楔子：”Are you eating your own dog food?”

当我们谈论主动网络防御（ACD，Active Cyber Defence）时，一定会想主动防御在真实背景下是否有实践可供参考？本文，让我们一些学习一下真实存在的ACD：英国主动网络防御计划。

本文的分析完全根据公开资料进行，接下来，让我们一起看看英国的主动网络防御计划的一些关键发现。

一、简述&背景

英国ACD于2016年在国家网络安全中心（NCSC，National Cyber Security Centre）的支持下展开，从公共事业群开始，目前已经推广到企业、组织和个人领域。NCSC官员表示网络空间安全对公共、人身安全，甚至是国家安全影响巨大，网络攻击与物理世界的交叉随时可能发生。NCSC 称自己在ACD计划中的角色主要是咨询，帮助组织部署 ACD，并提供技术本身，并且该计划是纯防御性的，并未暗示“反击”或其他可能导致升级或报复的行动。然而，其他资料显示英国表示拥有并愿意使用“进攻性”网络能力，这种能力包含在NOCP中（ National Offensive Cyber Programme），开发“专门的网络空间反击能力”，不属于 ACD 计划的一部分。

未来，ACD可能会被英国以网络安全战略的名义采取“公共产品”的逻辑加以构建和发展。自ACD计划实施以来，一些英国公共组织和企业对ACD知识和经验的能力和最佳实践框架做出了贡献，评估报告称ACD计划对改善英国国家网络安全起到了重要作用。

二、主要活动构成

英国ACD 自动响应包括网络钓鱼在内的许多不同类型的攻击，以下是ACD四个主要活动：

• 下线仿冒攻击（Take Down）：要求托管服务提供商下线冒充英国政府和其他人的网站和内容；
• 邮件来源检查： 利用邮件地址检查能力，使犯罪分子更难分发看似来自可信来源（例如政府机构）的电子邮件；
• 网络健康检查： 帮助网站所有者检查常见的安全问题；
• 阻止不良网站： 阻止用户访问不良网站，例如已知的分发恶意软件的网站。

据官方的报告： Takedown Service 将英国在全球网络钓鱼攻击中的份额减少了一半以上，降至 2.4%，移除了近 140,000 个英国托管的网络钓鱼站点，另外还有 14,000 多个冒充英国政府的网站； 每月平均阻止近 11,000 个恶意域，使其网络用户无法使用这些域； 网络健康检查确定了其用户数字资产中的 2,300 多个紧急问题，使其得以及时修复。数据还显示，用户对这些服务的接受度明显增强。

三、ACD五原则

英国ACD有五个基本原则：

‘eat your own dog food’（吃你自己的狗粮）原则：即NCSC需要将推行的建议进行实践化，起到典范作用；

自动化原则：将ACD 组件的日常操作尽可能多地自动化；（笔者按：其自动化的核心组件包括一个多区威胁情报中心）

直接干预原则：如果市场无法提供足够的网络安全解决方案，英国政府将采取直接行动；

透明报告原则：其公共咨询职能要求尽可能保持透明度，以提高网络安全意识和质量；通过开放 ACD 以接受“审查和挑战”，特别是来自互联网服务提供商 (ISP) 和关键基础设施所有者运营商的审查和挑战；

合作伙伴原则：向一系列合作伙伴提供数据，并接收来自私人供应商的威胁情报源。

四、技术层面

英国的ACD计划主要是为了解决“一般攻击”问题，即日常困扰网络、系统和用户的大量相对简单的恶意软件（malware），以及多种形式的凭据盗窃、帐户劫持等。“一般攻击”通常使用现成的工具和技术进行，并且这些工具和技术通常是网络防御者众所周知的，因此也更加容易进行自动化防御。由此可知，ACD计划主要用于减少足够的噪音，使防御者有足够时间和资源应对那些非常有针对性的攻击。

防火墙、入侵检测/保护系统、反病毒、反垃圾邮件和反网络钓鱼程序等构成了ACD的基础部分。然而，互联网随着时间的推移，一直在发生变化，因此，ACD 也需要随之改变。犯罪分子可能会使用人工智能 (AI) 和机器学习 (ML) 来克服反措施和防御，所以NCSC也在ACD计划中加强机器学习和人工智能的投入，包括：对机器学习算法生成的分类进行合理解释；针对训练数据投毒相关问题，以及数据密集型计算环境中可能出现的其他不良行为等。

五、写在最后

虽然英国通过部署ACD对防范网络犯罪和网络威胁起到很大作用，获得了明显可见的经济利益，为ACD的应用提供了实践参考依据。但是，众所周知，主动网络防御并不完美，它不是一个单一的实体，可以进行简单的一次性部署来获得，它有许多活动部分，未来的发展将需要更加敏捷化、智能化，以应对不断变化的社会和技术环境。

附录：英国2021 ACD计划执行数据摘录

1. Comparative overall annual takedowns, 2019-2020

• Top 10 most targeted brands of UK government-themed phishing attacks, 2020

• Brand agnostic UK-hosted attacks by type, 2020