动。

一、发布背景

1、俄乌冲突下对俄罗斯的全方位制裁

虽然俄罗斯自2014年克里米亚危机之后就已经持续遭遇美西方的经济制裁，但此次俄乌战争中，美西方对俄罗斯的制裁规模之大、力度之强都前所未有。截至目前，俄罗斯被制裁的实体和个人数量已经远超伊朗、叙利亚、委内瑞拉等国，成为世界上遭遇制裁最严厉、数量最多的国家。当前美西方对俄罗斯的经济制裁体现在金融、贸易和投资等多个领域。俄罗斯可能会通过支持更多的网络活动反击其受到的前所未有的经济制裁和美国及其盟友对乌克兰提供的物质支持。

2、美军和北约军队深度参与此次俄乌冲突

俄乌冲突是一场冲击旧秩序的“新战争”，美国和北约凭借在数字领域的强大优势，以信息通信技术为依托的各种对垒工具在这场冲突中大显身手，除采取一系列制裁措施外，从此次俄乌战争进程上来看，美国及其北约盟友不仅不断向乌克兰出口和转运武器装备，而且对乌克兰进行军事人员培训。同时，美国及其北约盟友对乌克兰战场情报体系的支持，在情报搜集、战场态势感知和作战任务分配上，美军和北约军队深度参与了此次俄乌冲突，对俄罗斯来说是雪上加霜。

3、俄罗斯开展新的一轮网络攻击进行反制

俄乌武装冲突以来，以北约和欧盟为首的各国对俄罗斯展开全方位制裁，俄罗斯方面也宣布了一系列反制措施。各种情报显示，俄罗斯政府在不断探索潜在的网络攻击选项，俄罗斯国家支持的网络行动不仅包括DDoS，也包括更早的针对乌克兰政府和关键基础设施部署的破坏性软件。不仅如此，一些网络犯罪组织近期公开表示支持俄罗斯政府。这些俄罗斯阵营的网络犯罪团体或威胁称以网络行动回击针对俄罗斯政府或人民的网络攻击，或声称要对那些向乌克兰提供物资支持的国家和组织开展网络行动。还有一些网络犯罪团体有可能为了配合俄罗斯的军事进攻，对乌克兰网站进行了破坏性攻击。

二、主要内容特点

1、明确网络安全威胁三大主要来源

五眼联盟网络安全当局认为，网络安全威胁主要来源于俄罗斯国家支持的网络行动、俄罗斯阵营的网络威胁团体和俄罗斯阵营的网络犯罪团体（具体见表1），警告还对上述俄罗斯部门的网络行动类型、特点、攻击目标、技术手段、曾经实施过的网络行动进行了列举分析。

表1网络安全威胁三大主要来源

2、提出四项立即更新措施应对当下网络威胁

为了应对不断增长的网络威胁，五眼联盟网络安全当局呼吁各组织立即采取四项措施。该警告敦促关键基础设施组织立即:1）更新软件，包括操作系统、应用程序及固件；2）强制执行多重要素认证（MFA），使用高强度密码；3) 使用远程桌面协议（RDP）和其他潜在风险服务时，密切监控并确保安全；4）提升用户防范意识，警惕针对性的社会工程和鱼叉式网络钓鱼活动，通过这些措施提升网络安全防御能力，应对网络安全威胁。

3、给出其他方面建议预防和缓解潜在网络威胁

为了进一步预防和缓解来自俄罗斯国家支持的或犯罪分子的网络威胁，五眼联盟网络安全当局还给出了1）预防网络安全事件；2）加强身份识别和访问管理；3）强化保护性控制和架构；4）完善漏洞和配置管理四个方面的具体措施清单，为关键基础设施组织强化网络安全防范给出指引。

五眼联盟网络安全当局敦促关键基础设施组织的网络防御者在识别网络活动时谨慎处理。当检测到潜在APT或勒索软件时应当以官方推荐的方式应对，并向适当的网络和执法机构报告网络安全事件。当局强烈反对向犯罪分子支付赎金，因为支付赎金将会鼓励对手发起更多攻击，刺激更多地犯罪分子投放勒索软件及资助非法活动，且赎金并不能保证受害者的文件得以恢复。

三、几点认识

1、 警钟长鸣，保护关键基础设施网络安全迫不及待

当前，俄乌冲突的进程仍不明朗，五眼联盟网络安全当局在此背景之下，向所属国家关键基础设施组织发出网络安全预警，认为俄罗斯方面将开展更多的网络活动作为反报措施，反应了其对网络安全态势的感知预判。俄乌冲突以来，全球网络安全局势复杂严峻对各国关键信息基础设施安全防护提出新挑战。多国基础设施和重要信息系统遭受网络攻击，引发全球震荡，对国家安全稳定造成巨大风险。聚焦我国，我们应聚焦提升关键信息基础设施防护体系与能力建设，吸收借鉴美西方在该领域积累的经验教训，筑牢网络安全防护屏障。同时，要针对关键信息基础设施安全保护工作中涉及的技术措施、人员机制、数据安全、风险评估等安全管理举措提出更高要求，并强调通过配套立法进一步完善关键信息基础设施安全保护制度，突出了关键信息基础设施在国家整体网络安全制度体系中的重要地位。

2、审时度势 ，认知域正成为未来智能化混合战争主战场

自俄乌战争打响，伴随着战场的炮声隆隆，在世界舆论场展开的“认知战”，也硝烟弥漫。可以说，俄乌战争是俄罗斯对美国、北约和整个西方世界的一场军事大战，但也是整个西方世界对俄罗斯进行一场规模空前的“认知战”。五眼联盟国家网络安全当局在联合公告发布之前，美国总统拜登已于上个月敦促当地组织加强网络防御工作，俄罗斯可能对美国开展恶意的网络活动，以此回应美国及与盟友一起向其施加的经济制裁。美国政府一直在根据不断变化的情报重申警告，即俄罗斯政府正在探索潜在的网络攻击选项。我们要看到，俄乌战争绝非单纯的军事斗争，这是在军事、经济、认知的三条战线同时进行的立体战争。在这场战争中，信息是武器，而那些创造、处理和散播信息的主体则影响着俄乌冲突的趋势。认知战不再局限于传统战争的实体性威胁，它从以前的混合战争中吸取了一些要素，转向大众媒体、技术进步带来的社会威胁和意识形态威胁，但所拥有的影响范围、作战效果比混合战争更危险。

3、找准赛道，密切关注发展网络安全领域相关技术

从攻击手段的视角来看俄乌战争，大量物联设备不断接入互联网，脆弱性广泛存在，成为DDoS攻击的作战资源，DDoS攻击和破坏性APT攻击目前成为国家、政治团体甚至恐怖组织最为直接的常用攻击手段，目的正是配合真正的军事战争行动。从俄乌网络战争趋势中可以判断军政网络安全，物联网安全，能源、通信、金融、交通关键基础设施安全等，必将成为国家重点关注领域。密码安全技术、网络边界防御、APT威胁对抗、主动防御、数据防护、反钓鱼技术等或将成为未来行业重点发展的技术领域。此外，类似于重保支持、合规检测、渗透测试、技术人才培养等也是未来的重点发展领域。对于网络安全企业而言，当下迎来了发展的巨大机遇，选对赛道是必然的趋势，也是当下发力业务和产品的攻克方向。