美国网络部队指挥官提出网络攻击作战框架

编者按

美国网络司令部作战部队指挥官戴维·穆西耶维奇少校近撰文称，美军进攻性网络空间行动面临着高风险的战略失败和资源浪费，其原因在于战略目标和网络攻击战术行动之间存在巨大鸿沟。美军目前尚不存在一个可使指挥官实现高层领导愿景的清晰、可执行网络攻击框架，指挥官无法可靠地实现高层领导人提出的愿景。因此，有必要提出网络攻击作战框架以弥合上述差距，并为战术任务和效果与所需战略目标的无缝配对奠定基础。

作者借鉴过去十年的历史性的和目前活跃的网络战，以及其10年执行进攻性网络空间作战的经验，提出名为“网络攻击频谱”的作战框架，从准备时间、成本、成功几率、影响持续时间以及影响严重性等方面将网络攻击行动分为五大级别，包括：“网络拒止”、“体系拒止”、“体系操纵”、“任务拒止”和“任务操纵”。

其中，“网络拒止”为阻止某一网络与外部网络进行通信的网络攻击，该级别攻击容易实施且难以阻止，但只能造成暂时性影响；“体系拒止”为阻碍机构用户访问其数据的网络攻击，该级别攻击通过阻碍最终用户的日常活动来造成机构瘫痪，就所影响的系统的范围和数量而言其能够造成最多的经济损失；“体系操纵”为可在不被发现的情况下操纵机构用户决策的网络攻击，该级别攻击重在打击机构心态，目的是在较长时间段内削弱其效能；“任务拒止”为专门阻止对机构关键流程或系统运行的网络攻击，该级别攻击的重点是对关键任务数据的破坏甚至是对硬件的物理破坏，其具有精确特性，能够产生所需的特定效果，需要更长的投入时间；“任务操纵”为专门用于操纵对机构任务至关重要的系统或流程而且不会被发现的网络攻击，该级别攻击是框架内最先进且战略复杂的网络攻击，能够重复且持续地破坏机构基本任务。

奇安网情局编译有关情况，供读者参考。

网络攻击频谱

介绍

尽管美国高级领导人在网络空间上提供了广泛的高层指导，但进攻性网络空间行动中战略失败和资源浪费的风险仍然很高。美国前国防部长阿什顿·卡特描述了2015至2017年度对抗“伊斯兰国”（ISIS）时的这些失败：“我对网络司令部对ISIS的效力感到失望。它从未真正产生任何有效的网络武器或技术……简而言之，我们没有机构在网络斗争中表现得很好。”

之所以失败，是因为在理解领导人应该如何在战术层面上实现战略目标方面存在巨大差距。尽管美国防部最近单独为2020年进攻性网络空间行动要求提供37亿美元的资金，目前尚不存在一个可使指挥官实现高层领导愿景的清晰、可执行网络攻击框架。在存在这种差距的情况下，指挥官如何才能可靠地实现高级领导人提出的愿景？我提出了以下作战框架以弥合这一差距，并为战术任务和效果与所需战略目标的无缝配对奠定基础。

如果美国要拥有对敌人的独特军事优势，它必须具有一个可提供速度和灵活性同时将战略指导与战术部署紧密地联系在一起的作战框架，从而在网络空间中积极地保持对其他国家的领先地位。从战略层面到战术层面的无缝流程将实现网络空间所有层级的行动计划和总体战略目标的统一。

在以下各节中，我将借鉴过去十年的历史性的和目前活跃的网络战，以及我10年执行进攻性网络空间作战的经验，将攻击划分为五个级别，我将统称为“网络攻击频谱”。每个章节都定义和描述了一个特定级别，提供了一些实际示例，然后探讨了进行此类攻击的成本和收益。然后，在图表中估算并总结了网络攻击级别之间这些权衡的简明描述。最后，我建议了供考虑的未来领域，以及在各级领导层中采用此框架的整体好处。

框架

通过了解频谱中每个级别的各种攻击，作战层领导者和计划人员将更容易实现目标，描述预期的最终状态，并表达方法间的各种权衡。这将实现为特定目标分配时间、资源和精力。最终，指挥官们将能够提供实现战略目标的选项单，所有这些都具有不同程度的风险、回报和资源投入。

在网络战争的简短历史中，各级行为体都进行了广泛的攻击。尽管存在个体差异，但可以将这些攻击分为可以相互依靠以构成一个频谱的五个类别或级别：网络拒止（Network Denial）、体系拒止（Enterprise Denial）、体系操纵（Enterprise Manipulation）、任务拒止（Mission Denial）和任务操纵（Mission Manipulation）。

随着攻击变得越来越复杂，术语级别贴切于不同攻击之间存在的复合因素。一旦行为体可以在较高级别上开展攻击，其也可以在较低级别上开展攻击。反过来，在较低级别开展拒止攻击可能会切断较高级别攻击所需系统的访问权限。

以下各章节根据执行攻击所需的估计时间、成本、成功可能性、对机构影响时间以及总体影响对这些级别进行分类。在网络战中，几乎所有时间都花在获取对期望攻击至关重要的一个或多个特定系统的访问权限上，而执行攻击的时间可以忽略不计。同样，机构间获得适当批准以开展各种攻击的政策和程序也大相径庭。因此，本文中讨论的时间范围仅是指获得必要访问权限所需的作战时间，而不是发起攻击或各种政策和程序所需的时间。

“网络攻击频谱”纳入了《联合出版物（JP）3-12—网络空间作战》中“拒止”的定义，即“阻止访问、操作或使用目标功能”，作为指定为“拒止攻击”的三个级别的基础：“网络拒止”、“体系拒止”和“任务拒止”。该频谱建基于JP 3-12对“操纵”的定义，即“利用欺诈、诱导、调节、哄骗、伪造以及其它类似方法……以产生物理拒止效果”，将其余级别指定为“操纵攻击”：“体系操纵”和“任务操纵”。在此定义中，“物理”（physical）只是指操纵效果在网络空间之外产生影响的事实。该定义不仅指物理系统本身，还指这些系统的认知层或用户。这描述了操纵系统反过来操纵或驱动人为因素中的效果。操纵攻击需要对所涉及的系统有更全面的了解，以及更深入、更侵入性的网络访问权限。要成功操纵、欺骗或以其他方式影响目标机构内用户的行为，必须具备这种知识和访问权限。

级别1：网络拒绝

定义。阻止某一网络与外部网络进行通信的网络攻击。

描述。第一级别的攻击最容易实施，难以阻止，因此很常用。级别1（“网络拒止”）仅针对信息传输，而不针对实际信息本身。

这些攻击可能只影响网络的一部分或整个网络。可以通过几种不同的方法来完成上述攻击，受害者难以制止其中一些方法。级别1攻击与其他级别攻击的主要不同之处在于，它们会影响目标与其他机构进行交互的能力，而内部流程在很大程度上不会受到影响。

示例。一个简单的“网络拒止”示例就是攻击者登录到一家机构网络边界的路由器并阻止其传输数据。此示例导致网络上所有流量的阻塞，并隔离了目标机构，从而暂时阻止了它使用计算机网络将任何信息传入或传出。这种类型的网络隔离会降低任何机构的运作水平，但前提是目标无法恢复适当的功能。

更高级的级别1攻击需要国家级资源或互联网中央骨干网的访问权限。这些攻击包括边境网关协议劫持、域名服务器劫持和大规模分布式拒绝服务，俄罗斯、伊朗等国都使用了这些攻击。这些攻击利用了互联网所建基于的基本信任，从而给其带来了额外好处，即受害者几乎无法阻止上述攻击，而且上述攻击始终处于国家支配之下。

权衡。从概念上讲，“网络拒止”攻击很容易执行，但只能让目标的操作暂时瘫痪。与其他所有级别相比，此类攻击在技术层移动的片断更少，但获得成功的机会最高，并且对目标所需的了解也要少得多。新目标可以在数小时或数天内受到攻击，并且几乎不需要任何准备。但是，要权衡的是级别1攻击会引起极大的关注，并且易于诊断。总体而言，级别1攻击需要更少的时间、更少的资金以及因此更少的投入，但是根据目标人员的熟练程度，它们只能让组织瘫痪数小时至数天。

级别2：体系拒止

定义。拒止机构用户访问其数据的网络攻击。

描述。下一级别的网络攻击也能瘫痪机构，但以某种方式阻碍了最终用户的日常活动。“体系”一词用于描述用户执行日常任务所依赖的系统和应用程序。受级别2攻击影响的日常活动的示例包括登录计算机、发送电子邮件和修改文档的能力。级别2攻击与级别1（“网络拒止”）不同，因为它们专门破坏机构用户直接与之交互的信息。

示例。级别2攻击最常见示例是勒索恶意软件，即“勒索软件”，目前流行于网络犯罪分子。勒索软件在执行其核心目标前不需要知道任何有关机构的信息，即通过加密来拒止用户访问其数据。由于恶意软件会攻击所有文件、历史记录、活动记录以及用于执行日常任务和公司功能的任何其他文件，因此被加密文件对于系统用户而言至关重要。这正是为什么它对遭受此类攻击的公司如此具有破坏性的原因。

迄今为止，最具破坏性级别2攻击是“NotPetya”勒索软件，该勒索软件在2017年在全球造成了约100亿美元的损失。作为NotPetya造成的财务影响的一个例子，仅马士基国际航运公司就遭受了3亿美元的损失并经历了将近一个星期的全面运营停顿。这种灾难并非马士基甚至NotPetya本身所独有。“WannaCry”、“SamSam”和“Ryuk”都是可追溯到2017年有据可查的勒索软件攻击，造成数百万美元的财务损失，并在众多机构中造成了广泛的运营影响。

权衡。单单基于它们所影响的系统的范围和数量，级别2攻击可能会比其他任何网络攻击造成更多的财务损失。与级别1相似，级别2攻击所需的目标知识很少，因此与其他级别相比所需的时间和金钱投资更少。但是，由于需要更深的网络访问权限，因此级别2攻击成功的可能性也要小于级别1级攻击。此外，尽管造成了沉重的财务损失，但迄今为止，最具破坏性级别2攻击仅能让机构停顿数天，并且所有操作都在数周内得以恢复。

级别3：体系操纵

定义。可在不被发现的情况下操纵机构用户决策的网络攻击。

描述。“体系操纵”是频谱上的第一个主要适用于影响对手行为而非消除其运作能力的级别。这些攻击针对是与级别2（“体系拒止”）攻击相同的计算机系统，但是利用对机构的更深入了解来影响或破坏（但并未拒止）常见的组织流程。此外，执行级别3攻击的关键目标是在用户不了解攻击的情况下执行此操作。这是级别3和前两个级别之间的主要区别。

级别3攻击必须以在整个目标机构中既无法预测也不广泛传播的方式开展。由于混乱的界面、技术用户手册、总体复杂性和频繁的数据丢失，体系用户已经逐渐习惯于不信任计算机和软件。通过将外部“精怪”（gremlin）引入系统，最终用户可能会进一步失去对其有效执行任务的能力的信心，从而导致生产力和组织效率的下降。

示例。尽管数据操纵在过去几年才开始公开讨论，但是很容易预见到此类攻击可能引起的潜在混乱，并且已经吸引了电视剧制作人的想象，例如《黑客军团》（Mr. Robot）。这些攻击可以像删除关键电子邮件、锁定特定用户账户或破坏重要用户文件一样简单。更强大且可能影响深远的攻击可能带来灾难性后果，例如操纵金融或人力资源数据。

据《福布斯》报道，朝鲜黑客已经实施了金融数据操纵。朝鲜在17个国家的35次入侵中窃取了惊人的20亿美元。例如，朝鲜通过操纵薪资数据从塔拉哈西市抽走了49.8万美元。这些攻击旨在获取资金，而不是给下层机构带来巨大损失，但对机构的破坏性影响是相同的。

权衡。“体系操纵”攻击打击的是机构心态，目的是在较长时间段内削弱其效能。级别1和级别2会导致明显中断，从而导致暂时瘫痪，但是级别3攻击可能会无限期地牵制机构。这些攻击所需的准备时间几乎与级别2相同，但是成功几率要低得多，可量化的结果也少得多。

级别3攻击的执行成本也更高，因为它们必须使用更先进的工具才能在目标网络中保持隐匿状态。级别3攻击可能不会带来与其他级别相似的成本，但是它们使攻击者得以在隐匿情况下驻留在网络内，同时不断侵蚀机构的生产力。由于其固有隐身性和合理推诿性，级别3攻击还提供了与目标衔接的能力，而不会增加报复或升级的风险。只要级别3攻击保持隐藏状态，攻击者就可以进行级别4和级别5攻击，而目标同时遭受着效率和生产力的负面影响。

级别4：任务拒止

定义。专门阻止对机构任务至关重要的流程或系统运行的网络攻击。

描述。“网络攻击频谱”的最后两个级别仅集中在系统和流程链上，这对于机构执行其核心任务至关重要。重点可能是关键任务数据的破坏，甚至是（在非常特殊的情况下）通过工业控制系统操纵对硬件的物理破坏。这些攻击的精确性是级别4（“任务拒止”）和级别2（“体系拒止”）的主要区别。

示例。2015年俄罗斯对乌克兰电网的攻击是级别4网络攻击的典型示例。在此次袭击中，俄罗斯在未被发现的情况下获得了三家乌克兰主要电力公司的关键访问权限。一旦进入网络，恶意行为者立即将内部操作员用来控制发电的系统作为攻击目标。行为者对系统操作员进行了足够长的监视，以了解使用了哪些接口来控制发电机。知情后，攻击者系统地关闭发电机并禁止远程访问控制计算机。通过阻止发电机操作员远程让系统恢复在线状态，技术人员不得不亲自走动并手动重启每台发电机，这一过程花费了6个小时才完成。

让此示例成为级别4攻击而非级别2攻击的原因是，行动者专门针对那些对机构执行其核心任务（发电）至关重要的系统。如果同样行动针对的是对核心任务并不至关重要的系统，则它们将被归类为级别2攻击。

权衡。从攻击者的角度来看，由于级别4级的精确特性，因此比级别2更容易预测。这些攻击更有可能产生所需的特定效果。缩小攻击范围并精确执行可使攻击者就特定战略目标量身特制并以更高的确定性执行。相比之下，级别2（“体系拒绝”）具有防止机构实现其首要任务的潜力，但只是作为主要攻击的副产品。由于与级别4所需的精细相比，级别2具有普遍性，因为受害者在级别2攻击后更容易恢复关键任务功能。级别2攻击更为普遍且先进程度较低，因此更容易被网络防御者所预期和缓解。

与级别1、级别2和级别3相比，级别4攻击需要更长的时间投入。这是由于需要深入了解以了解机构如何执行其任务的细节，以及移动到实施上述任务的系统所需时间。这些较长时间投入自然会导致总体行动成本上升。行动者必须在网络中停留的时间越长，他们的工具就必须越先进，以保持不被发现。一旦执行了级别4攻击，网络防御者会迅速发现攻击，并且补救措施可能很简单。机构有效停顿时间在很大程度上取决于任何物理损坏的程度，并且进一步受所需的任何专用硬件的匮乏的影响。

级别5：任务操纵

定义。专门用于操纵对机构任务至关重要的系统或流程而且不会被发现的网络攻击。

描述。“任务操纵”是频谱内最先进且战略复杂的网络攻击。“任务操纵”能够重复且持续地破坏机构基本任务。除在未被发现的情况下被执行之外，级别5攻击与级别4相同。这是一个很小的区别，但异常难以实现。

示例。迄今为止，只有一项公开披露的网络攻击展现了关键任务系统的破坏和隐藏这些动作所需的操纵：“震网”（Stuxnet）。有大量记录显示，“震网”以其在2009年4月至2010年6月对伊朗离心机造成的物理破坏而闻名。然而，“震网”的真正亮点是它熟练地欺骗了这些系统的最终用户。“震网”系统性地破坏了这些关键任务离心机，同时操纵监视组件告诉工程师它们运行正常。

由于这些离心机的关键性，兼具破坏性和欺骗性的“震网”扰乱了机构执行其主要任务的能力，并使伊朗的核计划至少推迟了两年。此次攻击加剧了经济负担，根据瑞士安全研究中心的一份报告的说法，“可能最终导致整个伊朗社会的整体不安全感。”即使在发现“震网”后，伊朗还是不能完全相信他们的系统，不知道故障是由于人为失误还是由于潜伏在他们系统的恶意代码行为所致。

权衡。级别5攻击在时间和人力资本上都比其他任何级别都需要更多的资源。预计“任务操纵”将需要定制工具的组合、深入的知识、先进的网络专业知识、专门的工程知识和大量时间。它需要时间来获得网络访问权限，需要时间来收集信息，需要时间来开发工具，需要时间来在网络中机动以及需要时间来执行。据推测，“震网”需要以色列和美国（世界上技术最先进的两个国家）的共同努力，至少需要3年的准备时间、1年的持续执行时间以及估价1亿美元。

执行第5级攻击所需的目标知识、投入和技术专长要求实时开发，因为几乎不可能在访问任务系统前就知道其确切配置和细微差别。这种专门或本地任务系统的技能和工具可能很难找到，或者可能不存在，需要从头开始构建。

尽管存在这些严格限制，一次级别5攻击仍能够引起大规模的高水平巨大影响，足以与其他战争领域任何行动的复杂程度相媲美。它可以通过非动能手段单枪匹马地实现战略目标，而且重要的是，它具有合理推诿性，从而降低了报复和冲突升级的风险。正如在“震网”示例中所看到的那样，如此高水平的投资的最终结果可以产生持续数年的强大影响。

结论与扩展

通过定义“网络攻击频谱”内各个级别的攻击属性和特征，决策者可以更好地理解和追求战略目标。可以简洁地提供战略指导，并可以更快地确定战术任务。此外，该操作框架为建立选项单提供了清晰的路线图，该选项单在达成目标时逐渐增加所需的资源和效能。尽管每个描述的级别都提供了几个示例，但是各个级别之内或之间的创造性机会是无限的，尤其是随着该知识领域的不断扩展。

尽管此框架是在考虑进攻性网络空间作战的情况下开发的，但也许也可以将其用于防御性网络空间作战，以阐释对手攻击的意图和资源。该框架可以使防御者快速分类对网络的整体威胁，而不仅仅是对单个主机的直接威胁，并相应地分配资源。

另外，使用此框架的行动能够从对可能的心理影响的更彻底探索中获益，即每个级别的网络攻击可能导致的心理影响。由于网络作战本质上是非动能的，利用心理作战的攻击（尤其是级别3攻击）能够以动能攻击无法达成的方式对对手产生重大影响。使用此框架作为棱镜，对同时使用心理作战和网络作战的联合武器进行重点检查可能会产生更有效的方法来影响对手。

总体而言，“网络攻击频谱”是一个简单的框架，旨在弥合战略学说与通过进攻性网络空间作战追求的适当战术任务之间的鸿沟。随着该框架被采用和进一步完善，最终结果将使得指挥官和计划人员能够根据资源需求和约束条件，将所需的最终状态与适当行动相匹配。通过理解战略目标并将其与给定的网络攻击级别相匹配，指挥官可以更有效地打击目标，产生期望的战略成果，并为赢得国家冲突做出独特的贡献。

图表：各网络攻击级别间的估算平衡

作者简介

美国空军少校戴维·穆西耶维奇（David Musielewicz）。美国空军学院理工学士，佐治亚理工学院理工硕士。美国网络司令部一支作战任务分队（位于得克萨斯州拉克兰空军基地）的主官。他曾在马里兰州米德堡的国家安全局担任网络攻击操作人员，具有在进攻性网络平台上执行300多次任务和2100个小时的工作经历。

声明：本文来自网络空间安全军民融合创新中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。