北約成員國就網絡戰正式開始培訓
責編:mhshi |2016-10-21 14:06:15歐洲、加拿大、美國、澳大利亞及其它多個國家目前已經開始進行訓練性演習,旨在為可能爆發的網絡戰做好準備。在今天的文章中,我們將一同深入內部探究Locked Shields——目前規模最大的模擬網絡戰演習。
巴瑞利亞再度處于攻擊威脅之下。這座位于大西洋冰冷海水環抱之中的假想島國憑借著先進的無人機獲得大量相關營收,但最初其無人機研究實驗室受到身份不明的網絡攻擊侵擾,這迫使該國不得不利用安全專家組建起快速反應部隊,旨在了解實際情況并盡快阻止攻擊活動。
在為期兩天的模擬訓練當中,各支隊伍必須對抗針對其系統的攻擊活動、劫持對方的無人機,同時向敵對勢力發出通告。
當然,這已經不是巴瑞利亞第一次遭受攻擊:這類網絡攻擊演習每年都會舉行。當然,這也不會是該“國”最后一次受到網絡入侵。事實上,北約各國每年都會以其為假想目標組織這類防御戰爭演練,這也正是所謂Locked Shields計劃。
此次演習由北約網絡戰智囊團的愛沙尼亞分部負責組織,這是一套合作網絡防御卓越中心(簡稱CCD COE)。作為自2010年以來每年堅持進行的演習,這一行動旨在培養更多負責國家IT系統保護工作的安全專家。雖然每年的確切情況都會發生變化,但作為保護對象的巴瑞利亞(Berylia)與作為進攻方的克瑞姆索尼亞(Crimesonia)則一直充當著對壘雙方。
巴瑞利亞本身雖然是個虛構的國家,但愛沙尼亞本身卻對此類數字化攻擊活動具備第一手經驗; 事實上,就在2007年愛沙尼亞當局就提出遷移蘇聯戰爭紀念碑之后,該國銀行及政府系統就遭受到了黑客攻擊與破壞。俄羅斯方面否認其與此次襲擊事件有所牽連,但也正是此次事件加速了北約建立網絡智庫機構,其總部位于愛沙尼亞首都塔林。
今年Locked Shields組織了超過1700次攻擊,攻擊目標指向受20個團隊保護的1500套虛擬化系統。這些團隊需要各自防衛自己的在線服務與工業控制系統,從而確保其能夠抵御真實出現的惡意軟件與數字化攻擊。
這場戰爭演習由北約各成員國構建20支防御“藍隊”,負責對抗作為攻擊一方全力破壞其網絡體系的“紅隊”。另外,亦有一支由專家組成的“白隊”負責運行整套演習系統。總體來講,該演習共囊括了來自26個國家的550名人員,其中250名來自塔林核心規劃團隊,且整場行動為期兩天。
這絕不僅僅是一場龐大的網絡對抗。美國每年亦會組織自己的“Cyber Guard”網絡防衛活動,而今年其納入了來自各政府機構的近1000名參與者。其中部分人員來自英國、加拿大與澳大利亞,共同處理指向一家煉油廠、多條電網以及多座港口的網絡攻擊。另外,英格蘭銀行亦在倫敦組織起“Waking Shark”演習,此活動涵蓋了倫敦當地多家銀行。然而,Locked Shields仍然宣稱自身是全球范圍內規模最大的技術性網絡防御演習。
Locked Shields當中的各支隊伍都將獲得同樣的任務介紹,以及同一套需要防御的虛擬系統組合。雖然演習系統由位于愛沙尼亞的北約合作網絡防御卓越中心(簡稱CCD COE)負責運作,但大多數團隊都會立足于本國進行遠程登錄。各支隊伍同時但分別執行自己的防御任務,因此雖然允許在一定程度上共享部分信息,但其實質上仍然相當于同樣組織20場演習活動。
在這種情況下,各團隊都將作為快速反應小組面對被投放至研究實驗室的無人機。這意味著當演習開始之后,參與者們甚至并不清楚自己需要防御哪些系統,或者其對手是否已經成功實現入侵。
甚至參與者們能夠獲得的、與需要由其保護之各類系統相關的技術信息亦十分有限甚至可能存在誤差——這一點與真實情況非常相似,這也讓各支隊伍更難完成自己的保護任務。
“我們正在努力利用源自真實生活中的黑客入侵場景與攻擊場景,因此我們不會進行抽象性質的模擬,我們會利用與現實生活相一致的操作系統,”Locked Shields 2016場景負責人Rain Ottis博士表示。
“我們希望看看他們如何以團隊形式處理模塊環境下的種種對抗挑戰,在這里參與者們無法確切觀察周遭場景的全貌,”他解釋稱。
而演習過程當中,情況只會變得更糟。各團隊除了需要處理輸入攻擊之外,他們還必須對針對其網絡發起攻擊的對象提出譴責。“這與我們的真實處理方式非常接近,”Ottis指出。
各防御方團隊——每支隊伍由12名成員構成——需要保護約由2000臺設備構成的、代表實際業務網絡的運營體系。藍隊方面需要保護的服務項目從網站、電子郵件及在線購物服務到多種工業控制系統皆有涵蓋。
這樣設計的目標在于始終向防御團隊施加壓力,從而測試他們能否對各類規模的網絡攻擊進行解決,這將強化其專業水平并幫助其避免真實生活中出現此類狀況。
“我們在這里擁有真實世界中的一切要素,我們設置有Windows 7、8、10以及我們的蘋果OS X操作系統,我們引入了大部分Linux版本,我們希望能夠借此還原真實世界中的操作系統類型。大家能夠在常規辦公環境下想象到的一切元素,包括軟件與硬件,我們都會努力加以模擬并展示其可能受到入侵的潛在可能性,”CCD COE技術演習主管Aare Reintam介紹稱。
“我們希望向參與者們展示一切可能在環境當中作為目標或者內部網絡入侵跳板的因素。”
“我們希望向參與者們展示一切可能在環境當中作為目標或者內部網絡入侵跳板的因素,”他指出。
這意味著從智能手機到毫不起眼的打印機,一切都有可能成為攻擊目標。“我們想要表達的是,大家必須意識到網絡之中的一切都有可能成為目標,大家必須對一切加以保護。攻擊者必然會從中選擇其一加以攻擊,”他解釋道。
因此,各團隊不僅需要保護標準PC或者服務器,物聯網亦必須成為安全威脅考量中的重要組成部分。在這一場景當中,各團隊需要保護的是一座無人機研究實驗室,這意味著他們面對的最大挑戰之一就是對無人機的命令與控制系統擁有全面掌控權——同時在失去控制權后將其及時奪回。
他們需要保護的最出乎意料的系統之一,正是一套命令與控制系統。其負責運行自身服務器機房的冷卻系統。如果各團隊失去相關控制權,那么他們的神秘敵人將會提升室內溫度,而后導致各服務器被迫關機(甚至給整場演習帶來一些戲劇性效果,例如讓電火花引燃整個模擬服務器機房)。
各團隊應當以不同方式響應種種挑戰,而面對過載網絡攻擊時的一大有效手段正是拔掉電源——這顯然是通過強制系統離線的方式對其加以保護。不過這種作法在本次演習中毫無意義,因為各團隊的目標正是保證各系統正常在線且持續運作——即使他們有著其它優先考慮。
對于Reintam而言,這正是本次演習的核心意義之一:“我們將教會他們如何保護我們的生活方式。我們必須繼續保持正常的生活習慣,包括早上醒來后開燈、放水、煮點咖啡,邊瀏覽新聞邊喝上幾口……生態系統中的每個環節都非常重要,參與者必須對其加以保護。”
如果沒有紅隊,這場演習自然也無法正常進行,這支代表邪惡力量的隊伍需要在防御團隊周圍故布疑云并伺機攻擊。紅隊擁有約60名成員,他們的任務是“戲弄”藍隊防御方,紅帽負責人兼Clarified Security公司CEO Mehis Hakkaja指出。紅隊使用的攻擊方法源自真實情況下可能被利用的手段,當然,這些手段并非無法應對。
雖然紅隊事先即了解藍隊方面所使用的系統與安全漏洞,甚至能夠預先部署后門,但演習開始之后情況仍然瞬息萬變。他表示:其中一部分攻擊活動基于基礎性網絡安全元素,例如未及時安裝補丁的系統,但其能夠快速推進攻擊并入侵復雜的工業控制系統。紅隊可以被偽裝成各類英武的黑客組織——從行蹤神秘的先進持續威脅發起者到吵鬧但技術水平低下的黑客行動主義者——有時候甚至同時以二者的姿態出現,具體取決于實際場景。演習規劃亦會根據各支防御團隊的表現而變更。攻擊者們會努力執行各類惡意操作,例如對泄露至演習媒體處的文件進行竊取,但如果各團隊能夠高潮抵御住第一波攻勢,那么接下來的對抗形勢將出現重大逆轉。
通過多種不同角度發起攻擊并組織威脅,使得紅隊與各位組織者能夠通過藍隊的關注與反應、其初步防御計劃是否奏效以及其是否始終擁有良好的控制能力與場景把握主動權等對其業務能力加以評估。
“具備一套良好的初始防御策略當然很好,但根據實際環境對其作出調整則更為重要。”
“具備一套良好的初始防御策略當然很好,但根據實際環境對其作出調整則更為重要,”Hkkaja表示,因為這能夠確保參與者擁有更為宏觀的審視角度。“因為單純進行阻斷并盲目地嘗試防御手段,抑或是僅能發現一些表面攻擊跡象,只會讓你離真相越來越遠。”
除了技術層面,各支團隊還需要測試自身對于攻擊活動保護相關法規的了解程度,包括其如何應對新聞媒體以及如何向其虛構指揮員及政治領導人進行匯報。
在此輪演習的媒體元素當中,各支團隊必須有能力解釋自己所采取的行動并精確表達自己的觀點,甚至需要面對有意引導其表達不應公布的內容或者錯誤內容的無良記者——這一切都將被公布在演習內的新聞網站當中。
另一大待測試元素在于法律問題。與黑客活動,特別是網絡戰爭相關的法律往往并不明確,因此各支隊伍必須盡自己所能確保其行為符合法律要求。
舉例來說,武裝沖突當中使用的法律框架與標準監管要求有所區別,因此判斷當前網絡事件是否已經上升到武裝沖突水平自然成為一項關鍵性因素,然而考慮到攻擊者往往以隱身或者匿名形式活動,因此防御者往往很難對此加以判斷。惡意軟件顯然不會身著制服或者佩戴自身所效力組織的標記。
在本輪演習當中,各團隊的法律顧問將經受考驗,通常表現為演習中的相關事件:例如就被入侵無人機的處理方式向其軍方指揮官提供建議。
“在各類軍事活動當中,其主要思路在于讓指揮官從多個選項當中作出選擇,而每個選項都應由一名律師作出評估并根據自身理解提供解讀。很明顯,其合法性應被放在首位,而這也是從法律角度來看最理想的選擇,”Locked Shields法律團隊負責人兼瑞典國防大學國際法高級講師Heather Harrison Dinniss博士解釋稱。
直到過去幾年——隨著像《塔林手冊》這類文件的發布,國際法才真正開始表現出對網絡戰爭的重視——與網絡戰爭相關的法律框架才開始變得較為明確。
“在處理網絡事件時,最大的難題當然在于我們并不一定了解是誰在背后發動這些攻擊,”Harrison Dinniss表示。“網絡的自身特性讓這些評估工作變得更加困難。”
“目前對于法律的適用且已經存在普遍接受的考量方式,”她補充稱,盡管尚存在諸多不確定性因素:舉例來說,盡管各國廣泛認為嚴重網絡攻擊應被視為等同于武裝襲擊,但全球仍未就如何處理物理破壞程度較低的攻擊行為達成共識。
“另外還有很多問題需要解釋,這類懸而未決的爭議主要來自純數據類攻擊活動,”她表示。我們探討過那些未造成任何物理損害,但卻對目標計算機系統中的內容全部清空的情況,例如2012年針對沙特阿美公司的攻擊就清空了超過30000臺設備。
對于這類未造成任何物理損害的攻擊活動,我們還面對著另一個問題。我們該如何處理這類導致計算機被清空且不再可用的行為?這是否已經構成攻擊?這是否相當于使用武力?對這樣的結論,顯然仍存在著大量分歧,”她表示。
各支隊伍必須確保做好文書工作。
“我們當然希望他們能夠編寫出人類清晰可讀的報告,其中詳盡解釋發生了什么情況、他們能夠向管理者或者政府官員提供哪些信息等——即將他們了解到的情況加以濃縮,并確保結論能夠為非技術人員所理解。之所以強調這一點,是因為我們過去曾經無數次見到網絡安全領域犯下過這樣的錯誤。我們喜歡使用我們的內部術語,有時候我們發出的郵件甚至會被對方直接刪掉——我們正在為此接受訓練,”場景負責人Ottis表示。
“在巨大的壓力之下,網絡安全專家們必須監控整體環境,考慮社會、政治及法律后果,并應對先進技術帶來的持續挑戰。”
此輪演習對于團隊溝通、團隊領導以及委派等事務加以著重強調。那么良好的網絡防御團隊應該具備哪些特質?
最出色的團隊往往會思考自己未來可能需要的技能與工具,并就此做好準備。這些團隊通常能夠快速指明哪些成員扮演哪些角色,這意味著其不必擔心在演習開始之后系統管理等特定任務該交給誰來執行。
有能力勝出的隊伍盡當努力了解戰場狀況,預測攻擊者們的下一步行動,同時為此做好準備,Ottis指出。
“我們希望看到參與者們努力弄清當前戰局狀況,了解自身,了解對手,并以此為基礎制定計劃,”Ottis補充稱。“找到需要部署傳感器的區域,思考哪些服務需要進行人工監控,而哪些能夠留待之后再行檢查。我們想要表達的重要在于,必須在網絡環境中取得主動。”
紅隊負責人Hakkaja也給出了類似的觀點:“要觀看、理解并溝通宏觀視角,首先需要確保細節層面不致出現問題,而這可能對于技術人員恰恰是最為重大的難題。像Locked Shields這樣的大規模演習為藍隊提供了特殊的機遇,能夠幫助他們體驗日常工作當中很難作為整體團隊共同應對的快速變化情況。”
然而,各支參賽隊伍也有著自己的底線——他們絕對不能對敵手發動反擊。“這是一項嚴格的防御性演習,因此我們希望參與者僅在這里對自身資產加以保護,同時達到彼此合作,并在必要時與其它團隊乃至世界各地的上級指揮機構保持溝通。但是,我們不允許他們發動進攻,因為這會造成非常嚴重的法律后果,”Ottis強調稱。
斯洛伐克隊于今年4月末在本屆演習中笑到了最后,在此之前則是贏得了上一年演習的北約與芬蘭代表隊“北約計算機事件響應能力(簡稱NCIRC)”團隊。斯洛伐克隊在媒體挑戰方面得分最高,而德國則在事后取證領域技高一籌,NCIRC最擅長的是處理法律分析,捷克共和國贏得了場景挑戰獎。
“在巨大的壓力之下,網絡安全專家們必須監控整體環境,考慮社會、政治及法律后果,并應對先進技術帶來的持續挑戰。”
LOCKED SHIELDS 2016入侵負責人Thomas Svensson指出。
技術演習主管Reintam表示,此類演習確實極有必要,特別是考慮到波羅的海沿岸各北約成員國對網絡防御需求的擔憂。由于擔心受到來自俄羅斯的網絡攻擊,愛沙尼亞甚至開始討論是否有必要將大量公共數據——包括出生記錄及財產歸屬等——保存在該國之外的安全位置。
因此,北約近年來開始以愈發嚴肅的態度對待網絡戰爭事務,并首先公開表明嚴重的網絡攻擊可能觸發集體防御條款,并于最近將網絡空間定義為正式作戰領域——也就是潛在的國家間戰場。
然而,眾多北約成員國承認其缺乏充足且訓練有素的技術人員以保護其關鍵性國家基礎設施或者處理其所遭受的網絡攻擊。Locked Shields這類活動旨在鼓勵各北約成員國更為積極地實施數字防御工作,當然也可能倒騰豐北約目前正面對著嚴峻的攻擊威脅。就目前來講,這一切攻擊活動仍在悄然指向“巴瑞利亞”。但這樣的狀況恐怕不會持續太久。
來源:E安全(https://www.easyaq.com/newsdetail/id/2096735056.shtml)