网络安全既是保障军事作战能力的重要基础,也是确保国家安全稳定的必要因素。2021年,美英加澳日等国通过打击网络入侵、转变安防体系、强化供应链安全、开展安全检测、促进安全合作等方式,加强国防网络安全防御,同时也为加强国家整体网络安全提供力量支撑。

1

//  重视以攻补防,通过打击行动威慑对手

美国、英国、加拿大等国转变网络防御思维,除开展常规网络防御外,根据目标性质、事态影响、打击效果等标准进行权衡,对民族国家黑客、网络犯罪组织等发起主动网络攻击行动,向目标施加网络攻击成本,“以攻代防、以攻补防、以攻促防”,旨在利用威慑效果改变攻击者决策,从而阻止重大网络攻击事件的发生。

美国防部负责网络政策的副助理部长欧阳沅10月就美军网络空间作战及在打击勒索软件攻击方面的作用发表看法。欧阳沅表示,美军在网络空间和网络行动方面正处于“拐点”,主要体现在以下四个方面:一是在阻止网络攻击方面,除考虑网络安全系统外,还在考虑人员的因素,即以影响对手权衡方式开展网络空间行动;二是国防部对网络的理解正在不断发展,正在将信息作战和网络作战更加紧密地联系起来以阻止针对美国的恶意活动;三是国防部正认真审视网络在其他领域的作用以达成综合威慑效果;四是网络空间形势瞬息万变,因此美军在该领域需要保持“持续交战”态势。

美国网络司令部一支特遣部队于2月至8月期间开展了首次进攻性网络行动。此次行动意义非凡,以至美国国防部长劳埃德·奥斯汀亲自出席并观看了行动。此次行动也是数字领域战争性质迅速演变以及进攻性网络行动未来重要性的另一个标志。此次行动是一项“进攻性网络效应行动”,涉及美国防部信息网络的安全,但行动确切性质和目标仍然未知。开展此次行动的特遣部队由来自美国马里兰州空军国民警卫队第175网络作战大队、特拉华州空军国民警卫队第166网络作战中队、美国海军第63网络突击队、美国空军第341网络作战中队和空军预备役的人员组成。虽然美国网络司令部还开展了其他进攻性网络行动,但这是该特遣部队开展并承认的首次进攻性网络行动。

美国网络司令部司令兼国家安全局局长保罗·中曾根3月25日在参议院作证称,在2020年总统大选前夕,美国网络司令部执行了20余次任务,包括在9个不同国家开展了11次“前出狩猎”行动,以保障此次选举安全。保罗·中曾根表示,从保护2020年选举的行动中汲取了三个教训:一是网络司令部必须做好采取行动的准备,从而抓住应对威胁的机会,网络空间中成功行动取决于简化的流程、任务战备就绪以及任务伙伴的信任;二是网络司令部与国家安全局的伙伴关系是成功的基础,“双帽制”为美国提供了“速度、敏捷性和灵活反应”,从而使网络司令部能够对威胁做出迅速应对;三是与国内外合作伙伴及时共享威胁信息至关重要。

保罗·中曾根5月还就美国网络部队在海外开展的“前出狩猎”行动发表看法。中曾根表示,“前出狩猎”行动在美国网络司令部的“持续交战”战略中发挥着至关重要的作用,不仅可以保护和加强美国网络和系统以及关键基础设施,同时也为美国和美国的合作伙伴提供了有价值的见解和情报;美军“前沿防御”政策设定了一个重要的基调,强调了网络威胁的严重性,并承认在网络空间中保卫美国需要在美军网络之外执行行动。

英国信号情报机构政府通讯总部(GCHQ)负责人杰里米·弗莱明10月表示,该机构正在考虑部署来自英国新成立的国家网络部队(NCF)的黑客来“追捕”勒索软件团伙。杰里米·弗莱明表示,与去年相比,2021年全英国的勒索软件攻击数量翻了一番,激增的原因是攻击奏效以及犯罪分子获利了且认为攻击未遇抵抗;针对警方和检察机构无法触及的群体的一种方法是通过所谓的“矛头”,涉及攻击性网络活动;打击勒索软件需要理清勒索软件,明确想要的红线和行为,追踪犯罪行为者和国家行为者之间的联系,并施加成本。此类行动通常涉及诸如阻止对手的电话信号或破坏其服务器等行为。

澳大利亚信号局(ASD)局长雷切尔·诺布尔11月宣布ASD正在深入参与针对对手的进攻性行动,并警告未来战争很可能从网络空间开始。诺布尔表示,攻击性网络能力已完全融入ASD的信号情报和网络安全功能,并且是ASD使命的成熟组成部分;不可能在进攻和防御能力之间划清界限,因为拥有攻击性网络能力的机构最适合防御攻击,划清攻防界限将剥夺澳大利亚拥有和需要的领先优势;在网络空间,ASD正日益成为保护国家免受网络攻击的第一道也是最后一道数字防御线,努力挫败试图通过进攻性网络行动来攻击澳大利亚的人员;ASD的目标是保护澳大利亚网络,在造成伤害前将其驱逐,并采取进攻性网络行动,使其无法从犯罪中获益;ASD必须是“偷猎者和猎场看守者”,并希望传达一个明确的信息,即“对手在威胁我们的利益方面会付出的代价超过这样做的好处”。

加拿大通信安全机构(CSE)12月首次公开承认开展“外国网络行动”,以“向日益增长的网络犯罪水平施加成本”。该机构表示,其新任务“赋予CSE开展网络行动的合法权力,以破坏对加拿大的外国威胁,包括网络犯罪分子。”CSE承认针对非国家行为者的网络行动被称为该机构的“分水岭”时刻。CSE发言人表示,“虽然我们无法评论我们使用外国网络行动(主动和防御性网络行动)或提供行动性统计数据,但我们可以确认我们拥有向此类事件背后的人员施加成本所需的工具。我们还可以确认我们正在将这些工具用于此类目的,并在适当的情况下与加拿大执法部门合作打击网络犯罪。”

2

//  改善安全架构,逐步向零信任体系迈进

当前,美军网络的规模和复杂性不断增长,用户和终端的数量也在不断增加,导致美军网络被攻击面不断增大,其网络安全防御面临极限挑战。美国防部正在将现有基于“边界”的网络安全方式转变为“零信任”方式,从而显著抵消国防部网络中的漏洞和威胁。年内,美国防部发布零信任参考架构指导文件,美军各军种已经开始着手推进零信任架构部署。

美国防信息系统局(DISA)2月公开发布《美国防部零信任参考架构1.0版》,旨在使国防部增强网络安全并在数字战场上保持信息优势。该文件由DISA与国防部首席信息官办公室、美国网络司令部、美国国家安全局合作开发,为国防部大规模采用零信任设定了战略目的、原则、相关标准和其他技术细节。国防部采用零信任的依据是三项基本准则:永不信任,始终验证;假设失陷;显式验证。国防部零信任架构(ZTA)工作的范围,专门用于确定所需的能力和集成,以成功推进国防部信息网络(DoDIN)进入可互操作零信任最终状态。国防部零信任实现划分为三个阶段:基线、中级、高级。国防部零信任架构包括七大支柱和能力,包括:用户;设备;网络/环境;应用程序和工作负载;数据;显示/分析;自动化和编排。

美国家安全局(NSA)2月发布名为《拥抱零信任安全模型》的网络安全信息表,向国防机构和国防承包商提供建立零信任网络架构指导。文件敦促整个美国防部及其承包商对敏感系统采用零信任以更好地防止数据泄露,并强烈建议国家安全系统(NSS)、国防部网络和国防工业基础(DIB)系统等关键系统采用零信任安全模式。该文件只是NSA计划发布的参考体系结构的开始,以帮助承包商和国防部组成机构过渡到零信任模型。

美国防部负责网络安全的副首席信息官大卫·麦基翁11月表示,国防部必须改变思维,因为敌人现在可能就已经侵入美军网络;国防部向零信任安全架构的转变提供了一个“战斗机会”,可以在黑客攻击并造成巨大伤害前检测并驱逐黑客;国防部已经在边界内设置了安全措施,以检测大量异常行为并迅速做出反应;国防部在保护数据方面的策略是确保对数据进行适当的基于权限的访问,基于用户身份和凭证不断验证;国防部还确保所有设备都是安全的,并对非安全设备实施较低级别的条件访问;通过细分服务器和应用程序,国防部不会在单个服务器上加载大量应用程序,以在一个应用程序遭到入侵时确保网络犯罪分子无法访问其他所有应用程序和相关数据。

美国陆军首席信息官拉杰·艾耶尔9月表示,为了在“联合全域指挥控制”(JADC2)数据结构环境中保持可靠的网络安全措施,军方必须转向使用零信任。艾耶尔表示,零信任架构是确保陆军在多域作战中保持安全的唯一方法;陆军严重依赖商业技术启动JADC2,将利用这些数字技术并迅速将其集成到任务指挥平台或决策支持系统中;利用上述技术的缺点是它“成倍地”增加了陆军的攻击面,因此零信任安全模型可以帮助陆军改变网络安全理念以保护自身;此前的网络安全方法导致了越来越孤立的响应,最终损害了陆军利益;陆军正在根据国防信息系统局(DISA)5月份为国防部发布的参考架构建立零信任网络架构。

拉杰·艾耶尔10月表示,陆军正面临各种网络安全挑战,包括:关键基础设施中运营技术(OT)资产的网络安全尚未得到充分理解;云安全的配置/架构应用不一致;技术覆盖不断扩大导致攻击面增加;优先考虑武器系统的网络安全要求;缺乏对网络预算和支出的可见性。艾耶尔称,上述挑战影响了陆军跟上对手先进网络攻击媒介的能力,而外围防御方法并不总是能够应对这些威胁,因此必须依靠零信任;陆军正在开展各种零信任计划,以构建安全、协调、无缝、透明且具有成本效益的IT架构,将数据转换为可操作的信息,并确保在面临持续网络威胁时可靠地执行任务。相关计划涉及:端点(IT、OT、IoT)安全;面向云的安全接入服务边缘;使用AI/ML开展网络分析;软件定义网络。

美国陆军首席信息官办公室网络安全主管马修·伊斯利10月表示,为了更好地保护自身网络并遵守拜登政府的行政命令,陆军正在努力建立一个零信任网络安全框架;陆军通过陆军网络司令部、G6和网络企业技术司令部已经很好地启用相关能力,包括已经拥有零信任系统的基础层,并已经开展采用端点安全、身份解决方案、主动监控、云隔离和外围防御;上述系统都为零信任创建了基础层,陆军未来几年的目标是开发能力进行改进,从而真正能够使用该技术来增加保护网络的方式;未来随着更多基于云的访问,陆军网络的边界变得“越来越模糊”,陆军网络上的端点、用户和设备将急剧增加,因此需要建立一个零信任框架来管理访问这些网络的大量系统。

美国空军正在试验零信任策略,以提供额外的数字保护。美国空军空战司令部(ACC)于1月举办了零信任峰会,领导人自此形成了专门为支持遗留软件和硬件的零信任战略。根据该战略,空军还将努力“重新调整”其所有新应用程序开发,并创建包含零信任租户的采购术语。此外,该司令部正在开展两个零信任试点项目:一是通过软件即服务环境使用软件定义边界;二是以数据为中心的零信任架构。ACC网络空间和信息优势部门(A6)首席技术官詹姆斯·洛特佩奇表示,空军必须从基于边界的网络安全模型转向支持云的零信任,新方法从网络位置角度转变为管理用户身份,从分层防御转变为利用微边界,从对用户的隐式信任和开放访问转变为基于会话实例要求安全证明和建立受限访问,同时这种方法将需要开发具有零信任意识的应用程序。

随着美国空军推进两项重要的零信任架构(ZTA)试点项目,美国空军第16航空队在帮助从作战角度检查其使用方面发挥着关键作用。第16航空队指挥官蒂莫西·豪称,零信任架构是空军全域作战能力的核心技术;随着美军继续增加对从传感器获取数据并利用这些数据获取优势的依赖,零信任架构作为一项基础技术将确保数据的安全性;美军必须能够确保数据和系统在任何环境中的弹性,零信任是其中的关键部分。

第16航空队正在支持空战司令部的零信任架构工作,其中涉及将网络安全结构置于空军基地、武器系统和任务环境的保护中。第16航空军第688网络空间联队正在支持网络空间和工程方面的工作;第16航空队领导人正在参与该军种的ZTA工作组,并为ZTA创建了一支作战规划小组。第16航空队正在确保空军零信任工作从可行性和作战角度发挥作用。来自联队和相关中队的工程专家正在与空战司令部工程师和采购合作伙伴合作,以确保ZTA的设计、要求和任何类型的ZTA相关技术指导符合作战体系的观点。此外,第16航空队正在通过ZTA工作组协助设计空军的两个主要零信任用例,包括:佛罗里达州帕特里克太空部队基地将ZTA应用于发射体系;加利福尼亚比尔空军基地在整个基地运营中添加全面网络安全措施。

3

//  制订安全标准,实施国防工业安全认证

国防工业基础是美国军事实力和安全发展的重要基石,能够促进国家经济的发展并保持军队的技术优势。美国防部正在制订并推出相关网络安全标准,并要求国防承包商严格执行,否则其产品将被排除到采购名单之外,以确保国防工业基础的供应链绝对安全、绝对可靠和绝对可控。

美国防部负责网络政策的副助理部长欧阳沅6月表示,美国的对手非常清楚国防部依赖创新,国防部在寻找技术优势时并不只是关注大型承包商,承包商采用最佳网络安全实践也很重要,例如开启多因素身份验证、使用云迁移或与网络安全公司合作;国防部希望帮助其合作伙伴承包商在网络安全工作中做得更好;从弹性的角度考虑网络安全保护对于行业来说至关重要,公司需要为可能发生在其自身上的安全风险做好准备;国防部一直在通过美国网络司令部和其他实体直接与行业合作,以帮助承包商识别其网络上的潜在恶意活动。

美国防部推动网络安全成熟度模型认证(CMMC)计划,旨在推动国防工业基础更好地保护其网络和受控非机密信息,以抵御竞争对手的网络攻击和盗窃。最初的CMMC网络安全标准于2020年特朗普政府期间首次公布,包括公司必须达到的五个不同的安全级别,具体取决于其就特定合同为国防部所做工作。在实施过程中,将利用第三方评估机构进行审计并证明公司在赢得国防部合同前已达到所需标准。到2026年,预计美国防部所有合同都将包含CMMC要求。上述规则将影响庞大的国防工业基础中超过30万承包商。在收到担心实施CMMC的负担和成本的公司的反对后,美国防部在2021年初启动了对该计划的内部审查。

在完成对网络安全成熟度模型认证(CMMC)标准的内部评估后,美国防部11月宣布了CMMC 2.0计划。美国防部表示,CMMC 2.0将大大加强国防工业基础(DIB)的网络安全,新要求将通过与业界建立更加协作的关系来支持企业采用其所需做法来阻止网络威胁,同时最大限度地减少遵守国防部要求的障碍。CMMC 2.0保持该计划保护敏感信息的最初目标,但做出了相关调整,旨在:简化标准;最大程度地减少合规障碍;进一步明确监管、政策和合同要求;加强国防部对“评估生态系统中的专业和道德标准”的监督;提升整体执行的便利性。

CMMC 2.0主要变化包括将安全合规级别的数量从五个减少到三个。第一级为“基础”(foundational)级,将包括10项网络安全实践,并要求受影响的承包商开展年度自我评估;第二级为“高等”(advanced)级,将需要110项与美国国家标准与技术研究所(NIST)特别出版物800-171(NIST SP 800-171)一致的实践;第三级为“专家”(expert)级,将包括110项或更多符合NIST SP 800-171的实践。与旧模型不同的是,CMMC 2.0将允许“在某些有限的情况下”对“选择关键任务要求”的网络安全要求进行豁免,但需要提出申请并获得美国防部高级领导层签署批准。

美国防部12月还发布了与网络安全成熟度模型认证(CMMC)2.0相关的四个关键文件,包括:CMMC 2.0概述文件,阐述承包商必须实施以达到每个CMMC级别的一般要求;CMMC级别1和级别2自我评估范围,用于定义承包商环境中将在评估和自我证明/第三方认证范围内的资产;CMMC级别1和级别2评估指南,旨在为获认证评估员、承包商以及IT和网络安全专业人员提供指导,以帮助其准备CMMC评估(包括自我评估);CMMC工件哈希工具用户指南,用于概述CMMC的工件哈希工具的特定目的。

美国防部国防研究与工程(现代化)主任办公室5G首席主管乔·埃文斯6月表示,国防部正在制定自己的5G安全标准。埃文斯表示,国防部必须了解所使用的所有软硬件(包括手机蜂窝塔和接收器),并拥有一套自己的用于采购5G网络的安全标准。新标准将规定私营公司必须满足哪些要求才能与国防部合作安装5G技术。新标准将在行业和政府的持续合作中发挥重要作用,因为国防部5G战略大部分都围绕着向私营公司开放军事基地进行研发。

美国家安全局(NSA)和网络安全与基础设施安全局(CISA)发布《5G云基础设施安全指南》文件。该指南包括四个部分文件,旨在为包括服务提供商和系统集成商在内的5G网络利益相关者提供指导。其中,第一部分文件“预防和侦查横向移动”介绍了AI监控系统的潜在用途,同时也概述了云提供商应遵循的关键安全协议,以防止和检测对手在5G网络中的横向移动;第二部分文件“安全隔离网络资源”针对以5G容器为中心或混合容器/虚拟网络(也称为Pod)的威胁,以保护5G云基础设施;第三部分文件“保护传输中、使用中和静止中的数据”旨在保护5G核心云基础设施内数据的机密性、完整性和可用性;第四部分文件“确保基础设施的完整性”针对云基础设施和资源的完整性。

美国太空部队商业卫星通信办公室(CSCO)9月底公布实施新的网络安全标准的时间表,以便业界开始内部规划,适应由此带来的对成本造成的任何影响。私营卫星通信供应商必须满足上述标准才能竞标空军及其他军种服务供应合同。基础设施资产预评估(IA-Pre)计划于2019年首次公开提出,该项拖延已久的计划将要求卫星通信提供商在竞标CSCO合同前必须让第三方评估员在现场验证其遵守网络安全标准。CSCO表示,IA-Pre的目标是在军队卫星通信和商业卫星通信之间平衡网络安全的竞争环境,因为它们开始越来越多地集成在战士的工具包中;CSCO还希望通过创建一种预先认证具备网络安全性的太空资产的“批准产品清单”,以加快采购过程并减轻承包商和太空部队的行政负担。

4

// 启动众测项目,搜索信息系统安全漏洞

美国国防部及各军种继续与知名漏洞众测平台HackerOne合作,利用奖励机制吸引道德黑客对军事信息系统开展检测,以查找并发现军事网站、应用程序的漏洞及弱点,从而开展修复和补救工作,消除军事信息体系的安全隐患。

美国防部国防网络犯罪中心(DC3)4月与国防反间谍与安全局(DCSA)和国防部DIB协作信息共享环境(DCISE)合作启动一个试点项目,允许黑客报告国防工业基础(DIB)企业所运营系统的漏洞。项目所涉及的许多工作通常涉及验证全球2000多名参与研究人员提交的报告并确定其优先级。DC3将充当研究人员与DIB公司之间的中间人,承担漏洞报告分级的任务,可能还会提供漏洞修复指南。DC3将不会修复漏洞,但有权考虑封闭漏洞报告。试点项目所涉及的具体资产将列举在HackerOne网页上,包括多个网站以及服务和终端。

美国防部5月宣布将“黑掉五角大楼”漏洞赏金项目扩展至所有可公开访问的国防信息系统。该项目最初仅限于面向公众的网站和应用程序,但现在已扩展到所有国防部可公开访问的网络、频率通信、物联网、工业控制系统。美国防部表示,自项目启动以来,黑客已经提交了29000多个漏洞报告,其中70%以上被确定为有效。美国防部网络犯罪中心主任克里斯托弗·约翰逊称,预计由于项目的扩展,上述数字将“急剧增加”,因为黑客可以发现以前无法报告的新漏洞。

在Log4j严重漏洞于12月被曝光数日后,美国防数字服务机构(DDS)扩大了与漏洞赏金平台HackerOne合作开展的竞赛范围,以帮助国防部更广泛地应对由Log4j漏洞引发的威胁,解决没有自动化解决方案来搜索并查明受影响资产的困局。此项活动是美国防部自2016年启动的“黑掉五角大楼”计划系列的最新举措,也是美国防部首次召集道德黑客社区来应对新兴数字危机。在竞赛活动中,50名经过审查的网络安全研究人员被赋予了一项额外任务,即搜索所有美国军事网站并报告由广泛使用的互联网软件Log4j引起的任何潜在弱点或漏洞。DDS为每个发现的漏洞向参赛人员支付500美元,如证明该漏洞可被利用还会额外再支付500美元。所有发现成果都会被提交给美国防部网络犯罪中心,该中心会与“联合部队总部-国防部信息网络”(JFHQ-DODIN)共享信息以进行补救。DDS拒绝透露通过竞赛发现了多少漏洞,仅表示已支付大笔赏金。

美国陆军与HackerOne合作于1月至2月举行“黑掉陆军3.0”项目。该项目是一项有时限且由黑客驱动的安全测试,旨在发现并解决漏洞,避免漏洞被攻击者利用。活动为期六周,涉及40名来自军方和平民的“顶级”安全研究人员,测试了一系列资产以发现安全漏洞。这是美国陆军第三次与HackerOne合作,也是国防数字服务机构(DDS)与HackerOne合作举办的第11次漏洞赏金挑战活动。此次漏洞赏金活动发现了238个漏洞,其中102个为需要立即修复的重大安全漏洞。陆军向参与的平民人员支付了超过15万美元赏金。

美国海军11月举行“黑掉机器:无人”活动,召集与军方鲜有联系的各种不常见团体来解决军事问题,包括从自主导航软件中的漏洞到加速采购的方法,并将为获胜者提供现金奖励。此次竞赛共分为三项挑战:一是测试参赛人员能否破坏甚至接管海军无人系统,从而寻找无人系统自动驾驶仪软件的漏洞;二是通过建模和仿真来测试给定场景下能否躲避被海军拦截发现,从而加速采购流程;三是通过大规模共享大型数据集来改善能力,从而促进在无人系统中有效地使用人工智能和机器学习。

美国太空部队12月举行第二届年度“黑掉卫星”(Hack-A-Sat)竞赛。来自美国、波兰、德国和罗马尼亚的八支队伍获得了参赛资格,以争夺10万美元的奖金,其中第一名5万美元、第二名3万美元、第三名2万美元。比赛时间持续24小时,参与竞争的团队将尝试破解彼此“flat sat”硬件(真实卫星内部技术复制品),同时保护自身“flat sat”硬件。美国太空系统司令部负责防御性网络行动的华莱士·特恩布尔上校表示,黑客受众的全球性是让“黑掉卫星”竞赛对太空部队有价值的因素之一,这是与黑客社群互动并让其有兴趣努力保护太空免受网络攻击的好方法。作为历届“黑掉卫星”活动的最高成就,美国太空部队计划于2023年发射一颗专门用于网络安全测试的“月光项目”卫星。“月光”卫星不仅会用于“夺旗”竞赛,还会用于培训、学术工作和全年的日常实际使用。”

5

// 保护武器系统,减轻军事网络安全风险

美军大量现代军事武器系统依靠软件和信息技术来实现其预期性能,自动化和互联性既是美军现代军事能力的基础,也使其暴露于日益复杂的网络攻击。美军已经认识到武器系统的所面临的网络安全问题,正在通过加强供应链检查、升级换代遗留系统、加强威胁态势感知以及部署网络防御部队等方式加强武器系统的网络安全防御。

美国家安全局(NSA)网络安全理事会主管罗布·乔伊斯10月表示,其机构的首要任务之一是保护美国武器系统免受网络威胁,这代表了拥有强大网络对手日益多极化世界兴起所带来的重点转移。武器系统属于国家安全系统(NSS)的特殊政府信息技术类别,其一直是NSA网络安全工作的主要国内权限。因此,上述重点转移不是围绕NSA的历史角色和责任,而是承认美国面临着更精通技术的网络行为者,上述行为者可能而且可能已经在武器系统中寻找网络漏洞。NSA关注NSS的一个方面牵涉到进入国防工业基地,在建造武器系统的同时“端到端地查看”武器系统安全性,并在了解武器系统面临持续威胁的情况下将保护视为持续性任务。

美国空军第16航空队正将更多注意力集中在保护武器系统免受敌方探测上,方式是生成正确的情报来了解威胁情况。第16航空队指挥官蒂莫西·豪表示,许多武器系统早于先进民族国家长期存在的现代网络威胁建成,因此第16航空队必须努力降低这些系统的风险;第16航空队防御性网络团队能够保护整个网络,包括特定飞地或特定武器系统,能够确保各方获取威胁的共同形势以及威胁的情报,帮助使这些系统更具防御性且不易受到攻击。

美国战略司令部(STRATCOM)司令查尔斯·理查德1月表示,国会特别关注核指挥、控制和通信(NC3)网络的运行和防御方式;NC3相对隔离地运营,NC3网络背后的计算机系统与大多数其他美国政府系统的工作方式完全不同;NC3网络未受近期SolarWinds入侵事件的影响,NC3系统完全具有执行任务的能力。美国战略司令部正在通过NC3 Next计划改善核武器网络防御,升级不断老化的NC3系统,并不断改进复杂网络各个方面的举措。

年内,美军近期多次部署网络防御部队开展演训任务,通过实战活动提高网络防御能力,加强对飞机的网络安全防护。美国网络司令部10月部署空军第16航空队第800网络保护团队(CPT),为欧洲轰炸机特遣部队第9远征轰炸中队的B-1B“枪骑兵”战略轰炸机提供关键数据防护支持。该团队通过配置网络武器系统来收集飞机系统上日志和流量,并通过搜索和强化战略轰炸机上的系统来确保组件不受任何对手活动的影响,从而缓解了战略轰炸机关键任务系统中的漏洞,并进一步加强了抵御未来恶意网络活动的能力。此次网络保护团队(CPT)对轰炸机特遣部队的支持是历史性首创,代表着美国网络司令部与战略司令部关系正在不断发展。

美国空军第747网络空间中队任务防御团队(MDT)11月与第535空运中队在C-17“环球霸王III”上共同执行任务。该任务防御团队不断监控空域,以保护整个空军的关键资产免受对手网络攻击,同时监视网络空间是否存在数据操纵和错误信息读取等异常情况以防范干扰破坏。

美国第27特种作战通信中队的任务防御团队(MDT)今年早些时候在MC–130J突击队II型飞机上首次展示了在飞机上开展近实时网络威胁分析的能力。这是MDT所用网络套件首次与实验室外的作战武器系统相联接,此次演示使得该团队套件获批在MC-130J飞行时集成到飞行操作中。截至12月8日,该任务防御团队(MDT)已成功地对MC-130J上的新型网络套件进行了飞行测试,这是首次近实时收集飞行数据以实现对飞行中飞行操作的网络防御。上述网络套件可用于增强机组人员的态势感知能力,减少其对网络入侵的响应时间。

6

// 促进公私合作,运用集体力量强化防御

面对当前网络安全威胁的范围和规模,美国、日本军事机构与政府、企业、科研机构等公私伙伴广泛开展合作,建立起全方位、立体化、多层次的协作网络,通过信息共享、资源互补、深度融合来“抱团”打击恶意网络行为者,努力实现全链条的国家集体防御。

美国防部长副首席网络顾问威廉·蔡斯5月在国会作证称,国防部通过国防网络犯罪中心扩大了与私营部门的信息共享计划,以加强供应链上下的安全;国防部正在努力修改相关法规,以扩大上述计划的适用范围,使其包括未获许可的国防承包商,从而使中小型承包商能够接收重要信息,包括相同签名、恶意IP地址以及威胁警报。

美国网络司令部司令兼国家安全局局长保罗·中曾根9月表示,在2022年的中期选举前夕,试图破坏美国民主进程的国家名单正在增加;就2022年而言,网络司令部现在的重点是能够洞察开展恶意行为的对手以及对手所为,该重点将快速转向能够与广泛的合作伙伴共享信息;美国将继续保持政府和军事机构在2020年大选时所采取的网络安全合作模式,以保护2022年及以后的选举;进一步投资于政府、情报体系和国际范围内与志同道合的国家之间的伙伴关系,是防止恶意网络活动的一种手段。

中曾根10月表示,网络司令部和国家安全局近年来取得成功的关键在于组织的文化转变及其与私营部门的关系,希望向私营部门传达“政府能够提供帮助”的信息;网络司令部和国家安全局正在分别通过“梦想港”和“网络安全协作中心”与私营部门建立“全方位合作伙伴关系”;SolarWinds事件既是美国私营部门和美国政府的重大事件,也是美国的转折点,私营公司在此次事件中发挥了关键作用;公私合作伙伴关系使得美国政府能够提前了解外国行动的范围和规模,并实现解决方案共享。

保罗·中曾根10月还表示,随着恶意网络事件的范围和对手的先进程度不断增加,需要采取统一的公私部门战略才能在这种环境中获得竞争优势,在网络安全领域建立公私合作伙伴关系将有助于确保对任何联盟实体的攻击被视为对全体的攻击;伙伴关系是美国的力量所在,合作伙伴的综合人才是美国对应对网络威胁的最大竞争优势;没有任何公共或私营部门实体可以完全了解这些先进对手的行为,但各方可以共同实现并保持对对手的网络空间优势,在国内建立弹性,并开展“前沿防御”。

保罗·中曾根12月发文称,当今许多最大的网络挑战威胁到集体利益,必须通过持续的集体行动来应对;网络司令部和国家安全局寻求通过加强能力、战备和弹性来应对不断变化的网络威胁,并通过“客场比赛”来做到这一点;网络司令部与网络空间中的广泛对手“针锋相对”,保卫国防部的全球信息网络;国家安全局的网络安全使命是预防和消除对国家安全系统、国防部和关键基础设施的威胁,重点是国防工业基础;公私部门,包括州和地方同事,必须越来越多地相互依赖和补充,以对抗上述威胁并改善集体防御,从而实现保卫国家的共同目标。

美国网络司令部执行主管大卫·弗雷德里克10月表示,网络司令部的角色是前出开展行动,但无法单独使用政府能力来保卫美国,而是需要密切的伙伴关系,私营部门伙伴关系在捍卫国家使命中至关重要;集体防御依赖于共同努力,各方必须形成合作模式。为了在网络空间执行日常操作,美国网络司令部已经与网络安全和基础设施安全局(CISA)和联邦调查局(FBI),以及北方司令部和印太司令部、能源部和其他政府机构密切合作。此外,美国网络司令部将继续加强与私营部门实体、国防工业基地、电信供应商和其他关键网络安全行为者的关系。展望未来,网络司令部还将与CISA的新的联合网络防御协作(JCDC)开展更多合作。作为全面合作计划的一部分,除了政府和私营部门的关系外,网络司令部正在努力加强与学术界的活动,以在网络领域更好地保护美国。网络司令部推出了一项新的学术合作战略,将扩大与更多美国大学的交流,从而利用网络研究、促进网络职业并增加分析能力。

美国家安全局的网络安全协作中心在成立的第一年内分享大量可操作的、情境化的威胁情报,帮助行业合作伙伴识别和确定关键威胁的优先级。具体体现于:将合作伙伴数量从不到10个增加到100多个;披露了许多将由供应商修补的漏洞,包括Microsoft Exchange中的一系列五个高危漏洞;通过持久安全框架,与网络安全和基础设施安全局(CISA)跨部门合作探索对5G安全的威胁,发布了一系列五篇威胁情报论文;通过保护性域名系统(PDNS)试点,处理了超过38亿次查询并阻止了超过650万个恶意域,包括已知的俄罗斯鱼叉式网络钓鱼、僵尸网络和恶意软件;向40家DIB承包商提供PDNS服务,并预计在来年将扩大到数百家;参加了制定12项国际标准的技术委员会,涉及安全互联网协议、5G安全和企业IT安全。

美国家安全局(NSA)与国家密码学基金会(NCF)建立合作伙伴关系,鼓励公共和私营部门在网络安全和国家安全方面进行合作。NSA表示,此项工作体现了NSA外部合作战略和NCF为提高公共部门意识而继续采取的举措。NSA指出,有必要提高学术界、政府、私营企业和公众的网络安全意识。该合作伙伴关系还将制定全国性的教育计划,以扩大网络、科学、技术、工程和数学领域人才队伍,满足劳动力需求。NSA和NCF还计划建立一个平台促进网络安全讨论和技术交流。

美国国家安全局资助MITRE开发D3FEND,以改善国家安全系统、国防部和国防工业基地网络安全。D3FEND是网络安全专业人员针对特定网络威胁定制的防御框架,其常见进攻技术防御对策技术知识库是对MITRE网络对手行为知识库(ATT&CK)的补充。D3FEND框架建立了计算机网络防御技术术语,并阐明了以前未指定的防御和进攻方法之间的关系。该框架说明了计算机网络架构、威胁和网络对策之间复杂的相互作用。作为ATT&CK模型的补充,D3FEND提供了一种对抗常见进攻技术的方法模型,列举了防御技术如何影响威胁行为者的成功能力。通过将计算机网络防御者的对策功能和技术的复杂性构建为ATT&CK构建计算机网络攻击者技术的粒度,D3FEND使网络安全专业人员能够定制针对特定网络威胁的防御,从而减少系统的潜在攻击面。因而D3FEND将推动更有效的网络系统设计、部署与防御。ATT&CK和D3FEND等框架为行业和政府提供了与任务无关的工具,以进行分析和交流发现。无论是对对手行为进行分类,还是详细说明防御能力如何减轻威胁,框架都提供了通用描述,为不断发展的网络环境提供信息共享和运营协作。

年内,美国家安全局和网络司令部还多次发布安全警报,提醒私营机构修补网络安全漏洞、防范网络安全风险。美国家安全局和网络司令部1月敦促美国公司和安全工作人员修补存在十年之久的SUDO漏洞;国家安全局4月面向国家安全系统(NSS)、国防部(DoD)和国防工业基地(DIB)运营技术(OT)所有者和运营商发布网络安全警报,详细介绍了如何评估系统风险以及如何提高OT与企业网络之间连接的安全性;网络司令部9月向美国机构发布警告称,黑客正在利用澳大利亚公司Atlassian的企业应用程序Confluence的漏洞,对该问题的大规模利用正在进行中且预计会加速;国家安全局10月发表指南文件,鼓励网络管理员确保通配符证书的使用不会产生不必要的风险,且企业环境不易受到ALPACA攻击。

日本防卫省7月发布2021年版《防卫白皮书》,介绍了防卫省和自卫队应对网络威胁所采取的具体合作措施,包括:继续通过与10家军工企业组成的“网络防御合作委员会”进行信息共享,掌握网络攻击整体情况;与军工企业每年定期实施联合训练,提高双方应对网络攻击的能力;作为“网络安全战略总部”成员,积极参加“内阁官房情报安全中心”(NISC)主导的网络攻击培训,支援“信息安全紧急支援小组”;在NISC实施针对政府部门信息系统防御入侵的试验中,继续充分运用自身知识与经验。

声明:本文来自网络空间安全军民融合创新中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。