本文刊登于《网信军民融合》杂志2018年6月刊

著名军事家詹姆斯·亚当斯在其著作《下一场世界战争》中曾预言:在未来的战争中,计算机本身就是武器,前线无所不在,夺取作战空间控制权的不是炮弹和子弹,而是计算机网络里流动的比特和字节。网络上真有可能爆发一场战争吗?美国国土安全部的结论是:很有可能,而且现在美国就必须准备好打赢这场战争。美国国土安全部自2006年起牵头组织实施了六轮“网络风暴”演习,该演习堪称美国史上最大规模网络战演习,正是美国未雨绸缪、厉兵秣马备战第五空间的练兵场。

一、演习概况

“ 网络风暴”系列演习是由美国国会授权、国土安全部(DHS)下设机构国家网络安全与通信集成中心(NCCIC)牵头实施的国家级网络事件响应演习,每两年举行1 次,从2006 年开始实施,迄今已经举行过6 次。除了“网络风暴IV”演习,其他五次演习都属于顶层国家级演习。网络风暴IV 因为联邦应急管理署决定将“国家级演习(NLE)2012”定调为网络攻击事件响应,为避免重复,筹划组因此放弃了顶层演习的方案,转而采用由小型研讨会、到兵棋推演、再到大型实战演练等15 个大小不等的演练活动组成的方案。此次演习在时间跨度上也最长,从2011 年底一直延续到2014 年初。

不同于国际和国内众多的CTF(攻防比赛)以选拔技术人才和检验技术方案为主,“网络风暴”系列演习更加侧重于检验联邦政府、州、地区、国际组织以及私营组织之间的协同应急处置能力(主要为处理两个关系:政府和私营伙伴之间的关系;政府和其在州、地区以及国际政府伙伴之间的关系。)国土安全部希望通过该演习查找薄弱环节,评估并强化网络战备工作,检查事件响应流程以及完善信息共享机制。该系列演习纯属“模拟演习”,在演习中没有实际的系统受到攻击,但网络风暴提供了一个场所,可以模拟发现和响应影响美国关键基础设施的大规模协调网络攻击。

网络风暴演习是一次多国、多政府部门、多安全能力机构、多私营企业等的协同演练。参演单位包括联邦政府部门(如国防部、财政部、交通部、国家安全局等),各个行业的信息共享和分析中心(ISAC),州、国际政府伙伴,以及私营合作伙伴(如关键基础设施类企业以及高科技企业),堪称美国史上同类型最大规模的网络安全演习。

二、历次演习情况

(一)演练规模逐步扩大

“网络风暴I”演习的参与者包括32 个政府部门、4 家公司(微软、思科等);“网络风暴II”演习的参与者则包括9 个州、18 个联邦机构、5 个国家,以及超过40 家私营公司;而到了“网络风暴V”演习时,参演单位已增加至9 个政府内阁级核心部门、32 个州、2 个盟国、近70 家私营企业和协调机构;为了进一步扩大演习覆盖面,网络风暴VI 演习还邀请了关键制造业和运输业私营合作伙伴深度参与演习。

(二)演练预案皆是事件触发

每一次网络风暴行动皆以此前发生过的真实事件为基础进行演练。“网络风暴I”演习的假想敌是一个拥有充足资金支持的松散黑客组织。“网络风暴II”的假想敌是一群“坏分子”在全球范围内展开的一场联合网络攻击,通过“肉鸡”用户去攻击真正的目标网站,即“APT 攻击”。“网络风暴III”的假想敌是一个拥有充足资金和时间的对手,其攻击的主要目标是互联网身份认证系统和域名解析系统。在遭到这些攻击后,美国可能出现部门功能瘫痪乃至人员伤亡的情况。“网络风暴V” 的假想敌则是75 个不同的松散组织,其攻击的主要目标是路由器、用于域名和IP 地址相互映射的域名系统以及提供加密和数字签名服务的公钥基础设施。“网络风暴VI” 的假想敌虽然因官方刻意隐瞒而无从得知,但据国土安全部负责网络安全和通信的助理部长Jeanette Manfra 透露,想定主要围绕关键制造业、运输业以及IT 和通信领域的网络攻击。

(三)网络对抗技术的概念性研究不断进步

每一次“网络风暴”演练,都是对网络技战术的一次概念性尝试。“网络风暴I”的演练内容是“攻击网络”;“网络风暴II”演练了“利用网络实施攻击”;“网络风暴III”演习则前瞻性地论证了通过破坏互联网身份认证和域名解析能力,实现“让网络自己攻击自己”;“网络风暴V”和“网络风暴VI”演习则紧跟网络安全形势的演变,聚焦针对关键基础设施的新型网络攻击样式。

(四)演练重点紧贴形势发展

网络风暴I 是网络响应团体第一次共同研究国家对网络事件的响应方案;网络风暴II 重点演练个人应急能力和领导决策;网络风暴III 侧重于根据国家级框架实施的应急响应,并提供了国土安全部负责协调公私部门协同响应的中枢机构国家网络安全与通信集成中心(NCCIC)的第一次运行测试;网络风暴IV 侧重于帮助社区和各州提升事态升级情况下的网络响应能力。网络风暴V 和VI 重点演练针对关键基础设施的网络攻击,并汇集了包括零售和医疗保健业以及关键制造业和运输业等在内的新行业。特别是,近两次演习尤其注重从多领域响应严重的网络事件,以此为团队建立起响应的“肌肉记忆”,以便所有人知道遇到此类事件时该怎么做。

三、2018 网络风暴VI 情况

(一)基本情况

2018 年4 月10 日,美国国土安全部(DHS)召集1000 余人组成的参演力量,举行了声势浩大的新一轮网络风暴演习(网络风暴VI)。参演单位除了传统的联邦和州政府核心安全部门、国际合作伙伴以及私营合作伙伴,此次演习还特别邀请了关键制造业和运输业私营企业的参与,并且重点演练了关键制造业和运输业关键基础设施遭受攻击后的应急处置方案。演习持续时间只有短短的3 天,目的是让参演人员走出舒适区,并且在场景设置上也是强调任何一家机构都无法凭借一己之力来应对,必须通过多部门、军政地之间的协同。

Jeanette Manfra 表示,关键基础设施面临网络威胁形势日益严峻,是美国必须面对的最严峻的国家安全挑战之一。Manfra 还指出,DHS 会持续关注关键制造行业和工业控制系统。此外,负责监督投票系统的美国数州(科罗拉多州、特拉华州、爱荷华州、蒙大拿州、德克萨斯州、弗吉尼亚州和华盛顿州)2018 年也参与了这场演习。

(二)演习目标

“网络风暴VI“演习的主要目标是通过演练相关政策、流程和程序,加强美国在应对影响范围波及多个行业的关键基础设施网络攻击方面的网络安全战备和应急处置能力。具体目标包括:一是实践协调机制,评估美国国家网络事件响应计划(NCIRP)指导事件响应的效果;二是评估信息共享门槛、途径、及时性、信息有效性以及网络事件响应各方共享信息的障碍;三是鉴于美国国土安全部(DHS)与受影响实体协同响应网络事件,演习旨在继续评估 DHS 的角色、职责与能力;四是为演习参与各方提供论坛,旨在实施、评估并完善相关框架、流程、程序以及组织机构内部或相关组织之间的信息共享机制。

(三)演习特点

一是重点关注交通运输和关键制造业。网络风暴VI 的演练重点就是针对交通运输和关键制造业的关键基础设施和工控系统网络攻击事件的应急响应能力。而就在前不久,美国国土安全部和联邦调查局曾发出警告,称俄罗斯政府黑客正在通过一项多阶段入侵行动,对美国的“关键制造业”进行网络攻击。此外,航空业巨头波音公司的一家生产工厂在3 月底遭到了WannaCry 勒索软件的网络攻击,更是说明“关键制造业”已成网络重灾区。所以,“网络风暴VI”演习在加强美国联邦政府与合作伙伴之间的公私合作方面,特别强调让关键制造业和交通业等新的关键基础设施合作伙伴加入演习,提升美国16 个关键基础设施领域的成熟度和融合性。

二是融入社交媒体平台与漏洞“非常规”披露。“网络风暴 VI” 演习特别关注“非常规”漏洞披露,为此还融入了模拟的新闻网站和社交媒体平台,以邮件、电话或模拟在社交媒体平台上发布文章的形式,为参演人员“注入”包含软件漏洞报告在内的信息。参演人员在收到这些信息后需要决定如何采取应急响应。Manfra 表示,近年来,部分漏洞研究人员直接在社交媒体上披露漏洞,而不是通过漏洞披露程序,这给政府分析人员带来了新挑战。

四、几点启示

一是健全国家网络安全领域事件响应协调机制,加强军政融合、借力民间优势。有效的响应协调机制是“网络风暴“演习顺利实施,也是开展网络空间实战化攻防对抗的根本保证。根据美国《国家网络空间安全事件响应计划》(NCI RP)描述,DHS下设的国家网络安全与通信集成中心负责作为联邦政府响应与演习协调过程中的联系点,同时亦是联邦政府、情报行业以及执行部门的网络与通信集成枢纽所在,还被指定为联邦政府同私营部门间进行信息共享、跨部门协调以及事故响应的对接载体。网络风暴演习的宗旨之一就是查找DHS 对内和对外沟通协调的薄弱环节和不足,完善网络事件响应协调机制。随着工业互联网的发展,网络安全已从“信息安全”时代进入了“大安全”时代,应对网络空间威胁,必须通过多部门、多领域参与的军政民一体融合模式,尤其是要建立高效畅通的跨部门高层协调机制,统筹应急响应框架、程序和流程制定,信息共享,应急处置演练和技术规范与融合等工作。

二是通过立法确立情报共享激励机制,打造网络安全态势一张图。美国通过网络风暴等一系列演习的检验,已经建立了相对完备的网络安全信息共享机制,为政府机构和私营企业共同应对网络安全威胁、保障网络空间安全提供了有力支持。我国虽然已经开始关注这方面的问题,大力推进信息系统和平台研发,但缺乏相关立法来规范信息共享的主体、范围和程序,尚未建立国家层面的网络威胁信息共享和分析中心,缺乏引导网络安全企业、工业互联网企业等积极参与网络安全信息共享的激励机制。

三是大力度推进关键制造企业、工业企业和网络安全企业深度合作,协同保障工业互联网安全。就美国而言,工业控制企业通常会与网络安全企业合作,共同研发网络安全方案。但这种合作模式目前在国内基本上还没有开始,一些工业集成企业要么是对安全问题认识不足,要么是希望自己做安全,与网络安全企业合作存在行业壁垒。然而,在“大安全”时代,“+”出来的问题还需要“+”起来解决。面对潜在的跨行业协同网络攻击,建议制定加快促进工业企业与网络安全企业合作的鼓励政策,以能源、航空航天等关键产业为试验田,集中攻关高精尖安全产品和解决方案,共同打造高效、安全的工业互联网。

声明:本文来自网信军民融合,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。