我的位置 首页  >  新闻动态  >  国内新闻

美国网络空间攻击与主动防御能力解析(总结篇)

来源:科技成果转化中心时间:2018-12-15
      

编者按为维护我国网络空间主权,保障网络空间安全,实现网络强国的战略目标,必须高度重视网络安全工作。知己知彼,才能百战不殆。美国的网络空间安全体系走在世界前列,本刊与安天研究院合作推出系列文章,深入解析“美国网络空间攻击与主动防御能力”,希望通过层次化地揭示美国网络空间信息获取、进攻与防御能力,尽可能清晰地展现美国在网络空间安全领域的能力体系,为我国网络空间安全发展提供有益参考和借鉴。



美国网络空间攻击与主动防御能力解析

(总结篇)


安天研究院


从网络情报作业到军事行动,从网络空间攻击方式到网络主动防御计划,美国在网络空间具备自身的能力优势与特点,面对体系化作业的超级网空威胁行为体,必须以体系化的防御来应对体系化的进攻,建设以态势感知为核心的威胁情报驱动的动态防御能力体系,不断提升网络安全水平。


习近平总书记在网络安全和信息化工作座谈会上指出“网络安全的本质在对抗,对抗的本质在攻防两端能力较量。”在这个过程中,对于网空威胁行为体,特别是以美国情报机构为代表的超级网空威胁行为体的认知就构成了我们建立自身防御能力和威慑能力的重要前提。与传统战争领域相同,网络空间的博弈对抗也要建立客观充分的敌情想定,深入分析敌我当前的体系、能力、态势、装备、编制、战法等相关因素。要在未来的博弈竞合中占据主动,既要发挥我们的传统优势和积累,又不能拘泥于原有的视野和惯性;既要把美方作为一个超级网空威胁行为体来对待,又要把其作为一个能力引领方来看待。为此在过去的近一年时间里,我们用了11 期的篇幅,对美方的大型信号情报获取项目、网空安全积极防御体系、网空进攻性支撑体系、网空攻击装备体系等分别进行了展开介绍,并对未来的能力演进进行了分析,从多个角度呈现了其在网络空间的强大能力。在本期中,我们将总结美方在网络空间的能力优势和特点,并对应如何建设相应的防御能力提出我们的思考。


在网络空间的各个维度,美方都代表了最强能力。在复杂的组织、庞大的人员规模和充沛的安全预算保障下,美方建设了一系列大型工程系统,形成了支撑网空行动的工程体系,并依托这些工程体系,将情报获取、积极防御、进攻作业以及相关的支撑环节等网空能力逐步整合成为整体的国家能力。


美方全球信号情报获取节点分布


美国具有国家安全至上的传统,随着国力发展,逐渐将全球无死角的监听与情报作业能力视为其全球利益和霸权的基石。从上世纪 40 年代开始,美国陆续通过“三叶草”、“尖塔”等计划,建立了对电报电话系统的监听存档机制,并从上世纪 60 年代开始建设以“梯队”为代表的各类信号情报获取系统,以形成情报网络基础。通过大型海底光缆监听重点特殊区域监听计算机网络利用(CNE)运营商入侵卫星监听第三方情报共享等方式,美方能够在全球范围获取包括电子邮件、文件传输、语音通话、网络访问、短信、传真、电报等在内的各类网空信号情报,形成了网空作业的“先天优势”。特别是对于海底光缆和运营商的窃听,使美方在信号获取和投入侧都具备了无与伦比的隐蔽性掩护和反溯源性优势。


为实现对特定区域、目标,特定类型信号情报的获取,在大型信号情报获取系统的基础上,美方开展了大量针对性的信号情报监听项目,被斯诺登曝光的美国国家安全局(NSA)的“棱镜”项目就是其中的代表。据不完全统计,近年来被披露的美方信号情报监听项目已超过 30 个。通过这些监听项目,美方就可以实现对全球互联网人员目标、信道目标、设备目标等完整的画像,从而形成比较精准的目标定位能力。


在覆盖全球的信号情报获取能力基础上,美方建立了以“湍流”为代表的进攻性能力支撑体系,通过被动信号情报获取主动信号情报获取任务逻辑控制情报扩散与聚合定向等情报相关的能力模块,实现完整的网空情报循环,并结合“监护”、“量子”等相应的网空攻防能力模块,进一步实现情报驱动的网空积极防御和进攻行动。


在美方整个的情报作业到军事行动中,美方并不认为网络空间是一个独立的例外空间。而是将其整合为相对统一的情报作业思维和战术方法论之中,是将网络作业作为传统情报作业在网络空间中的延伸,将网空能力视为对传统物理域能力的叠加和增益。美国网空司令部认为“物理领域的优势很大程度上取决于网络空间的优势”,因此美方并没有单纯的网空作业的概念,而是强调多域联合和跨域切换。美方基于一套成熟的网空威胁框架来统筹攻击作业,指引威胁猎杀。这一框架,由管理、准备、交互、存在、影响、持续进程在内相关环节构成,美方对其进一步细化,形成了对应的字典式指南。



美方网空作业技术流程

与部分工程和装备作用的映射


美方究竟采用哪种作业方式或作业组合是由希望达成的目的和不同方式的效果决定的。因此,在美方的网空进攻作业中,往往采用人力近场作业物流链劫持电磁中继社会工程学等多种方式相结合,实现作业目的。在作业入口与突破点方面,美方借助其网络目标画像、定位能力和全球部署的信号情报监听节点,实现互联网目标的快速识别和流量注入,进而将恶意代码通过浏览器打入上网用户的节点中。对于非上网用户,美方也能够通过其他作业方式,依靠各类针对性的网空攻击装备,对物理隔离网络进行突破,之后在进行横向移动。美方的网空攻击装备体系具有制式化、全平台、全能力特点,从美方的装备研发思路来看,始终确保攻击装备的全 IT 场景覆盖能力,针对各种端点设备、网络设备、网络安全设备研发储备 0Day 漏洞攻击工具,和对应的恶意代码。美方所使用的恶意代码,基于一个可扩展的模块化框架,对功能进行细分到原子化的设计。同时依托精致、严密的指令体系进行细粒度的作业控制。保证作业的隐蔽性、谨慎性,减少木马被完整捕获的可能性,并有效穿透端点主动防御软件。


在网空积极防御方面,美方建设了以 NSA 的“守护”为代表的积极防御体系,通过国家级的信号情报能力,提前获知对手的攻击意图、技术、工具等信息,将相应规则部署到边界的高速深包处理设备,在对手发动进攻时及时发现,快速响应。对于高“价值”的对手入侵行动,通过边界的高速深包处理设备将对手引入能够高度模拟其网络的“网空欺骗环境”中,与对手进行“隔空对抗”,诱导出更多情报,并在需要时进行反击。美方在网空防御方面十分重视利用民间技术和产品,高度尊重网络安全产品和服务价值规律,以 NSA 为例,商用网络安全产品是构成其防御体系的重要一环。但商用安全产品和企业,并非美方防御能力的最强点。在这些商用产品基础上,其形成了对威胁实现理解和环节整体防御框架体系,并进一步与国家战略情报相互协同。将战略情报通过能力框架脱敏转化为可公开的防御规则和信标。同时,NSA 提出了“鲨鱼先知”积极防御计划,通过与安全厂商共享威胁情报,提高整体态势感知能力,进而实现更加有效的高级威胁发现和快速响应。此外,旨在保护政府网络系统安全的“爱因斯坦 3”计划中,其入侵防御能力就来自于 NSA。美方通过军用安全能力和商用安全能力的深度结合,不断完善防御体系,提升防御能力。


面对体系化作业的超级网空威胁行为体。我们应该如何应对?首先,我们需要意识到,网空对抗是常态化的进行时,其没有非常清晰的平时与战时的差异。因此网空威慑模型不是类似“核威慑”以后果不可承受达成“互不使用”模式,而是体系化的攻击与体系化防御的持续对抗模式。必须以网空防御能力建设为基本盘,以强大的防御实现减少对手的可攻击面、削弱对手的行动能力、提升对手的攻击成本,并进一步通过反制能力提升对对手的威慑。面对复杂的安全形势,重要信息系统和关键信息基础设施的防御水平的高低会在关键时刻决定国家战略的主动程度。


对于关键基础设施和重要信息系统,有效的敌情想定是做好网络安全防御工作的前提,要围绕“敌已在内”、“敌将在内”建立极限化的敌情想定。高级威胁行为体有突破目标的坚定意志、充足资源和充分的成本承担能力;防御者所使用的所有产品和环节,是攻击方可以获得并测试的,任何单点环节均可能失陷或失效,包括网络安全环节;信息系统规划、实施、运维的全生命周期都是攻击者的攻击时点;供应链和外部信息环境都是攻击者可能的入手点;攻击者所使用的攻击装备有较大可能是“未知”的,即对于防御方以及防御方的支撑维护力量(如网络安全厂商)来说,是一个尚未获取或至少不能辨识的威胁。同时,敌情想定要深入结合目标场景,避免将防御的重点和成本始终投入到容易看见或容易理解的威胁中去,而脱离了高级网空行为体带来的更隐蔽、更致命的威胁。


对于网络信息系统这样的一个复杂系统,不可能靠一个单点技术变革和单点创新,或产品堆砌来应对安全问题,必须以体系化的防御来应对体系化的进攻,网络防御没有“银弹”和“永动机”。在网空安全防御体系建设工作中,根据网络安全研究机构 SANS 所提出的“滑动标尺”模型,安天参与将其翻译引入国内后,国内多家能力型厂商此基础上在取得共识后进行了延伸拓展,安天在其基础上进一步提出了叠加演进的网络空间安全能力导向建设模型。滑动标尺的基本模型将网空安全能力分五大类别,其中基础结构安全纵深防御积极防御威胁情报等四大类别的能力都是一个完善的网络安全防御体系所必须的,而反制能力则是应当由国家级网空安全防御体系提供。在这些网络安全防御能力的支撑下,通过实战化的网络安全运行,实现全面完善的网空安全防御。


叠加演进的网络空间安全能力模型


具体来说,在基础结构安全和纵深防御方面,重点要保障安全能力的“深度结合、全面覆盖”,即安全防御能力与物理、网络、系统、应用、数据与用户等各个层级的深度结合,并将网络安全防御能力部署到信息化基础设施和信息系统的“每一个角落”,最大化覆盖构成网络的各个组成实体。在此基础上,建设以态势感知为核心的威胁情报驱动的动态防御能力体系,做到“掌握敌情、协同响应”,重点是在敌情想定的基础上提升网络系统的可弹性恢复水平,特别是依靠具有动态特性的积极防御能力,在威胁情报能力的驱动下,通过全面持续监控发现威胁踪迹,并针对潜伏威胁展开“猎杀”行动,从而发现并消除威胁。此外,还要加强网络安全防护运行工作,将安全管理与防护措施落实前移至规划与建设等系统生命周期的早期阶段,将态势感知驱动的实时防护机制融入系统运行维护过程,支撑起协同联动的实战化运行,实现常态化的威胁发现与响应处置工作,不断提升网络安全水平。


本文是本系列专栏文章的最后一期,限于篇幅所限,还有大量内容没有完全展开,同时在文章写作过程中,虽然我们力求严谨,但水平有限,避免不了可能存在各方面疏漏,请广大读者谅解。感谢您一直以来对本专栏的关注,希望我们的工作能够为我国的关键基础设施和重要信息系统的网络安全防护工作提供有益借鉴和参考。



文章来源:网信军民融合



       (科技成果转化中心供稿)