欧洲学者评析网军建设的困难和挑战

编者按

瑞士苏黎世联邦理工学院安全研究中心高级研究员、欧洲网络冲突研究计划主任马克斯·斯密茨撰文称，虽然全球数十个国家已经或准备建立军事网络机构，但要让上述机构有效运转远比表面看起来更困难也更昂贵。

文章称，建立进攻性网络能力需要更全面的人员队伍，仅有技术专家并不能成功满足军事网络机构所有任务需求。具体包括：一是需要漏洞分析人员来搜索漏洞，需要开发人员、操作人员、测试人员和系统管理人员来成功实施行动，并确保可靠地开发、部署、维护和测试能力；二是需要一线援助人员来支持操作人员和开发人员的活动，包括注册账户或从私营公司购买能力等活动；三是需要清楚地了解如何利用可用手段来实现预期目的战略人员，从而协调与其他军事单位和伙伴国的活动，并与目标瞄准人员共同选择攻击目标；四是需要法律专家参与人员培训以及行动咨询和监督事务；五是需要处理行动期间和之后信息的技术分析师，以及了解目标网络中的人员将如何响应网络行动的非技术分析师；六是需要管理人员开展相关工作，包括人力资源、与其他相关国内和国际机构联络、与媒体对话等。

文章称，发展攻击性网络能力，最重要的要素是漏洞利用，涉及零日漏洞、未打补丁的N日漏洞和已打补丁的N日漏洞；要攻击给定目标，攻击者通常必须将多个漏洞组合成一条“漏洞利用链”；零日漏洞储备数量有量，成熟的军事和情报组织会精心设计其利用程序，以尽可能有效地利用漏洞；零日漏洞并非“万能钥匙”，突破大型网络需要依靠“坚持和专注”，N日漏洞的竞争往往对于军事网络组织同样重要，从而利用开发补丁和打补丁的“窗口期”开展攻击。

文章称，开展网络攻击需要投入大量时间和精力，构建基础设施并开展测试，最终找出行之有效的方法；基础设施是网络能力中一个绝对关键的要素，其可广义地定义为开展进攻性网络行动所需的工序、结构和设施；基础设施分为控制基础设施和准备基础设施，控制基础设施是指直接用于运行操作的工序，预备基础设施指处于实施网络行动就绪状态的工序，攻击的大部分准备基础设施通常由用于目标映射的数据库组成；在开发优良攻击工具方面，最困难的事情之一是在部署前对其进行测试；准备网络攻击还需要创建网络靶场，即开发和使用交互式仿真环境的平台，可用于训练和能力开发。

奇安网情局编译有关情况，供读者参考。

建立网络部队远比想象中更困难

在过去几十年中，40多个国家公开建立了某种形式的军事网络司令部，还有至少十几个国家有此计划。然而，尽管这种做法已蔚然成风，但人们仍很少意识到有效的网络司令部需要大量的时间和资源。

在我的新书《没有捷径：为保各国竞相发展军事网络部队》中，我将建立有效网络司令部的挑战分为五类，我称之为“PETIO框架”，包括：人员（people）、漏洞利用（exploits）、工具集（toolset）、基础设施（infrastructure）和组织结构（organizational structure）。这对有抱负的网络强国意味着什么？首先，发展进攻性网络能力最重要因素是人，不仅是精通技术的人，还有语言学家、分析师、前线办公室支持人员、战略学家、法律专家和特定业务顾问。其次，各国都高度关注零日或未知漏洞利用的部署。但是，如果攻击者对其目标和能力有更深入的了解，那么已知的漏洞利用和工具也可以非常有效。再次，基础设施投资——例如建立用于训练和测试的网络靶场——是发展进攻性网络能力的基本要求，而且成本高昂。

一、仅有技术人员还不够

商业管理中的一个普遍观点是，随着一项工作的认知技能的增加，人（而不是技术）会变得更加重要。美国作家丹尼尔·平克称这些“思想工作”需要更高的解决问题的能力和创造性思维，这意味着企业只有培养一种以人为本的文化才能取得成功。对于有抱负的网络大国来说，这不仅适用于技术专家。

当然，一个军事网络机构需要漏洞分析人员或漏洞查找人员。这些员工搜索软件漏洞。他们还需要开发人员、操作人员、测试人员和系统管理人员，才能成功实施行动，并确保可靠地开发、部署、维护和测试能力。

但建立进攻性网络能力还需要更全面的人员队伍。首先，需要一线援助来支持操作人员和开发人员的活动。这可能包括注册账户或从私营公司购买能力等活动。其次，如果没有战略指导，哪怕拥有世界上最好的网络力量的军事或情报组织也注定会失败。战役或战术上的成功并不等于战略上的胜利。一次行动可能完美地实施，并使用了完美的代码，但这不会自动让任务取得成功。比如，美国网络司令部可能成功地从伊朗石油公司的服务器上删除了数据，却无法确保伊朗外交政策会发生变化。只有清楚地了解可用的手段将如何实现预期目的，一个组织才能发挥作用。战略家的一项重要任务是协调与其他军事单位和伙伴国的活动。他们还参与选择目标，尽管通常也会为“目标瞄准者（targeteer）”单独设置职位。“目标瞄准者”负责指定目标、评估附带损害、消除冲突并帮助规划作战过程。

作为具有法律框架政府的一部分开展网络行动的任何军事或民用机构也会与律师队伍打交道。这些法律专家将参与培训、咨询和监督事务。要遵守战争法、武装冲突法和其他法律，就要对操作人员、开发人员和系统管理人员进行法律培训，以防发生违法行为。法律专家在建议、审查和监控行动计划的过程中提供规划支持。例如，在美国网络司令部2016年旨在破坏和中断“伊斯兰国”互联网使用的“发光交响曲行动”(Operation Glowing Symphony)的规划中，这些专家帮助制定了通知计划、任务清单和授权流程。

让法律专家参与网络行动的各阶段是很难的。事实上，这可能需要与领导层和操作团队进行多次关键性对话，以确保他们在批准之前充分了解提议的内容。此外，某些行动的执行方式也会使法律审查更加困难。例如，“震网”等自传播恶意软件，一旦实施就覆水难收。

然后还需要另一组技术分析师来处理行动期间和之后的信息。非技术分析师也很重要，尤其是对于了解目标网络中的人员将如何响应网络行动而言。这需要分析人员具备有关国家、文化或目标机构的特定知识。而且远程人员也是需要的。正如安全研究员、美国国家安全局前雇员查理·米勒所言，“网络战仍然由遍布世界各地的人员通过秘密行动促成。”例如，在“震网”攻击事件中，一名荷兰间谍就冒充技工帮助美国和以色列收集伊朗核离心机的情报，而这些情报被用于更新和安装病毒。

最后，网络司令部需要管理人员开展相关工作，包括人力资源、与其他相关国内和国际机构联络、与媒体对话等。正如资深威胁情报顾问杰米·科利尔所言，“官方不承认间谍机构，将其人员和活动秘密保护起来，使其远离公众视线的日子已经一去不返了。”沟通有助于消除公众的猜疑。这不仅适用于情报机构，在某种程度上也适用于军事网络司令部，尤其是他们的任务范围正不断扩大，而公众对于态势升级、规范践踏或联盟摩擦的忧虑却与日俱增。此外，更多地面向公众可能有助于在竞争激烈的就业市场中进行招聘。

二、仅有零日漏洞也不够

关于开发攻击性网络能力，人们讨论最多的要素是漏洞利用。这些漏洞分为三类：零日漏洞、未打补丁的N日漏洞和已打补丁的N日漏洞。“零日漏洞利用”使用供应商还未知的漏洞。“未打补丁的N日漏洞利用”使用供应商已知但还没有相应修补程序的软、硬件漏洞。“已打补丁的N日漏洞利用”使用供应商已知且已有相应修补程序的软、硬件漏洞。通常，要攻击给定目标，攻击者必须将多个漏洞组合成一条攻击链，称为漏洞利用链。

许多政策关注都集中在各国储备零日漏洞的情况。哥伦比亚大学国际和公共事务学院高级研究学者杰森·希利在2016年进行了一项研究，以调查美国政府保留了多少零日漏洞。希利满怀信心地表示，2015/2016年，美国政府每年掌握的零日漏洞“不是几百或几千个，而是几十个”。这与别的报道基本相符。更成熟的军事和情报组织会精心设计其利用程序，以尽可能有效地利用漏洞。

但是，我们不应该夸大零日漏洞的重要性。美国国家安全局定制接入行动办公室（TAO）负责人罗布·乔伊斯在Enigma会议的一次演讲中称“人们认为，各国都靠着这台零日漏洞引擎行事，人们拿着万能钥匙出门，打开门锁，就进到了屋里。事实并非如此。”他继续说道：“我告诉你，要突破这些大型企业网络或别的大型网络，或者任何大型网络，只能依靠坚持和专注，在没有零日漏洞的情况下实现这种利用。有更多的载体比沿着这条路线更容易、风险更小，而且通常更有效率。”

事实上，特别是对于军事网络组织来说，N日漏洞的竞争往往同样重要。在部署N日漏洞利用时，可以利用开发补丁所需的时间和打补丁所需的时间开展攻击。修补漏洞的平均延迟取决于供应商的规模、漏洞的严重性和漏洞发布的来源。虽然修补生产中的web应用程序的“中等严重漏洞”平均只需要一个多月的时间，但要修补监管控制和数据采集系统中的漏洞，供应商平均需要150天。打补丁可能也需要相当长的时间，尤其是在工业控制系统等缺乏标准化的环境中。部分是因为工业控制系统修补的准备时间很长，我们目睹了几起针对这些设备和协议的著名攻击事件。例如，2016年12月，克里姆林宫支持的黑客组织“沙虫”就使用代号为CrashOverride或者Industroyer的恶意软件，使乌克兰大部分地区断电。攻击者就是利用了西门子SIPROTEC继电器中的一个已知漏洞绕过了乌克兰一个输电变电站的自动保护系统。

三、测试和基础设施很重要

人们普遍认为，发动网络攻击的成本低廉，而防御网络攻击的成本高昂。但正如网络安全专家马修·蒙特基于其美国情报界的经验所提出的，“攻击者的成功不是撞大运，他们投入了大量时间和精力，构建了基础设施，然后通过托马斯·爱迪生所谓的‘1万种行不通方法’才成功。”这需要基础设施，这是网络能力中一个绝对关键的要素，但没有得到足够的讨论。基础设施可广义地定义为开展进攻性网络行动所需的工序、结构和设施。

基础设施分为两类：控制基础设施和准备基础设施。控制基础设施是指直接用于运行操作的工序。这些工序通常在行动失败后被销毁。这类基础设施可能包括钓鱼网站的域名、泄露的电子邮件地址或其他被滥用的技术。它还包括远程操作中使用的命令和控制基础设施，这些基础设施用于保持与目标网络内遭入侵系统的通信。例如，这些基础设施可以用于追踪遭入侵系统、更新恶意软件或泄露数据。根据行动的目标和资源，命令和控制设施可能像在外部网络上运行的单个服务器一样基本。

然而，更成熟的行为者倾向于使用更复杂的基础设施和技术，以保持隐匿性和弹性，以防止遭致瘫。例如，俄罗斯黑客组织“奇幻熊”在基础设施上花费超过了9.5万美元，用于攻击参与2016年美国总统大选的人员。这通常远不止是租用基础设施：一个组织可能执行一整套操作，只是为了入侵合法网络服务器，以便用于未来行动。

准备基础设施涉及一组使自己处于实施网络行动就绪状态的工序。攻击者很少会在行动（失败）后丢弃此类基础设施。

制作优良攻击工具时，最困难的事情之一是在部署前对其进行测试。正如著名的计算机安全专家丹·吉尔所指出的那样，“知道你的工具会发现什么，还知道如何应对，肯定比发现其可利用的漏洞本身更难。”攻击的大部分准备基础设施通常由用于目标映射的数据库组成。攻击者需要做大量工作才能找到目标。网络映射活动可以帮助组织了解可能的目标范围，有时也称为“目标获取”。因此，该领域最成熟的行为者在网络映射工具中投入了大量资源，用于识别和可视化某些网络上的设备。

也有其他的目标数据库。例如，英国政府通讯总部（GCHQ）维护着一个特殊的数据库，其中存储了全球各地“网络操作中心”的工程师和系统管理员所使用的计算机的详细信息。工程师和系统管理员之所以成为特别令人感兴趣的目标，是因为他们管理网络，可以访问大量数据。

一个具有说明性的、备受瞩目的案例是Belgacom黑客攻击事件。Belgacom是比利时的一家部分国有制电话和互联网提供商，客户包括欧盟委员会、欧洲议会和欧洲理事会等。英国间谍机构GCHQ，很可能在其他“五眼联盟”成员国的协助下，使用其开发的恶意软件访问了Belgacom的GRX路由器。从那里，GCHQ可以发动“中间人攻击”，秘密拦截使用智能手机漫游目标的通信。正如记者发现的那样，Belgacom黑客事件，代号“社会主义者行动（Operation Socialist）”，在2010年至2011年间分阶段实施，逐步深入渗透到Belgacom系统，最终入侵到公司网络核心。

准备网络攻击还需要创建网络靶场。网络靶场是一个开发和使用交互式仿真环境的平台，可用于训练和能力开发。过去几年，企业越来越多地投资于基于云技术的网络靶场。这些靶场要么基于公有云提供商（如亚马逊网络服务、微软Azure或谷歌）开发，要么是在本地部署的私有云网络上开发的。云网络靶场通常提供灵活的动手学习环境和方便的点击播放场景进行培训。然而，对于军事网络组织来说，考虑到对高度可定制的模拟环境和定制的操作测试和培训的需求，传统的非云靶场通常仍然更为可取。

为了跟上网络冲突快速发展的步伐，许多专家评论关注网络效应行动是能否产生战略优势或受到规范的影响。然而，我们需要解决一个更为根本的问题：首先是各国什么时候才真正能够开展行动？虽然军事网络司令部的激增表明网络战正在发生重大变化，但让这些组织运行起来仍然比表面看来更困难也更昂贵。

声明：本文来自网络空间安全军民融合创新中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。