网络肉搏：美军网络保护团队的工作方式

编者按

在近期SolarWinds黑客攻击事件后，美国网络司令部已部署网络团队来检查军事网络是否遭受入侵，截止目前未发现任何国防部网络遭入侵的证据。

美国防部拥有68支“网络保护团队”（CPTs），构成了美军网络部队的主体。网络保护团队是美军的防御前线，但主要是作为响应力量，直到敌方入侵网络时才参与其中。每支团队有39名成员，但成员都部署在较小的单位中以传播专业知识，并通过积极行动、重组和培训进行轮换。

网络专家曝光称，发生网络入侵时，CPT将携带专门的工具包前往问题现场，包括笔记本电脑、小型服务器、无源和有源传感器、分析设备和软件工具；将与运行网络的本地IT员工合作，以了解特定网络日常运营的独特情况；将帮助寻找恶意活动，消除所有继续驻留的入侵者，并向本地人员提供如何重建更强大网络防御的建议。

如发现行动者仍然在网络上，CPT将通过更改凭证和阻止后门之类访问的方法来清除黑客，然后确定行动者获得了哪些信息。CPT可能必须在网络内建立精心的防御，设置封锁来干扰对手并将其逼入网络的某些部分，从而提高其探查黑客活动或直接与黑客对抗的能力。

CPT第一步行动可能是控制攻击媒介，确定哪些机器或网段运行恶意软件，然后优先搜寻网络中最重要和最敏感的资产或部分。CPT成员需要是老练的“网络猎手”，因为高端行动者会使用各方手段掩盖其活动痕迹。成员必须了解内部和外部网络进程，包括正在运行的服务器和正在运行这些进程的系统级别。CPT需仔细地寻找最细微的异常行为，尝试通过更改凭据和密码来锁定行动者，这是一个艰苦的过程，需要检查网络的各个角落、所有合法用户和凭证。

奇安网情局编译有关情况，供读者参考。

当黑客突破五角大楼的网络防御系统时，精英的威胁狩猎团队的工作就是要查找入侵者或损害。

最近，在一些专家和国会议员认为可能是美国历史上规模最大的黑客和网络间谍活动之后，美国网络司令部部署了网络团队，以检查军事网络是否存在被入侵的迹象。

五角大楼迄今未发现证据表明国防部网络遭受影响。美国网络司令部发言人卡特里娜·切斯曼上尉称，“我们的软件供应链资源的一部分已经披露了他们系统中的漏洞，但是我们没有迹象表明国防部已经遭受入侵。”

但上述团队仍在查找损害情况。

尽管美国防部没有分享有关防御性网络保护团队（CPTs）如何工作的许多细节，但威胁猎手使用的一种常见策略是密切监视网络中是否存在任何奇怪的行为或活动，例如奇怪的登录时间或使用不寻常的软件。

开展日常活动之外行为的网络用户可能是防御团队必须阻挡在计算机系统之外的黑客，它们有时会直接面对活跃的不法入侵者，通过虚拟的肉搏战来拒绝访问。

在最新的入侵中，美国指责俄罗斯在政府供应商SolarWinds提供的软件更新中植入了恶意代码，从而导致前所未有的持续数月的联邦网络访问。

《华尔街日报》在1月29日的一篇文章中报道称，这种渗透已经超出了软件供应商的范围，黑客通过各种方式访问网络，美国网络安全和基础设施安全局（CISA）估计约30％的受影响企业和政府部门没有与SolarWinds的直接链接。

卡特里娜·切斯曼称，到目前为止，美国网络司令部团队未被要求协助遭入侵机构，但如获授权会提供帮助。

68支网络保护团队（CPTs）构成了五角大楼网络部队的主体，它们在协助处理国防部信息网络可疑活动方面面临着高需求。全世界员工使用国防部信息网络（DODIN）开展各种事务，从向战斗人员发送实时信息到存储基本人员数据。

根据美国陆军一支网络部队在2020年12月一次会议上介绍的情况反映，网络保护团队（CPTs）是国防部的防御前线，但主要是作为响应力量，直到敌方入侵网络时才参与其中。

发生网络入侵时，团队将携带专门的工具包前往问题现场，包括笔记本电脑、小型服务器、无源和有源传感器、分析设备和软件工具。

团队将与运行网络的本地IT员工合作，以了解特定网络日常运营的独特情况。团队将帮助寻找恶意活动，消除所有继续驻留的入侵者，并向本地人员提供如何重建更强大网络防御的建议。

每支团队有39名成员，但他们部署在较小的单位中以传播专业知识，并通过积极行动、重组和培训进行轮换。

熟悉网络保护团队（CPTs）工作的网络专家们描述了上述团队如何应对假想的入侵行为，一些专家匿名分享了见解，因为他们无权公开谈论此问题。

如果网络保护团队（CPTs）发现行动者仍然在网络上，他们将通过更改凭证和阻止后门之类访问的方法来清除黑客，然后确定行动者获得了哪些信息。这些团队可能必须在网络内建立精心的防御，设置封锁来干扰对手并将其逼入网络的某些部分。这样可以提高其探查黑客活动或直接与黑客对抗的能力。

团队的第一步行动可能是控制攻击媒介，确定哪些机器或网段在运行恶意软件。从那里开始，指挥官将优先搜寻网络中最重要和最敏感的资产或部分。例如，与核指挥控制基础设施有关的系统将是重中之重。

需要老练的“网络猎手”，因为高端行动者会使用各种工具来掩盖他们的活动，例如使用凭证和特权来看起来像管理员或合法用户。网络保护团队（CPTs）将尝试通过更改凭据和密码来锁定行动者，这是一个艰苦的过程，需要检查网络的各个角落、所有合法用户和凭证。

在最近的入侵活动中，行动者是如此隐秘，他们成功地掩盖了自己的活动，使其看起来像合法用户。这是猎手必须了解内部和外部网络进程的地方，包括正在运行的服务器和正在运行这些进程的系统级别。他们的取证过程可能会深入到网络日志以进行分析。

这些猎手仔细地寻找最细微的异常行为。许多消息人士称，该技能是以联合标准培训网络战士学习攻防的好处。

曾领导陆军网络学院、现在玛丽蒙特大学教授网络安全的退休陆军上校安德鲁·霍尔称，“你花时间尝试在网络上开展攻击会帮助你理解你可能想在哪里防御。现在，他们可能会使用与你不同的技术，因此你可能不会找到与你完全相同的东西，但你会从双向的角度去思考。您从防御者的角度进行思考，你从攻击者的角度进行思考。”

但是，最近黑客入侵的范围使猎手很难知道在哪里寻找。考虑到漏洞软件在政府和国防部的广泛应用，以及行动者隐蔽程度，专家们表示发现任何损害的范围可能要花费数月时间。

声明：本文来自奇安网情局，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。