编者按
美国网络司令部已经采用“咨询建议”计划代替原先的恶意软件警报系统,与私营业界等分享网络威胁信息。
美国网络司令部所属网络国家任务部队(CNMF)自2018年以来开始创新性地将搜集到的对手恶意软件样本上传到VirusTotal,并通过社交媒体Twitter进行宣传,从而向私营业界和学术界提供信息,并开展公开归因和点名羞辱。目前,该计划已逐渐沉寂,被现行的“咨询建议”计划所取代。当前,CNMF会继续向VirusTotal上传样本,但不会公开发帖,防病毒公司会自动从上传样本中提供恶意软件样本签名。根据美国国会授予的额外权力,美国网络司令部现在可以通过“咨询建议”计划,使用Slack和Microsoft Teams等工具与私营公司就数字威胁进行信息共享和即时沟通。
“咨询建议”计划根据美国网络安全和基础设施安全局所使用的“交通灯协议”(TLP)共享数据,该协议是分类衡量美国政府提供给私营部门威胁信息敏感度的成熟行业标准。新计划提高了信息共享的规模和深度,打破了社交媒体的单向发布和信息量限制,形成持续、即时、多向的信息共享机制。“咨询建议”计划承担主体是CNMF,团队分布在美国网络司令部和国家安全局所在地米德堡。由于在商业领域取得的持续成功,“咨询建议”计划在2023年底前将规模扩大了一倍,目前拥有60多个合作伙伴。
奇安网情局编译有关情况,供读者参考。
2018 年中期选举即将到来,时任美国网络司令部精锐网络国家任务部队(CNMF)指挥官蒂莫西·霍想要一个大的创意。蒂莫西·霍当时还担任美国网络司令部与国家安全局新成立的联合选举安全工作组的联合领导人。
这个被称为“俄罗斯小组”的团队是美国联邦政府在俄罗斯对2016年美国总统竞选进行多方面的数字攻击后保护即将举行的选举免受潜在外国干预的努力的核心。
美国网络国家任务部队(CNMF)当时刚从其首次“前出狩猎”任务中收集了第一批恶意软件样本,该任务由美国与乌克兰、黑山和北马其顿合作发起。这些行动的目标是通过让美国操作人员搜索外国网络以获取不熟悉的恶意代码并直接收集对手的工具和技术来保护中期选举。
蒂莫西·霍对其几名助手表示,他想向公众和更大的网络安全研究界展示美国网络司令部选举安全工作的具体例子。
当时是美国海军陆战队少校、CNMF首批成员之一的 贾森·基克塔表示,“我说,‘说实话,先生,我只想拿到他们的恶意软件,上传到某个地方,然后在Twitter上公开。我们来注册一个Twitter账户,在上面放上CNMF徽标,然后开始发布有关他们的恶意软件的推文。我们会链接到我们将在某处托管的样本。’”
现任网络安全软件公司Automox首席信息安全官的贾森·基克塔回忆称,“他问道,‘我们可以把它贴在VirusTotal上吗?’我说,‘好吧,我们可以把它贴到VirusTotal上!’”
一周后,即选举日的前一天,该Twitter账户被激活,俄罗斯恶意软件样本通过专用笔记本电脑在广泛使用的Google拥有的存储库VirusTotal中共享。
这一举措引起了网络安全研究人员的惊讶和赞扬,他们已经习惯了美国国家安全机构的秘密方式。
一位熟悉警报系统发布情况的美国防部官员表示“启动并观察其运作非常令人兴奋”,并补充称这是前美国网络司令部兼国家安全局局长保罗·中曾根与美国防部长吉姆·马蒂斯就如何快速执行新的选举安全任务进行会谈的结果之一。
当时担任保罗·中曾根副手的退役中将查理·摩尔强调,到2018年,美国网络司令部终于“拥有了政策和权力,让我们能够以真正需要的方式行动,保卫国家。我们显然在尝试很多事情,试图找出完成任务的最佳方式。”
美国网络司令部还发布了更多俄罗斯样本,包括一些与APT28有关的样本,该黑客组织在2016年选举期间入侵了美国民主党全国委员会,以及来自其他长期数字对手的样本,如伊朗和朝鲜。该Twitter账户还会发布表情包,包括糖果心和卡通动物,以挑衅外国行为者。
不过,后来这项计划沉寂了。下周将是美国网络国家任务部队(CNMF)至少在VirusTotal上公开发布恶意软件样本两周年纪念日。
然而,行动的缺乏并不意味着CNMF对威胁的关注度降低或总体上信息共享减少。该部队人员比以往任何时候都要忙。随着美国网络司令部将其他外联工作扩展到私营部门和学术界,公开点名羞辱对手的策略逐渐消失。在学习如何炫耀的同时,CNMF正在微调其在米德堡以外的接触方式。
现在“咨询建议”
2024年4月,现任美国网络司令部兼国家安全局局长的蒂莫西·霍作证称,去年网络人员执行了 22 次“前出狩猎”任务,收集了90多个恶意软件样本。美国网络国家任务部队(CNMF)最近发布的一份声明指出,首次向赞比亚部署的行动发现了该国网络存在“特定漏洞”,但没有提供更多细节。
现任和前任CNMF成员匿名谈论他们无权公开讨论的事项,透露称操作人员现在继续向VirusTotal上传样本。他们指出,任何人都可以分享至该网站的数字社区,而无需创建公开帖子,防病毒公司会自动从VirusTotal上传的内容中提取信息,以帮助建立签名,然后将其转发给客户。美国网络司令部还定期将CNMF标志添加到联邦数字警报和公告中,并与其他机构(如联邦调查局和网络安全和基础设施安全局)合作。
这些消息人士称,通过“咨询建议”(Under Advisement),美国网络司令部和私营公司使用Slack和Microsoft Teams等工具就数字威胁进行即时沟通。
CNMF发言人在一份声明中强调,该组织“通过多种渠道向公众及其私营部门合作伙伴发布信息”。该发言人称, “从历史上看,CNMF主要使用VirusTotal作为其发布机制。然而,美国国会已授予CNMF额外权力,通过我们的Under Advisement计划直接与行业合作伙伴共享信息”,并补充称该军事机构正在“试验最有效的方法来传达网络威胁信息”。
VirusTotal缺乏公开帖子“代表了这种演变”。
Twitter(现名为X)曾被认为是向公众和网络安全界通报信息的最快方式之一,也是阻止潜在对手行为的创新方式,但自从被埃隆·马斯克收购并更名以来,该平台的影响力已经下降。他的内容政策导致许多用户(包括关键的数字研究人员)放弃了该网站。
“咨询建议”根据美国网络安全和基础设施安全局使用的“交通灯协议”(TLP)共享数据,该协议是成熟的行业标准。TLP分类衡量美国政府向私营部门传播的威胁信息的敏感度。
一名CNMF高级官员表示,“与我们发布重大新闻相比 — — 因为当我们在VirusTotal上发布某些内容或发推文时,会引起所有人的关注 — — 我们能够产生更大的影响,因为我们能够与合作伙伴一起说,‘嘿,这是我们认为很重要的一些信息。’”
该官员表示美国军方“绝对不能指挥私营公司做什么”,但指出这些公司意识到,如果其忽视TLP标记和处理标准,网络社区将感到不满。
一位前CNMF成员表示,他们可以“看到双方”的论点,即该账户已被成为广播披露主要引擎的“咨询建议”所取代。
他们表示,“Under Advisement目前所做的很多事情都是公开的,因为它参与了私营部门。但它并没有特别公开。”
业内人士表示,总体目标与2018年相同:跟上数字世界的速度。
该CNMF高级官员表示,“它们只是工具包中的不同工具。”。美国网络司令部在某些情况下“大声而自豪地”公开归因,但在其他情况下“我们说,最好能将信息传达给我们的合作伙伴,这样恶意软件就无法发挥作用了。”
查尔斯·摩尔表示,“这真的与细节程度有关,我在 Under Advisement中分享信息的规模和深度——这将是一个持续的来回信息共享合作——通常需要超过280个字符,对吧?”
但这并不意味着“如果发生重大事件,美国网络司令部就不会使用其拥有的每一种通讯工具来发布基线信息,以便公共和私营部门都能采取行动。”
众多合作伙伴
该“咨询建议”团队分布在美国网络司令部和国家安全局所在地米德堡,“在将信息传递给业界以及从业界吸收信息方面做得非常出色,因为现在他们已经表明,CNMF在这里是一个值得信赖的参与者,因此业界愿意与他们合作。”
他们赞扬前CNMF 负责人、网络司令部现任二号人物威廉·哈特曼中将在该机构内部“毫不留情地优先考虑”此类工作,而不是将其交给更大的网络司令部或国家安全局,因为虽然这两个实体与私营部门合作,但CNMF“在与业界的实际操作合作中承担了最大份额”。
由于在商业领域取得的持续成功,“咨询建议”计划在2023年底前将规模扩大了一倍。
CNMF发言人表示,虽然该组织“不会公布与该计划相关的具体数字”,但“我们可以说,自去年夏天以来,我们的合作伙伴总数大约增加了一倍,目前拥有60多个合作伙伴,我们与他们密切合作,分享网络威胁信息并打击外国恶意网络活动。”
另一位前CNMF成员表示,可以“总体公平地”说,“咨询建议”已经超越了原来的警报系统。他称,“这方面的挑战在于公众信任部分。能够向他们展示美国网络司令部正在做某事,并给他们机会公开谈论事情,成为公众代言人,并让自己达到这一标准,而不是你唯一的真正责任是参议员在闭门听证会上所说的,这也很重要。”
贾森·基克塔则表示,他希望美国网络司令部不要失去公开披露带来的“积极性”。他称,“CNMF可以贡献重要的声音。CNMF 有一些东西可以迫使它公开并谈论技术问题,而不仅仅是将军们去发表演讲,这是很有价值的。我不希望CNMF在不经意间再次归入阴影。”
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。