解析美军“前出狩猎”网络行动
美国网络司令部 2023 年 5 月 10 日发布消息称,美国网络国家任务部队(CNMF)结束在拉脱维亚开展的“前出狩猎(Hunt Forward)”行动。此次行动是美国网络司令部第二次在拉脱维亚开展的主动性网络防御活动,也是美国与加拿大首次在他国合作开展的网络威胁搜索任务,以识别、监控并分析俄罗斯黑客针对关键基础设施的网络攻击策略、技术和程序。
在为期三个月的行动进程中,美网络作战人员与拉脱维亚计算机应急响应小组、加拿大军方合作伙伴密切配合,寻找恶意网络活动并识别特定网络漏洞。美加网络行动人员向拉脱维亚政府提供技术发现,使该国采取措施加强网络防御;同时在得到许可下,美军将行动期间所获发现带回国内与政府机构、私营企业共享,从而加强美国国内网络防御。
一
背 景(一)美军将网络安全威胁视为严峻安全环境的重要因素
自拜登政府上台以来,数个重大网络攻击事件接踵而至,网络威胁成为美国政府面临的最为迫切的安全威胁,特别是在“太阳风(SolarWinds)”供应链攻击、Colonial 输油公司勒索软件、Microsoft Exchange 黑客攻击以及俄乌冲突网络战影响下,2022 年《美国国防战略》将网络安全威胁视为美军所面临严峻安全环境的重要因素,指出竞争对手在“灰色地带”的强制性和恶意活动升级,强调俄罗斯、伊朗、朝鲜等国通过恶意网络和信息行动构成严重且持续的风险,提出将通过运用网络威慑手段、开展网络空间行动和提高网络空间能力等方式来应对竞争挑战并获取军事优势。同时,该战略进一步把受威胁对象从美国本土扩大到以美国为首的联盟体系及地区伙伴,这也符合北约《2022 战略构想》重申的网络攻击可能触发集体防御条款,强化以美为首的北约在网络空间的威慑和防御姿态。
(二)美军网络作战原则从被动防御过渡到“持续交战”
为应对不断发展的网络威胁,美军网络作战原则从被动、防御态势过渡至更积极、主动的“持续交战”战略,进而实施持续性行动的“前沿防御”,着眼于打击武装冲突阈值下的网络滋扰活动,以此形成网络威慑、掌握主动。2018 年美国政府简化进攻性网络行动审批程序,美军网络行动范围不限于本国网络基础设施、信息系统和数据,可借维护国家安全为由对全球任意目标进行网络渗透和攻击;2020 年“分层网络威慑”战略通过塑造网络空间行为、拒止对手从网络行动中获益以及向对手施加成本三个层次,实现网络空间竞争优势;2023 年《国家网络安全战略》明确提出运用国家权力所有手段,在全球范围对任何被判定为威胁美国国家利益的网络攻击行为进行打击摧毁,且提供必要资源和工具确保关键基础设施安全,最大限度避免网络安全事件产生广泛或持久的影响。
(三)美军持续提升网络作战力量定位及规模
从美国网络司令部成立至今,美国网络部队已发展成为拥有 133 支具备全面作战能力的网络任务分队、数万人军种部队的强大网络作战力量。为应对网络部队建设需求及现实威胁形势,2022 年 12 月,网络司令部下属网络国家任务部队(CNMF)升格为次级统一司令部,进一步确立该部队在美军网络作战行动中的核心地位,也推动 CNMF 从各军种吸纳网络作战人员、培训网络部队并改变其拥有的权限,使 CNMF 在数字领域能够更敏捷、更快速地行动。此外,为保持网络空间优势,美国现役网络部队力量规模和结构将持续扩大和加强,在部队规模方面,美军各军种根据规划建立了新的网络任务部队,并提供给网络司令部;在部队种类方面,美军各军种建立了新的网络部队及复合型部队,在强化网络作战态势的同时加强了信息集成、情报支持、多域融合等方面的能力。
二
前出狩猎行动概况(一)行动概述
前出狩猎行动是指美国网络司令部向海外派遣网络作战部队,通过与盟友及合作伙伴合作,以主动追捕形式发现并识别对手的网络行动,旨在在全球范围内发现和打击网络威胁,加强与其他国家的信息共享和协作,提高网络安全和网络防御能力。
前出狩猎行动目标明确,针对俄罗斯、伊朗、朝鲜等国家地区及组织开展进攻性行动、防御性行动和信息战等全方位信息行动。自 2018 年以来,美国网络司令部在全球22个国家的70个网络上开展了47次前出狩猎行动,包括爱沙尼亚、立陶宛、黑山、北马其顿等国(如下表 1),但美国网络司令部很少在前出狩猎行动部署后立即进行披露。目前,美国已将前出狩猎行动扩展到更多盟友国家及地区,在提升盟友及合作伙伴网络安全的同时,为自身团队提供实践经验和发现对手的能力。
表 1.美军开展前出狩猎行动情况表(部分)
(二)行动人员
前出狩猎行动人员构成相对保密,根据公开报道,该团队人员主要由军人、文职人员及非军人组成,具体包括:(1)高级领导,负责制定战略计划、协调合作伙伴、管理团队等;(2)情报分析师,负责收集、分析和评估威胁情报,为团队提供情报支持和决策依据;(3)技术专家,负责使用先进技术工具和方法发现和追踪网络威胁;(4)执行人员,负责实施行动计划,对威胁源头进行打击、收集证据等。前出狩猎执行人员主要由美网络国家任务部队进行,具体情况根据任务需要有所变化。
(三)行动成效
美国网络司令部通过前出狩猎行动,持续发布网络安全警告,披露国家级黑客组织及网络犯罪分子的网络渗透指标、恶意软件样本、网络攻击手法及重点攻击目标,敦促政府机构、军事机构、私营企业提高安全警惕,开展网络安全检查,实施最佳安全实践。
为保障美国总统大选安全,美国网络司令部在 2020 年总统大选前夕执行了 20 余次任务,包括在 9 个不同国家开展了 11 次前出狩猎行动;2020年 11 月,《纽约时报》披露美军还在中东及亚洲开展前出狩猎行动以应对来自伊朗和朝鲜的网络威胁。此外,2022 年美国网络司令部围绕俄乌冲突开展有史以来最大的前出狩猎行动,先后在乌克兰、立陶宛和克罗地亚等国开展多次行动,行动中提取到与“太阳风”网络攻击行动关联的新恶意软件样本。
三
前出狩猎行动内容(一)建立全球合作关系,加强信息共享协作
美国网络司令部与多个盟友国家、国际组织的网络安全机构建立广泛的合作关系,通过定期会议、技术合作、联合演习等方式加强协作。同时,网络司令部与盟友国家网络安全机构建立信息共享机制,通过共享威胁情报等信息帮助应对全球范围内的网络威胁。共享信息包括:(1)威胁情报,包括网络攻击、恶意软件、僵尸网络等,帮助各国网络安全机构了解当前网络威胁和攻击趋势;(2)情报分析,包括对威胁情报的分析和评估,帮助各国网络安全机构了解威胁来源、目的和方法;(3)技术支持,包括技术方案、工具和方法等,帮助各国网络安全机构提高自身网络安全和防御能力;(4)策略协调,包括网络安全策略和协调方案等,帮助各国网络安全机构制定更加有效的安全策略。
俄乌冲突期间,乌克兰政府为美国前出狩猎行动部队提供多个网络访问权限,共同开展防御性网络行动。行动过程建立了情报快速共享机制,前出狩猎行动部队向乌克兰网络司令部介绍俄罗斯情报部门的有关预备或正在进行的恶意网络行动信息,共享攻击活动、敌方手段、战略评估、恶意软件、入侵指标(IoC)等情报信息,分享调查方法和网络事件响应最佳实践。
(二)利用先进技术工具,发现打击网络威胁
前出狩猎行动团队使用一系列先进技术工具发现并追踪全球范围内的网络威胁,使用工具包括自动化扫描工具、漏洞扫描器、恶意软件分析工具以及专有情报搜集、数据分析工具等。但囿于“双帽制”下严重依赖国家安全局的基础设施及技术,美国网络司令部开始建设联合网络作战架构,提升网络任务部队开展全方位网络空间行动的能力。例如 2022 年 4 月,网络司令部将 6000 万美元的“前出狩猎解决方案套件”合同授予 Sealing 公司,为网络国家任务部队提供网络作战的自动化部署、配置和数据流支持,以在伙伴国家网络上进行防御性网络行动;2021 年 9 月,网络司令部授予Peraton 公司 1.09 亿美元的网络作战支持服务合同,加强国防部专业网络知识和应对网络空间威胁能力。
俄乌冲突期间,前出狩猎行动团队使用创新技术提供远程分析和咨询支持,根据关键网络开展防御活动,在乌克兰铁路系统发现并清理了一种高危害度的恶意软件,保障近百万民众通过铁路网安全逃离;阿尔巴尼亚行动期间,前出狩猎行动团队发现伊朗黑客潜伏在阿方政府系统长达 14 个月之久,并已获得受害网络的初始访问权限;2020 年美国大选期间,网络国家任务部队基于大数据平台(BDP)所获数据开展前出狩猎行动,在外国合作伙伴网络上搜索不良行为者。
(三)提供技术能力培训,提高网络防御能力
基于美国国内情报共享机制及相关授权法案,美国政府、国防部及网络安全公司在前出狩猎行动过程中,可极大地提高盟友国家网络防御深度和弹性。一是提供安全能力建设,负责能力培训、机构建设和政策协调等,如美国网络安全和基础设施安全局(CISA)与乌克兰国家特殊通信和信息保护局(SSSCIP)签署联合培训协议,提高乌方人员网络防御技能;二是提供技术支撑,提供硬件及技术措施解决漏洞、减轻攻击影响,如 SpaceX公司提供军民两用的 Starlink 卫星通信装置。
俄乌冲突期间,美国政府紧急协调 Fortinet、BitDenfender、思科、Cloudflare 等多家网络安全公司向乌克兰政府机构提供安全服务或产品,以抵御大规模分布式拒绝服务攻击(DDoS);此外,美国政府协调商业云企业向乌克兰提供云服务,协助乌克兰公私机构数据和服务迁移到境外云服务器,如亚马逊 AWS 公司提供数据转移培训、政府机构和国有企业数据迁移至微软 Azure 云。
四
前出狩猎行动影响(一)全面实施进攻性网络空间战略
美国网络司令部司令保罗•中曾根强调,综合威慑是网络司令部的基本战略,美军要主动利用网络开展动态力量投送,快速产生非动能效应,以实现“提前防御”和“持续交战”,为联合部队建立网络空间信息优势。从行动任务和行动样式上看,前出狩猎是贯彻“前沿防御”战略和落实“持续交战”原则的具体行动。虽然网络司令部反复强调前出狩猎行动是纯防御性,但其实质具备进攻性色彩,并在 2022 年采取更大力度对俄罗斯、伊朗等国网络力量实施全方位的威慑与打击,全力塑造网络空间霸权地位。
(二)锤炼网络部队实战经验与技能
网络任务部队是美国网络司令部掌握的作战执行力量,也是前出狩猎行动任务的执行人员。随着大国竞争的需要,网络司令部持续增加网络作战任务强度,开展了 47 次前出狩猎行动,锤炼网络作战部队的实战经验与技能,保护美国国家安全与利益。如中曾根就公开承认,美军曾采取网络攻防、信息作战在内的全系列作战行动干涉俄乌冲突,支持乌克兰抵御俄罗斯网络攻势。目前,美国网络司令部由 133 个网络任务团队组成,在未来五年内将增加至 147 个,随着网络部队的扩编,前出狩猎行动将成为美国网络司令部的增长型业务。
(三)发展网络空间国际伙伴关系
多年来,美军注重与国内外网络安全合作伙伴加强协作,开展网络防御行动实施网络安全风险检查、评估和分析,以求在网络领域形成集体优势。前出狩猎行动也有拉拢合作伙伴加大境外练兵之意,通过在伙伴国家网络上开展前出狩猎行动为美军提供了关键的非对称优势,通过曝光对手网络行动让其付出代价,并改善合作伙伴和盟友的网络安全态势,加强和巩固国防网络安全防御。同时,美军进一步整合优化信息共享尤其是情报共享工作,改善公私、异国、多域等领域的共享工作,以便更好关注网络战和信息战,应对国内外网络威胁情况。
五
结 语美国将我国视为网络空间的主要对手,贯彻“前置防御”理念,实施前出狩猎行动,意图建设网络空间盟友圈,抢占网络空间霸主地位。为此,我国更需建立以网络安全为支柱的现代国防观念,专注提升网络空间作战能力建设,主动作为掌控网络空间斗争的主动权、网络空间发展的自主权。
供稿:三十所信息中心
商务合作 | 开白转载 | 媒体交流 | 理事服务
请联系:15710013727(微信同号)
《信息安全与通信保密》杂志投稿
联系电话:13391516229(微信同号)
邮箱:xxaqtgxt@163.com
《通信技术》杂志投稿
联系电话:15198220331(微信同号)
邮箱:txjstgyx@163.com