随着网络信息技术的快速发展以及军事领域信息化、数字化、智能化建设不断加快,世界各国军事体系和国防工业领域面临的网络威胁形势也日益严峻。年内,美西方国家军方采取系列措施,全面加强军事网络安全体系建设,通过实施安防措施、发布安全指导、开展检查审计、转换安全架构、加强约束监管、开展国际合作等方式,有效提升了军事网络防御能力,增强了网络空间威慑力,为打赢未来新型战争奠定了基础。
01 健全机制和措施,加强军事体系网络安全防御
美国、英国、乌克兰等国采取措施加强军事网络安全防御,查找并修复网络安全漏洞,改善监控和应对网络威胁方式,探索新的网络安全运营模式,强化网络、数据等安全保障体系建设,为军事网络和系统、军事部队以及关键基础设施提供网络安全防护,以应对日益复杂的国家级网络攻击和不断演变的网络威胁。
美国防信息系统局正在加强军方基础设施,以更好地抵御国家级网络攻击。该机构改善网络防御能力的计划很大一部分都依赖于转向云服务,例如Amazon Web Services、Google和 Microsoft Azure,旨在利用体系云让网络管理员更好地了解网络中计算机的运行情况。为确保云服务得到正确的配置、操作和维护,该机构重点开展三项工作:一是确保合同明确符合要求的具体标准;二是确保合同允许军方了解供应商网络安全态势;三是确保军方能够向供应商强调重点要项。
美国家安全局正在利用人工智能和机器学习技术,检测针对美国关键基础设施的网络攻击,利用人工智能检测所谓合法用户异常行为的优势改进网络防御。美国国家安全局年内还与网络司令部再次联合成立选举安全小组,以确保美国大选免遭恶意网络活动的干扰。与以往不同,两家机构此次专门设立了一个应对外国恶意影响的领导人并为其分配了专用资源。
美国网络司令部下属的联合部队总部-国防部信息网络(JFHQ-DODIN)3月正式启动其“网络作战准备评估”(CORA)计划,标志着从“检查合规思维”转变为支持任务保证的“作战准备思维”。CORA是美国防部网络安全战略最关键的组成部分之一,为支持JFHQ-DODIN持续全面评估的目标奠定了坚实的基石;通过支持国防部信息网络作战区域指挥官和主管努力强化其信息系统、减少网络地形的攻击面并增强更加主动的防御能力,帮助加强美军网络的态势和弹性防御;通过融合众多风险因素来持续了解网络准备情况,包括访问控制、检测异常、根据对手威胁信息进行调整和执行网络命令,使指挥官和主管能够更准确地了解其高优先级网络地形以及整体网络安全和防御态势,从而实现更好的指挥控制并增强决策;优先考虑MITREATT&CK缓解措施,通过JFHQ-DODIN基于风险的指标最大限度地降低美军网络面临的敌对风险;采用基于风险的指标,涉及访问控制、保持最低防御态势和检测异常三个风险因素,以及设备类别、脆弱性指标和缓解指标三个领域。
JFHQ-DoDIN批准美国空军第688网络空间联队建立首个的CORA小组,并对该小组进行了严格的培训和认证,以确保其完全有能力承担新职责。该小组的工作将有助于加强和现代化空军的网络安全战略和战备,提高整个空军的网络防御能力,并在持续的全球力量竞争中加强空军信息网络。
此外,JFHQ-DODIN已成为美国运输司令部的协调机构,负责协助后者应对全球物流任务面临的网络威胁。JFHQ-DODIN正与运输司令部合作,了解其关键任务和环境,确保支持该任务的关键网络地形的安全,以改善其网络态势并确保物资运送。面对超出职权范围的需求,JFHQ-DODIN可将需求递交美国网络司令部,并使用网络司令部的权限来帮助解决问题,在确认关键港口成为对手的网络攻击目标的情况下请求进攻性网络援助。
美国防部网络犯罪中心(DC3)3月宣布,已通过漏洞披露计划(VDP)受理了50000份漏洞报告。VDP于2016年11月由美国防部长设立,旨在利用众包道德黑客的持续漏洞报告改善美军网络防御并增强任务保证。VDP针对由美国防部拥有、运维或控制的可公开访问的信息系统、网络财产或数据,范围从高价值硬件和物理资产到面向网络的网站和应用程序、暖通空调、公共设施、物理安全系统、工业控制系统等。VDP的主要作用包括:通过协调一致的漏洞披露、众包测试和风险评估来促进全生命周期的网络安全,从而提高利用或攻击前的弹性;加强美国防部和计算机安全研究人员社区间的合作伙伴关系,通过快速发现和修复漏洞来增强美国防部的安全性来建立积极的反馈循环;缩短“发现漏洞-告知漏洞-缓解漏洞”流程时间;提供向美国防部报告漏洞的开放渠道和合法安全港;通过提高美国防部网络空间资产的弹性支持美国国防战略提出的“建立一支更具杀伤力的力量”。
美国陆军网络司令部认为,威胁行为体正在从网络利用和传统军事目标或外国情报或间谍行业目标转向关注关键基础设施,目标是潜伏在网络中并在其选择的时间和地点破坏关键服务。陆军网络司令部近年来已经从专注于基于互联网协议的网络,转向致力于进入运营技术和工业控制系统领域,并更加重视搜寻方法以识别“离地攻击”技术。陆军网络司令部年内部署了2个专注于工业控制系统的高端防御型网络保护团队,以响应网络安全事件。同时,陆军网络司令部的网络保护旅正在与其他部队更密切地合作,以保护水力发电厂和供应站,并进行专门培训来保护工业控制系统。该司令部正在从对关键基础设施的间歇性行动转向更持久的行动,从而开展持续监控以防范网络威胁。
美国陆军第3步兵师7月首次开展远距离、完全远程的网络安全行动,为第1装甲旅战斗队提供全天候网络安全监控和支持,以试点完全远程的网络安全运营中心概念。该部队的网络运营和安全小组设置和监控防火墙、传感器和扫描工具等防御工具,从而使得网络防御分析员能够从全球任何地方监控网络攻击。目前,远程网络安全运营中心仍处于“概念验证阶段”,但陆军认为远程网络保护对于在任务中使用依赖云的系统进行部署的部队来说至关重要。
美国陆军将其初始的持续操作授权(cATO)计划应用于现有软件,标志着陆军监控和应对威胁方式的重大转变,即放弃“传统网络安全模型”的清单方法,转向“基于成熟度的模型”。根据美国防部的说法,软件获得cATO框架须满足的其他要求包括:一是通过对风险管理框架控制持续监控系统边界内的关键网络安全活动;二是具有主动网络防御能力,可实时应对网络威胁;三是采用并使用已批准的DevSecOps参考设计。陆军年内开展了试点,将cATO框架应用于两个系统,即“奈特武士”和“加布里埃尔雨云”。陆军计划2025年吸取前期试点的经验教训,最终让更多系统应用cATO框架。
美国陆军网络体系技术司令部自6月起开始阻止通过不安全的商业互联网渠道访问所有Army 365服务,包括Webmail、Teams、SharePoint Online和OneDrive,并鼓励用户立即过渡到Azure虚拟桌面或Hypori的安全替代方案,以加强数据安全并防范不断变化的网络威胁。
美国海军正在运用基于模型的系统工程(MBSE)方法,利用数字工程、云计算和态势监控提高全球部署舰艇的网络弹性,确保舰船在遭受网络攻击的情况下仍能保持任务战备状态。具体措施包括:将MBSE与集成的威胁情报和系统漏洞数据以及操作线程建模结合使用,帮助舰艇在面临网络攻击时保持任务战备状态;推动计算向云端转移,通过动态分配资源来满足不同的需求,实现基于云的网络安全优势;将MBSE“数字孪生”与实时威胁数据库连接来,实现通过更强大的态势监控来预测和减轻威胁。
美国空军和空军国民警卫队20多名人员6月执行网络安全创新战备训练任务,前往关岛12个地点,对50个机构进行资产映射和端点管理,并在10天内为关岛政府提供了42项新的标准操作程序、24项政策更新并提交了6项新政策草案,以确保当地网络安全基础设施。
英国国防部正在扩大与道德黑客组织HackerOne的防御安全合作计划,扩大后的协议现在包括英国国防部的一些主要供应商,旨在鼓励整个国防部供应链的最佳实践。英国国防部表示,黑客合作伙伴正帮助国防部确定需加强防御的领域,并保护国防部关键数字资产免受恶意威胁;与道德黑客社区合作使国防部能够从更多样化的角度来识别和修复漏洞、保护和捍卫自身资产,这是降低网络风险和提高弹性的重要一步。
乌克兰10月宣布建立新的网络事件响应中心,重点是保卫该国军事和通信网络,对网络事件提供全天候监控和响应。该网络事件响应中心的主要任务包括:响应网络事件和网络攻击并消除其后果;采取措施保护乌克兰国防部的信息和通信系统;实施和使用网络安全事件管理系统并共享网络威胁信息;与乌克兰其他军事和民间网络机构合作执行联合任务;组织开展网络安全领域实践培训;与北约和其他防务领域机构在网络空间安全和联合防御网络威胁方面开展合作。
02 发布警告和指南,提升网络安全防御的针对性
美国、乌克兰、巴拉圭等国军方联合政府机构以及盟友国安全机构发布网络安全警告、指南和禁令,指导警惕最新网络攻击风险,推广最佳网络安全实践,要求加强规范操作,协助军地攸关方及国际伙伴采取预防性、缓解性和规范性措施,提升网络安全防御水平。
美国防部国防情报局2月向26000多名现任和前任雇员、求职者和合作伙伴发出警告,称其敏感个人信息可能在2023年初首次发现的数据泄露事件中在网上暴露。美国防部首席信息官5月发布备忘录,呼吁其他美国政府机构、国防工业基础和国际合作伙伴采取措施,防止因拼写错误导致敏感军事信息意外泄露给非预期的电子邮件收件人。美国防部网络犯罪中心8月联合其他美国政府机构发布警告称,伊朗政府正在与勒索软件团伙合作对美国、以色列、阿塞拜疆和阿联酋的目标发动攻击;12月与美国联邦调查局和日本国家警察厅联合发布声明,曝光朝鲜黑客对日本加密货币交易所DMM Bitcoin开展网络攻击并盗窃超3亿美元加密货币情况。
美国网络司令部、国家安全局与“五眼”联盟国家和其他合作伙伴国联合发布网络安全警告,详细说明对手的攻击媒介和被利用的漏洞以及缓解措施,通过共享非公开的特定威胁情报帮助预防、发现和减轻恶意网络活动。
美国网络司令部下属的网络国家任务部队(CNMF)和国家安全局10月联合美国其他政府机构及英国安全机构联合发布警告称,俄罗斯黑客组织APT29正在利用漏洞,大规模攻击在线暴露的未打补丁的Zimbra和TeamCity服务器。
美国家安全局2月联合其他美国政府机构发布警报称,外国支持的黑客组织已破坏了多个美关键基础设施机构的IT环境,目标是在未来发动网络攻击;2月联合“五眼联盟”国家安全机构发布警告称,俄罗斯黑客组织APT29正在调整策略、技术和程序,以入侵将网络转移到云托管环境中的机构;3月联合“五眼联盟”国家安全机构发布警告称,APT组织正在利用“离地攻击”技术攻击关键基础设施;5月联合美国政府机构及英国、加拿大安全机构发布警告称,亲俄罗斯黑客活动分子正在瞄准并破坏北美和欧洲关键基础设施部门的工业控制系统和小型运营技术设备,涉及供水和废水处理、水坝、能源以及粮食和农业领域;5月联合其他美国政府机构发布警告称,朝鲜黑客组织正利用电子邮件安全系统的漏洞发送看似合法的欺骗性消息;7月联合其他美国政府机构和韩国、英国安全机构发布警告称,朝鲜黑客组织正在开展“全球间谍活动”以推进朝鲜的军事和核计划;10月联合其他美国政府机构和加拿大、澳大利亚安全机构发布警告称,伊朗黑客正在入侵关键基础设施机构,收集可以在网络犯罪论坛上出售的凭证和网络数据,以帮助其他威胁行为者发动网络攻击;11月联合其他美国政府机构和“五眼联盟”国家安全机构发布警告称,黑客利用零日漏洞访问目标网络已成为“新常态”。
美国家安全局3月联合网络安全和基础设施安全局发布5份联合网络安全指南,提供保护云环境的最佳实践,重点关注身份和访问管理解决方案、云密钥管理解决方案、云中数据加密、云存储管理以及降低托管服务提供商的风险;4月联合美国其他政府机构和“五眼联盟”国家安全机构发布指南文件,提供了部署和操作外部开发的人工智能系统的最佳实践;6月发布移动设备最佳实践文件,建议iPhone或Android设备用户每周完全关机然后重启以防止零点击漏洞;8月联合美国其他政府机构以及英国、加拿大、新西兰、日本、韩国、新加坡、荷兰等七国安全机构发布指南,指导国家安全系统、国防部和国防工业基础的所有者和运营商采取事件记录和威胁检测最佳实践,防范“离地攻击”;9月联合其他美国政府机构和“五眼联盟”安全机构发布指南,概述针对Active Directory的17种常见攻击技术并提供推荐缓解策略;10月联合其他美国政府机构以及英国、加拿大、新西兰、德国、荷兰、日本、韩国等七国安全机构联合发布指南,推广指导创建和维护安全可靠的关键基础设施运营技术环境的6项原则;12月联合其他美国政府机构及加拿大、澳大利亚和新西兰等三国安全机构发布指南,敦促电信公司加强网络安全,防范与国家级黑客组织的入侵。
美国陆军8月发布备忘录,要求在除云服务外的大多数新软件合同(包括政府资助的新开发、商用现货产品和开源软件)中纳入软件物料清单,以加强软件供应链风险管理实践,有效降低软件供应链的风险;11月发布备忘录,要求重新制订风险管理框架政策,更新对持续监控和安全控制的要求,呼吁重置并加强对陆军国防部信息网络安全措施的支持。
美国海岸警卫队预备队4月发布警告称,1月发现的数据泄露事件将私人材料分发给了无权查看信息的个人,影响了10700名海岸警卫队预备役成员,涉及7554人的家庭住址以及另外3146人的姓名和员工号码。
巴拉圭武装部队信息和通信技术总局1月发布警告称,勒索软件正在产生重大影响,损害备份、网页、电子邮件和云存储。乌克兰9月宣布禁止在国家和安全官员、军事人员和关键基础设施员工使用的官方设备上使用Telegram消息应用程序,以减少该应用程序对乌克兰国家安全构成的威胁。
03 开展检查和审计,督导解决网络安全关键问题
美国国防部以及国会和政府机构年内加强监督、检查和评估并制订审计报告,指出美国防部及军事部队在体系管理和优化、策略制订和落实、人员配备和培训等网络安全工作存在的差距和问题,并提出针对性改进建议,通过内部审查的方式发现问题并督促整改,提高了网络安全措施的有效性和执行力。
美国防部监察长办公室12月发布了《美国防部机密移动设备网络安全审计》报告,并提出了40项改进建议。此次审计旨在确定美国防部各部门是否根据联邦和国防部的指导实施了网络安全控制措施,以保护机密移动设备以及在设备上访问、传输和存储的机密信息。此次审计主要审查了美国防信息系统局、欧洲司令部以及特种作战司令部两个下属机构对机密移动设备的特定网络安全控制措施的有效性。审查发现,相关部门没有为机密移动设备保留完整或准确的库存记录,未在部门机密移动设备培训和用户协议中包含所有必需元素,也未每年审查和批准事件响应计划。
美国政府问责局6月发布报告称,美国防部的国防反情报和安全局正在使用以前属于美国人事管理局的传统IT系统以及较新但仍在开发中的国防部“国家背景调查服务系统”;由于缺乏监督流程,该机构尚未完全解决国防部风险管理框架中的关键任务,包括确定信息生命周期的所有阶段、定义并确定安全和隐私要求的优先级、在组织和系统层面进行风险评估,以及将安全和隐私要求分配给适当的系统,增加了其背景调查系统中敏感信息被泄露、被更改或丢失的风险。
美国政府问责局7月发布报告称,根据美国防部2014年发布的IT系统要求,该部门IT项目应该有网络安全和弹性要求以及建立安全测试的系统文档等计划;经审查美国防部2022至24财年开展的21个IT项目,大多数项目都进行了全面网络安全测试和评估,但仍有6个项目未制定网络安全策略。
美国政府问责局10月发布报告称,海岸警卫队负责培训计划的部队战备司令部采取多种措施以满足网络安全等新兴任务的培训需求,包括:帮助改善新设立的网络任务专家等级和准尉网络任务管理专业的培训机会;与海军合作,在位于佛罗里达州彭萨科拉的海军信息战训练中心和其他国防部设施为海岸警卫队的网络安全工作人员提供基础培训;在分析发现海岸警卫队海事检查员网络素养不足的情况下,开发了一系列在线网络安全培训。
美国土安全部监察长办公室7月发布报告称,美国海岸警卫队需要采取更多措施来提高海上运输系统(MTS)的网络安全,以便更好地保护美国供应链。报告称,虽然海岸警卫队已采取一些措施更好地保护MTS,但其在全面实施网络安全准备工作方面面临挑战;虽然海岸警卫队成立了网络保护团队以提供可以帮助行业利益相关者预防和针对恶意网络空间活动的服务,但只有36%的海岸警卫队利益相关者请求并获得了相关服务;虽然海岸警卫队经常对船只进行评估,但这些评估并不总是包括网络安全检查,因为其没有权力或未经培训来强制私营企业遵守标准的网络安全做法,这意味着海岸警卫队可以识别船只的网络弱点,但无权强制要求船只解决该问题;海岸警卫队缺乏足够的人员为行业利益相关者提供网络安全专业知识,或对设施和船舶进行检查。报告提出四项建议:一是制定和实施具有既定基准的行动计划;二是完成并发布网络安全具体规定;三是建立标准化的网络安全培训;四是审查海上运输网络安全专家职位描述和工作内容。
04 推进零信任部署,通过转换范式拓展防护范围
美军正在系统性地分阶段推进零信任网络安全目标,通过重构网络安全范式全面提升军队网络安全水平。其中,美国防部发布新的指导文件并拟将零信任从信息技术领域扩展到运营技术领域,督促各部门和机构制订并完善工作计划,指导各部门根据实际情况采取适合的解决方案,并协调解决推进工作中面临的问题和挑战;美军各机构和军事部门加速零信任部署进度,试点在新领域利用零信任强化网络安全防御,展现了零信任在复杂环境的应用能力。
美国防部当前的零信任工作重点是实现IT领域的2027财年目标,并在过去一年加大了推动OT零信任战略的力度,因为美国对手越来越多地瞄准OT系统,而不仅仅是基于IT的系统。美国防部计划于2025年夏季发布运营技术(OT)零信任指南。该指南将遵循与美国防部2022年专注于IT的零信任战略类似框架,保持零信任的目标级和高级活动概念,但内容也会有所不同,因为OT的运作方式和结果与IT不同。
美国家安全局自2021年2月以来发布了8份关于零信任的网络安全信息表(CSI),其中包括关于整个零信任模型的初始CSI,以及关于零信任七大支柱的CSI。相关文件为美国家安全系统、国防部以及其他网络所有者和运营商提供了全面的安全指导,以便其实施零信任并逐步完善网络安全保护、响应和运营。
年内,美国家安全局发布了最后5份零信任CSI。其中,3月发布《在网络和环境支柱中推进零信任成熟度》文件,扩展了该机构此前发布的《拥抱零信任安全模型》等文件,旨在帮助各机构通过采用零信任框架原则来限制对手在内部网络中活动;4月发布《在数据支柱中推进零信任成熟度》文件,概述了《拥抱零信任安全模型》中所述的应集成到全面零信任框架中的数据安全功能,强调数据支柱的价值及其降低风险的功能,并列出了多项数据支柱功能,详细介绍了完善数据安全性以及强制访问传输中和静态数据的建议;5月发布《在应用程序和工作负载支柱中推进零信任成熟度》文件,建议通过对现代网络环境中的应用程序和工作负载运用精细访问控制和可见性,以帮助组织保护应用程序免受未经授权用户的攻击,并确保在任何给定时间持续了解工作负载;5月发布《在可见性和分析支柱中推进零信任成熟度》文件,强调全面集中地记录和分析相关活动,以从整个基础设施中生成健康、状态、性能、行为和威胁见解,从而主动快速地降低风险;7月发布《在自动化和编排支柱中推进零信任成熟度》文件,提供了自动化日常任务的建议,以便更好地集中资源调查与高级策略、技术和程序相关的异常。
美国防部在加紧采取行动,推动各部门通过了解和提升当前环境、利用云服务以及使用专门构建的本地解决方案,以实现在2027财年前全面实施全部门范围的零信任网络安全框架。年内,美国防部在实施零信任网络安全框架方面取得巨大进展。美国防部帮助审查自身各机构和军事部门提交的约40份计划,向各机构和部门提供了反馈大纲,并跟进了各机构和部门的进展,协助解决在审查过程和各种实施计划中的挑战。美国防部零信任综合管理办公室正负责创建一个综合的总体时间表,以在未来3年内推动从规划阶段和教育阶段进入实施阶段,推动整个部门转变为新的网络安全范式。
美国防部首席信息官办公室正努力改进操作授权(ATO)和持续操作授权(cATO)流程,正在制定cATO的评估标准,未来可能发布有关“默认互惠”的指南;正评估联合身份、凭证和访问管理解决方案的选择,这被认为是零信任的关键组成部分;与签订联合作战云能力合同的4家云服务提供商(微软、甲骨文、亚马逊网络服务和谷歌)合作,进行红队评估并了解对云的零信任,目标是推进在云环境中实施零信任实践;着手开展零信任概念验证试点,重点关注采用“棕地方法”向现有IT基础设施添加新技术,未来希望启动更多试点,包括利用零信任合规的商业云功能和政府拥有的云。
美国防部正在寻求开发并实施一项新流程,以便在零信任解决方案投入使用后对其进行持续评估和验证。美国防部目前正在制定一个可学习、可重复的五步流程,该流程涵盖了开发、测试、操作授权和操作的全过程。美国防部拟利用该流程在国防部各部门采购零信任解决方案前对其进行评估和验证,然后使用该评估独立、持续地测试基础设施,以确保其能够持续妥善保护网络。
该流程的五项步骤包括:一是供应商使用零信任准备评估工具来评估其解决方案,从而了解自身解决方案的优劣势并了解迭代改进所需的调整,同时向美国防部零信任组合管理办公室提供详尽的信息;二是利用专门配置为根据解决方案设计和预期威胁环境测试环境的模拟实验室,对解决方案进行基于威胁的自动化网络评估;三是获得美国家安全局批准并由红蓝专家组成的紫色团队利用前两个步骤的数据,制定量身定制的详细测试计划,对零信任解决方案实施“紫队评估”,严格检查解决方案并生成“紫队报告”,满足要求的解决方案将获得美国防部使用和采购进入门槛,并进入美国防部“零信任解决方案菜单”;四是利用风险管理框架的零信任覆盖来标准化整体零信任采用并分析能力差距;五是使用配置的持续监控评估工具来监控配置偏差和其他潜在问题,在发现解决方案偏离已知原先设计的情况下,将违规情况通报美国网络司令部下属的联合部队总部-国防部信息网络。
美国国家侦察局正在为其卫星实施零信任/纵深防御网络保护方案。此项零信任卫星网络安全工作利用了美航空航天公司2022年启动的太空攻击研究和概念分析(SPARTA)矩阵和非营利组织MITRE于2013年开始的对抗战术、技术和常识(ATT&CK)数据库,为针对太空IT系统的各种威胁提供新见解,并制定缓解技术以阻止对手对卫星的网络攻击。
美国海军部10月宣布,其“侧翼速度”(Flank Speed)云服务首次完全符合国防部零信任目标,满足所有91项目标零信任功能,较截止日期提前约3年达到了重要里程碑。该云服务同时还满足了61项“高级”零信任活动中的60项,距离“先进”环境还差一项活动。该云服务由数字和体系服务项目执行办公室与美国舰队网络司令部合作设计和开发,由海军网络战司令部运营,并由海军网络防御行动司令部负责防御。
美海军网络安全计划办公室与海军研究生院、数字和体系服务项目执行办公室、美国舰队网络司令部、海军太平洋信息战中心、海军海上系统司令部和国防部首席信息办公室合作,在“2024年三叉戟勇士”演习期间支持760/406无人水面舰艇中队一号,实现在小型海上和远程网络操作中实现零信任控制。
美国海军陆战队年将海军陆战队将身份和证书认证功能与海军身份服务(NIS)整合,为而为创建零信任安全架构奠定基础。为解决将运营技术环境向零信任转型过程中面临“棕地”和“绿地”系统混合的挑战,海军陆战队采取了专注于特定零信任原则的策略,包括网络分段、访问控制、持续监控以及优先考虑网络保护而不是身份管理。
05 强化监管和支持,确保国防供应链的安全可控
美国、英国正在采取“双管齐下”的方式加强国防工业基础的网络安全,一方面出台新的网络安全规定和标准,将网络安全要求纳入合同授予流程,要求国防供应商采取措施,达到相应的网络安全评级,另一方面向国防供应商提供符合网络安全要求的平台和环境,同时通过公私合作、信息共享及时向国防供应商提供最新威胁情报,力求从“约束规管”和“协助支撑”两线加强国防供应链的网络安全防护。
美国防部8月在《联邦公报》上公布《美国国防采购条例补充规定》(DFARS)的拟议修正案,拟将网络安全成熟度模型认证(CMMC)要求引入合同流程。新的采购规则将把CMMC要求纳入美国防部的招标和合同中,是对美国防部2023年12月底发布的另一项拟议规则的补充,后者规则概述了CMMC计划的总体轮廓。后续DFARS规则变更计划于2025年初至年中发布,以通过合同方式实施CMMC计划。
该拟议规则要求美国防部通知投标人某项招标所要求的CMMC级别,以及中标人在授予合同前必须发布在部门供应商绩效风险系统中的CMMC证书或自我评估结果;要求在授予合同时,对在招标中包含CMMC级别的情况下处理、存储或传输联邦合同信息或受控非机密信息的所有信息系统,提供符合要求级别的最新CMMC证书或CMMC自我评估结果;要求将网络安全要求从总承包商下放到分包商;要求承包商每年重申持续遵守正在执行的合同所需的CMMC级别,并报告合规状态变化情况。
美国防部在拟议规则中确定将阶段推出CMMC计划,以最大限度地减少供应链中断和CMMC对行业(尤其是小型企业)的财务影响。根据拟议规则,在分阶段推出的前三年,CMMC要求将仅包含在CMMC计划办公室指示美国防部各部门计划办公室纳入CMMC要求的某些合同中;三年后,美国防部各部门计划办公室将被要求在招标和合同中纳入CMMC要求,要求承包商在合同履行期间在承包商信息系统上处理、存储或传输联邦合同信息或受控非机密信息。
美国防部首席信息官办公室12月宣布,CMMC 2.0计划的最终规则开始生效。最终规则要求处理受控非机密信息(CUI)或联邦合同信息(FCI)的国防承包商满足3个CMMC合规级别之一,具体取决于所处理信息的敏感度。其中,FCI的基本保护将需要在CMMC 1级进行自我评估;CUI的一般保护将需要第三方评估或CMMC 2级的自我评估;某些CUI将需要更高级别的保护来抵御来自高级持续威胁的风险,这种增强的保护将需要国防工业基础网络安全评估中心领导的CMMC 3级评估。
美军正设计解决方案,以便在国防供应商本身无法短期内增强网络安全从而满足CMMC要求的情况下保持合作伙伴关系。中小型企业也可能处理敏感信息或技术,或为高优先级武器系统提供一些不起眼但关键的组件,因此这些公司很可能成为国家级黑客组织的攻击目标。美国防部小企业项目办公室计划于2025年启动一项试点项目,为小型承包商创建一个安全的、基于云的空间,作为与国防部合作的所有小型企业的平台和环境,从而解决承包商难以满足国防部网络安全要求的问题。美国陆军和海军也在探索为中小型承包商提供安全的虚拟桌面,以确保军事敏感数据的处理符合国防部安全要求。
美国国防后勤局(DLA)正在自动化其部分合同系统,包括验证承包商是否遵守美国国家标准与技术研究所特别出版物800-171,从而向实施CMMC拟议规则迈出关键一步。DLA正准备将相关要求纳入流程以及自动化程序中,以评估供应商的网络安全流程或实践。
美国防部网络犯罪中心(DC3)和国防反情报与安全局(DCSA)4月宣布建立战略合作伙伴关系,建立全面运作的“国防工业基础漏洞披露计划”(DIB-VDP)。DIB-VDP是免费且自愿的,可促进及时缓解国防供应商公开信息系统上发现的漏洞,加快国防工业基础的漏洞修复速度。美国防部通过该计划和合作伙伴关系,寻求建立和改进政策、要求、服务、试点、公私合作和跨部门努力的组合,以应对国防工业基础面临的复杂且不断演变的网络威胁。该计划在初始实施6个月内已经修复了62个漏洞,从而为DIB节省了3亿美元。
美国网络司令部司令兼国家安全局局长蒂莫西·霍6月警告称,由16万多家国内外公司组成国防工业基础(DIB)正面临美国敌手和竞争对手的网络攻击,破坏了DIB供应链,对美军保卫国家的能力构成重大风险;保卫DIB免受恶意网络攻击对于联合部队和国家防御至关重要,可以维护美军发展作战能力、支持威慑和维持全球力量投射的能力;DIB必须加强其网络安全,而网络司令部和国家安全愿意并渴望成为DIB公司的合作伙伴。
美国网络司令部扩大了“咨询建议”计划规模,将私人网络安全公司、DIB内的公司、其他与国家安全相关企业以及政府网络安全专家联系在一起,加快有关威胁、漏洞和攻击的信息共享。该计划提高了信息共享的规模和深度,打破了社交媒体的单向发布和信息量限制,形成持续、即时、多向的信息共享机制。
美国家安全局(NSA)的网络安全合作中心(CCC)向业界提供免费服务,包括保护域名服务、攻击面管理和威胁情报协作,旨在与业界、其他美国机构和国际合作伙伴合作,保护DIB免遭外国网络活动影响。该中心从根本上彻底改变了NSA网络安全任务的日常运作方式,使得该机构能够更快确定具体事件归属并共享信息。该中心目前有3大优先事项:一是继续发展与大型企业的关系,特别是继续与最大、最好的网络安全公司建立牢固关系;二是与更多中小型企业共享该中心的DIB网络安全服务,该服务专注于已知的美对手常见攻击媒介,以期让对手更难实施攻击;三是为人工智能和下一代蜂窝(即5G和6G)等技术建立网络安全标准,编写标准提案以确保未来技术安全。目前,该中心与超1000多个公共和私人合作伙伴合作,识别外国情报机构为获取敏感专有技术而采取的行动;与DIB网络信息安全官员举行简报会,并发布非机密公告,以了解各种威胁的严重程度。
此外,该中心正与私人网络安全公司建立密切的工作关系,以防御专注于人工智能攻击的外国敌对黑客。该中心“重视质量而非数量”,正通过设在中心内的人工智能安全中心与几家主要的人工智能公司建立选择性合作伙伴关系,并确保可以分享该中心了解的针对人工智能或试图以恶意方式使用人工智能的国家行为者信息,以便相关公司能够大规模地打击此类活动。该中心计划与人工智能公司联合发布公告文件,类似于美国家安全局与美国机构和外国盟友共同发布的网络安全指南。
英国国防部5月发布“国防标准05-138”《国防供应商的网络安全》第4版,该国防标准规定了国防供应商合同评估的4个网络风险状况级别,以及必须实现的网络控制。该标准由英国国防标准化组织代表英国国防部发布,其中将网络风险状况由第3版的“不适用、极低、低、中等和高”5个级别,转变为“0级、1级、2级、3级”4个级别,并引入新的网络安全各层面的控制要求。该标准适用于供应商的总体公司或企业环境,有效保护数据和/或功能所需的所有供应商组织、系统、流程、程序和数据均在该标准范围内。
06 开展多双边合作,促进军事网络安全体系融合
美西方国家年内加强双边和多边军事网络安全合作,通过共同开展网络安全行动、联合打击网络安全威胁、提供网络安全资金和技术援助、建立网络安全合作机制、开展交流对话活动、共享资源和信息、共同开展技术研发、凝聚国际共识等方式,进一步拓宽了合作范围、加强了体系融合并增强了整体网络威慑。
美国网络司令部网络国家任务部队(CNMF)年内继续开展“前出狩猎”行动,旨在发现黑客使用的工具,破坏对手的网络行动,加强网络安全防御,同时为未来的网络冲突提供关键的防御见解。美国网络司令部认为,此类防御性前出式网络追捕行动在网络安全领域打造了一个“合作伙伴拼图”,增强了美国与全球伙伴合作的能力,并强化了整体网络防御能力。美国在海外执行网络行动的网络军事单位在2024年大幅扩大了行动范围。据悉,CNMF在过去一年中部署了超过85次,执行了至少80个网络任务,这远超2023年的22次,而该部队2018年至2023年总共仅部署了55次。
美国网络司令部11月启动第二次国际协调网络安全活动,旨在加强美国防部网络并增强全球网络安全伙伴关系。此前,美国网络司令曾于2023年10月开展了首次国际协调网络安全活动。作为一项有针对性的防御性网络空间行动,国际协调网络安全活动是美国网络司令部保护国防部信息网络、系统和基础设施免受不断演变的网络威胁的使命的重要组成部分。该行动涉及全球部署的防御网络团队,上述团队致力于检测、缓解针对美国防部网络的恶意软件和漏洞,并共享威胁情报。国际协调网络安全活动通过协作防御改善了信息共享,并增强了美国和合作伙伴网络的安全性和弹性。
美国网络司令部表示,该司令部希望通过国际协调网络安全活动来增强美国防部信息网络的作战弹性,并确保关键网络行动的连续性;该活动的重点是加强美国防部内部防御,同时与外部合作伙伴进行协调,包括联合部队指挥官、跨机构合作伙伴和国际盟友;该活动推动了网络防御能力的提高,提升了专业技能,并确保美国防部网络在面对不断演变的网络威胁时保持弹性。
美西方国家正在通过“信息技术联盟”和“塔林机制”协调和促进对乌克兰的军事和民事网络安全援助和支持。其中,由爱沙尼亚和卢森堡牵头的联合倡议的“信息技术联盟”已筹集了近5亿欧元来增强乌克兰的国防能力,包括:向乌克兰提供了价值1.027亿欧元的信息和通信技术援助;向乌克兰提供了价值4.1亿欧元的信息和通信技术援助,并为联合采购筹集了7200万欧元;在2024年支持了乌克兰在改善战术通信、扩建数据中心和加强网络安全方面的需求。爱沙尼亚2024年向该联盟捐款250万欧元,并承诺2025年向该联盟捐款500万欧元。该联盟于2023年9月成立,旨在支持乌克兰国防部队和国防部在信息和通信技术领域的发展,并支持乌克兰军事作战能力。迄今为止,该联盟已吸呐17个国家加入,并得到美国和法国以及北约和欧盟的支持。
由美英等11国家共同启动的“塔林机制”正在利用来自私营和公共部门的世界级网络和数字专业知识,通过加强乌克兰的网络防御能力来保护关键的国家基础设施和重要服务,使乌克兰能够检测和禁用针对其的恶意软件。上述支持包括防止恶意网络活动的一线硬件和软件、端点检测和事件响应以及网络安全官员培训,并支持乌克兰对卫星通信终端的持续迫切需求。“塔林机制”自成立以来已累计提供超过2亿欧元的外国援助,增强了乌克兰应对俄罗斯网络空间恶意行为的能力。“塔林机制”于2023年12月启动,旨在共同协调和促进在乌克兰民用网络安全方面的支持,现已吸纳12个国家加入,并得到北约和欧盟的支持。
美国3月主办《关于负责任地军事使用人工智能和自主性系统的政治宣言》首次签署国全体会议,53个签署国中的46个国家代表,以及14个尚未正式签署该宣言的观察员国代表与会,讨论如何落实该宣言的10项原则。此次会议选出5个国家并成立3个工作组来领导为期一年的努力,探索军事人工智能和自主性系统的新安全护栏。美国防部表示,对于美国务院和国防部来说,该宣言关系到美国家实践以及如何建立国家能力来满足所谓的承诺标准。美国务院表示,美已牵头在联合国推动非军事领域人工智能规则,此次会议是围绕负责任的军事人工智能开展的平行互补工作。
美国空军第12航空队(即南方空军),与其他美军军种共同在美国南方司令部责任区内开展支援和行动,致力于打击该地区的恶意网络威胁,协助拉美和加勒比地区加强网络防御。作为近两年开始的一项新测试工作的一部分,美空军第12航空队开展打击恶意网络威胁工作,旨在帮助加勒比、中美洲和南美洲伙伴国家及其军队发展网络防御、网络军事战术和网络人才,以应对网络攻击和恶意活动。美国南方司令部的责任区包括31个国家和12个属地,各伙伴国具有不同的网络安全需求和成熟度。第12航空队专注于防御性网络工作,正在研究如何帮助各国发展并利用自己的能力,协助其实现目标并达到目标防御能力水平。第12航空队正在与伙伴国就网络安全事务进行接触,例如:2月领导了与巴拿马安全部和公共部队的主题专家交流,讨论了使用MITRE ATT&CK框架的网络威胁情报;4月与巴西空军举行交流,共同研究网络威胁情报、网络防御中心运营和网络防御培训。
美国欧洲司令部与瑞典武装部队4月签署关于高级网络伙伴关系框架的双边意向书。该伙伴关系基于双方对如何增强网络防御能力的共同看法,并建立在政策、互操作性、培训、能力发展和网络行动5个方面工作上。瑞典武装部队表示,国际合作是战胜当今网络威胁的先决条件,瑞典和美国的双边伙伴关系使双方能够增强单边和双边的能力,对于打击针对支持两国集体安全的军事网络和关键基础设施的先进和持续威胁是必要的。美国欧洲司令部表示,面对欧洲战区多个网络对手,该司令部必须与北约伙伴以及瑞典等盟友一道,共同抵御网络空间领域的攻击并从中恢复,这种合作对于防止对手破坏北约共享和依赖的关键系统和网络尤为必要。
美国欧洲司令部与芬兰国防司令部6月签署了意向书,标志着基于统一愿景的先进网络伙伴关系的开始,即在盟友和合作伙伴间推进网络防御。基于此份意向书,双方可以共同执行作战发展计划(ODP),这是美国与许多北约伙伴一起使用的行之有效的机制。该ODP概述了重要时间节点和共同努力方向,实现了美国空军第16航空队和欧盟司令部结构中网络空间关系的快速发展和工作明确。芬兰国防司令部8名网络防御代表6月访问了第16航空队,为双边网络防御奠定了基础。
美国空军16航空队与波兰网络司令部建立了合作伙伴关系,以融合两个机构的能力和专业知识,追捕、揭露、破坏和击败信息环境中的恶意网络行为者和其他恶意威胁,通过产生信息战成果来确保信息环境安全。两者年内开展多次互动,包括:就共享对手网络威胁信息以增强信息战资源开展了持续讨论,包括硬件和软件解决方案,如第16航空队所属第90网络空间作战中队开发的开源产品“铁仙人掌”;联合开展模拟恶意软件攻击演习,并在合作中通过追踪威胁指标获得了有关窗口事件日志、域、互联网协议和网络流量方面的见解。
美国和韩国举行外长和防长会议(“2+2”会议)并发表联合声明称,确认国际法适用于网络空间,网络攻击在某些情况下可构成《美韩共同防御条约》第三条所指的武装攻击;对太空、来自太空或在太空的攻击对联盟的安全构成明显挑战,此类攻击在某些情况下可能导致援引上述条约第三条;双方未来将根据具体情况,通过美韩间的密切磋商,逐案决定在太空和网络领域发生的攻击何时会导致援引第三条;双方强调加强太空和网络领域感知的互操作性和信息共享的重要性,并一致认为有必要加强联合应对能力,以应对日益增加的太空和网络威胁。
美国防部和新加坡国防部7月签署了一份意向声明,旨在促进双方国防机构间全面开展技术合作,为有效和大规模利用数据、分析和AI的最佳实践对话铺平道路。两国已确定了合作的重点领域,例如数据质量、AI的负责任地开发和使用以及人才管理。
韩国与北约11月举行首次高级别网络对话,探讨了印度-太平洋和欧洲-大西洋地区的区域网络安全挑战,包括与全球冲突有关的恶意网络活动。此次对话涵盖了具体合作计划,包括网络倡议的实施、即将达成的北约网络防御承诺以及韩国2025年网络冠军峰会等。双方强调了合作加强网络危机管理的重要性,韩国承诺将进一步举办演习,以加强联合网络防御能力。
声明:本文来自网络空间安全军民融合创新中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
