引言:相对于传统武器而言,网络武器呈现出攻击范围广、速度快、破坏性大,行动隐蔽性好、非对称性强等特点;一般是代码等软件形态,通常需要大量的定制、裁剪、预先定位、绑定目标等来设计,其成本和效能往往“难量化、难计算、难展示”,一件高成本的网络武器可能在极短时间内变得不可用,给人一种“算也算不清、道也道不明”的感觉。然而,随着网络战的不断上演,网络武器作为一种“特殊武器”,如何采购、如何估价、如何透明、如何可行等问题日益成为美军关注的重点,也成为美智库的研究热点。在美海军陆战队网络司令部赞助下,兰德公司围绕网络进攻性武器采办这一主题,于2023年2月至11月期间陆续发布了《海军陆战队联合网络武器的成本估算框架》《在海军陆战队建立联合网络武器采购计划—软件采购途径经验教训》和《量化美国海军陆战队联合网络武器的漏洞寿命》等3篇研究报告。此三份报告可谓一脉相承,形成了“成本估算框架、成本计算工具”等研究成果,并并基于历史财年数据对海军陆战队进攻性网络攻击武器采办周期和决策进行了评估。上述报告是在网络武器理论体系尚未成熟的情况下的有益探索,无论算不算得清楚,总归是用数据、用公式算了。本文有点长,还有点啰嗦,但值得一读。
一、三份报告围绕进攻性网络武器的要素展开,研究显示“漏洞生命期”是进攻性网络武器成本估算的关键
(一)“漏洞利用、植入和有效载荷”是进攻性网络武器构成的核心要素
网络武器是通过利用目标系统中的潜在漏洞来攻击对手系统的。年初的《海军陆战队联合网络武器的成本估算框架》报告中,对网络武器的要素给予了明确和约束,分别是“漏洞利用、植入和有效载荷”。
关于“漏洞利用”。漏洞是软件、固件或服务组件中由可被利用的弱点导致的缺陷,则漏洞利用是利用该缺陷对组件的机密性、完整性或可用性造成负面影响的代码。更简单地说,漏洞利用是指编写的利用漏洞并在目标系统中建立或扩大未经授权的访问或权限的程序或代码。
关于“植入”。植入是“一种程序,它固化并维护最初由漏洞利用提供的访问(即实现持久性),并在系统中实现一些效果”。植入与持久性的概念联系最为紧密。即使在允许初始利用的漏洞被修补之后,植入通常也能够确保访问和控制。
关于“有效载荷”。有效载荷是网络武器实现武器预期效果的要素。网络武器的所有元素都是为实现某种特定目的而编写的代码,有效载荷与其他元素之间最明显的区别是实现特定目标(通常是最终目标)。有效载荷可以设计成实现各种各样的效果,主要包括以下:拒绝服务,数据监控或过滤,文件操作、损坏、加密或破坏,重新利用系统进程为攻击者执行其他操作(例如,设置僵尸网络或充当进一步操作的命令和控制),禁用操作系统,网络物理系统的破坏(可能包括附近财产或人员的附带损害)等。
(二)“漏洞寿命的不确定性”是进攻性网络武器开发成本计算的最大变量
漏洞的寿命受到多种因素的影响,比如漏洞的类型、严重程度、影响范围、发现方式、修复速度等。因此,网络漏洞的寿命是一个难以预测和控制的变量,它给网络武器的成本、效果和风险带来了很大的不确定性。漏洞随时都有可能被发现,这使得基于漏洞利用而研制的网络武器失效,变得毫无意义。当对手发现漏洞并及时打安全补丁后,基于该漏洞的网络武器作战能力被削弱,甚至完全丧失。极端状态下,有可能从网络武器需求确定到开发采购,再到部署时,该网络武器可能不再有用。
(三)“开发需求的不确定性”是进攻性网络武器开发成本计算的主要变量
由于作战目标防御能力的不完全确定性以及漏洞寿命的不确定性,作战人员很难在网络武器设计规划阶段给出精准的网络武器开发数量和需求信息,即便是给出了一定的明确需求,也不意味着该需求将一成不变,还需要多少武器需要提供和开发仍然是个不确定项。
二、三份报告一脉相承,为进行性网络武器的成本研究提供了较好的范例
(一)2月的《海军陆战队联合网络武器的成本估算框架》确立了基本估算框架及流程
2023年2月,兰德发布了《海军陆战队联合网络武器的成本估算框架》《A Cost EstimatingFramework for U.S. Marine Corps Joint Cyber Weapons》,该报告分析提出了提高网络武器采办相关决策透明度的方法。目的是加强对成本、进度、作战能力和风险权衡空间的了解,以确保新的联合网络武器(JCW)计划能够最好地支撑和维持海军陆战队的网络需求。
1、研究背景
联合网络武器(JCW)计划由美国海军陆战队系统司令部执行,为海军陆战队部队网络空间司令部提供用于网络作战的进攻性网络能力。进攻性网络作战对网络武器能力的要求在一些重要方面是有别于传统武器,主要表现在以下几点:可能依赖于难以定义功能价值的市场;需要非常快速地开发(即,在六个月或更短的时间内);需要使用敏捷软件开发方法部署;开发人员不需要考虑用户或数据迁移需求;相对于典型采办而言,网络武器通常没有很长的寿命,后续维持需求很小甚至不存在;重复使用以前项目元素的机率有限。2021年10月,联合网络武器(JCW)被正式指定使用软件采办途径(SWP)。早在2020年1月,软件采办途径(SWP)被添加到国防部指令5000.02适应性采购框架的操作”中,该途径为联合网络武器(JCW)提供了通过灵活管理需求快速交付软件的机制,以及定制软件工程生命周期实践、过程等相关的能力。
2、框架组成
该报告研究提出了一种联合网络武器的成本估算框架,包含五类输入(需求、采办计划、网络武器构成要素、时序划分、常量)和三类输出(生产、成本、专款授权累积分布函数)。该框架充分考虑了作战用户对网络武器的需求,网络武器的类型(漏洞利用、植入、有效载荷)、武器的目标环境(台式机或移动系统)、漏洞衰减率、对手防御能力、武器成本,以及各种采购如何随着时间的推移逐步进入和退出使用。计算网络武器的产量、成本以及不确定性在特定时期内的分布情况,如未来几年国防计划的责任权限等。为了估算各种网络武器的成本和预算,研究报告详细描述了其设计的成本估算框架模型,并考虑到应与国防部的主流框架和流程具有兼容性,因此,在Microsoft Excel中开发了该工具。
表1 成本模型框架输入
一级指标 | 二级指标 | 指标说明 | |
输入 | 作战需求 | 任何给定月份的阙值和目标操作量 | 输入一段时间内每种元素类型的阈值和目标数量或操作需求;阈值需求计数代表满足任务目标所需的网络武器元素的最小数量 |
采购计划 | 项目编号和预算标识 | ||
网络武器元素类型 | 漏洞利用、植入和有效载荷 | ||
目标环境 | 如台式机、服务器或移动设备。目标操作系统或硬件(如服务器、路由器)的类型等 | ||
对手防御级别 | 用户假设较低或较高的防御级别(衰减函数的斜率) | ||
复杂性 | 低、中、高三个等级(假设推高市场价格与利用漏洞所需的研发水平相关) | ||
成本风险 | 如网络战的流动性会给网络武器的整个生命周期带来不确定性 | ||
要素成本 | 增强成本(即实际效果的开发)和每月的维持成本 | 增强成本包括点估计、平均值估计和估计的标准偏差 | |
时间分段 | 开发和运营时间表 | 直接输入到采购计划输入工作表中的月-年输入 | |
常数 | 捕获最终的成本框架输入集,最终会影响模型的输出 | 增强点估计;开发持续时间;维持费用因数;防御级别衰减函数。 |
表2 成本模型框架输出
输出 | 生产需求 | 计划输出提供采购计划中列出的每个要素的每月状态 | 购置月份;维持月份;不在开发中,也不在运行中 |
JCW计划的成本 | 每项采购、操作和维护成本 | 分阶段以及每个财政年度的总成本等 | |
债务授权(累积分布函数) | 基于用户定义输入的成本估算的责任权限分配 | 以表格和图形形式说明费用估计数和当年成本费用的不确定性,即除基准年费用外增加的费用 |
3、研究建议
研究报告最后提出以下建议:一是在项目规划和预算期间,考虑漏洞生命周期的重大不确定性;二是收集历史数据(并计划收集未来数据),了解保护和实施漏洞利用的成本和时间表。同时,该研究团队表示已经确定了七个领域来增强该模型,分别是①纳入关于网络武器要素成本的历史数据;②增加网络武器元素估计的粒度;③增加网络武器类型的粒度;④表征网络武器的获取类型;⑤纳入额外的成本和进度驱动因素;⑥进一步开发和参数化针对目标对手的防御水平衰减函数;⑦将探索性模拟转换为优化模型。
(二)9月的《在海军陆战队建立联合网络武器采购计划—软件采购途径经验教训》对采购执行进行了反思
2023年9月,兰德发布了《在海军陆战队建立联合网络武器采购计划—软件采购途径经验教训》(《Building a Joint Cyber Weapons Acquisition Program in the Marine Corps-Software Acquisition Pathway Lessons Learned》)。该报告是根据海军陆战队网络空间司令部要求,兰德研究人员协助联合网络武器(JCW)项目办公室在自适应采办框架内,在软件采办途径(SWP)的规划阶段,研究完善关键采办工件所需要的内容,涉及到项目的采办战略、网络安全战略,知识产权战略、信息支持计划、生命周期成本估算、产品支持战略、测试战略和用户协议等。报告评估了海军陆战队进攻性网络作战武器采办生命周期运行情况,形成有关结论并提出了优化建议。
1、研究背景
美国海军陆战队系统司令部的联合网络武器(JCW)采办项目提供了先进的网络战能力,以支持海军陆战队网络空间司令部、美国网络司令部、作战指挥官和其他联邦政府机构的全球行动。但是网络作战环境是不可预测的,海军陆战队利用漏洞制造网络武器的窗口可能很短且不确定。在这种动态环境下,网络武器的开发和获取等要求具备灵活性,以适应快速变化的环境。为应对这一挑战,海军陆战队网络空间司令部采用了国防部的软件采办途径(SWP),在获取和部署网络武器时尽可能采用最合适、最快捷的途径。
2020年1月,美国国防部发布了新版采办程序文件5000.02指示《适应性采办框架的运行》,从政策体系、采办程序、业务领域等方面对采办政策作出重大调整,采办思路和方式发生了重大改变。适应性采办框架提出了六条采办路径,修订了应急能力采办和重大能力采办程序,将软件采办独立出来,增加了中间层采办程序。其中,软件采办途径(SWP)是为了促进向用户快速且迭代地提供软件能力(例如:软件密集型系统、软件密集型组件或子系统)。该途径集成了现代软件开发实践,包括敏捷软件开发、“开发、安全和运行”(DevSecOps)理念和实践等。然而,软件采办途径(SWP)的官方政策指导意见无法适用于进攻性网络武器的独特性。
2、研究结论
该报告在2021年财年有关数据的基础上,梳理了网络武器作战能力、调度和不确定性等内容,在此基础上评估了海军陆战队进攻性网络作战武器采办生命周期情况,结合联合网络武器(JCW)项目的软件采办途径(SWP)协作经验,形成以下结论:①为了满足规划阶段的时间表,有必要对采购工件开发时间表进行优先排序;②预计划阶段没有提供确定软件采办途径(SWP)工件范围所需的许多有用信息;③在符合敏捷原则和利益相关者批准需求的软件开发过程中,利用用户协议是定义利益相关者角色和关系的一种有用方式;④联合网络武器(JCW)项目经理和用户代表需密切协调为决策机构提供充足及时的信息。
3、报告建议
报告提出以下建议,以更好地定位软件采办途径(SWP)计划,使其在规划阶段取得成功:①项目可以采取多种行动来确定规划任务时间表的优先顺序,例如指定工作人员(包括合同支持)专注于规划阶段的文件编制,在文件交付前对签署人进行预先审查,以及早期制定分类指南。②项目应在规划阶段之前和期间建立协调机制,以便在规划阶段在利益相关者之间无缝工作。这种协调将有助于减轻进度表的潜在风险,并将可能出现的风险的影响降至最低。③项目应根据其需求定制软件采办途径(SWP)文件。④采办项目应在用户协议中建立一个适应性和连续性的需求管理流程,用于管理高层能力需求,并将其转化为功能需求、软件开发目标和测试目标。⑤国防部长办公室应考虑为网络武器软件采办途径(SWP)程序制定修改后的指导和报告指标。
(三)11月的《量化美国海军陆战队联合网络武器的漏洞寿命》以期更精准的估算联合网络武器(JCW)成本
2023年11月,兰德公司发布了《量化美国海军陆战队联合网络武器的漏洞寿命》(《Quantifying Vulnerability Lifespans for U.S. Marine Corps Joint Cyber Weapons》)。该报告收集了公开跟踪的常见漏洞和暴露的新数据集,估计了漏洞运行时间,并收集了软件更新节奏数据,以探索各种软件产品类别的潜在趋势,以期更好地理解和量化网络武器的漏洞寿命,更新成本模型以估计美国海军陆战队联合网络武器(JCW)计划的生命周期成本。
1、研究背景
网络武器是实施网络作战能力的工具,它们通常是利用软件漏洞的程序或代码,可以在敌方的网络中植入恶意软件,窃取敏感数据,或者造成物理损害。2月发布的《海军陆战队联合网络武器的成本估算框架》中明确提出“漏洞”是主要的网络武器之一,其生命周期对武器成本有较大影响,在该报告最后也明确提出“收集历史数据(并计划收集未来数据),了解保护和实施漏洞利用的成本和时间表”这一建议。可以说,《量化美国海军陆战队联合网络武器的漏洞寿命》报告是《海军陆战队联合网络武器的成本估算框架》建议的后续研究。
2、研究内容
网络武器是实施网络作战能力的工具,它们通常是利用软件漏洞的程序或代码,可以在敌方的网络中植入恶意软件,窃取敏感数据,或者造成物理损害。网络武器的有效性取决于网络漏洞的存在和利用,而网络漏洞的寿命是指从漏洞被发现到被修复的时间。其寿命决定了网络武器的运行时间,也就是网络武器在敌方的网络中能够有效工作的时间。
研究所涉及的漏洞数据主要来自三个数据源,分别是谷歌的Project Zero (Google, 2023年),Cybersecurity Help s.r.o.的Zero-Day Tracking Project (Zero-Day Tracking Project)和Trend Micro的Zero-Day Initiative。这些数据源内容截止2022年8月,且每个数据源都是有效数据。报告基于这些数据源构建了三个数据集,即基础数据集、CVE数据集1和CVE数据集2。
基础数据集来自谷歌的Project Zero记录的零日漏洞,这些数据信息属性主要包括CVE识别、受影响的供应商和产品、漏洞类型和描述、漏洞披露日期和补丁日期、更多描述性分析的链接以及上报告者等。CVE数据集1将Project Zero的数据与Cybersecurity Help的零日追踪项目的中CVE识别号、供应商、产品、描述、发现日期、修补日期和咨询URL等结合起来。CVE数据集2由研究人员在趋势科技零日攻击计划数据库中随机抽取的2014年至2022年间列出的所有漏洞的10%,加上收集的746个独特的漏洞构成。
研究人员将上述数据集中漏洞进行了分类,主要为以下九类:①桌面操作系统:跨桌面平台通用的标准操作系统,如Microsoft Windows、Apple iOS、Linux等。②桌面软件:可安装在标准操作系统上的通用软件,如Microsoft Office、Google Chrome、Microsoft Edge等。③企业网络安全:商业或私人用户使用的网络安全相关程序,如防火墙软件。④企业IT基础设施:商业上用于日常操作的程序。⑤工业控制系统:为特定设备(即监控和数据采集或SCADA系统)的操作而创建的监控程序。⑥互联网服务和网站:提供利基角色或插件软件的服务,如Tor和虚拟专用网络服务。⑦移动和智能手机:可安装在移动平台上的手机操作系统和软件应用程序,如苹果iOS、谷歌Android和移动应用程序。⑧非企业IT基础设施:用于家庭互联网连接和网络的私人消费产品,如路由器、调制解调器和物联网。⑨ web开发基础设施软件:用于IT开发环境的工具,用于构建应用程序和其他软件,如Silverlight或WebKit。
基于海军陆战队联合网络武器的成本估算框架和上述九类漏洞数据,研究人员设计了九种场景,对近5个财年内的网络武器能力投资进行了分析。在每一种情景中,每五年开发20个可用于应对潜在脆弱性的网络武器,总计100个;涉及三种类型的网络武器,分别是攻击、植入和有效负载,各占75%、15%和10%。
3、研究结果
研究发现主要有以下五点:一是由于漏洞寿命和网络武器复杂性的不确定性,美国海军陆战队的网络武器计划计划在五年内维护五种工作武器的估计成本为1.25亿美元至3.75亿美元。二是由于缺乏精确的公开跟踪的常见漏洞和暴露时间数据以及来源之间的一致性,收集有关网络漏洞的开源数据存在挑战。三是在本报告中用于对漏洞进行分类的九个产品类别中,次要软件更新频率显示的范围从移动电话的平均每20天一次到工业控制系统的平均每178天一次不等,这表明美国海军陆战队的网络武器计划必须运行的时间很短。四是企业信息技术(IT)基础设施和非企业IT基础设施漏洞的历史平均寿命比其他类别的软件更长,平均分别为1,115天和1,078天,这表明针对这些类别漏洞的软件的开发成本较低。五是对开发的公开跟踪的常见漏洞和暴露数据集进行扩展可能会揭示额外的生命周期趋势。然而,缺乏可行的自动化数据收集方法限制了公开跟踪的常见漏洞和暴露相关分析的范围。
声明:本文来自青青喵吟 悠悠网事,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
