查看原文
其他

北约成员国就网络战正式开始培训

E安全 E安全 2016-10-31

欧洲、加拿大、美国、澳大利亚及其它多个国家目前已经开始进行训练性演习,旨在为可能爆发的网络战做好准备。在今天的文章中,我们将一同深入内部探究Locked Shields——目前规模最大的模拟网络战演习。

巴瑞利亚再度处于攻击威胁之下

这座位于大西洋冰冷海水环抱之中的假想岛国凭借着先进的无人机获得大量相关营收,但最初其无人机研究实验室受到身份不明的网络攻击侵扰,这迫使该国不得不利用安全专家组建起快速反应部队,旨在了解实际情况并尽快阻止攻击活动。

在为期两天的模拟训练当中,各支队伍必须对抗针对其系统的攻击活动、劫持对方的无人机,同时向敌对势力发出通告。

当然,这已经不是巴瑞利亚第一次遭受攻击:这类网络攻击演习每年都会举行。当然,这也不会是该“国”最后一次受到网络入侵。事实上,北约各国每年都会以其为假想目标组织这类防御战争演练,这也正是所谓Locked Shields计划。

此次演习由北约网络战智囊团的爱沙尼亚分部负责组织,这是一套合作网络防御卓越中心(简称CCD COE)。作为自2010年以来每年坚持进行的演习,这一行动旨在培养更多负责国家IT系统保护工作的安全专家。虽然每年的确切情况都会发生变化,但作为保护对象的巴瑞利亚(Berylia)与作为进攻方的克瑞姆索尼亚(Crimesonia)则一直充当着对垒双方。

巴瑞利亚本身虽然是个虚构的国家,但爱沙尼亚本身却对此类数字化攻击活动具备第一手经验;事实上,就在2007年爱沙尼亚当局就提出迁移苏联战争纪念碑之后,该国银行及政府系统就遭受到了黑客攻击与破坏。俄罗斯方面否认其与此次袭击事件有所牵连,但也正是此次事件加速了北约建立网络智库机构,其总部位于爱沙尼亚首都塔林。

今年Locked Shields组织了超过1700次攻击,攻击目标指向受20个团队保护的1500套虚拟化系统。这些团队需要各自防卫自己的在线服务与工业控制系统,从而确保其能够抵御真实出现的恶意软件与数字化攻击。

这场战争演习由北约各成员国构建20支防御“蓝队”,负责对抗作为攻击一方全力破坏其网络体系的“红队”。另外,亦有一支由专家组成的“白队”负责运行整套演习系统。总体来讲,该演习共囊括了来自26个国家的550名人员,其中250名来自塔林核心规划团队,且整场行动为期两天。

这绝不仅仅是一场庞大的网络对抗。美国每年亦会组织自己的“Cyber Guard”网络防卫活动,而今年其纳入了来自各政府机构的近1000名参与者。其中部分人员来自英国、加拿大与澳大利亚,共同处理指向一家炼油厂、多条电网以及多座港口的网络攻击。另外,英格兰银行亦在伦敦组织起“Waking Shark”演习,此活动涵盖了伦敦当地多家银行。然而,Locked Shields仍然宣称自身是全球范围内规模最大的技术性网络防御演习。

Locked Shields当中的各支队伍都将获得同样的任务介绍,以及同一套需要防御的虚拟系统组合。虽然演习系统由位于爱沙尼亚的北约合作网络防御卓越中心(简称CCD COE)负责运作,但大多数团队都会立足于本国进行远程登录。各支队伍同时但分别执行自己的防御任务,因此虽然允许在一定程度上共享部分信息,但其实质上仍然相当于同样组织20场演习活动。

在这种情况下,各团队都将作为快速反应小组面对被投放至研究实验室的无人机。这意味着当演习开始之后,参与者们甚至并不清楚自己需要防御哪些系统,或者其对手是否已经成功实现入侵。

甚至参与者们能够获得的、与需要由其保护之各类系统相关的技术信息亦十分有限甚至可能存在误差——这一点与真实情况非常相似,这也让各支队伍更难完成自己的保护任务。

巴瑞利亚与克瑞姆索尼亚是Locked Shields模拟演习当中虚构的两个敌对国家


“我们正在努力利用源自真实生活中的黑客入侵场景与攻击场景,因此我们不会进行抽象性质的模拟,我们会利用与现实生活相一致的操作系统,”Locked Shields 2016场景负责人Rain Ottis博士表示。

“我们希望看看他们如何以团队形式处理模块环境下的种种对抗挑战,在这里参与者们无法确切观察周遭场景的全貌,”他解释称。

而演习过程当中,情况只会变得更糟。各团队除了需要处理输入攻击之外,他们还必须对针对其网络发起攻击的对象提出谴责。“这与我们的真实处理方式非常接近,”Ottis指出。

各防御方团队——每支队伍由12名成员构成——需要保护约由2000台设备构成的、代表实际业务网络的运营体系。蓝队方面需要保护的服务项目从网站、电子邮件及在线购物服务到多种工业控制系统皆有涵盖。

这样设计的目标在于始终向防御团队施加压力,从而测试他们能否对各类规模的网络攻击进行解决,这将强化其专业水平并帮助其避免真实生活中出现此类状况。

“我们在这里拥有真实世界中的一切要素,我们设置有Windows 7、8、10以及我们的苹果OS X操作系统,我们引入了大部分Linux版本,我们希望能够借此还原真实世界中的操作系统类型。大家能够在常规办公环境下想象到的一切元素,包括软件与硬件,我们都会努力加以模拟并展示其可能受到入侵的潜在可能性,”CCD COE技术演习主管Aare Reintam介绍称。

"我们希望向参与者们展示一切可能在环境当中作为目标或者内部网络入侵跳板的因素。"

CCD COE技术演习主管Aare Reintam

“我们希望向参与者们展示一切可能在环境当中作为目标或者内部网络入侵跳板的因素,”他指出。

这意味着从智能手机到毫不起眼的打印机,一切都有可能成为攻击目标。“我们想要表达的是,大家必须意识到网络之中的一切都有可能成为目标,大家必须对一切加以保护。攻击者必然会从中选择其一加以攻击,”他解释道。

因此,各团队不仅需要保护标准PC或者服务器,物联网亦必须成为安全威胁考量中的重要组成部分。在这一场景当中,各团队需要保护的是一座无人机研究实验室,这意味着他们面对的最大挑战之一就是对无人机的命令与控制系统拥有全面掌控权——同时在失去控制权后将其及时夺回。

Locked Shields参与者们聚焦在巨大的屏幕面前,分析当前攻击活动

他们需要保护的最出乎意料的系统之一,正是一套命令与控制系统。其负责运行自身服务器机房的冷却系统。如果各团队失去相关控制权,那么他们的神秘敌人将会提升室内温度,而后导致各服务器被迫关机(甚至给整场演习带来一些戏剧性效果,例如让电火花引燃整个模拟服务器机房)。

各团队应当以不同方式响应种种挑战,而面对过载网络攻击时的一大有效手段正是拔掉电源——这显然是通过强制系统离线的方式对其加以保护。不过这种作法在本次演习中毫无意义,因为各团队的目标正是保证各系统正常在线且持续运作——即使他们有着其它优先考虑。

对于Reintam而言,这正是本次演习的核心意义之一:“我们将教会他们如何保护我们的生活方式。我们必须继续保持正常的生活习惯,包括早上醒来后开灯、放水、煮点咖啡,边浏览新闻边喝上几口……生态系统中的每个环节都非常重要,参与者必须对其加以保护。”

如果没有红队,这场演习自然也无法正常进行,这支代表邪恶力量的队伍需要在防御团队周围故布疑云并伺机攻击。红队拥有约60名成员,他们的任务是“戏弄”蓝队防御方,红帽负责人兼Clarified Security公司CEO Mehis Hakkaja指出。红队使用的攻击方法源自真实情况下可能被利用的手段,当然,这些手段并非无法应对。

虽然红队事先即了解蓝队方面所使用的系统与安全漏洞,甚至能够预先部署后门,但演习开始之后情况仍然瞬息万变。他表示:其中一部分攻击活动基于基础性网络安全元素,例如未及时安装补丁的系统,但其能够快速推进攻击并入侵复杂的工业控制系统。红队可以被伪装成各类英武的黑客组织——从行踪神秘的先进持续威胁发起者到吵闹但技术水平低下的黑客行动主义者——有时候甚至同时以二者的姿态出现,具体取决于实际场景。演习规划亦会根据各支防御团队的表现而变更。攻击者们会努力执行各类恶意操作,例如对泄露至演习媒体处的文件进行窃取,但如果各团队能够高潮抵御住第一波攻势,那么接下来的对抗形势将出现重大逆转。

通过多种不同角度发起攻击并组织威胁,使得红队与各位组织者能够通过蓝队的关注与反应、其初步防御计划是否奏效以及其是否始终拥有良好的控制能力与场景把握主动权等对其业务能力加以评估。

"具备一套良好的初始防御策略当然很好,但根据实际环境对其作出调整则更为重要。"

MEHIS HAKKAJA,红队负责人兼Clarified Security公司CEO

“具备一套良好的初始防御策略当然很好,但根据实际环境对其作出调整则更为重要,”Hkkaja表示,因为这能够确保参与者拥有更为宏观的审视角度。“因为单纯进行阻断并盲目地尝试防御手段,抑或是仅能发现一些表面攻击迹象,只会让你离真相越来越远。”

除了技术层面,各支团队还需要测试自身对于攻击活动保护相关法规的了解程度,包括其如何应对新闻媒体以及如何向其虚构指挥员及政治领导人进行汇报。

在此轮演习的媒体元素当中,各支团队必须有能力解释自己所采取的行动并精确表达自己的观点,甚至需要面对有意引导其表达不应公布的内容或者错误内容的无良记者——这一切都将被公布在演习内的新闻网站当中。

另一大待测试元素在于法律问题。与黑客活动,特别是网络战争相关的法律往往并不明确,因此各支队伍必须尽自己所能确保其行为符合法律要求。

在网络空间这片战场上,人们习惯印象中的战壕与枪支被书桌、显示器、键盘及大量线缆所替代

举例来说,武装冲突当中使用的法律框架与标准监管要求有所区别,因此判断当前网络事件是否已经上升到武装冲突水平自然成为一项关键性因素,然而考虑到攻击者往往以隐身或者匿名形式活动,因此防御者往往很难对此加以判断。恶意软件显然不会身着制服或者佩戴自身所效力组织的标记。

在本轮演习当中,各团队的法律顾问将经受考验,通常表现为演习中的相关事件:例如就被入侵无人机的处理方式向其军方指挥官提供建议。

“在各类军事活动当中,其主要思路在于让指挥官从多个选项当中作出选择,而每个选项都应由一名律师作出评估并根据自身理解提供解读。很明显,其合法性应被放在首位,而这也是从法律角度来看最理想的选择,”Locked Shields法律团队负责人兼瑞典国防大学国际法高级讲师Heather Harrison Dinniss博士解释称。

直到过去几年——随着像《塔林手册》这类文件的发布,国际法才真正开始表现出对网络战争的重视——与网络战争相关的法律框架才开始变得较为明确。

“在处理网络事件时,最大的难题当然在于我们并不一定了解是谁在背后发动这些攻击,”Harrison Dinniss表示。“网络的自身特性让这些评估工作变得更加困难。”

“目前对于法律的适用且已经存在普遍接受的考量方式,”她补充称,尽管尚存在诸多不确定性因素:举例来说,尽管各国广泛认为严重网络攻击应被视为等同于武装袭击,但全球仍未就如何处理物理破坏程度较低的攻击行为达成共识。

“另外还有很多问题需要解释,这类悬而未决的争议主要来自纯数据类攻击活动,”她表示。我们探讨过那些未造成任何物理损害,但却对目标计算机系统中的内容全部清空的情况,例如2012年针对沙特阿美公司的攻击就清空了超过30000台设备。

对于这类未造成任何物理损害的攻击活动,我们还面对着另一个问题。我们该如何处理这类导致计算机被清空且不再可用的行为?这是否已经构成攻击?这是否相当于使用武力?对这样的结论,显然仍存在着大量分歧,”她表示。

各支队伍必须确保做好文书工作。

“我们当然希望他们能够编写出人类清晰可读的报告,其中详尽解释发生了什么情况、他们能够向管理者或者政府官员提供哪些信息等——即将他们了解到的情况加以浓缩,并确保结论能够为非技术人员所理解。之所以强调这一点,是因为我们过去曾经无数次见到网络安全领域犯下过这样的错误。我们喜欢使用我们的内部术语,有时候我们发出的邮件甚至会被对方直接删掉——我们正在为此接受训练,”场景负责人Ottis表示。

"在巨大的压力之下,网络安全专家们必须监控整体环境,考虑社会、政治及法律后果,并应对先进技术带来的持续挑战。"

THOMAS SVENSSON, LOCKED SHIELDS 2016入侵负责人

此轮演习对于团队沟通、团队领导以及委派等事务加以着重强调。那么良好的网络防御团队应该具备哪些特质?

最出色的团队往往会思考自己未来可能需要的技能与工具,并就此做好准备。这些团队通常能够快速指明哪些成员扮演哪些角色,这意味着其不必担心在演习开始之后系统管理等特定任务该交给谁来执行。

有能力胜出的队伍尽当努力了解战场状况,预测攻击者们的下一步行动,同时为此做好准备,Ottis指出。

“我们希望看到参与者们努力弄清当前战局状况,了解自身,了解对手,并以此为基础制定计划,”Ottis补充称。“找到需要部署传感器的区域,思考哪些服务需要进行人工监控,而哪些能够留待之后再行检查。我们想要表达的重要在于,必须在网络环境中取得主动。”

红队负责人Hakkaja也给出了类似的观点:“要观看、理解并沟通宏观视角,首先需要确保细节层面不致出现问题,而这可能对于技术人员恰恰是最为重大的难题。像Locked Shields这样的大规模演习为蓝队提供了特殊的机遇,能够帮助他们体验日常工作当中很难作为整体团队共同应对的快速变化情况。”

然而,各支参赛队伍也有着自己的底线——他们绝对不能对敌手发动反击。“这是一项严格的防御性演习,因此我们希望参与者仅在这里对自身资产加以保护,同时达到彼此合作,并在必要时与其它团队乃至世界各地的上级指挥机构保持沟通。但是,我们不允许他们发动进攻,因为这会造成非常严重的法律后果,”Ottis强调称。

一名Locked Shields网络作战人员在讲解实时攻击地图

斯洛伐克队于今年4月末在本届演习中笑到了最后,在此之前则是赢得了上一年演习的北约与芬兰代表队“北约计算机事件响应能力(简称NCIRC)”团队。斯洛伐克队在媒体挑战方面得分最高,而德国则在事后取证领域技高一筹,NCIRC最擅长的是处理法律分析,捷克共和国赢得了场景挑战奖。

“在巨大的压力之下,网络安全专家们必须监控整体环境,考虑社会、政治及法律后果,并应对先进技术带来的持续挑战。" LOCKED SHIELDS 2016入侵负责人Thomas Svensson指出。

技术演习主管Reintam表示,此类演习确实极有必要,特别是考虑到波罗的海沿岸各北约成员国对网络防御需求的担忧。由于担心受到来自俄罗斯的网络攻击,爱沙尼亚甚至开始讨论是否有必要将大量公共数据——包括出生记录及财产归属等——保存在该国之外的安全位置。

因此,北约近年来开始以愈发严肃的态度对待网络战争事务,并首先公开表明严重的网络攻击可能触发集体防御条款,并于最近将网络空间定义为正式作战领域——也就是潜在的国家间战场。

然而,众多北约成员国承认其缺乏充足且训练有素的技术人员以保护其关键性国家基础设施或者处理其所遭受的网络攻击。Locked Shields这类活动旨在鼓励各北约成员国更为积极地实施数字防御工作,当然也可能倒腾丰北约目前正面对着严峻的攻击威胁。

就目前来讲,这一切攻击活动仍在悄然指向“巴瑞利亚”。但这样的状况恐怕不会持续太久。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存