公司网络被攻击

公司网络被攻击
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
企业被黑客攻击，“怼回去”合法吗？ Sphinx专栏作者2017-06-12共503971人围观，发现 13 个不明物体企业安全观点
hackingback_primary-100036771-orig.jpg

“我的电脑被黑了，进行反击合法吗？”这个问题现在成为了主动防御概念中的焦点问题。

美国现有《计算机欺诈与滥用法》（CFAA，从1986年实施的CFAA禁止个人使用如防病毒软件等预防措施之外的防御行动）规定个人只能以防病毒软件进行被动防御。但美国议员Tom Graves前几个月提出了《主动网络防御明确法案(Active Cyber Defense Certainty Act，ACDC)》，该法案将允许网络攻击受害者在受到攻击时能够反击。法案中提到，企业若要保证合法，在反击前要通知FBI国家网络调查联合任务部队以下信息：

被攻击的细节

企业会如何保护入侵的证据

企业打算如何避免攻击到未参与黑客行动的第三方系统

最近国外媒体SecurityAffairs对此发表评论文章，文章作者认为该修正案过于模糊，如果施行，则可能给法庭审判造成困扰。除此之外，作者还提出了以下对该法案的质疑，比如说攻击溯源本来就不容易，攻防双方资源规模并不对等。这些或许是值得立法者深思的。

问题1：网络攻击的归属问题
早期DoS防范时，大家普遍使用的方法是丢弃所有来自发动攻击的网络流量。但是黑客可以轻易把攻击伪装成某个无关的第三方，这样的话第三方就受到影响了。比如，A公司和B公司经常有生意往来。突然间某个黑客向B公司发送了大量流量，流量看起来像是来自A公司。B公司的防火墙因此屏蔽了所有来自A公司的流量。但是这样的话两个公司的正常流量也中断了。因此这样的防御方式实际上起到了更糟糕的结果，甚至比被DoS还糟糕，因此我们必须采用其他的方法。

假设这不是单纯的DoS流量，而是表面上A公司黑了B公司，B公司转而报复，黑了A公司呢？修正案中没有提到让受害者提供对于攻击归属的证明或者证据。我们知道要对攻击进行溯源是很困难的。2014年索尼公司被黑，大家都认为是朝鲜干的，现在过去好几年了，多国政府都努力查明，但是攻击的确切来源依然不明确。

130054_story__sony-hack-leaked-emails.jpg

“原本我们可以根据武器来判断敌人。你看到一辆坦克，就知道一定是军队的，因为只有军队买得起。网络世界里就不一样了。网络空间里技术的传播很广，人们可能拥有同样的武器：黑客、政治黑客、国家间谍、军队甚至是网络恐怖分子。”Bruce Schneier在2015年说过。

试想索尼时间中这么多公司组织都无法查明攻击来源，一家公司怎么可能查出真正的幕后黑手？

问题2：资源的规模
企业拥有的资源其实并不多。企业的安全建设受限于道德、预算、开发的优先级等，但犯罪分子没有限制，并且即便他们本身的水平不够，也可以找一些黑客服务来进行攻击，企业是没有办法抗衡的。我们看看僵尸网络的规模就知道，在网络世界中，坏人的资源更多，互联网是不对称的。

cyberattacks.jpg

问题3：如何避免伤及无辜
ACDC法案保证企业“能够防御欺诈或者其他的活动”，但却没有提到社会责任。想像一下黑客黑了某个共享的服务器进行攻击，受到攻击的组织进行反击，势必就会影响到使用共享服务器的其他公司。

问题4：法案的意义
如果进行反击，企业希望达成的结果是什么？如果企业感染了勒索病毒，丢失了资料，即便攻击了“敌人”，这些数据也不会回来，并且我们假设企业能够识别出攻击的真实来源。从投资者的角度来看，你的数据还是丢了，而且还付出了额外的时间和金钱成本。如果是一些数据被窃取，通过黑客手段进行反击，即便删除了攻击者的数据也不能保证他们没有其他备份。

我们目前是靠政府执法部门追查网络攻击事件的，但很难达成满意的效果。但是连大公司都无法追查的网络攻击怎么能指望这些小公司会成功？反击能够让谁获益？这些问题令人摸不着头脑，更何况反击还可能会波及与攻击事件无关的人。

乔治亚理工学院信息安全和隐私协会分析师Yacin Nadji认为：

“更好的办法是提高执法部门官员的能力，包括研究自动化溯源攻击、估算经济损失、加快没收涉案计算机的速度。而允许‘用黑客手段反击’的法案从长远来看只会增加麻烦。”

*参考来源：SecurityAffairs & Doit，本文作者：Sphinx，转载请注明来自FreeBuf（FreeBuf.COM）

Sphinx
Sphinx
412 篇文章
等级： 9级
||
上一篇：你会把安全控制权交由第三方外包吗？下一篇：企业安全建设之路：端口扫描（下）
这些评论亮了

freebug_n (4级)Nigger!回复
不能怂，就是怼，谁赢谁说话！！
)25(亮了

仁者龙心回复
好问题，我突然出现另一个感悟：当你被黑后，再“怼回去”后.....，对方顺手提取违法证据反告你网络违法，似乎成了另类的“钓鱼”了[二哈]！对方先告状后，你再去告对方时，法官会问“既然你说对方先违法黑的你，可为什么不先来告对方却自己也违法呢？乖乖按照法院受理顺序来吧！”到那时[哆啦A梦无奈]
)8(亮了

fj543 回复
@ 银河帆影当你后脑勺被人拍了一下时，转过身来把你身后的人干一拳，你以为这是正当防卫。殊不知你打错人了，刚才打你的人已经躲起来了。黑客攻击别人往往是利用肉鸡、替罪羊，而你未必有辨别能力，你反击只会打错人。
)6(亮了
发表评论已有 13 条评论

freebug_n (4级) Nigger! 2017-06-12回复 1楼
不能怂，就是怼，谁赢谁说话！！

亮了(25)

银河帆影 (1级) 2017-06-12回复 2楼
人身伤害还有正当防卫呢，受到攻击为什么不能回击？

亮了(4)

fj543 2017-06-13回复
@ 银河帆影当你后脑勺被人拍了一下时，转过身来把你身后的人干一拳，你以为这是正当防卫。殊不知你打错人了，刚才打你的人已经躲起来了。黑客攻击别人往往是利用肉鸡、替罪羊，而你未必有辨别能力，你反击只会打错人。

亮了(6)

银河帆影 (1级) 2017-06-13回复
@ fj543 不还是“未必”么，为什么反击就“只会”打错人呢？对手用了跳板就一定找不到真凶？

亮了(4)

非上海青年 2017-06-15回复
@ 银河帆影你尽管找, 找的到算我输.

亮了(2)

alexnevsky (1级) 以为自己很吊，其实还是菜鸟 2017-07-14回复
@ 非上海青年跳板还好，3389套着连更不好找。。。

亮了(1)

m924773729 (1级) 2017-06-12回复 3楼
怼，必须怼，

亮了(1)

XXPXstsy 2017-06-12回复 4楼
美国的法律，都撤了吧

亮了(4)

仁者龙心 2017-06-12回复 5楼
好问题，我突然出现另一个感悟：当你被黑后，再“怼回去”后…..，对方顺手提取违法证据反告你网络违法，似乎成了另类的“钓鱼”了[二哈]！对方先告状后，你再去告对方时，法官会问“既然你说对方先违法黑的你，可为什么不先来告对方却自己也违法呢？乖乖按照法院受理顺序来吧！”到那时[哆啦A梦无奈]

亮了(8)

My Type。 (1级) 2017-06-12回复 6楼
生死看淡，不服就干

亮了(4)

al0ne_ (2级) 学海无涯 2017-06-13回复 7楼
怼必须怼反制过去

亮了(1)

an_time (3级) 2017-06-13回复 8楼
怼回去，和黑客的行为有啥区别？不也是违法的吗？当收到攻击后，可以进行加固，收集相应的信息溯源，交给相应部门让他们用法律手段解决问题

亮了(2)

tester 2017-06-13回复 9楼
要是怼错了咋弄？

亮了(2)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
Sphinx
Sphinx专栏作者

这家伙太懒了，什么都没写

412
文章数
89
评论数
最近文章
BUF 早餐铺 | Facebook再曝数据丑闻：1.2亿用户数据面临泄露风险；自2012年以来，所有Android设备都受到RAMpage漏洞的影响；Gentoo GitHub镜像被黑客攻击
2018.07.02

BUF 早餐铺 | WebAssembly的修改会使得Meltdown和Spectre补丁失效；英国税务局记录了510万英国人的声音；苹果回应iPhone密码被暴力破解：测试是错误的
2018.06.26

快讯 | 黑龙江高考查分官网瘫痪，查询入口被微信封锁
2018.06.25

浏览更多
相关阅读
雅虎10亿账户数据去年就在暗网以30万美金出售，3名土豪已经出手如何减轻挖矿攻击给企业安全带来的威胁企业级物联网系统安全如何做？一个人的安全部之大话企业数据安全保护经验分享 | 如何做好基础安全设备运维
特别推荐

关注我们分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

公司网络被攻击

文章评论