编者按
美媒发布分析报告称,网络战正在发生演变,美军当前不仅要保卫数据中心和网络,还要与能够渗透无线电频谱、劫持工控系统并破坏战场武器系统的对手作战,网络攻防融合正在重塑美军开发、部署和整合能力的方式;为在未来网络战中消除网络威胁并利用进攻性网络能力打击对手,美军需要全方位发展网络攻防和威胁情报能力。
在进攻性网络作战方面,美国陆军正在将电子战与网络攻击相结合,开创所谓的“射频网络攻击”,利用无线电频谱将恶意载荷植入敌方系统,在比特层面操纵协议或干扰处理周期,从而致盲传感器、扰乱决策并为指挥官提供动能火力外的新工具。美国陆军表示,射频网络技术在比特字节层面更进一步,能够通过无线方式翻转比特,从而达到预期效果,甚至产生额外的影响;网络射频效应能力充分发挥了陆军的固有优势,更能帮助战术部队在战场上发挥更大作用;基于射频的网络行动有助于创造更多的进攻可能性,而后端的决策引擎可能会产生更持久或外科手术式的效果,更适合指挥官最终在战场上想要实现的目标。
在防御性网络作战方面,美国防部正在推动零信任的制度化并已认证三项零信任实施计划,包括美国海军的“侧翼速度”架构、美国国防信息系统局的“雷霆穹顶”架构和戴尔的“零号堡垒”架构。上述三种架构并非单一的零信任系统,而是集成了具有不同网络安全功能的数十个行业解决方案,并将相关组件集成到两台计算机机柜中。随着信息技术网络保护工作的快速推进,美国防部还寻求将零信任的覆盖范围扩展至运营技术和武器系统。为此,美国防部正转化信息技术的零信任目标和高级活动以适配运营技术,并计划在2025年末发布相关指示文件;希望在集成性武器系统实现零信任,重点是保护武器系统的指挥控制组件。
美国国防供商Leidos公司网络高管马特·舒马赫认为,网络战是同等或近乎同等实力的国家威胁行为体的战略制高点,随着大国竞争的演变,美国的战备状态和能力必须在网络空间超越对手,从而在整个竞争过程中取得领域优势;美国及其盟友和伙伴需要确保其运营的弹性网络、作战系统和基础设施能够支撑全球作战能力,同时需要保持在选择的时间和地点打击对手的能力,因此网络作战人员必须能够在多域网络战场中作战,并拥有由及时、相关且准确的威胁情报驱动的卓越、联合攻防能力。为快速地、在全球范围内打击敌对行为体并消除网络空间威胁,美军需要构建三大未来网络战能力要素:
一是赋能网络攻防作战的威胁情报。为应对国家级APT威胁,威胁情报必须与进攻性和防御性网络行动无缝集成,提供及时、相关且可操作的高质量APT情报,特别关注以下三个领域:通过区域特定APT情报评估跨物理和逻辑网络地形的反介入/区域拒止环境中的硬目标活动和目标类型;通过以进攻为重点的全域情报利用供应链、多域作战系统、红方系统组件漏洞、移动系统等领域的专业知识和数据,包括对操作系统、协议和组件功能的深入了解,开展目标作战;通过情报驱动的网络工具,在分析师、开发人员和操作员间开发和部署军用级软件。高质量的网络情报作战环境准备流程使网络作战人员能够:制定强有力的网络防御计划,以有效开展“前出狩猎”行动,加速情报到开发再到行动的周期;为进攻行动制定精确的目标计划,并借助可操作的在线数据和专门的可信AI工具快速生成目标任务包;保持各个作战领域的关键优势并开发领先的网络空间作战技术。
二是规模化的进攻性网络能力。美国必须确保在红色空间(对手)网络地形内持续有效作战、有效载荷投送的多样性以及网络杀伤链的加速,从而打造一个无可匹敌的全频谱网络作战。未来的网络战行动需要具备以下三项能力:通过先进的逆向工程、漏洞研究和目标定位,加速并自动化目标数据质量,确保网络作战有效载荷精度;确保有效载荷不可检测、可快速获得,并且相对于目标环境而言具有商业成熟度;将隔离和支持射频的有效载荷集成到网络电磁活动战系统中。
三是人工智能增强的先进网络防御作战能力。人工智能驱动的网络防御使作战人员不再仅是被动响应,而是能够预测、适应并采取先发制人的行动,从而将传统的网络防御转变为一种主动、有韧性且适应性强的战略。网络防御的关键防御策略包括三项:实施多域多系统防御,保护所有作战环境域的物理武器系统、运营技术和指挥控制平台;通过人工智能增强的防御,扩展覆盖多域多系统攻击面的防御能力,并与可信威胁指标和攻击性技术关联,助力安全团队更有效地扩展检测、防御和应对威胁的行动;三是通过信息优势能力最大限度地减少信息环境中的对手影响活动。
奇安网情局编译有关情况,供读者参考。
推动进攻性和防御性网络战的趋势
网络战正在美国五角大楼脚下悄然发生。美军不再仅仅保卫数据中心和网络,而是要与能够渗透无线电频谱、劫持工业控制系统并破坏战场武器系统的对手展开斗争。
在进攻方面,美国陆军科学家和工程师正在开创“射频网络攻击”(RF-enabled cyber),这是一种电子战和黑客攻击的结合,利用无线电频谱将恶意载荷植入敌方系统。通过在比特层面操纵协议或干扰处理周期,这些非动能效应可以致盲传感器、扰乱决策,并为指挥官提供除动能火力之外的新工具。
在防御方面,美国五角大楼正在迅速采取行动,在其庞大的机构内将零信任制度化。三种架构,包括美国海军的“侧翼速度”(Flank Speed)架构、美国国防信息系统局的“雷霆穹顶”(Thunderdome)架构和戴尔的“零号堡垒”(Fort Zero)架构,已全面实现美国防部首席信息官办公室设定的全部152个零信任目标,从而扫清了实施门槛。
信息技术网络只是其中的一部分。诸如监控与数据采集(SCADA)系统和机器人等运营技术,以及像“海马斯”(HIMARS)这样的前线武器系统,都容易受到网络和电子干扰。美国防部领导人表示,运用“零信任”原则保障这些系统的指挥控制路径安全,对于确保美国在未来冲突中的作战可信度至关重要。
01
进攻性和防御性网络的融合正在重塑
美国防部开发、部署和整合能力的方式
在美国防部掌握的所有工具中,很少有比用于攻防网络行动的网络和信息技术系统相关的工具发展得更快的。这类讨论通常围绕着防御性网络安全如何应对对抗性威胁展开,但对于进攻性网络来说,同样如此。
进攻性网络的最新发展之一是网络与射频(RF)频谱的融合,从而创建所谓的射频赋能的网络,其中进攻性有效载荷利用射频频谱渗透和破坏对手网络。
美国陆军作战能力发展司令部(DEVCOM)C5ISR中心网络电磁(CEMA)部门负责人马克·法威尔表示,“射频网络技术在比特字节层面更进一步,以达到预期效果。我们深入研究协议的本质,以便能够通过无线方式翻转比特,从而达到预期效果。这可能是我们正在利用的协议固有的特性,甚至可能在我们所针对的、具有预期意图的系统处理周期中产生额外的影响。”
马克·法威尔指出,自从美国网络司令部全面投入运作并增强预算控制权以来,该司令部现在对所谓的“网内”(on-net)或“有线”(wire-type)网络作战负有战略责任。为此,美国陆军C5ISR中心已将其进攻性网络科学和技术重点转移到陆军仍然负责的领域,这现在更类似于进攻性电子战。
马克·法威尔表示,“网络射频效应能力充分发挥了陆军的固有优势,我们是一支战术部队。我们拥有射频触觉,能够触及对手的射频范围,并且更适合运用射频效应和非动能武器,以支持陆军的机动和我们的生存能力。这些更专业的电子攻击手段比过去更能帮助我们战术部队在战场上发挥更大的作用。”
这种基于射频的网络行动有助于在此类行动的处理方面创造更多的进攻可能性,而后端的决策引擎可能会产生更持久或外科手术式的效果,更适合指挥官最终在战场上想要实现的目标。
美国陆军作战能力发展司令部(DEVCOM)C5ISR中心网络效应部门负责人肖恩·斯奈德表示,“陆军在机动部署中非常擅长运用动能效应,以便占据所需位置。我们正在研究如何为指挥官提供类似的非动能效应,以便他们在遇到这种必须应对的困境时能够将其纳入武器库。”
这些进攻性工具通常针对不同的责任领域及其特定需求,但通常侧重于对抗对手针对友军的瞄准能力,包括敌方的情报、监视和侦察(ISR)传感器,以及干扰其决策周期。精通软件和代码的士兵为实现这一目标贡献力量。
美国陆军作战能力发展司令部(DEVCOM)C5ISR中心网络效应部门的计算机科学家史蒂夫·斯特里克兰表示,“我们如今所做的一切几乎都围绕着软件发展,而这正是我们实现这些效果的方式,无论是良好的实践,还是仅仅将一些他们能够理解的东西交到士兵手中。陆军的变化之一是,现在我们的士兵能够进行编码和开发工作。这对我们来说是相辅相成的。现在,我们能够与他们合作,提供这些能力,他们也能向我们提供反馈,这样我们就可以不断地将其改进成他们可以使用和理解的产品,而无需经过大量的培训来学习,也无需因为士兵不懂编码部分而让其他人来管理。”
同样重要的是,威胁情报可以为进攻行动提供信息。这意味着与情报界的紧密联系。
肖恩·斯奈德表示,“他们会进行未来趋势分析,了解事态发展方向,并针对我们关注的领域提供区域性报告。所有这些都推动着我们的科技工作,确保我们掌握最新信息。如果没有与情报界的紧密联系,我们就无法做到这一点。正是他们收集的这些报告和情报,让我们能够获得更准确的信息。”
02
信息技术、运营技术
和武器系统的网络防御
进攻性网络与防御性网络紧密相关,进攻性洞察能够为防御能力提供参考,反之亦然。例如,经过多年的规划和开发,美国国防部首席信息官办公室已认证了三个零信任实施计划,这些计划现已可供国防部内任何其他部门采用。它们分别是美国海军的“侧翼速度”(Flank Speed)、美国国防信息系统局的“雷霆穹顶”(Thunderdome)和戴尔科技的“零号堡垒”(Fort Zero)。
这三项计划均通过了美国国防部首席信息官办公室设定的91个目标级目标和61个高级目标的批准,这些目标必须在2027财年结束前在整个国防部范围内实现。据该办公室反映,实施所有152个目标应该通过微分段和行为监控等功能为信息技术(IT)网络提供100%的网络保护,防止入侵者破坏或在网络中横向移动以搜索数据和知识产权。
这三种架构都不是单一的零信任系统,而是由数十个行业解决方案通过一个主系统集成商捆绑在一起。例如,每种获批的实施方案都可能包含30多个供应商系统,这些系统具有不同的网络安全功能。过去,美国防部曾尝试自行整合这些系统,但持续不断的网络攻击和数据丢失以及仅取得部分成功,凸显了这种方法的缺陷。现在,一个完整且安全的零信任架构的组件可以集成在一个由单个机构集成的两台计算机机柜中。
随着信息技术网络保护工作的快速推进,美国防部首席信息官办公室计划将其零信任原则应用于最新的攻击载体之一,即诸如监控与数据采集(SCADA)系统、数控机床和机器人等运营技术(OT)。如果墙上控制温度的商用恒温器启用了WiFi并与信息技术(IT)系统同步,那么它也是OT攻击媒介。
“震网”攻击就是针对OT的网络攻击的一个例子。2021年,Colonial Pipeline同样是针对OT的网络攻击,此次攻击导致美国东海岸大部分地区石油输送中断,引发国家安全紧急状态。美国关键的能源、供水和污水处理以及交通基础设施也容易受到OT的攻击,这些攻击通过其运行所需的众多阀门、开关和传感器进行渗透。
美国国防部首席信息官零信任投资组合管理办公室主任兰迪·雷斯尼克表示,“Colonial Pipeline公司就是一个公开的典型案例,它本质上是为了勒索软件的目的而接管了Colonial Pipeline公司的OT系统。几天之内,这在民众中引发了轻微的恐慌,他们以为燃料即将耗尽。这是一个国家安全问题,也是一个国土安全问题。保卫国土和国家安全之间有着密切的联系。几乎每一次针对美国的攻击,都会以某种方式引起美国防部和/或情报界的关注,这取决于攻击的严重程度以及我所说的攻击半径。当然,对于OT系统,美国防部最好以零信任的方式保护这些系统。”
为了解决这些漏洞,美国防部首席信息官办公室正在将转化其针对IT零信任目标和高级活动,并重新编写以应对OT。预计零信任未来发展路径的扇形图将于2025年第四季度发布。
网络防御的另一个新方向是武器系统保护。例如,当美国首次同意向乌克兰运送射程更远的“海马斯”(HIMARS)时,各方一致认为,该武器系统将改变游戏规则,使其能够深入俄罗斯领土进行打击。然而,很快,针对发射火箭制导的网络和电子攻击就使其无法有效打击目标,并终结了其在特定战场上的存在意义。
答案不是解决价值数百万美元的“海马斯”火炮系统整体的网络安全问题,而是为构成该武器的所有系统添加零信任安全保护。
兰迪·雷斯尼克表示,“战斗机是一种武器系统,它与数百家供应商的产品和解决方案集成在一起,就像零信任解决方案一样。洛克希德·马丁或诺斯罗普为美国防部制造战斗机。他们负责集成,并交付最终产品,而政府购买的是一定数量的最终产品。他们不负责集成。我们现在以同样的视角思考网络安全。这就是未来的模式。我们将购买集成产品。供应商必须为我们提供一个集成解决方案,以实现特定的目标。战斗机可以实现特定的目标,所以它是一种武器系统。导弹是另一种武器系统。潜艇也是一种武器系统。潜艇上的鱼雷也是一种武器系统。你可以看到,你可以达到多么精细的程度。我们谈论的不是在武器系统内部或多个供应商产品内部实现零信任。我们试图做的是在集成上实现零信任。这对武器系统意味着什么?目前对我们来说,这意味着武器系统的指挥控制系统。如果我能进入指挥控制系统内部,就能击败武器。从零信任的角度来看,对于武器系统而言,我们的首要重点是防止对手利用武器系统的指挥控制系统。事实证明,指挥控制恰好依赖于IT系统。当我们将IT系统提升到目标级或高级水平时,我们就继承了指挥控制的保护。我们处理武器系统的方式是,确保武器系统的IT部分安全,这些部分位于武器外部,并作为指挥控制进入武器内部,以描述我们希望该武器执行的操作。我希望你发射,我希望你前往这个GPS坐标。这就是我所说的在武器系统中解决零信任问题。”
目前,武器系统的目标级和高级目标尚未确定,但兰迪·雷斯尼克表示,这些目标即将公布。
03
网络战的未来
美国及其盟友和伙伴需要确保其运营的弹性网络、作战系统和基础设施能够支撑全球作战能力。为了积极保卫这些系统,同时保持在选择的时间和地点打击对手的能力,网络作战人员必须在多域网络战场中作战,并拥有由及时、相关且准确的威胁情报驱动的卓越、联合攻防能力。
网络战是同等或近乎同等实力的国家威胁行为体的战略制高点,随着大国竞争的演变,美国的战备状态和能力必须在网络空间超越对手,从而在整个竞争过程中取得领域优势。美军可以同时处于竞争连续体的三个阶段,快速地、在全球范围内打击敌对行为者并消除网络空间威胁。
美国Leidos公司国家安全部门网络副总裁马特·舒马赫对未来网络战场提供了重要见解,重点探讨了作战人员如何智胜并击败对手。马特·舒马赫特别关注网络作战人员及其作战任务空间,并认识到需要构建一个涵盖以下要素的连续作战理论:(1)专门的、针对特定战役的情报,以支撑和推动网络作战;(2)规模化的进攻性网络能力;(3)人工智能增强的先进网络防御作战能力。
1、扩展任务级网络情报
民族国家支持和附属的网络对手代表并参与了大多数高级持续性威胁(APT)活动,是大国竞争的核心。这些行为体正在利用人工智能、量子计算和软件开发方面的进步来扩展其战略网络战能力,以追求战术和作战层面的优势。最近的行动展示了其在受保护的美国基础设施内发动复杂攻击并隐蔽行动的能力。美国网络部队必须接受训练,并在作战上专注于保卫重要节点,并对这些行动进行反击,以威慑网络空间对手。
为了应对这些威胁,威胁情报必须与进攻性和防御性网络行动无缝集成,提供及时、相关且可操作的高质量APT情报,特别关注以下领域:
区域特定APT情报:评估跨物理和逻辑网络地形的反介入/区域拒止(A2AD)环境中的硬目标活动和目标类型。
以进攻为重点的全域情报:情报驱动的产品,利用供应链、多域作战系统、红方系统组件漏洞、移动系统等领域的专业知识和数据,用于目标作战,包括对操作系统、协议和组件功能的深入了解。
情报驱动的网络工具:通过情报驱动的DevSecOps协作,在分析师、开发人员和操作员之间开发和部署军用级软件。在开发和测试中集成对手策略、技术和程序(TTP)的任务软件将提升整个系统环境的弹性。
高质量的网络情报作战环境准备(C-IPOE)流程使网络作战人员能够:
制定强有力的网络防御计划,以有效开展“前出狩猎”行动,加速情报到开发再到行动的周期。
为进攻行动制定精确的目标计划,并借助可操作的在线数据和专门的可信AI工具快速生成目标任务包。
保持各个作战领域的关键优势并开发领先的网络空间作战技术。
借助人工智能驱动的网络防御,作战人员不再仅仅只是被动响应,而是能够预测、适应并采取先发制人的行动。这体现了先进智能的精髓,将传统的网络防御转变为一种主动、有韧性且适应性强的战略。
2、进攻行动——在网络空间中发挥杀伤力
随着低强度和高强度全球冲突中战略作战能力的提升,进攻性网络作战将日益增强。这些能力提供了经济高效且可扩展的选项,可作为动能战的替代方案。随着对手的演变,美国必须确保在红色空间(对手)网络地形内持续有效作战、有效载荷投送的多样性以及网络杀伤链的加速,从而打造一个无可匹敌的全频谱网络作战。为了实现这些目标,未来的网络战行动需要具备以下能力:
可扩展的漏洞利用开发和目标定位:通过先进的逆向工程、漏洞研究和目标定位,加速并自动化目标数据质量,确保计算机网络作战(CNO)操作员的有效载荷精度。这些能力将主要由支持人工智能的专用平台驱动,以提高任务精度和速度。
具有可量产基础设施的隐形有效载荷:确保有效载荷不可检测、可快速获得,并且相对于目标环境而言具有商业成熟度。
增强的交付机制:将隔离和支持射频的有效载荷集成到网络电磁活动(CEMA)战系统中。
跨领域(陆、空、海、天)扩展网络武器生产和部署的能力至关重要。这些进步必须伴随道德考量和战略监督,以保持可信度和威慑力。
3、防御行动——设置攻击面防御
先进的网络防御在多域一体化战场中构成了重大挑战。指挥官和作战人员需要在高强度作战行动中保持系统持续可用。韧性防御的关键在于利用人工智能、自动化、数据分析和主动威胁追踪行动。其中最重要的指标之一是降低整个作战环境中的“平均行动时间”。网络防御的关键防御策略包括:
多域多系统(MDMS)防御:保护所有作战环境域(空中、陆地、海上、太空、网络空间)的物理武器系统、运营技术(OT)和指挥控制平台。
人工智能增强的防御:智能部署可信人工智能解决方案,以扩展覆盖MDMS攻击面的防御能力,并与可信威胁指标和攻击性技术关联。助力安全团队更有效地扩展检测、防御和应对威胁的行动。
反信息作战:通过信息优势能力最大限度地减少信息环境中的对手影响活动。
“假设入侵”的思维模式能够赋能防御者主动搜寻、清除并修复针对高价值资产的威胁,从而构建一个“设计韧性”的运营体系。与业界的合作以及创新技术的采用对于实现这些目标至关重要。
不断发展的网络战场需要一个汇聚创新、情报和果断行动的积极前线。在存在能力差距的地方,美国业界拥有可用的解决方案、任务专业知识和创新预算,可以将久经考验、可扩展的技术交到当今的网络作战人员手中。随着美国及其盟友面临日益复杂的对手,军事网络作战人员、政府机构和行业合作伙伴之间的协作至关重要。通过整合尖端情报、进攻能力和自适应防御策略,网络作战人员可以在网络领域保持优势。行业合作伙伴在塑造这一未来方面发挥着关键作用——通过先进技术、协同开发、能力投资以及对任务成功的坚定承诺。
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
