Google經歷APT攻擊後的安全防護思考

以下內容改編自全球事務總裁肯特沃克在2022年7 月19 日舉行的2022 年網路安全國際會議上的講話。

感謝您有機會參與這次有關網路安全的重要對話。

在Google，我們很自豪地說，我們比世界上任何其他人都讓更多的人保持線上安全。但情況並非總是如此。

因此，讓我先告訴你一個關於我們如何做錯的故事，以及我們都可以從那次經歷中學到的兩件事。我爸總是告訴我，從別人的錯誤中學習是最便宜的。所以讓我告訴你我們的一個。

你們中的一些人可能還記得，在2009 年末，谷歌是一次重大網路安全攻擊的受害者，代號為 Operation Aurora。

長期以來，我們擁有世界上受攻擊最嚴重的網站。但奧羅拉很特別。

Aurora 是由中國政府發動的攻擊，是一起導致Google智慧財產權被盜的重大安全事件。

但極光不僅僅是任何安全事件。這不僅僅是針對谷歌。

作為我們調查的一部分，我們發現其他幾家知名公司也受到了類似的攻擊。其他公司要么沒有發現這些攻擊，要么不想披露它們。當我是一名專門從事技術犯罪的聯邦檢察官時，我們遇到的最大挑戰之一是讓公司上市，甚至向當局求助。

因此，我們認為談論這次攻擊很重要——向全世界介紹它的影響、駭客的方法以及面臨風險的部門。

我們與美國政府合作分享威脅媒介和漏洞。

我們並沒有就此止步：在Aurora 之後，我們成立了一個名為Project Zero的整個團隊，以發現並及時披露我們自己和其他公司軟體中以前未被發現的零日漏洞，從而提高每個人的安全標準。

如今，Google 的威脅分析小組(TAG) 致力於應對一系列持續存在的威脅，從政府支持的攻擊者到商業監控供應商再到犯罪分子。 TAG 定期公開披露外國攻擊者的攻擊，包括進行艱鉅的歸因工作。

所以我想說，Aurora 攻擊的第一個持久教訓是需要將開放性和透明度融入網路安全回應的結構中。這並不總是舒適的工作——在此過程中，我們不得不與合作夥伴和我們自己的團隊進行一些艱難的對話——但有必要推動行業向前發展並確保快速修復錯誤，然後才能在野外利用它們.

在隨後的幾年中，我們制定了一些原則，以確保我們能夠負責任地、透明地和有幫助地與公眾、我們的合作夥伴和執法部門分享有關漏洞、網路攻擊（例如對選舉的攻擊）和虛假宣傳活動的知識.

反過來，美國政府也建立了自己的流程，以促進與行業合作夥伴的更多資訊共享，以加快保護我們所有人的修補程式。

但透明度的價值並不是讓我提出Aurora 故事的唯一原因。

Aurora 不僅教會了我們擁抱透明度的必要性，還教會了我們第二個，甚至更重要的一課：在安全架構方面什麼有效，什麼無效。

僅對資訊共享進行過度索引是可能的。

在某些方面，關注軟體安全的基礎對於將我們所有人提高到我們今天看到的不安全水平之上更為重要。

我們策劃和使用威脅情報來保護數十億用戶——並且已經這樣做了一段時間。但您需要的不僅僅是智能，而且您需要的不僅僅是安全產品——您需要安全產品。

必須內建安全性，而不僅僅是固定。

Aurora 向我們展示了我們（以及業內許多人）在網路安全方面的做法是錯誤的。

那時的安全通常是「外面脆，中間有嚼勁」。非常適合糖果棒，但對於防止攻擊不太好。我們正在建造高牆以將不良演員拒之門外，但如果他們越過這些牆，他們就有了廣闊的內部通道。

這次攻擊幫助我們認識到我們的方法需要改變——我們需要在設計上加倍提高安全性。

我們需要一個面向未來的網絡，它反映了互聯網的開放性、靈活性和互通性，以及人們和組織已經越來越多地工作的方式。

簡而言之，我們知道我們必須重新設計雲端的安全性。

因此，我們發起了一項名為BeyondCorp的內部計劃，該計劃開創了零信任和深度防禦的概念，並允許每位員工在不使用VPN 的情況下在不受信任的網路上工作。今天，世界各地的組織都在採用同樣的方法，將存取控制從網路邊界轉移到個人和資料。

如果您快轉到今天的混合雲環境，零信任是必須的。

零信任的核心是安全沒有明確邊界的想法。它與用戶和數據一起旅行。例如，隨著政府推動政府系統的多因素身份驗證，我們會自動為用戶註冊兩步驟驗證，以便在他們登入我們的產品時點擊手機確認確實是他們。

實際上，這意味著員工可以在世界任何地方工作，透過網路存取最敏感的內部服務和數據，而不會犧牲安全性。這也意味著，如果攻擊者碰巧突破了防禦，他們就無法全權存取內部資料和服務。

公司、組織或政府為防禦網路攻擊所能做的最有影響力的事情就是升級他們的傳統架構。

總是很容易嗎？不，但是當您考慮到具有數百萬行專有程式碼的遺留架構具有數以千計的錯誤，每個錯誤都是潛在的漏洞時，這是值得的。

除了更換現有管道之外， 我們還需要考慮下一個挑戰，並部署最新的工具。

就像世界競相升級加密以應對量子解密的威脅一樣，我們需要投資尖端技術，以幫助我們在日益複雜的威脅面前保持領先。

好消息是網路安全工具正在迅速發展，從人工智慧功能到高階密碼學，再到量子運算。

如果今天我們談論設計的安全性，那麼接下來是透過創新來實現安全性——在設計時考慮到人工智慧和機器學習的安全性——旨在使用新工具來對抗不良行為者，以逃避過濾器、侵入加密通訊並產生客製化的網路釣魚電子郵件。

我們有一些業內最好的AI 工作，我們正在測試新方法並使用我們的一些領先的AI 工具來大規模檢測惡意軟體和網路釣魚。人工智慧使我們能夠更快地發現更多威脅，同時減少人為錯誤。人工智慧、圖挖掘和預測分析可以顯著提高我們識別和阻止網路釣魚、惡意軟體、濫用應用程式和惡意網站程式碼的能力。

我們期待分享更多我們的發現，以便組織和政府做好準備。畢竟，現在不是鎖定學習或成功技術的時候。不良行為者不僅在尋找利用您未知漏洞的方法。就像Hafnium 和SolarWinds 一樣，他們正在尋找安全鏈中的薄弱環節，讓他們從一次攻擊跳到另一次攻擊。組織的漏洞可能會對整個產業和基礎設施造成損害。

網路安全是一項團隊運動，我們都需要一起變得更好，不僅在安全社區內部，而且在國家安全社區與學術界和矽谷之間建立橋樑。

從一個故事開始，讓我告訴你們另一個故事——網路安全和俄羅斯在烏克蘭的戰爭。

自Aurora 以來，我們的方法已經發生了很大變化。也許沒有比我們對烏克蘭戰爭的反應更能說明這種轉變的例子了。

俄羅斯的入侵引發的，不僅是一場軍事和經濟戰，還有一場網路戰和資訊戰。最近幾個月，我們目睹了越來越多的威脅行為者——國家行為者和犯罪網絡——利用戰爭作為網路釣魚和惡意軟體活動的誘餌，開始從事間諜活動，並試圖散佈虛假資訊。

但這一次，我們準備好了現代化的基礎設施和監控和回應威脅發生的流程。

我們已經向外國行為者針對的用戶發送了數千條警告——這是我們在Aurora 之後開創的做法。在絕大多數情況下，我們已經阻止了攻擊。

我們啟動了Project Shield，不僅將記者，而且將烏克蘭的易受攻擊的網站置於Google 的安全保護傘之下，以抵禦DDOS 攻擊。雖然您可以對小型網站進行DDOS，但事實證明，對Google 進行DDOS 非常困難。我們中斷了來自白俄羅斯的演員Ghostwriter 的網路釣魚活動。我們也幫助烏克蘭政府對其網路基礎設施進行了現代化改造，以幫助加強其抵禦攻擊的能力。

我們很自豪我們是第一家獲得烏克蘭政府特別和平獎以表彰這些努力的公司。

但這項工作還遠遠未完成。

即使是現在，我們也看到有報導稱，克里姆林宮可能正計劃在東歐及其他地區加強攻擊並協調虛假宣傳活動，以試圖分裂和破壞西方對烏克蘭的支持。事實上，就在今天，我們的TAG 團隊發布了一份關於與俄羅斯聯邦安全局、FSB 和威脅行為者有關的威脅組織的活動的新報告，該組織使用網路釣魚電子郵件針對政府和國防官員、政治家、非政府組織、智庫和記者。

而且，放眼俄羅斯和烏克蘭之外，我們看到來自伊朗、中國和北韓的威脅不斷增加。

Google 是一家引以為傲的美國公司，致力於捍衛民主以及全世界人民的安全和保障。

我們相信網路安全是我們面臨的最重要的問題之一。

這就是為什麼我們在未來五年投資100 億美元來加強網路安全，包括擴大零信任計畫、幫助保護軟體供應鏈以及增強開源安全性。

這就是為什麼我們剛剛創建了一個新部門——谷歌公共部門——專注於支持與美國政府的合作。這就是為什麼我們總是對與公共部門建立新的合作夥伴關係和專案持開放態度。

近年來，我們與FBI 的外國影響特別工作小組合作，以識別和對抗針對美國的外國影響行動。我們與NSA 的網路安全合作中心合作。我們加入了聯合網路防禦協作組織，以幫助保護關鍵基礎設施並改善對全國範圍內事件的集體回應。

讓我們的整個數位經濟處於領先地位至關重要。並且取得了一些令人鼓舞的進展。例如，我們很高興看到上週網路安全審查委員會報告深入調查了log4j 漏洞並就如何改善生態系統提出了重要建議。

我們需要更多。

展望未來，我們防止網路攻擊的集體能力將不僅來自透明度，還來自於加強我們防禦的承諾——擺脫傳統技術、實現基礎設施現代化以及投資尖端工具來發現和阻止未來的挑戰.

我們無法用昨天的工具來戰勝明天的威脅。我們需要集體行動來加強我們的數位防禦。但是透過利用美國的集體能力和優勢，我們可以為我們所有人實現更高水準的集體安全。

謝謝你。