2018年9月,美国总统特朗普签署15年来首份“网络战略”,特朗普授权了攻击性的网络行动。美国国家安全顾问博尔顿表示,新的网络战略表明,在进行网络攻击方面,美国现届政府不再如奥巴马领导时期那般的克制,联邦机构将在新的网络战略框架下遵照新的安全指导方针,面对其他国家的网络行动,美国将从进攻和防御两个方面进行回应。

放眼全球,以美国为首的各个国家纷纷大力建设兼具防御和攻击能力的网络空间安全体系,以求在网络空间领域获取霸主地位。长期以来,美国从政府主导的“美国国家网络安全综合纲领”和“爱因斯坦计划”等大规模网络安全倡议和项目,到一系列相关法案、政策、指南,再到“斯诺登事件”、“影子经纪人”及维基解密曝光的网络空间进攻体系,反映出美国在网络空间中强大的、体系化的监听、攻击、威慑和防御能力。

一、发展整体思路

美国网络空间的优势能力不仅来源于政府的高度重视、持续的大量资金投入和美国网络技术优势,更离不开其借助产业优势形成的深度军民融合能力。在战略、能力建设、技术层面等方面,不断发展和支撑美军的网络空间攻击与主动防御能力体系建设和完善。

在战略层面,2017年8月,特朗普总统将网络司令部升级为美军第十个作战司令部,这一举措说明美国在不断调整其国家信息安全战略,逐步将网络安全上升到国家安全战略的重要位置,标志着美军的网络战向“成为一种主流战术级军事能力”迈出了关键一步。

在能力建设层面,美国的国家安全局(NSA)、中央情报局(CIA)等情报机构,发展出了强大的网络信息采集和网络攻击能力,结合其传统的信号情报(SIGINT)和人工情报(HUMINT)能力,使美国能够在网络空间中继续保持优势;同时,通过国防承包商承担的工程与项目,充分利用安全厂商的技术能力,结合商业安全产品,构建复合的网络安全防御体系。

在技术层面,美国拥有全球领先的网络空间技术能力,通过思科、IBM、微软、谷歌、英特尔、高通、苹果、甲骨文等“八大金刚”完整布局并实际把持了操作系统、核心芯片、数据库等关键IT环节,并通过新兴互联网巨头们形成了对全球数据的有效聚合。

在军民融合层面,美国一方面通过审查、限制等方式驱离国外安全企业,致使安天等已经走出国门或者正在进军海外的中国安全企业受困于供应链审查,而不得不退回原点;另一方面,大力扶持以火眼(FireEye)为代表的一批本国安全企业,通过政府机构、政府承包商、国防承包商和大厂商(包括大的IT寡头和产业集团)的集中商业部署,使其获得迅速的规模成长并进一步转化为技术优势。同时,美军非常重视政府部门、军队与私人公司间的技术与业务合作,大量私人承包商参与到网络空间相关项目中,斯诺登曾就职的博思艾伦(Booz Allen)就是其中之一。

二、美军网络攻击与主动防御能力体系介绍

长期以来,美军特别重视自身作战能力的建设,重点在网络空间安全主动防御体系、网络空间攻击支撑体系、网络空间攻击装备体系三大体系上进行技术与装备的变革和发展。

1、网络空间安全主动防御体系

美军的网络空间安全主动防御体系借助商用技术和能力,将网络空间的威胁预警、入侵防御和安全响应能力相结合,创建跨领域的网络空间态势感知系统,为联邦政府网络基础设施提供安全保障。

2008 年,时任美国总统布什签署了第 54 号国家安全总统令 / 第23 号国土安全总统令,即《国家网络安全综合计划》(Comprehensive National Cybersecurity Initiative, CNCI)。 该 计划旨在从国家层面建设一个的综合的网络空间安全防御系统,抵御美国遭受到的网络攻击,保护美国的网络空间安全。CNCI 自签署以来,就以涉及国家安全的原因被列为高度机密,至 2008年底仅公开了12 项计划的基本信息。

2010 年,奥巴马政府公开了一份关于 CNCI 的摘要,其中包括“部署一个由遍布整个联邦的感应器组成的入侵检测系统”和“寻求在整个联邦范围内部署入侵防御系统”,即“爱因斯坦 2”(EINSTEIN 2)计划和“爱因斯坦 3”(EINSTEIN 3)计划。

“爱因斯坦”计划是美国联邦政府主导的一个网络空间安全自动监测项目,由国土安全 部(Department of Homeland Security, DHS)下属的美国计算机应急响应小组(US-CERT)开发,用于监测针对政府网络的入侵行为,保护政府网络系统安全。美国政府启动了CNCI 后,爱因斯坦计划并入 CNCI,并改名为国家网络空间安全保护系统(National Cybersecurity Protection System, NCPS),但依然被称为“爱因斯坦”计划。

“爱因斯坦”计划经历了三个阶段。“爱因斯坦 1”自 2003 年开始实施,监控联邦政府机构网络的进出流量,收集和分析网络流量记录,使得 DHS 能够识别潜在的攻击活动,并在攻击事件发生后进行关键的取证分析。“爱因斯坦 2”始于 2007 年,在“爱因斯坦1”的基础上加入了入侵检测(Intrusion Detection)技术,基于特定已知特征识别联邦政府网络流量中的恶意或潜在的有害计算机网络活动。“爱因斯坦 2”传感器产生大量关于潜在网络攻击的警报,DHS 安保人员会对这些警报进行评估,以确认警报是否具有威胁,以及是否需要进一步的补救,如果需要,DHS 会与受害者机构合作解决。“爱因斯坦 2”是“爱因斯坦 1”的增强,系统在原来对异常行为分析的基础上,增加了对恶意行为的分析能力,使得 US-CERT具备更好的态势感知能力。2010年,DHS 计划设计和开发 入侵防御(Intrusion Prevention)来识别和阻止网络攻击,即“爱因斯坦 3”。根据奥巴马政府公布的摘要,“爱因斯坦 3”将利用商业科技和政府专业能力相结合的方式,实现实时的完整数据包检测,并能够基于威胁情况对进出联邦行政部门的网络流量进行决策,在危害发生前,对网络威胁自动检测并正确响应,形成一个支持动态保护的入侵防御系统。

根据目前披露的资料,“爱因斯坦3”的入侵防御能力主要来自于美国国家安全局(National Security Agency, NSA)开发的一套名为 TUTELAGE 的系统。TUTELAGE 是一套具有网络流量监控、主动防御与反击功能的系统,用于保护美军的网络安全,相关文件显示早至 2009 年以前就已投入使用。传统基于日志的防御方法具有时效性差、通常在攻击成功实施后才能发现和应对的问题,而 TUTELAGE 可以和信号情报(SIGINT)、商业防护工具一起,协作应对威胁。TUTELAGE 通过 SIGINT提前发现对手的工具、意图并设计反制手段,在对手入侵之前拒止。即使对手成功入侵,也能通过阻断、修改 C2 指令等方法,缓解威胁。

系 统 通 过 部 署 在 国 防 部(Department of Defense, DOD) 非 保密因特网协议路由器网(Non-secure Internet Protocol Router Network, NIPRNet)与互联网连接的边界网关上的传感器发现恶意行为,并将这些行为 报 告 给 TUTELAGE。TUTELAGE使用深度包处理技术,通过内嵌的包处 理 器 (in-line packet processor) 透 明地干预对手的行动,对双向的包进行检测和替换等,从而实现对恶意流量的拦截、替换、重定向、阻断等功能。

2、网络空间攻击支撑体系

2015 年,美国《国防部网络空间战略》指出,“一旦得到指示,美国国防部(DoD)应有能力发起网络战行动,瘫痪敌对方的指挥及控制网络、与军事相关且不可替代的关键基础设施和装备(性能)”。

2017 年 12月,美国总统特朗普发布了新版《国家安全战略》,强调了网络空间中的竞争性,美国宣称会考虑采取各种手段威慑和击败针对美国的网络攻击,并“根据需求”对敌对方实施网络行动。目前已进入立法程序的《主动网络防御明确法案》也强调网络防御中的“积极”部分,允许网络空间受害者越过自身网络边界进行带有反击性质的行动,这体现出了美国在网络政策中的进攻性色彩愈加浓厚。

美国国防部认为,计算机网络对抗(Computer Network Operations, CNO)即实质操纵计算机和网络,针对计算机或其他网络本身或他们它们之上的信息、信息系统,实施攻击和防御以及两者所需的支撑行动。按照网空行动目的,可以将 CNO 划分为计算机网络防御(Computer Network Defense, CND)、计算机网络刺探(Computer Network Exploitation, CNE)和计算机网络攻击(Computer Network Attack, CNA),分别对应网空积极防御、网空情报行动和网空军事行动。

为支撑上述能力,美国开展了一系列的网络空间进攻性能力支撑体系建设项目,这些项目主要由国家安全局(NSA)负责开发和实施,其中最大的支撑架构称为“湍流”(TURBULENCE,我们在之前介绍“关键得分”X-KEYSCORE项目时曾提到),由多个系统组成,包括主动情报采集系统 TUMULT、被动情报采集系统 TURMOIL、任务逻辑控制系统 TURBINE、进攻性网空行动系统“量 子”(QUANTUM)、主动防御系统 TUTELAGE(我们在之前介绍过,是带有积极防御的 CND主要实现)、密码服务 LONGHAUL、数据仓库 PRESSUREWAVE、网络流量分析系统 TRAFFICTHIEF 和信号情报分析系统CLUSTER WEALTH-2 等。这些系统各司其职,共同支撑信息收集、情报分析、积极防御、决策控制、网络作业等网空行动的攻击性行动环节,共同构成了美国强大的网络空间进攻性能力支撑体系。

在这套支撑体系的支持下,美国的网络攻击行动才能够获得强大的后端支持,包括较完善的信号收集(从网络收集和从其合作伙伴、国防承包商、大型 IT 企业获取的各种信息,涵盖从电子邮件、视频音频、消息、社交媒体等,)、处理基础设施,包括音频、视频、邮件等大规模网络活动与个人数据库及相关加工处理机制。

3、网络空间攻击装备体系

自 2008 年以来美军已经实施了多次的进攻性网空行动,如积极防御行动“扬基鹿(Buckshot Yankee),是对美国中央司令部网络所遭受一次非常严重病毒感染事件的响应行动;针对全球手机监听的“金色极光”(AURORAGOLD)行动,通过收集关于全球移动通讯运营商内部系统的信息,以找到其漏洞,供 NSA 随后的黑客攻击使用,该计划为美国 2011年对利比亚进行军事干预提供了利方重要人物的通信信息;针对 ISIS 的“发光交响乐”(Glowing Symphony)行动,主要目标是通过关闭、篡改 ISIS 的服务器来控制 ISIS 的网络宣传能力;针对伊朗核设施的“奥运会”(Olympic Game)行动,最终通过“震网”(Stuxnet) 蠕虫,成功入侵并破坏伊朗核设施,严重迟滞了伊朗核计划,成为首个利用恶意代码对实体设施造成重大不可逆损坏的事件。这些行动展现了美国在情报作业、进攻行动和积极防御的反制与反击等方面的能力,这些进攻性能力不仅来自于完善的后端支撑体系,更来自于其强大的网空攻击装备体系。

美国的网空攻击装备体系以全平台、全功能为发展目标,并具有模块化特点,使得其能够适应于各种网络环境下的行动作业要求。

自 2013 年“斯诺登”事件开始,以及“维基解密”和黑客组织“影子经纪人”(Shadow Brokers)的不断曝光,NSA 与 CIA 的网空攻击装备体系逐渐浮出水面。

NSA 网络攻击装备库。2017 年 5月 12 日,全球爆发大规模的勒索蠕虫“魔窟”(WannaCry) 感 染 事件,我国大量行业企业内网遭受大规模感染,包括医疗、电力、能源、银行、交通等多个行业均受到不同程度的影响。“魔窟”利用了基于 445 端口的 SMB 漏洞 MS17-010(永恒 之蓝),而 2017 年 4月 14日“影子经纪人”公布的 NSA“网络军火”中就包含了该漏洞的“武器级(漏洞利用过程具有高稳定性与高可靠性)”利用程序,这是“魔窟”能够迅速感染全球大量主机的重要原因,而“影子经纪人”曝光的“网络军火”系列中还有大量的其他漏洞及其利用工具。

“维基解密”披露CIA“7号军火库”(Vault 7)。2017 年 3月 7 日,“维基解密”曝光了8761 份据称是 CIA 网络攻击活动的秘密文件。这份数据库的代号为“7号军火库”(Vault 7),泄露的文件包含7818 个网页和 943 份附件。在之后的一段时间内,“维基解密”每隔一段时间就放出一组 CIA 网络攻击武器相关文档。本次泄漏事件据称是 CIA 最大规模的机密文档泄漏事件,涉及到的代码有数亿行。

“7 号军火库”所泄露的文件包含了一个庞大的攻击装备库,其平台面覆盖非常广泛,支持的操作系统不仅包 括 了 Windows、Linux( 含 Debian、RHEL、CentOS 等 发 行 版 )、OS X、iOS、Android 等常见的操作系统,还包括了基于 POSIX 的操作系统如Solaris与 FreeBSD 等;支持的设备不仅包括个人电脑、服务器、路由器、交换机等传统网络和终端设备,也包括智能电视、手机、平板电脑等智能设备。装备功能包括了突破物理隔离、信息获取、武器定制、远程控制、监听、欺骗等可以与CIA 人力情报作业紧密结合的攻击作业能力,也包括了代码混淆、痕迹清除、文档追踪等作业支撑与行动安全保障能力。

利用全平台、全功能的网空攻击装备体系,美国能够通过物流链劫持、运营商劫持、源代码污染等实现战场预制;通过大规模信息采集形成终端、设备、软件、用户身份的信息库,绘制网络地形、寻找关键目标;通过移动介质摆渡攻击、物流链劫持、近场作业等方式突破物理隔离防线;在内网横向移动,建立持久化据点,投递载荷;通过摆渡攻击、开辟侧信道、隐信道等方式实现远程控制,最终实现目标。在针对伊朗核设施的“震网”事件中,攻击伊朗核工业网络之前,美国已经完全渗透了伊朗的核工业体系,包括设备生产商、供应商、软件开发商等,完整研究与模拟了伊朗核工业体系之后才进行载荷投递并最终对伊朗核设施进行破坏的。

三、启示与建议

今天的网络攻防处于一种防御方更加透明、攻击者更加隐蔽的状态。具有国家行为体为背景的攻击者可以无节制承担攻击成本和动用资源,攻防双方进一步朝着不对等化发展;而且,一旦国家行为体的网空进攻性能力向恐怖组织等非国家行为体扩散,可能会造成灾难性的现实后果。

面对国家级攻击行为体,应当以敌情想定为前提,从对外和对内两个方面出发,一方面持续分析国外网络空间能力进展,充分了解对手;另一方面,我们也应意识到只有采取系统化的应对策略建立有效的能力体系才能应对系统化的进攻,所以必须积极推进军民融合,整合产业先进有效的技术能力,建立国家级防御体系。

在基础结构安全方面,需要设计合理的网络架构,增强网络的可管理性,认真落实漏洞与补丁管理、策略管理、统一信任管理等安全措施,并通过合理配置与安全加固,收缩攻击面,提升对手获得控制权的难度与成本。

在全面纵深防御方面,要确保安全防护措施与信息系统物理和环境、网络和通信、设备和计算、应用和数据等各个逻辑层次深度结合,并全面覆盖信息系统的每一个角落,在对手可能的通信路径上,设置多个安全监测点与防御点,并通过合理的安全规则设置(如防火墙规则等),进一步限制对手的行为。同时,坚持“面向失效的设计”理念,考虑每一项安全手段失效的“后手”,做到层层防御,提高发现威胁的可能。对于某些高信息价值、高防护等级的网络来说,可以根据业务情况,构建基于白名单的安全环境,限制程序、主机的网络访问行为,对于白名单规则以外的访问行为一律认为非法。

在基础结构安全和全面纵深防御的基础上,需要建设全面持续的监测系统,通过对信息的汇聚和分析,实现全天候全方位的态势感知能力,同时结合内外部威胁情报,及时发现威胁,并依靠相应的安全团队和响应与处置系统,进行威胁猎杀,及时止损。

1)一方面必须建立并落实资产管理、漏洞管理、漏洞分析、补丁分析、补丁验证等全方位的安全运行机制,树立“关键信息基础设施上不允许存在敞口漏洞”的准则,解决如何给已发现漏洞打补丁的问题,以及解决如何给无法修补漏洞配备有效缓解防护措施的问题;

2)另一方面,需要通过将网络安全能力与信息技术基础设施和业务应用系统进行深度结合并实现全面覆盖,依托动态综合的防御体系应对利用零日漏洞的高水平攻击行动。例如:对关键信息基础设施中的系统、软件等进行安全配置加固,收缩攻击面,减小漏洞被利用的可能;建立全面覆盖的纵深防御体系,增加发现威胁行为的机会;落实通过情报驱动的态势感知体系,积极发现威胁,进行威胁猎杀,及时缓解攻击行动的影响,降低损失等。

 

声明:本文来自网络安全新视野,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。