2018年1月30日至2月2日,北约合作网络防御卓越中心(简称CCD COE) 在拉脱维亚举行“2018十字剑”(Crossed Swords 2018)演习。这场演习覆盖了多个地理区域,关键信息基础设施提供商和军事单位等参与其中,此次演习拓宽了演习范围,并增加了复杂性。这场演习将关键信息基础设施(CII)提供商和军事单位联合起来,重点在于加强民用和军事领域之间的合作与信息共享。这是北约第一次在不同的地理位置同时进行多项动能和网络作战,来自15个国家的80名多人参加这场演习。
这场演习选择在民用基础设施提供商(如电话和电力公司)的计算机网络上进行,旨在模拟针对强化军事系统的攻击。CCD COE 技术演习项目经理阿勒·雷托恩表示,CCD COE 希望模拟真实的网络作战环境,其中军事和民用网络相互依赖。此外,法律问题在这场演习中也许占有2%的比重。
2018年有15个北约和欧盟成员国的网络官员参与这场演习,并得到了拉脱维亚移动电信提供商 LMT(一家构建并维护电网基础设施的公司) 和其它私营关键基础设施服务提供商的帮助。专家表示,这一点至关重要,因为这些公司的网络和军事网络运营者熟悉的环境截然不同。
美国卡内基梅隆大学软件工程院 CERT 部门建模/模拟和演习技术经理约翰·雅格尔解释称,在现实生活中,网络战士在常规演习中用来锻炼防御能力的强化军事网络与相对较脆弱的民用基础设施存在联系。因此,民用基础设施提供商参与规划和设计能使演习实现更高程度的真实性。
打开“黑匣子”
这场演习为军事网络专家提供机会,以熟悉涉及民用的关键基础设施(移动通信、电力)提供商的计算机网络。
专家表示,访问或控制这些公司的网络会为黑客提供极佳的后门,用于渗透强化的军事 IT 系统,让网络防御者在不熟悉的领域焦头烂额。军事专家不熟悉这些民用网络实属正常,但他们要依赖此类系统,这是一个 “黑匣子”问题。
这场演习旨在测试军方对网络威胁(涉及这些民用网络)的响应能力,从而打开“黑匣子”。演习的目标是让参与者了解重要服务器提供商的网络运作方式。
在演习中,当攻击者通过民用服务提供商黑进军方网络,参与者会通过这些民用网络追踪在线攻击者,之后将部队派往邻国,对遭受黑客攻击的数据中心服务器进行物理恢复。这些行为引发了一系列潜在的法律问题。雅格尔表示,由于是民主国家,关键基础设施不由军方控制,它们依赖于这些民用企业,因此他认为与民用基础设施提供商合作是明智之举。
环环相扣
该演习模拟了一个虚构国的网络攻击,“攻击者”通过虚构国的电力与电信提供商攻击一个主要军事基地。雷托恩表示,参与者必须分析网络中发生的情况。在这起攻击中,参与者发现一个“逻辑炸弹”,“爆炸”的设定时间不到48小时,这将使该虚构国的国防系统陷入瘫痪。这是对手的战略目标:通过民用基础设施完成目标的同时,也能对该国的军方的络防御系统构成影响。
这起针对军事基地网络的攻击一旦被发现,演习参与者就会进入事件响应模式,力图确认攻击范围,并试图追踪攻击源头。他们必须探究多个问题,比如,攻击是否扩散到其它网络?是否能追踪到开发者?是否有可能在友好网络范围内进行平息或必须在对手网络中采取行动?此后,参与者开始跟踪攻击者,一步步通过每个网络追踪对手,力图识别用于发动攻击的的基础设施,以及隐藏在背后的控制系统。
这场演习使用无人机识别并定位移动设备等目标。拉脱维亚计算机应急响应小组 CERT.LV 的网络安全专家伯恩哈德·布卢姆伯格表示,网络空间的行动,无论规模大小,只有通过某种形式的连接才能得以实现。雷托恩表示,希望通过演习展现不同军事领域之间以及军事和民用网络之间的相互依赖关系。
注重合法问题
这场演习的场景中,敌方的基础设施位于国际边界的数据中心。雷托恩表示,如果不可能通过虚拟手段完成任务目标,那么可能需要派人员拿到服务器进行取证分析。演习有法律顾问参与其中,任何响应行动必须遵守国际法。该演习的重点在于测试并操练网络防御者在真实攻击中会用到的必要技术技能和工具。
这场演习旨在训练“红队”(Red Team,充当攻击者角色的专家)。攻击者被分成三组,分别负责攻击客户端设备、面向 Web 的应用程序和网络。他们有必要知道攻击模拟目标网络的正确工具和技术。
CCD COE 发言人 Kadri Kütt 表示,“红队”将利用其在“十字剑”演习中学到的经验为2018年4月将举行的“锁盾”(Locked Shields)演习开发攻击环境。这名发言人将“锁盾”称为全球最大、最复杂的国际网络防御演习。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
