美国“网络风暴”系列演习(CyberStorm)相关情况概览及分析
目 录
一、总体概览
二、网络风暴1演习(CyberStorm I)
三、网络风暴2演习(CyberStorm II)
四、网络风暴3演习(CyberStorm III)
五、总体分析
六、附件:“网络风暴3”演习参演单位列表
一、总体概览
1. 基本情况
“网络风暴”系列演习从2006年开始实施,迄今已经举行过3次。演习分为攻、防两组进行模拟网络攻防战。攻方通过网络技术甚至物理破坏手段,大肆攻击能源、信息科技、金融、交通等关键基础设施,以及关键、敏感民营公司网络的模拟仿真环境;守方负责搜集攻击部门的反应信息,及时协调,制定对策。
演习的主要目标,不同于国际和国内众多的CTF(攻防比赛)以选拔技术人才为主,“网络风暴”系列演习更加侧重于考察跨国家、政府机构、公私部门等的针对罐基础设施遭到网络攻击的情况下的协调应急能力(主要为处理两个关系:政府和私营伙伴之间的关系;政府和其在州、地区以及国际政府伙伴之间的关系)。
主要的考察指标为:
1. 看预案的设置是否合理,持续改进预案成熟度;
2. 看公--私营伙伴之间、政府部门之间网络安全信息共享是否充分、及时;
3. 看应急团队对网络攻击的最终处理效果(补救用时、产生损失)。
参演单位:
1. 政府部门(如国防部、财政部、交通部、国家安全局等)
2. 行业信息共享和分析中心(各种行业的ISAC)
3. 州、国际政府伙伴(如蒙塔纳州、五眼联盟政府等)
4. 私营合作伙伴(如关键基础设施类企业以及高科技企业)
2. 演习动机(应对针对关键基础设施的网络威胁)
美国经历过9.11恐怖袭击后,首次将“恐怖主义”和“网络威胁”认定为国家面临的首要威胁,并认为“关键基础设施”将是“恐怖主义”和“网络威胁”的主要目标。所以,布什政府在2001年9.11事件后马上发布了第13231号行政令--《信息时代的关键基础设施保护》,并宣布成立“总统关键基础设施保护委员会”,由其代表政府全面负责关键基础设施安全工作,该职能后由新成立的国土安全部(DHS)接管。
该演习就是美国土安全部(DHS)为了推动关键基础设施安全监测、应急响应能力,而举行的一个多国家、多联邦政府部门、多安全能力机构、多私营企业等的一些协同演练。
3. 法律支撑(保障关键基础设施法律定义和执法框架)
为保障关键基础设施安全,美国自克林顿政府以来,出台了较多法律文件,下面分阶段进行介绍:
3.1 克林顿政府时期(1992--2001)
1. 1996年7月,颁布第13010号行政令,初步划定了关键基础设施的范围(主要包括:电信、电力系统、天然气及石油的存储和运输、银行和金融、交通运输、供水系统、紧急服务、政府连续性等8类);
2. 1998年5月,颁布63号总统令,明确相关责任部门;
3.2 布什政府时期(2001--2008)
1. 2001年10月,颁布了第13231号行政令,成立了“总统关键基础设施保护委员会”作为具体责任部门;
2. 2002年11月,颁布了《国土安全法》,成立了国土安全部(DHS)具体负责关键基础设施安全工作(其子部门国家网络安全通信整合中心CNNIC具体负责);
3. 2003年2月,颁布了《关键基础设施和重要资产物理保护国家战略》,明确了政府和私营机构在保护关键基础设施方面的不同职责;
4. 2006年6月,颁布了《国家基础设施保护计划》,为政府和私营机构提供了关键基础设施保障的实施框架;
3.2 奥巴马政府时期(2008--至今)
1. 2013年2月,颁布了13636号行政令《提高关键基础设施的网络安全》,明确要求国土安全部(DHS)采取所示推进政企合作,以及网络安全信息共享机制的建立;
2. 2013年2月,颁布了第21号总统令《提高关键基础设施的安全性和恢复力》,重新确定了16类关键基础设施领域(包括:化学、商业设施、通信、关键制造、水利、国防工业基地、应急服务、能源、金融服务、食品和农业、政府设施、医疗保健和公共卫生、信息技术、核反应堆、材料和废弃物、运输系统以及污水处理)。
二、网络风暴1演习(CyberStorm I)
1. 基本情况
演习时间:2006.02.06—10(5天);
组织单位:国土安全部 国家网络安全局 (DHS NCSD)
演习目的:提升联邦、州、国际政府以及私营部门之间,应对网络空间重大攻击事件的应急响应能力;
参 演 方:5眼联盟成员、11个联邦部门、4个州政府、9个IT公司、6个电力公司、2个民航公司以及4个行业信息共享和分析中心(300余人);
演习内容:绝密级,目前尚未公开;
攻击手段:DoS、BOTNET、FISHING、黑客入侵、域名重放、电子攻击等;
演习场所:指挥部设在华盛顿,具体演习场所共60余处。
2. 演习目标
1. 提升国家应急团队协作能力
--跨政府事件管理中心(IIMG)
--国家网络应急协调中心(NCRCG)
2. 提升政府内部以及政府之间的协调响应能力
--国内:联邦政府 & 州政府
--国际:五眼联盟
3. 提升公-私部门之间的协同能力;
4. 识别、定义可能影响应急、恢复能力的策略;
5. 识别、定义关键网络安全信息共享的路径和框架;
6. 提升对网络安全事件可能造成电力系统破坏的安全意识。
3. 演习场景设置
1. 利用网络攻击(手段包括工业控制系统、网络、软件、社会工程学),摧毁能源和交通运输基础设施组件;
2. 利用网络攻击,破坏联邦政府、州政府以及五眼联盟政府网络。
4. 演习安排
“网络风暴”1演习从2006年2月6日到10日,共5天时间,期间攻守两方会各有具体职责安排,如下图所示:
在这5天攻防对抗中,攻守双方会在54个场景中(包括:运输、电信、能源、IT、州政府、五眼联盟),演练不同层面的协同应急响应能力,具体如下图所示:
5. 重要发现
1. 联邦政府内部应急响应团队协作十分重要(IIMG & NCRCG);
2. 制定业务连续性预案(BCP)以及常态化风险评估工作十分重要;
3. 公--私营机构之间的协同、信息共享十分重要;
4. 需要建立通用的应急响应和信息获取框架;
5. 需要进一步优化应急响应体系中的过程、工具和技术。
三、网络风暴2演习(CyberStorm II)
1. 基本情况
演习时间:2008.03.10—14(5天);
组织单位:国土安全部 国家网络安全局 (DHS NCSD)
演习目的:提升联邦、州、国际政府以及私营部门之间,应对网络空间重大攻击事件的应急响应能力;
参 演 方:5眼联盟成员、14个联邦部门、7个州政府、2个国家实验室、6个电力公司、2个民航公司、3个铁路公司以及9个行业信息共享和分析中心;
演习内容:绝密级,目前尚未公开;
攻击手段:较网络风暴1演习,加入物理攻击手段;
演习场所:指挥部设在华盛顿(国土安全部 特情局 DHS USSS)。
2. 演习目标
在目标设置上,本演习相较网络风暴1演习,区别在于:
1. 更加注重国际政府之间的应急响应协调能力演练;
2. 更加注重态势感知、响应、恢复等关键信息的分享机制的建立;
3. 更加注重尝试敏感、涉密信息分享的安全机制设立。
3 演习场景设置
本次演习主要围绕三个想定的场景设置:
1. 互联网中断;
2. 通信中断;
3. 工业控制系统问题。
4 演习计划
本演习共经过了18个月的计划编制,具体如下表所示:| 日期 | 内容 | 描述 |
| 2006.12 | 概念设计 | 设定演练范围、目标以及相关组织框架 |
| 2007.03 | 初始计划开发 | 确定参演单位、基本场景 |
| 2007.07 | 中期计划开发 | 确定主要场景及场景细节设计任务 |
| 2007.12 | 全部计划开发 | 开发详细跨部门工作时间进度表,定义通信路径和数据收集需求 |
| 2008.01 | 演练场景开发 | 演练场景开发完毕,并进入预演练(PRE-EX)阶段 |
| 2008.02 | 预演练阶段(PRE-EX) | 开始进行内部演练测试 |
5 重要发现
在网络风暴1演习制定预案、跨部门协同、信息共享等重要发现的基础上,又提出了:
1. 不同部门之间必须深入理解对方的较色、责任和需求,从而促进预案成熟度的提升;
2. 物理和网络具有互依赖性(破坏物理特性会影响网路功能,破坏网络功能会造成物理损伤);
3. 明确单位的角色和责任的边界(行业协调委员会、信息共享和分析中心、US-CERT、ICS-CERT、国家网络响应协调中心等单位职责模糊不清,会严重降低应急响应的效率);
4. 良好的策略和程序,是跨部门协同和信息共享的关键;
5. 大规模网络攻击事件的公共事务处理,需要联邦政府、技术专家、行业机构的合作,从而有效的教育、通知和指导公众。
四、网络风暴3演习(CyberStorm III)
1. 基本情况
演习时间:2010.09.27—2010.10.01(5天);
组织单位:国土安全部 国家网络安全局 (DHS NCSD)
演习目的:提升联邦、州、国际政府以及私营部门之间,应对网络空间重大攻击事件的应急响应能力;
参 演 方:12个国际政府机构、12个联邦部门、13个州政府、60家私营企业(2000余人);
演习内容:绝密级,目前尚未公开;
攻击手段:较网络风暴1演习,加入物理攻击手段;
演习场所:指挥部设在华盛顿。
2. 演习目标
本次演习是国家网络安全通信整合中心(NCCIC,美国土安全部下属机构)成立后的第一次演练,是对其协调组织能力(US-CERT、ICS-CERT均为其子部门)以及相关计划(如国家网络事件应急响应计划NCIRP等)可行性的一次检验,主要目标包括:
1. 演练“国家网络事件应急响应计划”(NCIRP);
2. 演练针对网络事件,美国土安全部(DHS)的整体职责、较色;
3. 演练跨机构间的信息共享事务;
4. 演练跨机构间的行政、技术协调事务。
3. 演习计划
| 日期 | 内容 | 描述 |
| 2009.06 | 概念设计 | 设定演练范围、目标以及相关组织框架 |
| 2009.10 | 初始计划开发 | 确定参演单位、基本场景 |
| 2010.01 | 中期计划开发 | 确定主要场景及场景细节设计任务 |
| 2010.06 | 全部计划开发 | 开发详细跨部门工作时间进度表,定义通信路径和数据收集需求 |
| 2010.09 | 正式演习 | 正式演习阶段(5天) |
| 2010.10 | 演习总结阶段 | 10月15日,DHS组织展开review,进行总结 |
4. 演习场景设置
1. 互联网场景:互联网关键更新服务被攻陷(如微软周二补丁更新,各种数据源等);
2. 关键基础设施场景:能源管理系统(EMS)被攻陷(可以通过设置逻辑炸弹的形式);
3. 关键基础设施场景:化学和运输类行业订单系统被攻陷,影响生产和货物运输;
4. 联邦政府场景:阻碍联邦政府正常网络功能(如通过DDoS),并发布虚假信息;
5. 国际合作场景:模拟澳大利亚和加拿大遭受黑客攻击;
6. 国防部场景:模拟感染病毒笔记本接入国防部内部网络,从而攻陷国防部访问节点;
7. 公共事务场景:随着攻击的深入,展开公众报道;
8. 州政府场景:模拟黑客试图中断政府服务,并尝试获取敏感信息(如身份信息等)。
5 重要发现
1. 国家网络事件应急响应计划(NCIRP)提供了事件响应框架,不过成熟度仍需要提升;
2. 私营部门之间的响应合作已经比较默契,公私营机构之间的合作仍然需要提升;
3. 需要在所有利益相关方之间共享一个态势感知图谱,从而支持决策,这被称为通用操作图(COP);
4. 需要在所有利益相关方之间维护一个国家网络风险警告级别(NCRAL),从而保障对不同程度安全事件的合理影响;
5. 政府、私营部门以及公众,都应该依靠国家发布的及时、准确、可操作的网络安全预警,实现对他们自有网络威胁的管理。
关键基础设施场景:化学和运输
五、总体分析
从2006年的“网络风暴”1演习以来,美国相继开展了3次“网络风暴”系列演习,在保证“提升应对网络空间重大攻击事件的应急响应能力”的总体目标保证不变的基础上,包含了一系列由当时国际关系、自身认识、外部需求等造成的特点,具体如下:
1. 事件触发,推动演习进程
2001年美国爆发9.11事件,美国很好的抓住这个事件大做文章,推动了一系列的国内、国际事务发展,其中就包括推进有“国际联合反恐演习”味道的“网络风暴系列演习”。这也为其后续逐步发展“网络北约”提供了一个基本的平台。
2. 立法保障,铺平法律基础
开展“网络风暴系列演习”的一段时期,美国先后通过了多部立法(如《爱国者法案》、《外国情报共享法案》、《关键基础设施和重要资产物理保护国家战略》等),从而为“网络风暴系列演习”提供了基本的法律依据,并进一步推进了国家间的情报共享机制的建立。
3. 逐步深入,“网络北约”呼之欲出
国际参演单位从“网络风暴”1演习的五眼同盟,发展到2010年9月“网络风暴”3演习的12个伙伴国家(包括:英国、加拿大、澳大利亚、法国、德国、匈牙利、日本、意大利、荷兰、新西兰、瑞典和瑞士)。
美国一直在推进网络空间领域的情报共享工作,其利用在技术领域的先进性,先后推出了网络威胁情报共享协议(STIX、Cybox、TAXII),并准备推广到国际标准化组织OASIS,从而实现“网络北约”的情报共享。
4. 重在协同,促进网络联合防御(作战)
不像传统攻防演练比赛(如Defcon,以及各种CTF大赛)更加注重技术和个人能力,“网络风暴系列演习”则更加偏重于组织协同、情报共享、公共事务处理等工作,这更加符合军事演习的一贯风格。
从这个角度,我们也可以看出,美国已经把网络空间纳入到其国防体系中来统一规划了。
六、附件:“网络风暴3”演习参演单位列表
文/DustinW
声明:本文来自网信防务,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
