查看原文
其他

细思极恐! 美国网络空间攻击与主动防御能力解析(概述篇)

安天研究院 网信军民融合 2019-06-01

本文刊登于《网信军民融合》杂志2017年12月刊


我国是网络大国,也是面临网络安全威胁最严重的国家之一。近年来,国内金融、能源、交通、教育等行业网络成为战略对手攻击和渗透的主要目标,利用网络攻击造成的信息窃取和破坏事件呈现增长趋势。刚刚胜利闭幕的党的十九大上,总书记“坚持总体国家安全观”、“加强国家安全能力建设”等要求为我国网络空间安全发展指明了方向。为维护我国网络空间主权,保障网络空间安全,实现网络强国的战略目标,必须高度重视网络安全工作。


随着网络空间重要性的日益提升,世界各国纷纷大力建设兼具防御和威慑能力的网络空间安全体系,组建网络部队,以求在网络空间的较量中获得优势。在这方面,美国走在了世界前列。从政府主导的“美国国家网络安全综合纲领”和“爱因斯坦计划”等大规模网络安全倡议和项目,到一系列相关法案、政策、指南,再到“斯诺登事件”、“影子经纪人”及维基解密曝光的网络空间进攻体系,反映出美国在网络空间中强大的、体系化的监听、攻击、威慑和防御能力。这种网络空间优势能力不仅来源于政府的高度重视、持续大量的资金投入和美国的网络技术优势,更离不开其借助产业优势形成的深度军民融合能力。


美国基础信息产业、网络安全产业、风险投资机构

与政府机构关系图。


在战略层面,2017年8月,特朗普总统将网络司令部升级为美军第十个作战司令部,这一举措说明美国在不断调整其国家信息安全战略,逐步将网络安全上升到国家安全战略的重要位置,标志着美军的网络战向“成为一种主流战术级军事能力”迈出了关键一步。在能力建设层面,美国的国家安全局(NSA)、中央情报局(CIA)等情报机构,发展出了强大的网络信息采集和网络攻击能力,结合其传统的信号情报(SIGINT)和人工情报(HUMINT)能力,使美国能够在网络空间中继续保持优势;同时,通过国防承包商承担的工程与项目,充分利用安全厂商的技术能力,结合商业安全产品,构建复合的网络安全防御体系。在产业层面,美国一方面通过审查、限制等方式驱离国外安全企业,致使安天等已经走出国门或者正在进军海外的中国安全企业受困于供应链审查,而不得不退回原点;另一方面,大力扶持以火眼(Fire Eye)为代表的一批本国安全企业,通过政府机构、政府承包商、国防承包商和大厂商(包括大的IT寡头和产业集团)的集中商业部署,使其获得迅速的规模成长并进一步转化为技术优势。同时,美国非常重视政府部门、军队与私人公司间的技术与业务合作,大量私人承包商参与到网络空间相关项目中,斯诺登曾就职的博思艾伦(Booz Allen)就是其中之一。在技术层面,美国拥有全球领先的网络空间技术能力,通过思科、IBM、微软、谷歌、英特尔、高通、苹果、甲骨文等“八大金刚”完整布局并实际把持了操作系统、核心芯片、数据库等关键IT环节,并通过新兴互联网巨头们形成了对全球数据的有效聚合。


知己知彼,百战不殆。网络空间安全事关国家安全,网络空间战场上的较量是持续不断的高烈度无底线较量。维护国家网络空间安全,建设有效的网络安全防护体系,必须打破旧有以“物理隔离+好人假定+规定推演”构成的自我麻痹式的安全观,以真实有效的敌情想定作为基础和前提。包括内网已经被渗透、供应链被上游控制、运营商网络的关键路由节点被控制、物流仓储被渗透劫持、关键人员和周边人员被从互联网进行定位摸底、内部人员中有敌特人员派驻或被发展等。只有全面、深入地了解对手的能力,尤其是对手的进攻能力,才能在网络空间安全建设中有的放矢,才能实现真正的“有效防护”。在本系列专题中,我们希望通过层次化地揭示美国在网络空间信息获取、进攻与防御能力,尽可能清晰地展现美国在网络空间安全领域的能力体系,为我国网络空间安全发展提供有益参考和借鉴。


一、美国具备网络空间进攻性职能的国家安全机构


美国国防部(DoD)是美国作战部门的最高领导机关,2006-2008年间,总统就曾允许DoD举行大规模网络作战演习,发起网络攻击,夺取对方指挥控制权。作为DoD的重要组成部分,NSA专门负责收集和分析国内外的信号情报,为美国提供决策优势。NSA下属的特定入侵行动办公室(TAO)是NSA的一个重要职能部门,负责针对特定目标收集情报、潜入外国计算机和电信系统、破解密码、窃取数据等,NSA称这些行动为计算机网络利用(CNE),TAO对目标造成直接影响的其它行动,例如瘫痪服务、破坏文件等,则被称为计算机网络攻击(CNA)。NSA拥有完善的音频、视频、邮件等信号情报的收集、处理机制,并且针对CNE、CNA和网络防御(CND)等多种任务建立了稳定、完备的基础设施。


CIA是美国唯一一个独立的情报机构,也是美国最重要的情报机构之一。CIA的传统任务包括人工情报、全源情报分析和秘密任务。2015年,CIA进行了重大重组,增设了数字创新处(DDI),专门负责为传统的人工情报开发数字装备和手段,使得CIA能够更好地为国家决策者的战略评估提供情报支撑。


二、多样的监听手段获取全球信息


美国通过在产业、技术上的优势,逐步实现了对全球网络空间的全面布局并具备了事实上的控制能力。斯诺登事件相关文件表明,美国具有多种情报收集方式,包括为NSA提供数据的30多个国家的合作伙伴、在全球范围内的计算机上植入恶意软件以及与大型IT企业合作等。


2004年,美国政府启动“星风”(STELLAR WIND)计划,进行大规模的情报搜集、监听,后因法律等问题,将“星风”拆分为“棱镜”、“主干道”、“码头”、“核子”等项目,由NSA接管。谷歌、微软、脸谱、雅虎等IT企业均与“棱镜”项目有关联。“拱形计划”(CamberDADA)是在斯诺登披露的一份绝密文件中提到的,NSA对俄罗斯网络安全厂商卡巴斯基进行监听,通过监听样本上报渠道,从中分析安全厂商是否已发现、掌握其网络攻击武器。该计划后续目标包括安天等22家全球重点网络安全厂商。


三、全平台、全功能的网络攻击装备体系


在“全面拒止威慑”的积极防御思想引导下,NSA、CIA极为重视网络攻击装备的研发。“震网”、“毒曲”、“火焰”、“方程式”等事件均被认为与美国有关。


从斯诺登和“影子经纪人”泄露的资料看,NSA具有强大的网络攻击装备和丰富化的漏洞储备,今年5月席卷全球的“魔窟”(WannaCry)勒索软件事件就是由NSA的装备库泄露直接导致。


今年3月起,维基解密陆续曝光了包含大量CIA网络攻击装备资料的“7号保险库”(Vault 7),功能涵盖了突破物理隔离、信息窃取、持久化能力、隐蔽信息传输、边信道传输、直接漏洞利用等众多方面,同时体现了强大的多平台能力。其中,部分装备被安全厂商与以往发生的40多起网络安全事件关联。


实现网络强国的战略目标离不开深度的网信军民融合,正是因为对手的强大,我国的网信军民融合才肩负着更重要的使命。以多领域民间领先技术和优秀产品为军队提供支撑,以军队的资源、体系和能力优势支持民间抵御来自国家行为体和非国家行为体的威胁,各尽其能,共同构建我国军民融合的网络空间安全能力体系。



下期预告


在本专题后续的内容中,我们将对美国的大型监听项目、攻击支持体系、大型主动防御工程以及攻击装备进行归纳和展示,对其建设背景、功能、场景和防护要点进行介绍,帮助读者深入了解对手的威胁技术、攻击场景和应对手段,敬请关注。





    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存