追蹤網絡攻擊

托馬斯?里德 本?布查南 著 唐嵐 李艷 譯

追蹤網絡攻擊

托馬斯?里德 本?布查南 著 唐嵐 李艷 譯

誰干的？溯源是個根本問題。人類生命和國家安全可能要仰仗于某個情報部門和某個特工。在網絡入侵的背景下，溯源普遍被視為最棘手的技術問題之一，被視為既有辦法也沒辦法得到解決，被視為主要依賴所掌握的證據(jù)。但它確是如此嗎？這是對溯源的建設性認識嗎？本文剖析了溯源的來龍去脈。為更好地闡述觀點，我們引用了Q模型：用來解釋、指導和完善溯源的全過程。找到發(fā)動進攻的攻擊者就是一個從三個層面消除不確定因素的實踐過程：戰(zhàn)術層面，溯源就像是一門藝術，一門科學；操作層面，溯源是一個發(fā)現(xiàn)細微差別、而不是非黑即白的過程；戰(zhàn)略層面，溯源意味著政治上的利害攸關。成功地追查到攻擊者需要一整套技巧，謹慎的管理、時間、領導、壓力測試、頻繁的溝通以及認識局限和挑戰(zhàn)。

溯源；模型；攻擊者

托馬斯·里德 英國倫敦國王學院教授，網絡安全問題專家，戰(zhàn)爭學系。著有《機器的崛起：控制論失落的歷史》(Rise of the Machines：The Lost History of Cybernetics)。

溯源是一門回答問題的藝術。溯源能力差會削弱一個國家的信譽、效率，最終危及其自由與安全。

溯源是逐步展開的。譬如，破案會先從報案電話入手調查。警官會保護現(xiàn)場，詢問目擊證人。法醫(yī)專家嘗試去發(fā)現(xiàn)和分析物證，把受害者身上發(fā)現(xiàn)的子彈與犯罪現(xiàn)場留下指紋的槍支進行比對。這一過程盡管常常充滿戲劇性，但它確實是一個講方法、有順序，以及形成固定流程的程序。

在網絡安全領域，圍繞溯源一直存在爭論。①該領域早期的貢獻，參閱戴維?惠勒（David A. Wheeler）和格里高利?拉爾森（Gregory N. Larsen），“網絡攻擊溯源技術”（弗吉尼亞州亞歷山大市：國防分析中心，2003）；理查德?克雷頓（Richard Clayton），“網絡空間的匿名性與可追溯性”，《技術報告》Vol.653，（劍橋：劍橋大學計算機實驗室，2005年）；蘇珊?布倫納（Susan Brenner），“光速：對網絡犯罪、恐怖主義和戰(zhàn)爭的溯源與響應”，《刑法與犯罪學期刊》，97/2（2007），第379-475頁。早期的案例研究可參閱克里福德?斯托爾（Clifford Stoll），《布谷鳥蛋》（紐約：雙日出版社，1989年）。目前，數(shù)字領域的溯源受三個假設主導。第一個假設是溯源是最棘手的問題之一②“溯源可能是最大的難題”，P.W.辛格（P.W. Singer）和艾蘭?弗里德曼（Allan Friedman），《網絡安全與網絡戰(zhàn)》（紐約/牛津：牛津大學出版社，2014年，第73頁）；另可參閱，戴維?貝茨（David Betz）和蒂姆?斯蒂文斯（Tim Stevens），《網絡空間與國家》（阿德菲系列，倫敦：國際戰(zhàn)略研究所/勞特利奇出版社，2011年），第75-76頁。，它源自根本性的技術構架③例如，可參閱W.厄爾?博伯特（Earl Boebert），“對溯源挑戰(zhàn)的調查”，“制止網絡攻擊委員會”編，《制止網絡攻擊研討會紀錄》（華盛頓特區(qū)：國家學術出版社，2011年），第51-52頁。另參閱馬丁?利比基（Martin Libicki），《網絡威懾與網絡戰(zhàn)》（加利福尼亞州圣塔莫尼卡市，蘭德公司2009年），第43頁。和互聯(lián)網的地理分布。④杰克?戈德史密斯（Jack Goldsmith）和蒂姆?吳（Tim Wu），《誰控制了互聯(lián)網？無邊界世界的假象》（牛津：牛津大學出版社，2006年）。因此，只有在技術上重新設計互聯(lián)網才能根本解決這一個問題。①麥克?邁康奈爾（Mike McConnell），“如何贏得我們正在失去的網絡戰(zhàn)”，《華盛頓郵報》，2010年2月28日。類似的看法在有關法律問題爭論中亦占上風。②參閱馬修?韋克斯曼（Matthew C. Waxman），“網絡攻擊與使用武力”，《耶魯國際法期刊》，2011年第36期，第421-459頁，第447頁；尼古拉斯?查哥里亞斯（Nicholas Tsagourias），“網絡攻擊，自衛(wèi)與溯源問題”，《沖突與安全法律期刊》2013年第17期，第229-244頁。有關溯源對使用武力討論的必要性，參閱馬爾科?羅西尼（Marco Roscini），《網絡作戰(zhàn)與國際法中的使用武力》，（牛津：牛津大學出版社，2014年），第33-40頁。第二個假設是對溯源持二元論觀點：在給定情況下，這一問題要么能解決③美國前國防部長萊昂?帕內塔（Leon Panetta）在“無畏號”航空母艦上曾發(fā)表了一段著名的演講：“在解決阻遏網絡敵人更復雜的問題——確定攻擊起始的難題——方面，（國防部）取得了重大進展”。帕內塔“對企業(yè)高管發(fā)表的國家安全中網絡安全的講話”，紐約，華盛頓特區(qū)：國防部，2012年10月12日。，要么解決不了。④戴維?克拉克（David D. Clark）和蘇珊?蘭多(Susan Landau)，“解開溯源難題”，“制止網絡攻擊委員會”編《制止網絡攻擊研討會紀錄》，（華盛頓特區(qū)：國家學術出版社，2011年）。另可參閱杰森?希利（Jason Healey），《一個激烈競爭的領域》（華盛頓特區(qū)：大西洋理事會，2013年），第265頁。溯源要么能找到真兇，要么只是找到一個仿冒的IP地址，混亂的網絡日志或其他毫無用途的痕跡。⑤羅伯特?內克（Robert K. Knate），“解決溯源：邁向網絡空間的問責發(fā)展，謀劃應對網絡攻擊的未來”，華盛頓特區(qū)：第111屆國會技術與創(chuàng)新附屬委員會聽證會，2010年7月15日。第三個假設是能證明責任歸屬的證據(jù)十分廣泛，主要挑戰(zhàn)就是找到證據(jù)本身，而不是分析、提煉和展示。⑥在入侵分析方面最有影響的文章似乎都假設證據(jù)自己能說話，持這一觀點的人們并不把注意力放在如何與非技術人群溝通上。其中最有影響力和有用的文獻是“鉆石模型”，參閱塞爾吉奧?卡爾塔吉龍（Sergio Caltagirone）、安德魯?彭德格斯特（Andrew Pendergast）和克里斯托弗?貝茨(Christopher Betz)，《入侵分析的鉆石模型》ADAm86960（漢諾威，馬里蘭州：網絡威脅情報與威脅研究中心，2013年7月5日），以及“殺傷鏈”分析，參閱埃里克?哈欽斯（Eric M. Huntchins），邁克爾?克洛佩特（Michael J. Cloppert）和羅翰?阿敏（Rohan M. Amin），《在分析敵方行動和入侵殺傷鏈基礎上受情報驅動的計算機網絡防御》（馬里蘭州貝塞斯塔：洛克希德?馬丁公司，2010年）。上述觀點均很普遍，它們是直觀的認識，也沒有錯——但它們卻有局限且不充分。溯源的本質在過去10年中發(fā)生了顯著的變化。相對目前已有的研究而言，真正實現(xiàn)對網絡事件的追溯已經變得更為微妙，更加普遍和更具政治性。⑦參閱博伯特，“對溯源挑戰(zhàn)的調查”，第41-54頁。要想參考更全面的研究，可參閱埃米爾?盧波維奇（Amir Lupovici），“溯源問題與‘暴力’的社會建構”，《國際研究視點》，2014年，第1-21頁。

本文提出并探討3個問題：第一，溯源與技術的關系問題，如果溯源不是技術問題，那它是什么？第二，溯源的標準問題，即：什么是標準的溯源，如何區(qū)別高質量溯源與低質量溯源？第三，溯源與證據(jù)分析的關系問題，如果證據(jù)不明顯、且模棱兩可，那么怎樣進行整理和分析？

為了描繪出一個理想的溯源，引用了Q模型。⑧Q有幾層含義：首先它暗指問題，這是溯源的關鍵。Q還與舵手相關，即負責發(fā)出信號和駕駛的海軍軍官?！甤yber’的詞根是κυβερν? （kyvernó），意指“操縱”。在技術上，這個模型能幫助分析人員提出所有相關的問題，幫助他們思考并把調查放在一個大背景下進行。⑨這個模型有意不設計成一個流程圖或清單的樣子。在與操作人員的幾次專題討論后，大家都清楚任何一種線性的描述都不能真正反映出獨特性和調查者面對案件的多樣性。在操作上，模型有助于把技術與非技術信息整合到一個競爭性假設之中。這包括從不同層面提出更具挑戰(zhàn)性的問題，從細微的技術問題到更全面和解析性的操作問題。戰(zhàn)略上，模型有助于用恰當?shù)墓浪阏Z言提煉出溯源的精髓并陳述出來。這種表述可能會形成帶來嚴重后果的政治決斷。

這個模型，第一部分是概念：用通用術語討論模型、提出幾個重要的區(qū)別和動力，說明溯源是一個過程。第二部分是實證：利用近期的幾個事例列出溯源的步驟。第三部分將探討Q帶來的眾所周知的問題，溝通面臨的挑戰(zhàn)，溯源的局限以及如何把結果轉化成行動。結論部分則再次評估幾個一直存在卻始終沒有答案的觀點，思考追蹤網絡攻擊的局限。

第一部分

本研究旨在為參與溯源的所有相關方提供一個概念和實際操作的圖景，從取證調查人員、情報分析者、國家安全官員、管理高層、政治領導到撰寫網絡安全和網絡入侵文章的記者和學者。

溯源過程中的每個層級都面臨不同的分析挑戰(zhàn)，需要專門的數(shù)據(jù)和專業(yè)知識，還需要各自對成功溯源的看法。每個層級的分析人員都要向其他級別通報并進行調整。盡管溯源過程有始有終，但這個周期不必遵循專門的邏輯或時間順序，原有的假設會與新發(fā)現(xiàn)的細節(jié)相矛盾，新發(fā)現(xiàn)的細節(jié)又會帶來新的猜想。然而，不同層級有不同的任務并獨立進行分析，哪怕它們相互關聯(lián)。通常情況下，所謂的“危害指標”啟動溯源過程。這些指標帶來了各種特定的技術問題。只有事實收集得足夠多，更多的問題才會被提出。溯源的啟動偶爾也從操作或戰(zhàn)略層開始。有時候一起事件的“第一知情者”會是技術層之上的人員。借助未經鑒定的情報源，或者更寬泛的地緣政治背景——有時候甚至會是直覺——在用技術指標標注前、甚至事件發(fā)生前，分析者就確定了可能發(fā)生的惡意行為。溯源還會采取另一種方式：戰(zhàn)略和操作層分析會啟發(fā)后續(xù)的技術分析，或反之亦然。

溯源需要大量的技能。網絡威脅的復雜程度非常高。通過溯源分析來應對和揭露它們的架構需要一個明確的分工。例如，一個反病毒專家團隊可花費大量時間和精力對某個惡意軟件的安裝過程進行反向工程研究，控制工程師則側重分析針對某個工廠的定向有效載荷的設計特點。震網病毒如此復雜，企業(yè)側重從不同方面對它進行分析，如傳播機制、指揮與控制裝置或針對工業(yè)控制系統(tǒng)的有效載荷。①大致情況可參閱喬恩?林賽（Joe R. Lindsay），“震網及網絡戰(zhàn)的局限”，《安全研究》22/3（2013），第365-404頁。在戰(zhàn)場上，一個完整的戰(zhàn)術行動的地位低于戰(zhàn)役考慮，但它又很重要。對不同方面進行分析需要大量各異的技巧，這種專業(yè)化是網絡和軍事行動中已被廣為接受的基本原則：沒有指揮員會派拆彈專家去負責分析叛軍網絡的籌資情況或爆炸裝置的來源；F-16飛行員不會自己選擇目標；導彈工程師不制訂核戰(zhàn)略。網絡攻擊情況下，最起碼的期望就是組織一個超越小規(guī)模的專家群來進行溯源。

溯源全過程的總目標常常取決于已遭受或可能造成的損害。在事件頻發(fā)但調查人手不足的情況下，遭受或可能遭受損害的總量常常決定了追蹤惡意行為所投入的資源。如果一次入侵事件并未造成顯而易見的損失，某個公司甚或政府部門可能啟動一次昂貴的調查。因此，缺乏對后果的認識甚至在全面啟動調查前就中止了溯源。某種程度上這種情況不可避免。

戰(zhàn)術目標主要是掌握事件的技術細節(jié)，即怎么發(fā)生的。操作層的目標是認識攻擊的來龍去脈和攻擊者的身份，即事件是什么。戰(zhàn)略層的目標是掌握誰對攻擊負責，評估攻擊的原因、重要性及恰當?shù)膽獙Ψ绞剑椿卮稹笆钦l”和“為什么”。最后，溝通也有自身的目標：把勞動密集型取證調查的結果公布出去是溯源過程的一個組成部分，它不應被忽視。事實上，公布溯源本身意義重大：攻擊者可能中止行動，改變戰(zhàn)術或公開回應指責，進而促成受害者的進一步回應。

細節(jié)是關鍵。但細節(jié)也會使人困惑。從技術人員流向操作層和戰(zhàn)略層的信息必須經過加工處理。只有這樣它們才能被理解和發(fā)揮作用。針對某一入侵，技術分析能產生大量的數(shù)據(jù)，常常包括被利用的漏洞、有效載荷機制、指揮-控制結構、目標數(shù)據(jù)、反向工程分析以及被攻擊網絡的原始數(shù)據(jù)。部分，也有可能大多數(shù)技術分析可能彼此沒有關聯(lián)。操作層和戰(zhàn)略層并不覺得一些相關聯(lián)的技術細節(jié)有多重要，就像取證調查人員不關心地緣背景一樣。

確定性存在差異。隨著信息從技術層面流向操作層及戰(zhàn)略層，遇到的問題開始變少但更全面。因此，隨著分析由技術人員轉向政府部門，有關溯源的不確定性可能會增多。根據(jù)法醫(yī)取證能夠回答入侵的機制是什么的問題。動機是什么的問題則需要提出假設以及隨之而來的驗證。②一些形式的犯罪存在例外。證明趨利的動機要比政治動機容易得多。技術取證的關注點相對狹窄和具體，能夠找到答案。操作層提出的相互競爭的假設可能源自大量人力進行的取證結果，但卻未得到可供使用的技術和非技術證據(jù)的充分支撐。戰(zhàn)略層的結論也并沒有比技術取證高明多少，可能只是對大量假設與判斷的整合。①接受過較為理論性和正式培訓如有數(shù)學背景的員工可能傾向于程式化解決網絡安全問題。這可能達不到預期目標。理論抽象會掩蓋見地的缺失。受到高度質疑的程式化和人為精確的案例，可參閱羅伯特?阿克塞爾羅德（Robert Axelrod）和魯門?伊利耶夫(Rumen Iliev)，“測定網絡沖突的時間”，PANS111/4（2014年1月28日 ），第1298-1303頁。數(shù)學公式是入侵分析中廣泛使用的模式之一，所謂的“鉆石模型”要求的精確度十分夸張。參閱卡爾塔吉龍、彭德格斯特和貝茨，《入侵分析的鉆石模型》。接受過培訓的資深決策者是管理這些問題的關鍵。

接下來是“光圈”。溯源過程中遇到的最困難的問題之一是情報圈稱為“光圈”的問題：能夠確定調查目標的情報源范圍，類似于照相機的調焦。情報來源的增多可以提高溯源的質量。另外，隨著溯源進程的逐級深入，大光圈變得更重要：在單純的技術層面，對專門的事件劃定范圍（設定光圈）是有可能實現(xiàn)的，但有條件限制。某個入侵產生的數(shù)字證據(jù)取決于它發(fā)生的背景。網絡刺探使用的代碼幾乎不暴露攻擊者的動機。在操作、尤其是戰(zhàn)略層面，其他情報來源將能描繪出更全面的圖景，例如攔截那些指揮或組織者的電話通訊或電子郵件。全源情報的重要性、更大的“光圈”，是解釋為什么那些擁有高水平情報部門的國家比一些能力強大的私企能更好掌控溯源進程的最重要的原因之一。

歷史上首次大規(guī)模的國對國計算機網絡入侵事件“月光迷宮”（Moonlight Maze）說明了全源情報和“大光圈”的價值。1998年，②想大致了解“月光迷宮”，參閱亞當?埃爾克斯（Adam Elkus）在希利主編的《一個競爭激烈的領域》一書中撰寫的章節(jié)，第152-163頁。外國間諜把美國國防部、能源部、國家航空航天局（NASA）、國家海洋和大氣局（NOAA）以及一些國防承包商和大學作為攻擊目標。入侵者竊取了從頭盔設計到大氣數(shù)據(jù)等信息。調查開始時，美國聯(lián)邦調查局（FBI）的特工不知所措。1999年初，國防部開始支援調查。計算機網絡防御聯(lián)合特遣部隊(JTF-CND)的情報人員“竭盡所能”，從執(zhí)法部門獲得的數(shù)字證據(jù)開始，但隨后調用了信號情報、人力情報，甚至是一些可疑建筑物的過頂衛(wèi)星圖片記錄以審查它們近期是否安裝了通訊設備。最終，情報源得到的情況遠遠超過對入侵的數(shù)字取證，成功地確定“月光迷宮”造成的數(shù)據(jù)泄露源自俄羅斯政府。③本文作者與JTF-CND以及FBI“月光迷宮”調查小組的一些前官員進行了訪談，華盛頓特區(qū)，2014年9月-11月。

在追溯網絡入侵時，單獨的個體值得重視。如果找到的證據(jù)能夠把入侵指向某機構中的某個人，這一溯源十分有效。從眾多國際事件、尤其是軍事事件中，可看出鮮明的對比：被標識的武器系統(tǒng)，身著軍裝的士兵，事件發(fā)生的地點常常說明入侵背后機構的身份。某個特殊的軍事目標，例如敘利亞的實驗核設施可能會遭到空襲。通過分析地緣政治背景、飛機型號或飛行路徑——除了確認飛行員本人，敘利亞或第三方能夠確認實施襲擊的F-15戰(zhàn)機來自以色列空軍。識別一個軍事機構首先不需要確認個人和較小的作戰(zhàn)單元，這在網絡行動中則完全不同。

溯源的終極目的是指出某個機構或政府而非個人。但與標識、軍裝和地理位置不同，單個行動人員可能是惡意行為與機構之間最強有力的聯(lián)系者。單憑這種個人關聯(lián)并不足以帶來高質量的溯源。然而，明確地指出一個機構首先需要把范圍縮小至個人，然后再回放到機構或部門。這一系列行動取決于可掌握的“光圈”。個人的聯(lián)系如果能與來自其他渠道的指標相契合，則證據(jù)將得以顯著強化。

洞察力也很重要。先入為主、預判、偏見以及心理和政治傾向都有可能影響溯源，其中又涉及內部與外部兩個方面：從內部看，各層級的分析員和管理者大多會從各自角度提供預期的結果和解讀證據(jù)。機構設置的原因將使內部報告會被忽略，這一問題也因此被放大。一個綜合性的事例能夠說明這一結論：假設沙特阿拉伯政府發(fā)現(xiàn)了“正義之劍”，該組織聲稱在2012年對沙特阿美石油公司發(fā)動了名為“沙蒙”（Shamoon）的網絡攻擊，其一部分成員來自位于沙特的什葉派激進分子。在遜尼派屬于少數(shù)派的國家，對什葉派的偏見可能使沙特的調查人員會假設這個組織受雇于伊朗政府，即便手中的證據(jù)無法證明這些什葉派沙特公民得到德黑蘭的支持。國內偏見越大，犯下嚴重錯誤的風險就越高。

第二部分

所謂溯源質量就是要“問對問題”。模型的每個層級都有一系列能推進本層級進程的具體問題。每個層級所含問題的答案就是向下一層級推進的起點。一個團隊對整個過程的整體把握越好，溯源的質量就越高。這個過程是動態(tài)和非線性的：每個案例都不同，因此在調查中，任何固化的流程或線性的“清單”都是有問題的。①2014年夏天舉行的系列公私部門小組研討會上，分析人員普遍對線性“清單”提出懷疑。接下來將逐層討論這個過程，從戰(zhàn)術性的技術開始，逐漸向戰(zhàn)略性考量深入。如果可能，每一方面的描述都將附有對實踐案例的簡短說明。②本文沒有足夠的篇幅詳細介紹這些案例，因此作者為每個案例都提供了最權威的參考來源。這些來源有些是學術出版物，但大多數(shù)是企業(yè)報告。

技術層常常是調查的起點。它廣泛且深入，給相關人員帶來重要挑戰(zhàn)。這需要分析者以一種高效的團隊工作來回答關于計算機代碼、網絡行為、語言和其他更多技術問題。在許多案例中，技術證據(jù)都是溯源過程的基礎。發(fā)掘這些證據(jù)并不總是充滿榮耀的行為，而是生死攸關。

危及安全的指標很有可能開啟一項調查。損害指標是指網絡侵入或惡意行為的技術指征，常被簡稱為技術術語IOCs（Indicators of compromise）。無論是通過廣泛的自動掃描還是計算機異常行為報告，這些攻擊跡象都能被發(fā)現(xiàn)。對大量計算機進行深入、個別和常規(guī)的證據(jù)分析對于網絡管理者而言成本過高。IOCs能夠成為幫助進一步縮小調查范圍的有用工具。一項有影響力的研究將這些指標劃分為原子的（atomic）、行為的（behavioural）和計算的（computed）三類。③埃里克?哈欽斯，邁克爾?克洛佩特和羅翰?阿敏，《在分析敵方行動和入侵殺傷鏈基礎上受情報驅動的計算機網絡防御》（馬里蘭州貝塞斯塔，洛克希德?馬丁公司，2010年）。

所謂原子指標（atomic indicators）是指離散的數(shù)據(jù)碎片，無法再進一步分解，否則將會失去其證據(jù)價值。通過原子指標本身能夠查明惡意行為。一般包括IP地址、郵件地址、域名和文本碎片。計算類指標與這些數(shù)據(jù)碎片相似，但其中又包括一些計算成分。例如“哈?！保╤ash，也譯作“散列”），一個從輸入數(shù)據(jù)中獲取的特有簽名，如一個密碼或一個程序。只要輸入不變，一個散列的值就不變。在網絡計算機運行的程序散列可能符合已知的惡意程序散列。行為指標是行為和其他指標的結合，在一些案例中，既可揭示惡意行為，也可用于指認過去曾實施過類似行為的具體人。從社會工程學角度看，一項行為指標可能是一個不斷重復的具體意圖，如向低層雇員發(fā)送郵件以獲取網絡接入點，然后通過網絡傳輸特定惡意軟件，與其他計算機建立未經授權的遠程桌面連接。關注計算機網絡防御的機構收集上述三種攻擊指標和定期監(jiān)測其網絡和計算機。一旦發(fā)現(xiàn)攻擊證據(jù)，更多的技術問題接踵而至。這些問題會根據(jù)技術指標（indicator）、敵對行為（adversary）和威脅（threat）排出先后順序。

幾乎所有攻擊者都必須克服一個挑戰(zhàn)：進入。④拒絕服務攻擊是例外，它們通過向計算機系統(tǒng)發(fā)送大量基礎性且常常是無意義的數(shù)據(jù)使其中斷服務。任何一個攻擊者都必須具有在非授權系統(tǒng)執(zhí)行代碼的能力。這種代碼利用系統(tǒng)漏洞，為攻擊者提供更高的訪問和執(zhí)行授權。傳送這種代碼的通用方式不是利用技術弱點，而是利用人的弱點：魚叉式釣魚攻擊，通過發(fā)送社會工程類信息欺騙使用者。著名的針對安全公司RSA的攻擊就是始于一封發(fā)送給低層雇員的郵件。這封郵件的標題是“2011年招聘計劃”，足以誘導有些雇員將其從垃圾郵件夾中恢復并打開其附件。附件是一個包含著惡意軟件的Excel表格，能幫助攻擊者進入系統(tǒng)。通過這個“登陸點”，他們能夠通過網絡進入到更具價值的計算機。①烏里?瑞弗納（Uri Rivner），“對一次攻擊的剖析”，RSA，2011年4月1日。這種事情非常普遍，甚至用于實施更高級的攻擊，②根據(jù)維基解密曝光的一份美國國務院內部電報，“2002年以來，（美國政府）機構受到社會工程式網絡攻擊”，“數(shù)以百計的（美國政府）和擁有安全授權的國防承包商系統(tǒng)被入侵”。布雷恩?格羅（Brain Grow）和馬克?霍森鮑爾（Mark Hosenball），“特別報道：在網絡間諜對抗中中國領先”，路透社，2011年4月14日。調查者關注他們以獲取可能的溯源線索。與釣魚活動相關的，除了技術數(shù)據(jù)，如郵件來源，還有社會數(shù)據(jù)，如語言錯誤和目標選擇的老練程度。另一種進入方法是利用被遠程接入軟件感染的USB驅動器。攻擊者或某個同伙，或某個不知情但使用了被篡改的U盤的員工有可能把它插入計算機中。還有更多實施侵入的純技術手段。一個常用的方法是“水坑攻擊”（watering-hole attack）。這種方式要求攻擊目標可能會訪問的某個網頁——如外賣餐廳網站這樣正當網站，③尼科爾?帕爾斯（Nicole Perlroth），“隱藏在通風管道和自動售貨機的黑客們”，《紐約時報》，2014年4月8日，A1版。當目標雇員訪問該網址時，網頁瀏覽器中的漏洞會破壞他或她的計算機。許多侵入技術通過控制網絡基礎設施，操控和破壞對合法網頁的訪問，發(fā)動所謂“中間人攻擊”（man-in-the-middle attack），或是在攻擊者不能完全控制某個網絡結點但仍能植入數(shù)據(jù)，發(fā)動“旁觀者攻擊”（man-on-the-side attack）。④例如，“此次‘旁觀者攻擊’（MITM）是針對谷歌郵件的安全套接層（SSL）嗎？”，谷歌產品論壇，http：//bitly. com/alibo-mitm+;還可參閱賽斯?舍恩（Seth Schoen）和伊娃?戈爾佩林（Eva Galperin），“伊朗針對谷歌的中間人攻擊表明授權認證存在危險弱點”，電子前沿基金會，2011年8月29日。亦可參閱尼古拉斯?韋弗（Nicolas Weaver），“近觀美國國家安全局最強大的互聯(lián)網攻擊工具”，《連線》，2014年3月13日。

尋找目標的過程能夠揭露或破壞侵入者的類型。針對信用卡信息和其他易于獲利目標的攻擊往往指向有組織犯罪。針對產品設計的攻擊會指向從事經濟間諜國家的一些存在競爭關系的公司。針對政治和軍事戰(zhàn)略細節(jié)的攻擊則指向情報機構。技術層能夠提供具體的與攻擊有關的證據(jù)，幫助行動層推斷。如通過觀察侵入者在被破壞網絡中不同計算機間的動向，調查者可觀察攻擊者在尋找什么。通過重建攻擊者發(fā)出的具體指令，調查者能從被感染機器的存儲記錄中看出攻擊者有無具體企圖，或僅僅是在進行泛泛的搜尋以獲取有價值的信息。有時代碼還包含著搜索詞：2014年，一個有名的“毒蛇”（Ouroboros）行動，就包含了搜索詞“北約”和“歐盟能源對話”。⑤“Epic Turla行動”，卡巴斯基實驗室，2014年8月7日。對攻擊目標的分析還有助于搞清攻擊者的組織架構。攻擊者所調用的資源可作為一個指標，判斷其對目標價值的估算。如果一個攻擊使用了許多超過必要程度的資源——如果低水平的間諜活動使用了一個高級的rootkit攻擊，這就表明實施該行動的不大可能是一個能有效評估攻擊目標的團伙。還有一個類似的“實施過度攻擊”的指標：一些攻擊者可能會對同一目標用同樣方式進行多次攻擊，甚至是在一次破壞已成功實施之后。這種沒必要的投入可能表明攻擊者代表著一個大型組織，目標混亂不明。這種針對大量目標的“噴射”式攻擊還可能表明攻方內部破壞實施者與工具開發(fā)者間有分工。⑥源自2014年夏天作者對多名系統(tǒng)操作員的采訪。

大部分惡意行為的實施依靠基礎設施，在拒絕服務攻擊案例中，它就是依靠向目標計算機發(fā)送大量無用信息來達到癱瘓的目的。其他一些惡意行動的案例，基礎設施常常被用作“跳板”或向被感染機器發(fā)送代碼指令（技術行話稱之為命令與控制，command-and-control）。為了用最小成本獲取最大收益，心懷惡意的一方會在破壞行動中多次重復使用同一個物理數(shù)字基礎設施。因此，把不同行動與潛在的不同團體關聯(lián)起來，對于溯源過程來說是一個很有價值的線索。攻擊者獲得基礎設施的方式不同：有的能控制一臺計算機，在不被機主察覺的情況下把它變成僵尸網絡(bot)的一部分；有的是通過服務器提供商合法租賃服務器，然后用它來作惡；或者攻擊者本來就掌握著一些基礎設施。攻擊者操控基礎設施的手法在許多方面決定了接下來的問題。比如，租賃來的基礎設施，如虛擬機和服務器，可通過服務商公開獲取更多的注冊和日志信息。分析對方掌握的基礎設施可獲得地理位置等線索。一些情況下監(jiān)控對手基礎設施能獲得新的分析線索，有助于未來行動。因此，一些精明的攻擊者正在想方設法更好地掩藏他們的基礎設施。

計算機代碼最突出的特點之一就是模塊化。出于效率的考慮，攻擊者往往避免重新編寫代碼，而是會重復使用相關軟件來完成整個行動中的基本任務。作為攻擊的一部分，這個軟件常常直接植入目標網絡，但事后會被調查者加以分析。攻擊者使用的軟件常常有著自己的簽名和特點，能夠為確認侵入者及其同伙的身份提供線索。不同案例這種分析的效果也有差別。一些被打包成模塊的代碼在攻擊中的使用頻率很高，但對確認具體攻擊者卻不是很有用。而其他一些像震網和Duqu惡意軟件中使用的代碼，是如此深奧而復雜，對確認攻擊者身份很有價值。①參閱考斯汀?拉伊烏（Costin Raiu），“走進Duqu的命令與控制服務器”，在2012年5月4日于波士頓召開的SOURCE大會上的演講。在一些調查中，研究者有理由確定是同一個人編寫了震網與Duqu的代碼，因為兩種惡意軟件共享的一些關鍵模塊和代碼不是能輕易得到的。②賽門鐵克公司有關Duqu病毒的報告指出，“Duqu與震網共用大量代碼；然而二者的有效載荷卻完全不同。Duqu不是用來破壞某個工業(yè)控制系統(tǒng)，而是用一個具有遠程進入能力的程度來取代它。Duqu的編寫者得到了震網的源代碼，而不僅僅是編輯過的版本”，“W32. Duqu”，第1.4版，賽門鐵克，2011年11月23日。

分析入侵者生活模式是調查獲得突破的重要部分。為了效率的最大化，所有機構都有固定的日程和辦事程序。黑客組織也不例外。時間和其他行為模式能夠為確認其位置和身份提供線索。例如，眾擊公司追蹤了某攻擊行為的實施者，判斷其位于俄羅斯，因為大部分“編輯時間”——即軟件被打包使用的時間，就是俄羅斯的上班時間。③作者在弗吉尼亞州阿靈頓訪問德米特里?艾爾帕洛維奇（Dimitri Alperovich），2014年9月15日，另可參閱《全球威脅報告》，眾擊公司，2014年1月22日，第18頁。生活模式雖易造假，卻被廣泛用來證實調查者的推斷。

惡意軟件中的語言指標也能提供溯源線索。這里的語言主要分為兩大類：被攻擊者選中用來表達具體事務的文字，如變量、文件夾和文件的名字，以及通用配置參數(shù)。在復雜的“偽旗”行動中，二者相對容易偽裝。然而溯源過程中語言分析仍十分有用。例子很多，最近，卡巴斯基發(fā)現(xiàn)名為“面具”（Careto）的惡意軟件。軟件開發(fā)者把間諜設備中的兩個主要模塊的一個命名為“面具”。按照慣例，此次行動的命令與控制服務器散布于很多國家，其中大部分位于非西班牙語國家，如馬來西亞、澳大利亞、捷克、新加坡和美國。但語言指標卻提出了相反的論斷。④《揭秘“面具”》，第1.0版，卡巴斯基實驗室，2014年2月6日，第46頁。第一個指標是一些子域，冒充西班牙報紙而實際上卻可能被用來實施網絡釣魚（雖然也會被偽裝成英國和美國的報紙）。⑤例如，elpais.linkcom[dot] net/and elespectador.linkconf[dot]net，同上，第34頁。第二個指標是計算機的設置數(shù)據(jù)暗示代碼是在西班牙語界面的計算機中編寫的。第三個指標是一些俚語的使用，俄羅斯研究者們懷疑：“在非西班牙母語者中很罕見”。⑥同上，第46頁。他們還給出了三個俚語使用的例子：重復使用“Careto”一詞，它是“臉”或“面具”的西班牙俚語；設置文件的一個密鑰被命名為“Caguen 1 aMar”，很有可能是“Me cago en la mar”的縮寫，卡巴斯基認為這應是西語“f-”；文件路徑c:DevCaretoPurebas3.0 elease32 CDllUninstal32.pdb中包含的“pruebas”一詞，西語意思是“測試”。

錯誤常常有啟示作用。一些失誤能夠直接暴露攻擊者試圖隱藏的信息，如一個人或文件的名字，一個真實的IP地址，一個舊郵件地址，或是某個代碼的注釋。近來有兩個突出的例子。第一個是“絲路”（Silk Road）網站，它以非法買賣毒品聞名，其運營者在網頁上推銷其非法運營活動和在網上尋求技術幫助時使用的竟然是同一個用戶名。尋求技術幫助的帖子還留下了真實姓名和郵件地址，這些都為調查者提供了明顯的線索。①納特?安德森(Nate Anderson)和賽勒斯?法里瓦爾（Cyrus Farivar），“聯(lián)邦政府是如何擊潰恐怖海盜羅伯茨的”，Ars Technica網，2013年10月3日。第二個例子是黑客組織“匿名者”的領導人之一Hector Xavier “Sabu” Monsegur。他曾經忘記登錄“洋蔥”（Tor）服務器而進入受FBI監(jiān)視的“匿名者”聊天系統(tǒng)，從而導致真實IP地址泄露。②約翰?萊頓（John Leyden），“致使LulzSec首腦薩布落入美國聯(lián)邦調查局手中的一個小小失誤”，Register網，2012年3月7日。這兩個人都因此被抓獲。即使這些錯誤并沒有直接揭示相關信息，但它們仍很有價值。如在常用的命令中頻繁出現(xiàn)一些打字錯誤能為復雜分析提供一般線索。正如“大拇指原則”（亦稱“經驗法則”），組織在本質上更為官僚化，擁有經驗更豐富的運作者和標準化程序，其犯錯的可能性比單獨行動者要小。③丹?維爾頓（Dan Verton），《青少年黑客的懺悔》（紐約：麥格勞?希爾出版社，2000年），第83頁。

諷刺的是，秘密行動也能被揭露。任何行動中，行動者會在速度與隱蔽性之間有取舍，而這種取舍會留下清晰的痕跡。反偵察行動——用以躲避監(jiān)測和事后調查的措施——都是百密一疏和耗費功夫的。攻擊者使用的反偵察手段會暴露他的意圖，對報復的恐懼和精明程度。一些反偵察行為很普通，相對簡單，直接關系到任務的成功與否。比如：攻擊者在將盜竊數(shù)據(jù)偷偷繞過自動防御系統(tǒng)（用來監(jiān)測是否存在有價值的文件離開網絡）傳出之前，會對這些數(shù)據(jù)進行加密。其他一些反偵察行為則更復雜和少見，如使用工具修改日志文件中的時間要保留，給隨后的調查增加難度。攻擊者的謹慎很難衡量。但是觀察它們試圖隱藏行跡的行為能提供很好的洞察角度。

一些國家將其行政部門、軍隊和情報機構置于法律監(jiān)督之下。這意味著信息收集，尤其是破壞性行動必須得到法律部門的批準，而法律部門常常會約束這些行動。有時候借助技術分析，能明顯看到這些限制措施，為溯源提供線索。對于震網，前反恐和網絡安全官員理查德?克拉克（Richard Clarke）提到，他“強烈感覺到該行動是由華盛頓的一支律師團隊操控或管理”，因為它的目標確認程序有意將間接損害最小化。④羅恩?羅森鮑姆（Ron Rosenbum），“卡珊德拉綜合癥”，《史密森尼雜志》，43/1，（2012年4月），第12頁。

溯源過程的行動層旨在合成不同來源的信息，包括來自技術層的信息，非技術分析和地緣政治背景信息。行動層的分析功能在于提出競爭性假設來解釋事件。

分析計算機網絡漏洞需要大量的準備工作。溯源中，分析破壞某個具體網絡所需能力是一條有用的線索。如對伊朗核設施的震網攻擊具有極高的人力密集特征。惡意軟件的有效載荷需要極充分的具體目標信息，如控制發(fā)動機轉速的變頻器的細節(jié)，這些信息往往很難搞到；再如伊朗納坦茲核電廠IR-1離心機的具體技術參數(shù)；以及有助于了解機器構造的共振系統(tǒng)臨界輸入頻率等。⑤伊萬卡?巴爾扎什卡（Ivanka Barzashka），“網絡武器有用嗎？”，《英國皇家三軍研究所期刊》，158/2（2013年4/5月），第48-56頁，第51頁。震網使用零日漏洞的數(shù)量前所未有，約有4-5種，并首次使用針對可編程邏輯控制器（常用來控制工業(yè)機器）的rootkit攻擊。⑥金姆?澤特（Kim Zetter），“數(shù)字偵探是如何發(fā)現(xiàn)史上危害最大的惡意軟件震網的”，《連線》，2011年7月11日。這些特點極大地縮小了目標的范圍。其他一些準備還包括目標偵察和有效載荷測試。震網再一次提供了很好的范例：攻擊改編了復雜的目標系統(tǒng)以獲取動態(tài)效果。這需要提前測試。⑦威廉?布羅德（William Broad）等，“以色列測試蠕蟲被認為在推遲伊朗核計劃中發(fā)揮重要作用”，《紐約時報》，2011年1月15日。測試環(huán)境必須使用IR-1離心機。這些機器很貴且難以獲取。不用說非政府行為者，事實上只有極少數(shù)政府具備測試震網的能力，更何況編寫和部署這一病毒。這進一步縮小了可能性。

計算機攻擊的范圍有變化。對一個目標的多起攻擊可能是相互孤立的；也可能是相互關聯(lián)，共同構成一個更大規(guī)模攻擊行動，針對更多受害者，可能長期持續(xù)并影響更廣泛的區(qū)域。這種多階段打擊行動常常被稱為高級持續(xù)性威脅（APT）。黑客組織從一個行動到另一個行動，常常運用相同的戰(zhàn)術，針對基礎設施和一般目標，因此對某個APT的理解在溯源過程中常常帶來重要啟發(fā)。判斷一系列不同種類的事件是否構成一個APT，取決于方法論。而在安全界，各方所采取的方法大相徑庭。因此，一個公司或一個情報機構對一項攻擊行動的總結可能有差異。①2014年春夏期間，作者在多倫多、倫敦和華盛頓與多名分析家進行交流。

一些攻擊分多個階段。不同階段可能針對不同受害者，這會妨礙對攻擊行動的重建。換句話說，一種攻擊行為可能僅僅是實施更大，更復雜破壞行動的步驟之一。大規(guī)模攻擊的構成會明顯不同，這就使得將這些碎片化信息綜合在一起十分困難。如2011年對安全公司RSA的攻擊是大型攻擊的重要組成部分，且其本身又是一個多階段行動。這種行動損害了RSA出售的、廣泛應用于政府和商業(yè)部門的SecureID系統(tǒng)。據(jù)報道，其后對洛克希德?馬丁公司的入侵正是利用了被破壞的SecureID。②克里斯托弗?德魯（Christopher Drew），“失竊數(shù)據(jù)被追蹤到對洛克希德的攻擊”，《紐約時報》，2011年6月3日。一個更加精心策劃的分段攻擊案例是DigiNotar事件。一個自稱為“Comodohacker”的伊朗黑客首先黑進DigiNotar，一個荷蘭政府所屬的認證授權系統(tǒng)，用于認證網頁服務器。他破壞認證授權后立即頒發(fā)大量假證書，假冒成谷歌和其他網站。這些證書讓他能夠截取近30萬對此毫無察覺的伊朗用戶發(fā)出的加密郵件。③對該事件的詳細描述，可參閱湯姆斯?里德，《網絡戰(zhàn)不會發(fā)生》（牛津/紐約：牛津大學出版社2013年），第26-29頁。

攻擊會發(fā)生演變。隨著時間的推移，一些攻擊會發(fā)生與事先計劃所不同的變化，能提供有關不斷演進的政治與技術現(xiàn)實和目標的線索。震網再一次提供了很好的分析案例。正如控制系統(tǒng)分析專家拉夫?蘭納（Ralph Langner）在分析震網時所指出的那樣，破壞離心機的軟件有不同的變種。④拉夫?朗納(Ralph Langer)，“震網的秘密孿生兄弟”，《外交政策》，2013年11月19日。這些變種的攻擊方式不同，并會在不同時間被釋放。2010年7月主軟件被發(fā)現(xiàn)后，回顧分析揭示，這種開創(chuàng)性攻擊工具的第一版早在2005年11月就已被發(fā)現(xiàn)。最早版本的傳播機制不同，不攜帶任何微軟的零日漏洞，主要針對的是西門子417可編程邏輯控制器（PLCs），后來的版本則對該控制器基本無效。⑤杰夫?麥克唐納（Geoff McDonald），利亞姆?歐默奇（Liam O’Murchu），斯蒂芬?道爾蒂（Stephen Doherty）和埃里克?錢（Eric Chien），《震網0.5：遺漏的關聯(lián)》，第1.0版，賽門鐵克公司，2013年2月26日。這種戰(zhàn)術的變化意味著攻擊者優(yōu)先目標和環(huán)境的變化。

事件的地緣政治背景能夠成為一個警告。事后分析表明，具體事件的地緣政治背景往往是顯而易見的：如2007年在愛沙尼亞或2008年格魯吉亞戰(zhàn)爭期間發(fā)生的DDOS攻擊。⑥羅納德?戴伯特（Ronald J. Deibert），拉法爾?羅霍金斯基（Rafal Rohozinski）和西端雅史（Masashi Crete-Nishihata），“網絡空間的旋風”，《網絡安全》43/1（2012年），第3-24頁。但這些案例可能只是例外。分析一項入侵活動的地緣政治背景要求對特定行為者及其組織所處的具體區(qū)域，歷史和政治知識有所了解。以2012年夏公布的高斯病毒（Gauss）為例，該行動以黎巴嫩金融機構為目標。⑦《“高斯”病毒》，卡巴斯基實驗室，2012年8月9日。觀察者推測其目的在于揭露真主黨的洗錢活動。⑧參閱大衛(wèi)?薩馬（David Shamah），“新病毒可能是美國和以色列對真主黨發(fā)起的數(shù)字空襲”，《以色列時報》，2012年8月13日。那些無人承認的、目的性強的網絡破壞，地緣政治分析尤其能有效鎖定嫌疑目標的數(shù)量。技術人員由于缺乏必要的知識無法進行這種分析。

雇員和承包商代表著一個機構的最強實力，但同時也是最大風險。威瑞森公司（Verizon）于2013年發(fā)布的事故報告證實，內部威脅和失誤是機構面臨的最大風險之一。經確認，在超過1.1萬起事故中，個人被作為優(yōu)先選擇的突破口。①《2014年數(shù)據(jù)破壞調查報告》，威瑞森公司，2014年4月22日，第23頁。損失最大的攻擊之一，即針對沙特阿美石油公司的沙蒙病毒就是由內部人員發(fā)動的。②吉姆?芬克爾（Jim Finkle），“獨家報道：沙特網絡攻擊懷疑是內鬼所為”，路透社，2012年9月7日。少數(shù)幾起已知的針對工控系統(tǒng)的攻擊事件中，內部人員是最常見的因素。如2000年3月澳大利亞皇后島馬奇河（Maroochy）供水系統(tǒng)被破壞事件③吉爾?斯萊（Jill Slay）和邁克爾?米勒（Michael Miller），“從馬奇河供水系統(tǒng)被破壞事件中學到的教訓”，來自E?格茨（E. Goetz）和S?謝諾依（S. Shenoi）（主編）的《關鍵基礎設施保護》，第253卷（馬里蘭州波士頓，斯普林格出版社，2008年），第73-82頁。以及同年發(fā)生在俄羅斯天然氣股份有限公司（Gazprom）的管線事故。④拉夫?朗納，“震網的秘密孿生兄弟”，《外交政策》，2013年11月19日。對震網的詳細討論，可參閱金姆?澤特《倒數(shù)至零日》（紐約：皇冠出版社2014年）。大量控制系統(tǒng)事故都由內部人員造成，即使是那些從未公之于眾的事故。當一項惡意攻擊要求很難獲得的極專業(yè)技能時，雖然不能完全排除外部因素，但要多考慮一下內鬼的可能性。

在戰(zhàn)略層面，領導者和頂級分析家們應致力于綜合行動層獲取的問題答案，形成有意義的結論。當領導者和高級分析者能有效質疑前期分析，查明細節(jié)并找到替代性解釋時，溯源過程的戰(zhàn)略分析才能做到最佳。

網絡攻擊的后果并不都是相同的。其所造成的損失是識別網絡破壞最重要的辨別性特征。相較于現(xiàn)實世界的物理攻擊，網絡攻擊的損害總是難以阻止和衡量。損害往往可分為四類：第一類是直接且迅速的影響，如降低服務器的正常運行時間，影響文檔的可用性、數(shù)據(jù)的完整性甚或是破壞硬件，如上文提到的針對沙特阿美石油的“沙蒙”攻擊。此次攻擊破壞巨大且立竿見影，3萬個工作站同時受到影響。⑤克里斯托弗?布朗克（Christopher Bronk）和埃尼肯?提克（Eneken Tikk），“針對沙特阿美的網絡攻擊”，《生存》雜志55/2（2013年4-5月），第81-96頁。第二類是直接但滯后的影響。震網對伊朗核離心機的操控破壞其構造，使其在相當一段時期內（即使不是幾年也是幾個月）不斷出現(xiàn)機械故障。⑥拉夫?蘭納，“震網的秘密孿生兄弟”，《外交政策》，2013年11月19日。對震網的詳細討論，可參閱金姆?澤特《倒數(shù)至零日》（紐約：皇冠出版社2014年）。第三類是是間接但迅速的影響，如對聲譽的破壞和信心的喪失。如對易趣網的大規(guī)模攻擊，1.45億消費者記錄被破壞。⑦安德烈?彼得森（Andrea Peterson），“數(shù)據(jù)被破壞后，易趣要求1.45億用戶更改密碼”，《華盛頓郵報》，2014年5月21日。第四類是間接且滯后的影響，如知識產權的喪失，一旦被競爭者獲取即可能丟掉市場競爭力。總之，網絡攻擊的后果越不直接和滯后，就越難衡量。

攻擊帶來的后果可揭示攻擊者的意圖，特別是在行動層進行恰當?shù)木C合分析之后。根據(jù)“大拇指原則”（經驗法則），破壞總是試圖將直接影響最大化，無論是公開的還是秘密的。然而信息收集則盡量避免造成直接損害，以躲避監(jiān)測和在未來收集更多的情報。當然，受害目標的種類也能為意圖分析提供線索，因為不同攻擊者會選擇不同的優(yōu)先打擊目標。

設想的后果并不總和實際造成的后果一致，有兩種可能性。第一種，攻擊者意圖明顯，但并未如愿。2012年阿美石油公司遭受攻擊時，管理層推測攻擊者的真實意圖是操縱其石油生產控制系統(tǒng)，但顯然沒有成功。相對應的另一種情況是攻擊切實帶來了損失，但攻擊者本意并非如此。計算機系統(tǒng)是復雜的，攻擊者可能不清楚網絡的布局，他們開展偵察時可能會造成一些無意的破壞。因此，分析者們必須結合其他領域的分析來評估損失。某次導致較小損害的網絡攻擊會是一個警示，很可能是一項未成功的、旨在破壞重要戰(zhàn)略網絡的行動，也可能僅僅是一個偵察活動帶來的無意破壞。

理解網絡攻擊的來龍去脈很難，但十分重要。了解對手的動機和行為有助于避免未來的破壞。這種戰(zhàn)略分析從定義上看是非技術的。比如，它依靠來自行動層基于地緣政治背景下提出的確鑿信息和分析。以此為背景，分析還需要了解其他國家的優(yōu)先選擇，無論這些選擇是商業(yè)性的、軍事性的或經濟性的。所有這些綜合在一起就能分析出網絡攻擊意欲何為。它還能為對手的未來行動提供線索。如果一次意圖明顯的行動失敗了，理解它為什么會失敗以及對方接下來可能會采取什么措施來糾正這一失敗，有助于減少攻擊帶來的破壞，有利于有效應對。

網絡行動是一個不同尋常的新領域，會出現(xiàn)許多“先例”。分析這些先例和預測未來不是一件容易的事：一個新的方法可能是一次性的，也可能是一個趨勢的開始。一些攻擊也許揭示新的可能性，如震網中可編程邏輯控制器組件對工控系統(tǒng)的控制。一些攻擊可能很引人注意但重要性有限，如2012年秋天劫持數(shù)據(jù)中心對美國銀行發(fā)起的分布式拒絕服務攻擊，這是一種新的技術手段，但不具有更強的戰(zhàn)略重要性。①尼科爾?帕爾斯（Nicole Perlroth）和昆廷?哈迪（Quentin Hardy），“官員稱銀行黑客攻擊是伊朗人所為”，《紐約時報》，2013年1月8日。確定一個事件能否構成一個有意義的先例能夠幫助溯源和后期的應對。

驗證溯源過程的結果是重要的。所掌握的證據(jù)和初步結論需要查驗。取證專家能獲取最切實的證據(jù)，如日志文件和代碼。行動分析家根據(jù)其他資源繼續(xù)這一工作。在戰(zhàn)略層，決策者和高級分析人員一道查明來自下層做出的競爭性假設，最終推動整個溯源過程。對分析進行嚴格的測試能暴露經不起推敲的假設，想像的缺乏和思維定式。對附加細節(jié)、替代性解釋的分析與探查，可能需要對整個過程細節(jié)性知識的把握。本文的分析和提出模型意圖促進這種探查。如果事件特別重要，還可選派一支紅隊回顧整個過程，或是對原有團隊的工作進行重審。丘吉爾有句名言：“調查總是正確的?！雹跍厮诡D?丘吉爾（Winston S. Churchill），《暴風前夕：第二次世界大戰(zhàn)》，第1卷（紐約：羅塞塔出版社2002年），第415頁。

第三部分

就溯源結果進行溝通是溯源過程的一部分。面對復雜的場景，高級官員和政治家只掌握溯源過程中的很小一部分，對公眾而言，了解的則更少。信息披露的比例將決定外界（包括政治領導人，技術專家社群和普通大眾）如何知曉一個機構的工作。溯源各過程的特點在很多方面取決于各過程的溝通。情報曝光會損害情報源及情報搜集的方式。是否公開溯源結果難以決定，官員們常常過于謹慎和三緘其口。這么做的原因有很多。然而，對那些深陷秘密文化、不相信直覺的人而言，更多的公開性能帶來三大重要好處：更多的細節(jié)交流意味著可信性、溯源和防御能力的提高。

第一個好處：公布更多細節(jié)將提升信息發(fā)布人和信息本身的可信度。

第二個好處：公布更多細節(jié)將提升溯源本身的質量。當一個案子及其細節(jié)公之于眾時，溯源的質量就可能提高。印象最為深刻的案例也許仍是對震網的多層面和高度創(chuàng)新性綜合分析：不同的公司和研究機構對此惡意軟件進行剖析，形成了大量側重不同方面的極詳細的報告。③要想全面了解，可參閱金姆?澤特，《倒數(shù)至零日》（紐約：皇冠出版社2014年）。溯源市場得到大力發(fā)展：見諸于世的最有用和最詳細的溯源報告由公司而非政府發(fā)布。本文研究中使用的證據(jù)與案例幾乎都來自這些公司報告。情報機構已從事溯源工作幾十年，甚至是幾個世紀。然而它們的工作相對封閉，創(chuàng)新的動力來自秘密而非公開的競爭。要特別指出的是，這種情況的一個結果就是：公開并不意味著整個溯源過程的結束，而僅僅是進入一個新階段。這個新階段反過來又會催生新的證據(jù)和分析，進而要求調整相關的評估和對外行動。

第三個好處也是最重要的好處：公開更多細節(jié)有利于更好地綜合防御。就結果進行溝通并不僅針對個案，而要提升綜合安全。比如，討論某次破壞活動所使用基礎設施的細節(jié)能讓其他網絡管理者采取專門的防御措施。公布惡意程序新的病毒特征也有類似作用，因為他們能被其他管理者下載或加載到自動入侵監(jiān)測系統(tǒng)。即使沒有具體的好處，對攻擊者所用新技術的細節(jié)性討論也能為其他案件的調查者們提供有利信息。按高價提供威脅指標和更好的防御是網絡安全公司的商業(yè)運營模式。政府如何應對這種發(fā)展態(tài)勢無疑是一個公開而重要的問題。

公開結果常常影響攻擊行為本身。隨著更多溯源報告的出現(xiàn)，研究特定攻擊者對意料之外的曝光采取何種反應已成為可能。比如，2014年2月10日，卡巴斯基公布的“面具行動”報告中對西班牙語入侵設置進行了分析，“1小時”后該行動就銷聲匿跡了。①2014年10月8日，作者在巴塞羅那采訪考斯汀?拉伊烏，亞歷克斯?古斯德夫（Aleks Gostev），庫爾特?鮑姆加特納（Kurt Baumgartner），文森特?迪亞茲（Vicente Diaz），伊戈爾?蘇門科夫（Igor Soumenkov），謝爾蓋?密涅瓦（Sergey Mineev）等人。參閱《揭秘“面具”》，第1.0版，卡巴斯基實驗室，2014年2月6日。2012年5月，關于火焰病毒（Flame）的報告公布，侵入者在近2周后停止了行動。②亞歷山大?高斯德夫，《火焰病毒問答》，卡巴斯基實驗室，2012年5月28日。行動消失的方式能提供更多的溯源線索，比如行動的取消是否夠專業(yè)，能否保持高水平的行動安全性。如果行動取消緩慢也許表明該行動的取消需經過大型官僚機構或組織的授權。當Duqu被發(fā)現(xiàn)時，其運行者忘記粉碎文件，這些文件雖然被刪除但可恢復，從而使得行動的許多細節(jié)被揭露出來。③維塔利?卡姆路克（Vitaly Kamluk），“Duqu的秘密之六”，Securelist網站，2011年11月30日?？ò退够嫉膸讉€攻擊行動都是在公布后消失，一些結束的比其他更快，一些結束的比其他更順利：“紅色十月”、“小公爵”（Miniduke）和“冰霧”都在2013年全部消失。④《“紅色十月”外交網絡攻擊調查》，第1.0版，卡巴斯基實驗室，2013年1月14日；考斯汀?拉伊烏，伊戈爾?蘇門科夫，庫爾特?鮑姆加特納和維塔利?卡姆魯克（Vitaly Kamluk），《Miniduke的秘密》，卡巴斯基實驗室，2013年2月25日；《“冰霧”APT》，卡巴斯基實驗室，2013年9月25日。尤其是后兩者，卡巴斯基的報告并沒有確定嫌疑攻擊者甚至沒有指出嫌疑國，攻擊者仍撤退了。最值得注意的是，就在卡巴斯基報告公布前兩周，2012年5月14日，火焰病毒的操控者開始拆除其精心設計的命令控制設施，這表明攻擊的高度復雜，甚至可能是一種預警。⑤10月8日在巴塞羅那與卡巴斯基實驗室人員進行專題討論，2014年10月12日與考斯汀?拉伊烏進行電郵溝通，英國夏令時11：49。

公開交流最終反映出溯源是漸進的而非絕對的。安全公司和政府在操作中應注意一點：使用評估可能性的詞語。情報分析先驅舍曼?肯特（Sherman Kent）于1968年寫道：“在情報機構，正如在其他行當一樣，評估是在你不知所措時應做的事情”。⑥舍曼?肯特（Sherman Kent），“評估與影響”，《情報研究》 12，（1968年夏），第11-21頁。評估性語言是“事實與判斷的混合”。這種事實與判斷的混合特別適用于網絡安全領域。估計是有意以一種易受攻擊的方式進行表達，從而公開接受批評。一份報告對于其知識的有限性和評估的表達越誠實，其整個分析的可信度越高。因為正如肯特所言：“情報評估是接下來最好的事情”。⑦同上。

結論

本文的研究介紹了一個追溯網絡攻擊的系統(tǒng)模型，并提出了三個核心觀點：第一，溯源是一門藝術：沒有單純的技術方法可能程式化、計算、量化或全自動實現(xiàn)溯源，無論這種技術是簡單的還是復雜的。高質量的溯源取決于各種技巧、工具以及組織文化：合作順暢的團隊、能力突出的個人、豐富的經驗以及從一開始就出現(xiàn)的、難以描述的“有問題”的感覺。第二，溯源是一個微妙的、多層次的過程，而非一個能簡單回答的問題。這個過程要求謹慎的管理、培訓和有效的領導。第三，溯源依賴于政治風險。某個事件帶來的后果越嚴重、造成的損失越大，政府在確定攻擊者時可投入的資源和政治資本就會越多。在對某次攻擊所采取的所有響應，包括執(zhí)法、外交或軍事手段中，溯源是最基本的一項工作，即首先需要明確攻擊者是誰。政府決定如何開展溯源，以及溯源到何種程度就足以采取回應行動。

我們對實際溯源的分析引發(fā)了對網絡安全爭論中的一些共識性觀點的懷疑。第一個觀點，包括罪犯、間諜到破壞者在內的攻擊人能夠掩蓋他們的蹤跡，在網上能隱瞞自己的真實身份，進而逃避追蹤。①對這個觀點最好的闡述可能是理查德?克萊頓（Richard Clayton），《網絡空間的匿名和追蹤》，《技術報告》第653卷（劍橋：劍橋大學計算機實驗室2005年）。但溯源不僅僅是可不可能的問題，很久以來它已取得了成功。攻擊者不能假設能掩蓋真實身份制造破壞，而且還能僥幸逃脫處罰。即便溯源問題不能從根本上解決，但它原則上是可以管理的。

第二個迂腐的觀點，互聯(lián)網剝奪了國家的權力而且把這個權力轉移到了非國家行為體、私人機構和罪犯手中，技術使得大家平起平坐。②例如可參閱約瑟夫?奈，《網絡權力》（弗吉尼亞州貝爾沃堡：國防技術信息中心，2010年）。對溯源而言，事情則正相反：只有國家擁有把光圈打開得足夠大、準確追蹤到最復雜行動的能力。2013年美國國家安全局（NSA）、英國政府通訊總部（GCHQ）信息的泄露并未阻止它們，諷刺的是，對那些傾向于高估這些部門能力的局外人來說，曝光反而增強了它們溯源的可靠性。

第三個常見的觀點，工業(yè)化程度最高、彼此聯(lián)系最密切的國家最脆弱，不發(fā)達且不怎么脆弱的國家擁有優(yōu)勢。③例如，邁克爾?麥康奈爾（Michael McConnell），“網絡戰(zhàn)是新的原子時代”，《新觀點季刊》26/3（2009年夏），第72-77頁。溯源再一次反證了這一邏輯：政府的技術能力越強，擁有的人才與技術越多，國家隱藏自身秘密行動、揭發(fā)其他國家及作出響應的能力越大。

本文分析可能挑起的另一個爭論是互聯(lián)網是一個攻方占優(yōu)的領域。④最早的研究可參見約翰?阿奎拉（John Arquilla）和大衛(wèi)?朗斐德(David Ronfeldt)，《網絡戰(zhàn)的到來》（加利福尼亞州圣莫尼卡，蘭德公司，1996年），第94頁；還有國防部《網絡政策報告》，2011年11月，第2頁。持這一觀點的人認為，入侵者相較防御者擁有結構性優(yōu)勢，這一優(yōu)勢根源于互聯(lián)網的技術架構。守方在所有時候都不能做錯，攻方只需做對一次就成功。溯源再一次證明這是錯的：入侵者只需犯一個錯誤，防御者的取證分析就能發(fā)現(xiàn)被遺漏的線索來揭露整個行動。

然而，進一步研究溯源的局限性很關鍵。第一個突出的局限性就與資源、尤其是技術和能力有關。溯源的質量是關于可用資源的函數(shù)。即使國際網絡安全市場快速成長，老道的取證技巧以及復雜行動中的組織經驗仍然稀缺。溯源過程中掌握的資源越少，它的質量就最難以保證。第二個重要的局限性是時間：溯源的質量是可用時間的函數(shù)。即便對最專業(yè)、擁有最好資源的團隊、企業(yè)和部門而言，在有限的時間里分析一次精心設計的行動都是一個重大的挑戰(zhàn)。在一些重大的案子中，當高層決策者不得不在高壓下做出決定時，政治局勢的發(fā)展遠遠快于溯源進展。溯源所能得到的時間越短，其質量也越低。

第三個重要的局限性是敵方的行為：溯源的質量是關于敵方老練程度的函數(shù)?，F(xiàn)已公布的最為令人信服的證據(jù)獲得之前，一些操作人員曾犯過錯誤，或者沒有考慮到使用某些方法可能影響取證。老練的攻擊者往往老謀深算，最大程度地掩蓋并擾亂他們留下的痕跡。這需要運用多種資源來揭露證據(jù)，從而使溯源更困難。但敵人會犯錯誤使溯源看到一線曙光。完美的網絡攻擊就像完美犯罪一樣難以捉摸。然而，敵人越是老練，溯源花費的時間越長也越困難。

未來溯源仍將保持其獨特性。1999年以來，網絡發(fā)生了顯著的變化，但互聯(lián)網本身沒有變化，它根本架構的變化也很緩慢。因此，溯源本身也不會出現(xiàn)太大變化——但是它會以一種自相矛盾的方式在演變。一方面，溯源正在變得更容易。更完善的入侵偵測系統(tǒng)能實時發(fā)現(xiàn)攻擊，能更快地調用更多數(shù)據(jù)。適應性更強的網絡將提高攻擊行動的成本，能消除不確定因素，節(jié)省出資源以更好地識別高級攻擊。網絡犯罪增多，能推動執(zhí)法部門、甚至是不友好國家間執(zhí)法部門的合作，這也能使國對國的間諜行動更難以隱藏，政治成本更高。

但同時溯源也正變得更困難。攻擊者能從被公開的錯誤中汲取教訓。強加密技術使用的增多也給取證制造了更多問題，制約了大規(guī)模數(shù)據(jù)的搜集。過度的夸大和危機將阻礙微妙的溝通。溯源疲勞癥開始出現(xiàn)。事實上，由于沒有出現(xiàn)重大的后果，國家與非國家行為體可能不怎么擔心被抓個正著，一個寬松的后果可以忽略不計的規(guī)則正在出現(xiàn)。諷刺的是，比起公開問責的自由民主政府，非民主國家可能更不擔心被抓。因此，討論也回到文章的起始點：溯源過程是一個技術——政治問題，是由國家決定的，通過投入時間、資源、政治資本以及戰(zhàn)勝敵人的努力。

溯源面臨的核心局限同樣展現(xiàn)了本文的局限。一些最成功的溯源仍然不為人知，被一些國家封鎖。未來，政府部門或安全公司將開發(fā)出更多的工具，或者把這些公諸于世，由此為溯源打開一個新的視角。一些信號情報能力可能已經為溯源提供了更多的可能性：甚至那些很少甚至不犯錯誤的極其高明的敵人理論上也可能被發(fā)現(xiàn)。本文并未得益于公眾并不了解的進展和能力。然而，文章的分析在很長時間內將能自圓其說。自1998年第一次重大的國對國行動“月光迷宮”被揭露以來，溯源最核心的變量始終保持不變。

本文旨在實現(xiàn)兩個目標。第一目標是提高官僚部門工作的質量。時間給高質量的溯源帶來高壓，尤其在利害攸關時。模型是為了確保質量，使溯源更高效和有彈性：我們詳盡的圖表能幫助公共部門和國會的高層領導理解證據(jù)是如何收集的，能夠提出更確切的問題，能夠發(fā)現(xiàn)判斷上的偏差，進而能證實和完善他們的觀點。與此同時，模型使得各層級的分析人員能夠在復雜的政治背景下各司其職。第二個目標是：提高公共討論的質量。讓人失望的是，較大范圍的網絡安全辯論質量不高。這包括在世界一流的新聞媒體中有關的技術報道。政治科學和國際關系學者的論述顯然都受到源自技術細節(jié)及其局限性的影響。我們希望Q模型將有助于提高大家討論的水平。

G20

：A