分享好友 资讯首页 资讯分类 切换频道

全球防务观察:网络空间对抗演进趋势

2019-02-13 07:1284350网信防务

网络空间对抗演进趋势

总结三个趋势:国家化、武器化、大数据化,主要体现在国家网络安全框架和方法论、漏洞国家储备、国家网络应急机制等方面。

当前,网络空间已经成为继陆、海、空、天之后的第五大主权领域空间,是国际战略在军事领域的演进,对网络信息时代国家安全提出了严峻的挑战。随着网络空间战略地位不断凸显,美国等发达国家积极推进网络空间军事化,组建专门的网络作战部队,发展先进网络武器,网络空间对抗呈现主体国家化、手段武器化、重点大数据化趋势。

一、网络空间对抗主体呈现国家化趋势

图 “Hacking Team”公司黑色生意分布

2015年以来,国家行为体实施的大规模网络监控和网络攻击对国际局势的稳定带来不良影响。比如,俄罗斯卡巴斯基公司指责美国“方程式小组”通过植入间谍软件,感染伊朗、俄罗斯、中国等30多个国家的军事、金融、能源等关键部门的上万台电脑。意大利“Hacking Team”公司逾400G的数据被公开后,表明美国、摩洛哥、埃塞俄比亚、阿塞拜疆、乌兹别克斯坦、科威特、巴林、印度、以色列和格鲁吉亚等20多个国家的机构向其购买了网络间谍和漏洞工具。

(一)制定国家网络空间安全战略。美国早在2009年就从国家层面发布网络空间安全策略。2017年12月,美国总统特朗普发布了新版《国家安全战略》,进一步强调了网络空间的竞争性,宣称美国将考虑动用各种手段以威慑和击败所有针对美国的网络攻击,并“根据需求”对敌对方实施网络行动。2017年11月,白宫国土安全顾问汤姆•博塞特透露,美国正计划制定新的网络安全战略,主要内容包括:提升计算机网络安全性;利用政府资源更好地保护关键信息基础设施;在网络空间建立良好行为规范,同时惩治不良行。2018年3月,美国网络司令部在互联网公开其指挥战略愿景文件《获取并维持网络空间优势》。这份指南指出:要取得在陆海空天等物理领域的军事优势很大程度上取决于在网络空间领域所能取得的优势,把网络空间领域的军事优势争夺的重要性提升到了一个全新的高度。

英国发布新版《国家网络安全战略(2016-2021)》,规划了未来网络安全发展路线图。德国发布一项新的网络安全战略计划,加强应对针对政府机构、关键基础设施、企业以及公民的网络威胁。俄罗斯发布新版《信息安全学说》,提出全新的国家安全战略,制定了新的战略目标。澳大利亚发布年度修订版《国家网络安全战略》,推出联合网络安全中心计划。

(二)构建国家网络空间对抗力量。2017年,美国在网络空间安全的组织机构与部队建设方面继续发力,新型网络部队与指挥机构基本成型。2017年8月,美国总统特朗普宣布,将美国网络司令部升级为美军第十个联合作战司令部,地位与美国中央司令部、战略司令部等主要作战司令部持平。在此意义上,美军网络部队将成为一个独立军种,今后将无需通过相关军种,可直接指挥麾下所属各个军种部队。2017年11月,美国陆军网络司令部与美国海军网络司令部先后发表声明,41支陆军网络任务部队与40支海军网络任务部队都已通过美国网络司令部的完全作战能力验证,这意味着他们已达到作为美国网络任务部队组成部分所必需的人员配备、能力和培训要求。美国网络司令部下属133支网络任务部队(陆军41支,海军40支,空军39支,海军陆战队13支),按计划在2018年9月30日前扩军至6200人,并具备完全作战能力

美国网络司令部功能划分及网络任务部队作用

此外,俄罗斯、德国、日本、韩国、澳大利亚等国家纷纷加强网络作战能力部署。俄罗斯宣布已经建立负责发动信息战的专业部队。北约协作网络空间防御卓越中心发布《塔林手册2.0》,将原先用于处理网络战争的法律拓展到和平时期网络行动的国际法规则。德国军方宣布成立网络与信息空间司令部,与陆军、海军、空军并列,共同构成德国联邦国防军体系。韩国空军组建总管网络安保工作的网络防护中心,将部队现有分散的网络防护部门进行整合。新加坡将成立国防网络署,加强国防部的网络安全管理。菲律宾武装部队将对武装部队体系和网络结构进行重大改革,加大网络防御能力建设。中国台湾地区当局有意组建网络部队作为武装部队的第四个军种单位。

德国国防军(Bundeswehr)已经在2017年初正式组建网络与信息太空司令部,预计该指挥机构的参谋人员规模将达到1.5万人。

日本国家网络空间安全力量建设情况

阶段

代表性成果

说明

2000~2003

酝酿阶段


2000年实施《反黑客法》

延续99年制定的《反黑客对策计划行动》

2003年《日本计算机安全总体战略》

以美国2003年的网络空间安全国家战略为蓝本

2004~2009

确立阶段


2005年组建跨海陆空三军的“网络战部队”

确立并逐步完善网络空间安全战略

2006年发布《第一个国家信息安全战略》


2011~至今

稳步推进阶段


2011年发布《保护国民信息安全战略》

重点保护铁路、金融等基础设施;战略目标是2020年前实现“信息安全先进国”


2013年制定《网络安全战略》、组建自卫队“网络防卫队”

与此同时,日本防卫省也在加快建设网络作战军事力量的步伐。8月20日,日本《每日新闻》引用日本防卫省官员称,日本陆上自卫队西部战区将组建网络防御部队,这将是陆上自卫队第一支部署于地区部队的网络作战单位,任务是确保军事通信系统网络安全,甚至将为部署在遥远岛屿上的作战人员提供安全通信能力。据估计,日本的军事网络作战力量有望在2019财年3月达到430人左右。事实上,日本早在2014年就组建了第一支由90名军事人员组成的网络防御单位,并在2017年通过了将其网络防御单位规模大幅增加至1000人的计划,并且新成立一个专门研究网络战技术的工作小组。

(三)推动网络空间漏洞的国家储备。网络空间漏洞是计算机系统的硬件和软件、网络通讯协议、网络系统安全策略方面存在的缺陷,攻击者能够在未得到授权的情况下,利用这些缺陷,访问网络,窃取数据或操控数据,或是瘫痪网络的功能,甚至是对网络系统制造物理性破坏。

美国国防部对“漏洞”的定义是,易受攻击性或利用信息安全系统设计、程序、实施或内部控制中的弱点,不经授权就可获得信息或进入信息系统。这里的关键词是“弱点”,是“系统缺陷或者脆弱性、威胁对系统缺陷的接入能力、攻击者利用系统缺陷的能力”三要素的交集。

据统计,平均每1500行代码就会有一个漏洞,而随着电脑程序代码规模越来越庞大,客观上漏洞是不可避免的,并且数量在不断增多。除此之外,还有大量故意预置的后门,比如美国垄断CPU芯片、操作系统等关键核心软硬件技术,向全世界出口产品时预置后门,这些后门就是漏洞,关键时候漏洞就是其突破对方网络系统的武器。

2017年5月12日20时左右,全球互联网爆发了一场大规模病毒感染事件,肇事者是一款叫“Wannacry”的勒索软件,中毒电脑文件会被自动加密,解密需支付300美元的比特币。据悉,这是美国国家安全局网络武器库泄露后,首个利用漏洞进行网络攻击的全球性事件。网络黑客组织Shadow Brokers声称盗取了美军的网络武器库,并以7亿美元的天价叫卖。此次勒索病毒攻击,就是其利用泄露了的网络武器库中“永恒之蓝”这个漏洞发起的。从网络武器库泄露的情况看,美军已经成规模地研制、储备了大量的网络武器,这些网络武器都以漏洞利用为基础。漏洞,成为网络空间最大的安全隐患。

欧美等发达国家对漏洞库的研究较早,并拥有了一批在国际上颇具影响力的漏洞库,如美国国家漏洞库、美国US-cert、澳大利亚的Aus-CERT、丹麦的Secunia、法国的VUPEN。我国国家漏洞库CNWVD已于2009年11月正式运行。这些漏洞库之间执行共同标准,相互合作,强调提供基于漏洞信息的工具和修复,有效支撑力漏洞信息的国家共享与披露。  以美国为例,美国政府部门、安全组织、商业公司即各司其职又深入合作,各机构保持高度的信息共享,各机构的漏洞库互为补充,才组成一个完善的体系。国土安全部的US-cert广泛协同联邦各部门、安全组织和商业公司,发布详尽而权威的漏洞信息和公告。开放安全基金筹建的“开源漏洞库”,是一个独立和开源的漏洞库。赛门铁克公司的“SecurityFocus漏洞数据库”公布的漏洞包含很多技术细节,广受技术人员和安全爱好者的青睐,该数据库活跃着全球众多安全团队的自身专家,是国际上许多漏洞库的数据来源。VeriSign公司的iDEFENSE漏洞顾问数据库以期“VCP”能持续高效的发现漏洞,掌握着相当数量的0day漏洞,使其能够提供有关系统隐藏的、先前未知的漏电的即时独特的见解。

2017年12月,“白帽黑客”与美国军事网络专家联合组织了黑客马拉松Bug赏金活动——H1-212。来自美国、加拿大、英国、瑞典、荷兰、比利时以及拉脱维亚的25名超一流黑客,配合多位军事网络专家,渗透至美国空军的关键网络中,探寻各类可能给美军300多个分支机构在线运行造成风险的安全漏洞。美国空军首席信息安全官彼得•金表示,“此次Bug赏金活动让美军大开眼界,美国与伙伴国家的合作为美军挑选优秀人才带来宝贵的成本效益。”2017年6月,美国空军举办了首届Bug赏金计划。当时,美国国防部邀请安全研究人员、军人、“五眼”(美国、英国、加拿大、澳大利亚和新西兰)情报联盟的“白帽黑客”侵入空军网络,发现了207个有效漏洞。此前的美国国防部“黑进五角大楼”计划共发现138个漏洞,而美国陆军的“黑进陆军”也找出118个漏洞。

表:微软致谢榜统计(2009年至今)

漏洞挖掘能力是安全企业综合实力的具体体现,传统的安全软件以防范病毒和木马为主,无法有效防范漏洞攻击。只有当漏洞被黑客大规模攻击时,安全软件厂商才有机会监测到漏洞,这种滞后响应的方式已经无法适应新的安全形势。

近年来,360通过大量人才和技术积累和储备,漏洞挖掘能力已经成为全球安全行业的领导者,本次微软修复的66个漏洞中,有近1/3都是由360独立挖掘的。目前360不仅是微软MAPP(主动防护计划)合作伙伴,也是我国CNNVD(中国国家信息安全漏洞库)的核心支撑单位。多机构评测漏洞防护能力,360均排名第一

(四)建立国家各级网络应急机制。针对中期选举可能面临的网络威胁,美国国土安全部在2018年8月中旬举办了第一次国家选举安全网络桌面推演活动,参与单位包括44个州政府、国防部、司法部、国家安全局以及美国网络司令部等相关机构。在为期3天的推演中,这次桌面演习主要围绕新闻和社交媒体操纵、针对特定选举相关人员的网络钓鱼、干扰投票注册信息系统和程序、针对选举网站和网络应用的一般网络攻击、恶意软件感染影响选举投票机和选举管理系统、针对各州和县级选举网络的入侵等现实世界威胁以及潜在网络风险等局势展开。

2017年4月,美国国家安全局(NSA)牵头举办“网络安全防御演习”(CDX)。本年度演习将重点关注进攻性入侵、恶意软件分析、主机取证和防止无人机被攻击的相关任务,还包括无人驾驶地面车辆和小型航天卫星之间的数据传输。CDX创立于2002年,是培养美国国防部网络力量的一项重要活动。美国发布《联邦网络安全人才战略》,要求培训、招募、留住优秀网络安全人才,并为人才发展配套所需资源。美国国土安全部举办了100次工业控制系统网络安全培训课程,超过4000名人员接受了专业培训。

英国政府将开设国家网络安全学院,约40%的课程将涵盖网络研究。英国政府通信总部在全国范围内开展一项面向13岁到15岁女孩的网络安全竞赛,以选拔具有网络技术天赋的女情报人员。日本“国家网络训练中心”启动青少年网络人才培养计划,培养高尖端青少年网络技术人员。日本在全国开展网络防护培训,加强重要基础设施防御网络攻击的能力。澳大利亚国防部将在全国范围内招收青少年网络高手、年轻黑客和低至14岁的高中生,参与国家网络安全防护。在大学中设置专门课程,培养情报分析师。各国还通过举办安全竞赛选拨人才。

二、网络空间对抗手段呈现武器化趋势

在短短十数年间,网络空间对抗手段的顶级模式,已经由简单的泄愤式宣传和偷窥式窃密,进阶为某一国家主体/国际组织基于自身利益的考虑,对另一国家主体/国际组织的某种特定能力(经济、军事、行政等)进行破坏与瘫痪的军事行动。网络空间对抗手段也有个别黑客和恶作剧者开发的小程序和恶意代码,演化为国家组织研发列装的武器。

(一)发达国家推动网络空间武器化。美国等军事强国为抢占网络空间控制权,依据自身信息技术优势发展网络空间武器,成为推动网络空间武器化的作俑者。2017年,美国空军一方面优化网络空间管理机构,完善武器系统的网络安全管理,一方面加紧技术研发,旨在开发网络指挥控制任务系统,提升部队网络战斗力。2017年1月,美国空军宣布在马萨诸塞州汉斯科姆空军基地设立“武器系统网络弹性办公室”(CROWS)。该办公室将协调美国空军武器系统的网络安防工作,使之免遭各种网络攻击,并支持与网络空间能力相关的武器系统采办工作(包括武器系统的设计与发展工作),监管现有武器系统的作战安全性,开展与网络安全相关的维护和训练。

2017年3、4月间,美国空军先后与雷神公司、诺斯罗普•格鲁门公司和博思艾伦汉密尔顿控股公司签订总额2800万美元合同,建造网络指挥和控制任务系统(C3MS),从而提高部队网络攻击能力。CM3S位于圣安东尼奥拉克兰空军基地,这里也是负责运行并防御美国空军网络的美国空军第24航空联队所在地。C3MS作为一种顶层系统,主要负责指挥和控制美国空军的网络空间防御武器系统、网络安全和控制系统计划、空军内联网控制系统。C3MS不仅能加强美国空军网络安全和信息处理系统的保护,还覆盖了进攻性网络空间行动、广泛的现实世界和网络域监控能力,并与包括美国网络司令部在内的关键网络指挥部门展开紧密合作。美国空军表示,C3MS系统可向世界各地的战斗指挥官提供永久作战支持,从而将美国空军的到达能力、影响力和警戒性扩展至全球网络域。其中,诺斯洛普•格鲁门公司将负责开发网络任务平台(CMP)。该平台是空军进攻性网络操作的硬件和软件托管平台。雷神公司负责建造C3MS操作中心,而博思艾伦公司负责研究将高功率电磁环境应用到空军网络战和电子战中。按计划,C3MS将于2018年4月完成。


(二)网络空间武器呈现迅猛发展态势。根据各国公开的网络空间战略和当前的网络武器库分析表明,在继承现有的网络武器特征的同时,新型网络武器还具有以下发展趋势。

一是创新驱动网络武器的研发。未来的网络武器也不仅仅是对网络、系统的攻击,而是可能直接作用于人。当前,美军研发的“电子生物”武器,能吞噬计算机电子器件,并使电子线路绝缘,直接破坏物理设备;美军委托ACC软件公司研制的“神经电子”武器,可导致显示屏产生不易让人觉察的闪动,从而使面对雷达屏幕、电脑显示器的操作员产生神经性头痛,损坏视觉细胞,直接破坏人的正常机理。网络攻击的路径不再局限于互联网,向跨网渗透迈进,诸如“微波炸弹”“电磁脉冲”等。美军DARPA资助的“基础网电作战X-Plan”等计划,均突出了无线注入、频谱压制等方式对物理网络实施攻击。

二是智能化成为网络武器作战效用的倍增器。随着机器学习、人工智能等技术的应用,网络武器将具备“反侦查、智能感知与决策、工具变异”等特点。反侦查能力增强武器的隐蔽性,使得网络管理人员和网络安全专家难以发现和了解其攻击行为。智能感知与决策是指网络武器具备环境感知能力,可以根据环境自适应地选择或预先定义决策路径来完善模式和行为,通过学习成功经验以提高攻击的成功率和有效性,不再以单一、确定的顺序执行攻击步骤。工具变异是指网络武器已经发展到可以通过升级或更换工具的一部分迅速改变自身,进而发动迅速变化的攻击,且在每一次攻击中会出现多种不同变体的攻击工具。

三是对抗手段由点对抗向面对抗转变。网络武器将由局部效用转化为战略效用,“邮件门”改变了美国大选,“颜色革命”颠覆了国家政权,这些攻击无不显示出网络武器的战略效用。近年来,社交网络、移动通信网络等新兴网络媒介在“占领华尔街”运动等事件中,发挥了重要的组织和策划作用,对国家公共安全和稳定造成了严重威胁。美国国防部对此推出了“信息、生物、网络和认知等交叉融合”的基础研究项目以探索人类获取信息的认知机理,从战略角度预测,未来的网络武器可以通过影响人的认知机理来操控舆论,甚至操控重要人员的决策以改变局势。

四是攻击目标向移动终端和物联网转移。智能手机、物联网等逐渐成为了人类生活不可或缺的一部分,甚至产生了依赖性,正因其如此重要,也会逐渐成为网络武器攻击的目标。臭名昭著的Mirai僵尸网络对网络摄像头和家庭路由器等不安全物联网设备中的登录漏洞进行攻击利用,并且发起了迄今为止已知的规模最大的DDoS攻击。除了被用于拒绝服务攻击,被攻破的物联网设备还可用于窥探他人隐私、勒索所劫持设备,或者被利用作为攻击该物联网设备所连接网络的渗透窗口。缺乏必要安全防护措施,存在大量设计与实现缺陷的移动设备和物联网,已成为网络攻击者的武器弹药,有朝一日,无人驾驶汽车、智能微波炉等在攻击控制下都有可能成为远程遥控炸弹。

二、 网络空间对抗重点呈现大数据化趋势

大数据是网络空间内在的特征。大数据在新的科技革命,特别是在“云、物、大、移、智”等新技术新应用领域中处于核心地位。网络空间安全有多个层次和多个角度,其中数据安全是网络空间安全核心内容。

(一)大数据带来网络空间安全新风险。包括剧了隐私泄露风险、基础设施面临严峻安全威胁、大数据成为网络攻击的重要目标和大数据技术成为网络攻击的手段。

一是大数据加剧隐私泄露风险。个人隐私信息主要包括个人身份信息、财产信息、位置信息、社交信息、健康信息等。大数据环境下,如果隐私信息未被妥善地处理,很可能会对用户的个人隐私造成极大的侵害。大数据环境下,个人隐私泄露一方面涉及个人隐私信息自身的泄露,另一方面,也是更大的风险,就是根据对用户的以往大数据分析,从而对用户的行为和状态进行推断、预测,对用户隐私产生极大的威胁,甚至被用于实施精准营销甚至网络诈骗等,对人们的正常生活造成了严重干扰,甚至会威胁社会生活的正常秩序。

今年8月7日,美国国防部正式发布禁令,要求所有进入敏感基地、高危险等级作战区域的军人及相关国防承包商不能使用健身类软件和手机应用,这是国防部第二次正式要求美军各级指挥官采取措施避免敏感军事信息泄露。今年1月,美国从事GPS追踪业务的企业Strava发布了一份反映该公司健身软件服务情况的地理位置卫星数据图,这份热力地图基于2015年至2017年9月的数据,将使用人员较多的区域标注为高亮色,结果除了人口大量集中的地区外,美军正在中东地区执行作战任务部队所处基地在地图上也几乎全部显现出来。

8月26日,以色列新闻机构发布消息称,以色列国防军数十万军人的个人敏感信息遭到泄露。根据以色列安全局(Israel Securities Authority)的调查报告,攻击者自2011-2014年间,通过网络钓鱼获取了大量军事人员的个人敏感信息,并出售给市场营销企业和其他第三方组织以获取利益。

二是大数据中心成为高价值目标。大数据中心是大数据安全运行的主要载体和重要基础,具有分布式、虚拟化等特点。作为大数据的支撑平台—云计算安全面临着严峻的安全威胁,随着云计算的发展,数据在采集、传输、存储、处理、共享、使用、销毁等环节上进一步集中,大数据在云端的集中存储必然会导致数据安全的风险加剧,大数据基础设施遭受网络攻击的机会增多,从而影响大数据基础设施的正常运行。

数据中心的安全早已不是新鲜话题,尤其是进入云时代的数据中心,云架构让数据中心的安全边界崩塌,一切都可能渗透到云上的安全威胁,这是数据中心面临的最大安全问题。由于数据中心都托管和处理着海量高价值的数据信息,包括个人客户数据资料、财务信息和企业商业机密等,最容易成为网络犯罪活动的攻击目标。

传统数据中心面临的外部威胁主要是黑客攻击、木马蠕虫、病毒破坏、数据传输遭窃、非授权访问等;内部威胁主要是管理权限僭越、病毒二次扩散、内网IP欺骗、ARP欺骗等。  随着云计算技术的发展与应用的推广,云计算的风险也在发生变化。CSA分析了云计算的风险,提出了云计算的新的风险是:数据破坏、数据丢失、账户劫持、不安全API、拒绝服务、恶意的内部人员、滥用和恶意使用、审查不足、共享技术问题。

三是大数据技术成为网络攻击的手段。由于大数据包含了丰富全面的信息,黑客通过收集海量的用户隐私信息,运用大数据技术对特定目标发起精准攻击成为可能。数据挖掘和分析等大数据技术被用于网络攻击手段可发起高级可持续威胁(APT)攻击,通过将APT网络攻击代码隐藏嵌入在大数据中,进而利用大数据技术发起僵尸网络攻击,能够控制海量傀儡机进而发起更大规模的网络攻击,严重威胁网络信息安全。

2016年1月,保监会发函通报信诚人寿存在内控缺陷,要求进行整改。通报说明信诚人寿保险公司面临泄漏数以万计的客户银行卡号、密码、开户行地址、身份证等敏感信息的风险。2016年3月,全球有三分之二网站服务器在用的开源加密工具OpenSSL爆出新的安全漏洞“水牢漏洞”,这一漏洞允许“黑客”攻击网站,并读取密码、信用卡账号、商业机密和金融数据等加密信息,对全球网站产生巨大的安全考验。2016年4月,网络威胁情报监测平台报料,称他们监控发现有1.5万名Jeep车主信息遭到泄露,资料包括买家姓名,住址,联系电话,购买车型等信息。进入5月,俄国黑客盗取了2.723 亿邮箱信息,其中包括 4000 万个雅虎邮箱、3300 万微软邮箱以及 2400 万个谷歌邮箱,黑客利用漏洞,盗取3亿6000万MySpace用户电子邮件地址以及密码。

使用大数据思想,可对现代网络安全技术做如下改进:

1、 特定协议报文分析——>全流量原始数据抓取(Raw Data)

2、 实时数据+复杂模型算法——>长期全流量数据+多种简单挖掘算法+上下文关联+知识积累

3、 实时性+自动化——>过程中的预警+人工调查

通过传统安全防御措施很难检测高级持续性攻击,企业必须先确定日常网络中各用户、业务系统的正常行为模型是什么,才能尽早确定企业的网络和数据是否受到了攻击。而安全厂商可利用大数据技术对事件的模式、攻击的模式、时间、空间、行为上的特征进行处理,总结抽象出来一些模型,变成大数据安全工具。为了精准地描述威胁特征,建模的过程可能耗费几个月甚至几年时间,企业需要耗费大量人力、物力、财力成本,才能达到目的。但可以通过整合大数据处理资源,协调大数据处理和分析机制,共享数据库之间的关键模型数据,加快对高级可持续攻击的建模进程,消除和控制高级可持续攻击的危害。

现今的防御已经不是针对过去的钓鱼、挂马,防御重点已经演变为精确的APT攻击,防御应该基于四个假设:系统有未发现的漏洞,系统有已发现的漏洞未修补,系统已经被渗透,员工不可靠。引入一些可视化的方法也会对基于大数据的安全分析产生很大帮助。谭晓生表示介绍,360的大数据分析平台采用了Hadoop和Storm,存储&计算服务器规模超过15000台,总存储数据量200PB,每天新增1PB,每天计算任务20000个,每天计算处理数据3.5PB。

原标题:关注 | 网络空间对抗演进趋势

举报
收藏 0
评论 0