网络空间被认为是陆、海、空、天之后的第五战场,各国都在开始使用与研发网络作战武器,网络空间对于国家安全愈发重要。网络安全正在成为国家安全的重要组成部分,各国正在加紧制定国家网络安全战略、建立各种应急处置组织与网络防御应对机构。在这个过程中,网络安全防御演习正在扮演越来越重要的角色。

过去全球42%的网络安全防御演习都位于欧洲,例如欧盟网络与信息安全局(ENISA)每两年在欧盟成员国与欧洲自由贸易联盟(EFTA)成员国间举办Cyber Europe。紧随其后的是北美(尤其是美国):

亚洲主要是日本、马来西亚、印度与新加坡,紧随其后的是澳大利亚。

Locked Shields 是由北约合作网络防御卓越中心(CCDCOE)组织的年度网络安全演习,被认为是针对实战环境中网络防御技能最密集的测试。2023 年的 Locked Shields 演习在 4 月 17 日到 4 月 21 日举行,从 2010 年开始算起,今年已经是第 13 届。来自 38 个国家的超过三千名人员参与了本次演习。2021 年共有 22 支蓝队参加演习,平均每队有 40 人。2022 年共有 24 支蓝队参加演习,平均每队有 50 人。

2023 年演习构想的场景是:位于北大西洋的岛国 Berylia 的安全局势迅速恶化,出现多次针对该国军用与民用IT系统的大规模网络攻击。这些网络攻击对政府、网络、通信、供水与供电的平稳运行造成了严重干扰,导致该国爆发了公众骚乱与抗议。

2022 年芬兰的蓝队凭借可靠的网络防御能力脱颖而出获得冠军,立陶宛-波兰联合蓝队获得第二名,爱沙尼亚-格鲁吉亚联合蓝队获得第三名。2023年,瑞典-冰岛联合蓝队获得冠军。大国的队伍反而没有取得相对出色的表现,可能是值得研究的课题?美国的蓝队是一如既往的梦幻阵容:2023 年仍由 DISA(国防信息系统局)牵头,共计 120 名专家。来自六所大学、五支国民警卫队、美国网络战司令部(USCYBERCOM)、联合部队总部国防信息网络部(JFHQ-DoDIN)、美国陆军工程兵团(USACE)、美国陆军网络企业技术司令部(NETCOM)、美国欧洲司令部和国土安全部网络安全和基础设施安全局(CISA)。

CCDCOE 主任 Mart Noorma 认为,“没有任何网络安全防御演习能够像 Locked Shields 这样提供如此专业与逼真的体验”。演习力求模拟实际环境,包括银行、电力、供水、卫星与通信网络等,甚至还包括系统的实际使用用户。2021 年的演习中增加了智能电网调度系统、空对空加油系统与无人机控制系统,2022 年的演习中甚至还模拟了央行的储备管理与金融信息系统和最新的 5G 通信平台。

Locked Shields 被认为是世界上规模最大、最复杂、技术最先进的实战演习,体现在各方各面。组织人员(绿队、黄队与白队)合计超过 400 人,花费超过 10 万小时进行准备活动,创建超过 5500 个虚拟系统用作演习环境。2023 年的演习也配备了一只强大的、水平高超的红队,针对来自 32 个国家的 24 支蓝队发起攻击。

  • 蓝队负责确保信息系统安全免受红队的攻击,不仅包括技术防御,还有法律、政策、战略与媒体方面的配合。除了保卫国家关键信息基础设施,蓝队还要报告安全事件、执行战略决策并且解决取证、法律与媒体方面的挑战。单靠技术专家难以解决网络危机,来自不同政府机构与各行各业的专家要共筑网络安全防线。因为大规模网络攻击可能会迅速升级成为大规模安全危机,所以在策略、法律与危机沟通上也要进行演习才能确保危机发生时做好了准备。

  • 红队要对所有参加演习的蓝队平等地进行攻击,攻击成功即可为蓝队扣分。值得注意的是,许多网络安全防御演习,特别是国际间合作的网络安全防御演习很多都反对评分制度,毕竟得分不是网络安全防御演习的主要目的。但支持者称评分制度可以打造竞争氛围,更好地促进网络防御。前文提到的 ENISA 组织的 Cyber Europe 就不使用评分制度,但 CCDCOE 组织的 Locked Shields 坚持使用评分制度,有机会后面写一篇文章介绍这个评分制度。

  • 绿队负责准备与维护演习系统与基础设施,例如设计、设置并管理计算机、虚拟化平台等核心系统,确保演习过程中这些系统能够正常运行。

  • 黄队首先要为白队提供整体态势情况,随后通报所有参与演习人员。信息来源是蓝队提供的临时报告、红队提供的攻击报告以及系统生成的报告。黄队会定期向白队与蓝队提供最新情况的通报

  • 白队负责组织演练并执行检查,包括演习目标、演习场景、红队目标、法律框架与媒体沟通等。演习过程中,由白队决定何时进入不同的阶段与红队的攻击节奏。特别的,白队内部有一群被称为“blonde user“的用户,这些无意识的用户可能会无意识地点击恶意链接打开恶意电子邮件与文件。蓝队如果拒绝为这些用户提供服务是违反规则的。

演习获得了如下单位的大力支持:TalTech、Clarified Security、Arctic Security、Bittium、CR14、SpaceIT、Atech、cybensis GmbH、Microsoft、SUTD iTrust Singapore、Fortinet、National Cybersecurity R&D Laboratory、Financial Services Information Sharing and Analsyis Center (FS-ISAC)、HAVELSAN、Deepensive、Estonian Defence Forces、NATO Strategic Communications Centre of Excellence、Forestall、Rocket.Chat、Telia 与 VTT。

值得注意的是,去年年底,日本正式加入北约合作网络防御卓越中心(CCDCOE)。日本相关组织也参加了 2023 年的演习,例如 JPCERT/CC、NISC 与 NTT 等。

只要能在失败中学到教训、在先进经验中汲取养分,网络安全防御演习中人人都是胜利者,相信这也是演习的初衷和动机。倘若网络安全防御演习退化成为一场大考,把每个参与者都拉进漩涡使其无法自拔,变成一场比拼消耗的盛大狂欢,也但愿每个人都能够求仁得仁。

声明:本文来自威胁棱镜,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。