你被人欺负了，第一反应可能是还手，那在网络世界中，被攻击的受害者能够采取同样的反制措施吗？

答案是否定的。目前绝大多数国家尚未制定相关法律，来支持企业或组织对黑客发起反击。“禁止任何人在未获得授权的情况下侵入别人的电脑”几乎是所有国家法律的共识，这意味着，反击黑客就如同黑客入侵一样，同样是违法行为。换句话说，你可以关门，但不能去开别人家的门，不论门后面是否藏着犯罪组织。

听起来是不是很玄幻？现实生活中，只要手续合法，警察可以选择破门而入抓捕犯罪分子，但是网络空间却万万不行。“顺着网线去抓你”实现的难点在于合法性，而非技术性。

或许正因为攻防处于不对称的地位，导致全球网络攻击愈演愈烈。仅2022年一年，全球网络攻击数量就增长了38%，造成大量业务损失，其中包括财务和声誉损失。勒索攻击更是如此。

深信服发布《2022年勒索软件态势分析报告》指出，随着RaaS(勒索软件即服务)模式的日渐成熟，勒索攻击的门槛越来越低,越来越多的无技术者均可以加入到勒索攻击行业中，并且攻击成功的概率越来越高,数据能够通过分析解密还原的情况越来越少。攻击者不再单纯加密数据，更多的勒索攻击开始窃取受害者敏感数据，挂到自己的“官网”上进行双重勒索，获得更大的收益。

随着近年来网络攻击越发猖獗，反击黑客合法化的呼声日益强烈。近期，深受网络攻击困扰的澳大利亚宣布将通过政府层面的举措，对以该国组织为攻击目标的黑客进行反击，引发了行业担忧，这一做法究竟是能真正打击并震慑黑客，还是给网络空间带来更多风险和混乱？

向黑客宣战

2022年11月12日，澳大利亚总理安东尼·阿尔巴内斯宣布了澳大利亚联邦警察和澳大利亚信号局的联合倡议，该倡议提出要“调查、瞄准和破坏网络犯罪集团，并优先针对勒索软件威胁团体”。

澳大利亚政府之所以做出如此决定，很大程度上与针对该国的两次重大网络攻击事件有关。2022年9月，澳大利亚电信巨头Optus因为勒索攻击暴露了近1000万用户的敏感数据，并被勒索100万美元赎金；而仅仅一个月后，又有黑客攻击了澳大利亚健康保险公司Medibank，其所有390万用户的数据都遭到了泄露。据统计，两起事件受影响的人数超过了澳大利亚总人口的三分之一，造成了严重的社会影响，尤其是在Medibank拒绝支付要求的1000万美元赎金后，黑客泄露了包括堕胎记录在内的医疗记录，引发了社会的强烈愤怒和担忧。

如此看来，对黑客进行反击是在一定程度上顺应澳大利亚国内民意的行为，政府将优先考虑那些对国家利益构成重大威胁的黑客组织。根据英国《卫报》援引澳大利亚内政和网络安全部长克莱尔·奥尼尔的表述，她将日复一日、坚定不移地追捕那些发起攻击事件的“人渣”，国家会派最聪明、最顽强的人去入侵黑客。

澳大利亚内政和网络安全部长克莱尔·奥尼尔

伴随着澳方的强硬态度，一系列新举措正随之而来，但目前还不清楚政府到底会在多大程度上超越常规措施来发起反制，特别是来自其管辖范围之外的网络威胁。Bugcrow创始人兼首席技术官凯西·埃利斯表示，尽管网络犯罪集团经常处于“有罪不罚”的地步，但也很容易受到执法行动的干扰，并认为积极主动出击是可行的，就像Cont和REvil等勒索软件组织被执法部门打击取缔一样，而澳大利亚的做法就是旨在采取更加严厉的措施。

反黑客为何要谨慎行事？

正如本文开头所述，真正的反黑客行为在一些国家很难付诸实施，因为没有法律为这种反击提供支持。比如美国立法者曾经试图几次通过相关法案，为反击网络攻击者的组织提供一些法律支持，但都以失败告终。

毕竟，如果说两人打架，一人还手，被还击的对象铁定就是目标清晰的另一个人，但网络攻击不同。“一般来说，真正确定攻击的来源非常困难，”Rapid首席研究员埃里克加林金说道。这意味着网络攻击者可以利用多个肉机作为跳板进行分布式攻击。换句话说，攻击者善于利用受害者来攻击其它受害者，而当受害者进行反击时，实际上是在针对另外未知的无辜人员。虽然国际间已有捣毁如Conti 和 REvil在内的勒索软件组织的成功案例，但这类专项行动往往需要专业团队付出数月的调查及分析，在高度精确锁定目标后才开展行动。如果这类权力得到下放，默许民间团体采取草率或更激进措施反制，其滥用导致的后果将可想而知。

这其中还涉及到双方究竟谁才是第一个出手的人。一个比较典型的例子是2017年美国《主动网络防御确定性法案》（ACDC），该法案中的某项条款称“只要是以‘主动防御’的情形对另一实体进行黑客攻击，就可以免于承担法律责任。”也就是说，在ACDC法案下，公司和个人将能够使用“主动防御”来识别、破坏甚至销毁他们被盗的数据。该法案一经提出就遭到共和党、科技界乃至立法界诸多人士的反对，比如 “主动防御”很难用某种特定或清晰的情况进行解释，即如何确定到底谁采取了第一个攻击行动，因而存在被滥用的风险。比如闯入某嫌疑人电脑，确认系统中是否存有被盗的账户密码，这些密码能用来进行未授权的访问。如果这类行为被证实为误判，轻则容易构成涉嫌侵犯隐私、危害他人信息安全，如果是由国家授权的针对他国的行为，则会引发国际事件。

美国共和党众议员汤姆·格雷夫斯极力反对 ACDC 法案

而在2021年，另一项名为《网络攻击响应选项研究法》的法案要求美国国土安全部评估并修订现行的《计算机滥用法》，为反击黑客的攻击者谋取适当规则和好处，但这项法案也在争议中付之东流。

安全防御大趋势——从“守”到“攻”

毫无疑问，近来澳大利亚网络安全战略正处在不断变革的过程之中， 2022年4月，澳大利亚宣布要制定一项为未来10年“铺路”的数据安全框架，计划累计投资超90亿澳元进一步建设国家网络安全。虽然到目前为止澳大利亚接连遭受了多次重大网络攻击，但在总体框架下，从“守”到“攻”的趋势越发明显。

战略升级：强化攻击本色

2022 年 8 月 31 日，澳大利亚国防部正式发布该国第一份专门的国防网络安全战略——《国防网络安全战略》（2022），概述了未来10年加强网络安全能力的计划措施。该战略被认为是自《2016 年国防战略白皮书》《2020 年国防战略更新》以来的进一步升级，对网络安全的重视程度正逐渐加强。在2016年版战略中，对网络安全还仅仅是当做一种对国防安全的新型威胁，而在2022年版战略中，已经将网络安全置于完成国防使命所需的必要条件的高度，并视为未来冲突的可能前兆和关键因素，是澳大利亚成功或失败的决定性因素。

在网络进攻能力建设方面，2016年版战略主要强调情报、监视、侦察等防御体系建设，而2022年版战略开始加强对进攻性网络能力的建设，以提高威慑力，推动国防转型。战略提出，将支持塑造威慑和应对的能力，通过制定标准和加强工业伙伴关系来塑造网络安全环境，通过提高对手活动的可见性来提高威慑能力，通过加强网络安全态势监测和限制对手网络活动来强化应对能力。

全面改革：力图实现所谓2030愿景

据美国广播公司今年2月的报道，澳大利亚将全面改革前政府制定的 17 亿美元网络安全计划，这项改革源自2022年12月8日宣布制定的2023-2030年澳大利亚网络安全战略，致力于在2030年让澳大利亚成为网络最安全的国家。根据公开的讨论文件，政府为应对数据泄露时面临的网络安全挑战，致力于与业界合作，建立一个全国一致的网络安全框架。政府还宣布将任命一名国家网络安全协调员“确保以中央协调的方式”处理政府的网络安全责任。

讨论还涉及是否需要进一步修改《2018年关键基础设施安全法》（SOCI法案），根据该法，政府拥有“最后介入”的权力，可以应对与关键基础设施领域、关键基础设施资产相关的严重网络安全事件。但奥尼尔认为这些权力目前过于有限且定义非常狭窄，并没有实际的协助作用。在接受美国广播公司采访时，奥尼尔甚至表示“（现在）这条法律根本没用，当它真正用于网络事件时，它根本不值得被印在纸上”。可以预见，改革将提升政府在面对安全事件时的干预能力，尤其是在重大网络事件发生后进行的事后审查和后果管理方面。在Optus和Medibank两起重大数据泄露事件发生后，政府就开始考虑禁止向受害企业向攻击者支付赎金，如果违规支付赎金将被视为违法行为。

角色转换：在合作中谋求独立

澳大利亚在网络威胁防御体系方面一贯重度依赖美英等国，从最早的五眼联盟到2022年由拜登政府提出的印太战略都参与其中。但澳大利亚已经开始试图提升应对网络安全风险的独立性与自主性。比如2022年版战略中曾提到“国防部如何应对网络威胁并确保其能力免受对手的攻击，需要整个国防系统的一致和协调努力，从澳大利亚国防军（ADF）和澳大利亚公共服务人员（APS）到国防的行业合作伙伴和供应链。这个系统的每个部分都在确保网络安全方面发挥作用。需要整合国防供应链和加强国防供应链上的自主性，来确保国防网络安全。”

在国际合作型事务中，澳大利亚也正谋求从参与者角色转向自主领导型角色的转变。2023年1月27日，由澳大利亚担当首任主席国，包括美国、英国、法国、德国等36个成员国在内的的国际反勒索软件工作组正式开始运作，旨在破坏、打击和防御日益增加的勒索软件威胁。

随着网络威胁对澳大利亚造成的持续创伤，这个地广人稀的南半球大国正试图对黑客亮出自己的铁腕姿态，至于有多铁，是否会使国际网络环境变得更为复杂严峻，还有待观察它在反击之路上如何走出下一步。