查看原文
其他

诸子笔会2022 | 陈圣:小议以色列的网络攻防能力建设

陈圣 安在 2022-09-24



自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。

小议以色列的网络攻防能力建设     


     文 | 陈圣




陈圣


中通快递安全专家



 


您是否知道以色列价值 820 亿美元的网络安全产业中心?据统计,以色列是少数几个每月在其政府网站和数据系统上面临成百上千次网络攻击的国家之一;而在几年前,以色列国防军曾发布过一则新闻,称以色列国防军 (IDF) 8200 部队成功阻止了 ISIS 对某西方国家发动的空袭。因此,在网络安全领域,以色列可以说是一个超级大国。 



在过去的几年里,网络威胁的规模和多样性都呈现出爆炸式的增长。为了努力提升在网络空间的话语权,无论是人力还是财力方面,各国政府都加大了投入的力度,有些有着鲜明的政治立场,而有些却直接成为网络威胁。从勒索病毒到网络层面的攻击层出不穷,给国家与国家,甚至部分地区之间造成了非常恶劣的影响。


试想,因网络攻击导致国家关键基础设施无法运作或崩溃,将会直接影响到人民群众的生命安全,所以无论是发展中国家还是发达国家都对发展自身的网络安全逐步重视起来。站在网络战略层面来看,需要由专门的政府部门来应对网络威胁,然而大多数国家只是建立在各自网络安全基础架构,甚至是其他国家的经验之上,因此其自身的网络发展跟西方相比,还是存在较大的差距。


我们看到,周边国家例如日本、新加坡、韩国都建立了自己的网络攻防队伍,有些是国家背景的,有些是企业,更多的是民间团体或大学组成,但归根结底,都会从国家层面投入相当的预算和资源。相比之下,同属亚洲的以色列却成功地利用了其“小”的优势——快速做决定,灵活地快速改变路线,相对容易地集中国家力量,在网络安全及网络攻防方面取得了非常值得借鉴的经验。


以色列人口不足1000万,占地2.5万平方公里,相当于北京市和天津市的总和,人口少于上海,不足北京的一半,但在电子、军工、网络等领域,其竞争力却被公认位居世界先列。通过研究发现,以色列一直专注于组织流程和网络安全战略的建设,这将会给其他国家提供值得借鉴的经验和教训。


那么,弹丸小国是如何处理国家网络安全的?又是如何领先世界的呢?本文通过以色列先进、成功的网络攻防演习和发展落地方法论,来分析以色列这个也有着4000年悠久发展史的国家,在网络安全方面所关注的主要因素,究竟有哪些可以为我所用……



过去几年间,以色列通过构建其全方位的网络能力——全面的网络安全战略、新的国家和政府组织、网络安全运营能力以及远远超过其相对全球规模的网络安全领先产业(仅次于美国),已成为一道坚不可摧的网络防御力量。在这一过程中,以色列制定了一个全面的体系,并通过几项政府决议和法案予以实施,从而进一步巩固了这种具有强烈国家愿景的战略结构体系。


为了建立一个充满活力和可持续的网络防御生态系统,以色列相关决策层的六个网络安全战略目标如下:


1) 国家层面主导相关行动;

2) 国家层面设立专门的网络管理机构;

3) 联合多部门跨部门协同增强国家网络安全发展;

4) 建立跨行业、跨学术(学科)和人力资源综合配置和协作性网络生态系统;

5) 建立能够解决技术操作难题的网络精英团队;

6) 重新评估如何针对攻击者的攻击做出快速响应,而不仅仅是为了网络攻击而攻击。


有效结合这六个方面,并通过实战将网络安全的理论和实践方法相结合。




第一(政策):国家层面主导应对网络攻击和攻击者,作为国家整体网络战略一部分


运营的基本概念被设计为技术和对手无关并明确强调政府与私营部门之间的角色搭配。第一层是对国家层的一般性网络威胁,减少国家层面受到的攻击和总体风险。从政府的角度来看,它主要是通过促进基本的网络安全防护和指导分属企业部门采取的措施来执行的。针对关键基础设施的网络安全采用相应的激励措施、法律法规和强制性标准,并提高整个国民的网络安全意识和认知。


第二层是事件驱动,旨在解决网络威胁的具体事件,它定义并实现了系统快速恢复能力的国家标准,其重点是建立态势感知、跟踪威胁、处理和减轻信息安全事件或事故造成的影响,并及时共享信息。这部分涉及与面临风险的私人企业或有安全能力的组织机构直接携手合作。


前两层侧重于减轻攻击影响,而第三层侧重于通过国防能力消除网络攻击背后的人为因素(攻击者)。也就是说,这一层涉及使用所有国家资源,包括传统能力和其他能力,管理针对国家级网络攻防对手的防御战役,例如情报、跟踪威慑、网络安全执法等。



第二(政策):国家网络防御的中央网络作战机构


以色列的第二步是建立一个具有具体作战能力的中央网络机构(现为以色列国家网络局的一部分)以及保卫国家网络领域和领导国家网络安全工作的相关责任。


其作用是在所有层面的业务活动中,先从基础性工作开始,直接监督关键基础设施部门,并与其他监管机构合作,系统地提高整个私营部门的网络安全防护能力,并且继续领导和组织国家层面抗击来自外部网络层面攻击的情况。主要是通过国家应急响应预案和有着独特分析能力的团队参与其中,在需要时缓解民用部门所面临的来自内外部网络的高风险威胁。


最后,中央网络作战机构领导网络攻防演练行动,并与警方、情报机构和其他相关信息和网络安全组织协调应对可能存在的网络攻击而联合协作。



第三(政策):进一步增强国家网络安全屏障的稳固性及安全性


高水平的系统安全防护措施可防止大多数常见攻击而造成的潜在损害。这类要求普遍提高了国家及企业对网络攻击防御能力的门槛,另一方面也让网络攻击者在渗透国家层面的关键基础设施及网络领域还需要耗费更大的代价。随着攻击者在每次攻击步骤中所需的投资增加,总体攻击次数会相对减少。


以色列国家网络局(INCD)选择通过几个途径来解决这一问题。最著名的是以色列监管关键基础设施(CIs)的方法。CIs由INCD以独特的方式直接管理。每个CI(关基)在INCD(以网局)内都有一名经过培训和授权的认证官员,负责提供有关网络安全的专业指导。此外,在面对整个私营市场时,INCD使用了整个监管工具箱,如指挥和控制、标准制定、披露义务和披露监管、激励、推动解决方案、提高目标受众的意识等。



第四(能力建设):建立工业、学术和人力资源的网络生态系统


以色列国家网络局率先建立了国家网络生态系统,以加强其网络领域的网络安全创新和创新流程,确保以色列拥有长期的可持续的网络安全能力。为此,以色列政府通过INCD的领导,支持在大学中建立研究中心,并与领先的网络产业合作;资助高风险产业创新;投资预算和努力提高国家在网络领域的人力资本;以及培育一个相互丰富的生态系统。


较为著名的例子是位于Be'er Sheva的独具特色的CyberSpark项目,这是一个集中而独特的网络安全生态系统,由以色列初创企业、全球公司、学术界以及民用和军用网络安全中心组成,所有这些机构间都可以相互步行到达……



第五(作战):网络突击队:组建小规模精英团队,解决棘手的技术作战问题


工作组必须足够小,才能有效率。Northcote Parkinson在其著名著作中定义了“效率系数”,意指委员会或其他决策机构变得完全效率低下的程度。这句话的道理在于——当一个国家希望解决最具挑战性的网络攻防问题时,这一概念则变得尤其重要。核心团队必须足够熟练、小型并且敏捷,以便在不断变化的对手身上进行持续的搜寻和溯源工作,并且应该有顶级专家在场。关键是要有一个由各自网络安全领域的顶级分析师组成的工作小组,以创新的技术操作方式解决难题,如识别和跟踪高级可持续威胁攻击(APT)活动。以色列作为一个小国,习惯于小规模、高技能团队在一个小房间里齐聚一堂的逻辑。当然,它也在严峻的网络防御挑战领域采用了这种思维。



第六(操作):处理攻击者,而不仅仅是攻击


网络威胁的一个关键因素是存在具有恶意意图的罪犯(高智商犯罪)。因此,上述以色列作战行动的第三层包括国防层面,即通过国家作战防御能力,重点关注网络攻击背后的人为因素,从而破坏网络攻击的能力。这些努力包括两个主要载体:第一个重点是通过国家和国际执法机制,主要是警察部队和司法系统,打击犯罪实体;而第二个重点是试图损害国家利益的国家级对手,无论是恐怖组织还是其他国家。


以色列作为一个重要的网络大国和该领域的全球领先国家,有时也会在其处理国家安全问题的方法上设置障碍:


2019年5月,在与哈马斯的几天激烈战斗中,以色列国防军用战斗机摧毁了哈马斯网络部队总部大楼。对网络攻击的这一前所未有的动态反应首次展示了以色列应对网络攻击的整体思路。这一方法在最近的“Guardian of the Walls”(城墙守护者)行动中得到了进一步证明,在该行动中,以色列空军袭击并摧毁了多个网络目标(存储设施、藏身处和少数网络恐怖分子),从而促成了哈马斯和以色列之间威慑平衡。




对标美国和以色列,有哪些值得借鉴的?


以上六个主要步骤可以分成三部分,作为潜在的经验教训进行分析。这些是公共政策决策(三层框架和国家网络防御中央机构)、能力建设步骤(增强国家网络安全稳固和支持网络生态系统)以及与操作相关的步骤(组建精英团队和对付攻击者)。


第一组,公共政策决策(三层和运营网络机构),这一点上不得不提到美国,就在十年前,只有少数国家制定了网络战略和专门的政府网络部门,然而近年来,各个国家在这方面发展迅猛,相继公布了各自的国家网络战略。尽管美国是最早部署的国家之一,但在专门的非军事和国家运作的网络机构方面,一直到2018年才迈出了重要一步:创建了美国网络安全和基础设施安全局(CISA)。这是前国家保护和计划局(NPPD)的继任者,重组了NPPD的任务使其扩大为一个新机构,并将其列为网络和物理基础设施安全联邦领导者的优先任务。通过这种方式,使得美国在组建专门负责国家赛博防御的作战机构方面迈出了重要一步。我国网络安全布局起步较晚,2016年《网络安全法》颁布,我国迈入网络安全时代。面临外部严峻的网络安全形势,我国也在加快发展自主可控的网络安全产业。未来,移动、大数据、云计算、物联网、工业互联网安全将成为网络安全发展的主要领域。


第二组,即能力建设步骤(生态系统和市场稳固性)。如果从战略和连贯的角度出发,对于规模的反应是比较良好的。在大多数国家面临的挑战中,规模自然有利于美国的发展,因为在这些领域里,规模越大,实力越强。原则上,更大的规模使更多的机构能够制定专门的标准,并迫使它们以更大的预算和更多的操作选项深入并贯穿所有网络安全研究议程。以色列拥有先进而强大的监管框架,这是由于其安全文化产生的,私营部门同意采取具体的政府措施。经过网络培训的认证官员的概念就是一个很好的例子,他们被分配到每一个关键的基础设施,并由INCD(国家网络局)密切监督。然而,这些教训几乎不可能适用于美国,但并非出于规模原因。相反,联邦政府和私营部门之间的关系大不相同,更具对抗性或脱节性;生态系统必须应对截然不同的安全文化和政治理念。


最后,第三组,即操作步骤(精英团队和面向攻击者的反应),与美国在将以色列视为试点国家时可能采用的经验教训更为相关。这是因为网络中的操作方面通常需要灵活性、创造性思维和快速反应,因此,在小环境和个体中更容易实现。以色列创建的小规模精英团队在应对异常困难的技术操作问题的成功案例,为美国国家网络安全的成功提供了特别有用的经验。我们可以看到,在全球网络行业中,也会创建这样的精英狩猎团队,比如:网络安全公司汇集各自的精英团队来处理主要的威胁情报工作;卡巴斯基实验室的全球研究与分析团队(GReAT)、微软威胁情报中心(MSTIC)、谷歌的威胁分析小组(TAG)和其他团队。另一个典型的例子是谷歌的Project Zero,由顶级安全分析师组成的团队,负责查找0day漏洞。尽管分析师人数相对较少,但所有这些团队都在重要的任务中取得了巨大成就,从他们多年来他们不断发表相关文献就可以说明,这种成功并不是偶然。


美国拥有网络司令部(USCYBERCOM)或国家安全局(NSA),在现有的团队之外建立更加精英的团队,以应对在追捕和跟踪APT对手时发现的最棘手的技术操作问题。这些精英团队应该保持小规模的状态,以确保其质量和敏捷性。最重要的是,以色列的经验是为这些精英团队提供一个“屏蔽室”,保障他们能够全身心应对任务和挑战,免受非必要的组织和管理干扰。


同样,我们也可以从以色列的经验中吸取教训,以干扰和威慑网络攻击者。在针对哈马斯的行动中,我们首次看到了一种新的网络战略思维,即以数字时代历史上独一无二的、前所未有的方式应对网络攻击者。


对抗攻击者而不仅仅是攻击,对于全面应对网络威胁至关重要。在2019和2021年,以色列通过对哈马斯的动态反应,展示了其应对袭击者的总体努力和思路,及时将行动、技战法和法律结合在一起,以应对袭击者并进一步加强威慑。美国需要更明确地吸取这一教训,在公开场合,美国目前主要通过起诉和制裁来应对网络攻击者。我们建议,中国应认真考虑采取更先进、更全面的方法来打击网络对手。


以色列在网络领域的成功在很大程度上归功于它能够将预算相对较小和资源较少的劣势转化为网络战略和流程优势,为其他国家提供公共政策决策、能力建设流程和运营能力方面的经验。因此,结合其独特的地缘战略地位,以色列开发了几种独特的网络安全方法,为我国提供了一些经验教训。


以色列围绕网络战略和新的作战组织所做的许多工作,以应对其国家面临的网络威胁,以及其网络安全建设能力的提升。而近几年国内网络安全行业蓬勃发展,习近平总书记指出,没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。党的十八大以来,在习近平总书记关于网络强国的重要思想,特别是关于网络安全工作“四个坚持”重要指示指引下,我国网络安全工作进入快车道,国家网络安全保障体系日益完善,网络安全防护能力显著提升,网络安全工作取得瞩目成就。针对网络攻防层面,对于中国而言,以色列与我国的国情不同,故不可完全照搬其发展经验。综合而言,以色列网络安全建设给笔者带来三大启示:


第一,以色列国防军系统为网络安全产业提供的人力资本具有一定的借鉴意义。我国可有意识地培养具有相关素质的士兵,并在其退伍之后进行一定的政策扶持。


第二,整合军队、政府机构、学术圈与业界,打造相应的生态圈,打通部分军民技术之间的壁垒,使得部分国防投入可以转化为具有竞争力的市场产品。


第三,避免路径依赖,在新技术等出现以后应衡量其与既有战略之间的关系,不能总是试图把新技术纳入旧框架之中,因循守旧的政策可能会在某种程度上阻碍创新。


具体而言,培养国家层面的网络专家性质的小型精英(非军事)团队(“网络突击队”),以使我国在应对高端技术作战网络攻击方面处于领先地位,并公开采用更全面、更具威慑力的方法对付网络攻击,形成网络威慑。


套用毛主席的那句话:“打得一拳开,免得百拳来。”









推荐阅读

2022诸子笔会  

【8月主题:红与蓝】

刘志诚  张永宏  王忠惠  孙琦  肖文棣  孙瑜  杨文斌


【7月主题:误区与陷阱】

刘志诚  张永宏  孙瑜  王忠惠  肖文棣  

朱文义  杨文斌  孙琦  陈圣  回顾


【6月主题:远程办公与安全】

王忠惠  于闽东  刘志诚  孙琦  朱文义

  张增斌  肖文棣  杨文斌  张永宏  孙瑜  陈圣 回顾


【5月主题:安全之变】

 王忠惠   张永宏  朱文义  于闽东  刘志诚  杨文斌 

 孙琦  孙瑜  半藏咸鱼  肖文棣  王振东  陈圣  回顾



推荐阅读

2021首届诸子笔会

   颁奖 | 评优投票 | 1月盘点 | 12月盘点

11月盘点 | 10月盘点 | 9月盘点 | 8月盘点

7月盘点 | 6月盘点 | 组团 | 报名












原文阅读查看往期征文合集

齐心抗疫 与你同在 



你怎么这么好看


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存