预见与准备：CISO在地缘冲突中的网络攻击应对策略

关键要点

在应对像以色列和哈马斯战争这样地缘政治冲突导致的网络攻击时，首席信息安全官CISO可以通过了解威胁行为者的动机和目标来进行预防和准备。近年来的冲突表明，私营部门和民间社会组织越来越有可能被卷入这些危机之中，因而需要有效管理风险和暴露。

来源：ioat/Shutterstock

随着俄罗斯入侵乌克兰和哈马斯最近对以色列的袭击，这些地缘政治危机带来了不断变化的网络安全格局。在乌克兰，俄罗斯的早期数字行动不仅针对政府目标，还袭击了卫星运营商、媒体公司以及制造业。近两年来，战争的网络维度涉及到数十个民间和国家支持的黑客实体，而攻击范围则覆盖了双方公民社会的各个方面。以色列哈马斯冲突中，数十个支持哈马斯和伊朗的威胁行为者已经袭击了新闻机构、商业零售商和社交媒体公司等多样化目标。

这种将私营部门和民间社会组织卷入危机的趋势可能会持续。在任何与台湾相关、朝鲜半岛或与伊朗其他利益相关的冲突中，参与的范围无疑会包括私营部门的攻击，作为施加压力的一种手段，超出了直接的外交或军事争端。

对于希望有效管理风险和暴露的网络安全团队来说，仅意识到被卷入地缘政治泥潭的风险并不足够。在近期围绕乌克兰、以色列或纳戈尔诺卡拉巴赫的危机中，攻击私营和民间社会实体的行为常常显得反直觉、支离破碎，甚至完全任意。究竟是什么因素决定了水务公司被攻击的可能性高于媒体组织或大学？在危机期间，安全团队何时应采取更积极的举措，而不仅仅是提高整体警戒级别？

将危机黑客行为的实用性与组织的风险概况联系起来的框架，有助于更好地评估情境风险。某些实体由于其产品服务对象而变得脆弱；而另一些则因为更大的象征性责任而受到威胁。对商业企业的看似任意攻击实际上通常并非随机，而是出于便利性，威胁行为者选择那些已具备一定认知的受害者。如今的网络安全准备工作需要与地缘政治的敏感性相匹配，以顺应基础设施和市场视角，这通常会主导数字安全规划。

地缘政治危机：企业和民间社会参与者何时会成为攻击目标？

理解在地缘政治危机中企业和民间组织风险的关键在于了解交战方的操作和战略利益。地缘政治攻击通常分为四类：削弱、表演、信号和聚集攻击。

削弱攻击

一些私营企业在冲突中被黑客攻击，因为它们与交战方的行动紧密相关。从战略上讲，这类攻击纯粹是出于削弱目的，对于风险管理者来说，这通常是最简单的情境。这通常涉及被称为半国家的行为者，这些行为者直支持交战方的能力。例如，俄罗斯在2022年2月通过攻击Viasat来削弱乌克兰国家安全能力的尝试，就是明确的例证。

表演攻击

安全团队最为熟悉的溢出攻击