网络空间战场环境测绘初探

admin 2022年6月28日00:12:20安全闲碎评论19 views6451字阅读21分30秒阅读模式

引言


俄乌冲突已持续快4个月了,随着时间的推移,这场战争也进入了关键阶段。毫无疑问网络战成为了这次冲突的焦点之一,也决定了战事的走向,今后也必将成为现代战争中兵家的制胜法宝。打好网络战就需要事先做好网络空间战场环境的测绘,那么什么是网络空间战场环境测绘?里面有哪些需要争夺的资源?如何做好网络空间战场环境测绘?
今天我们不聊硬核的代码和漏洞分析,带您一起探索网络战的奥秘。

网络空间战场环境测绘基本概念



要定义网络空间战场环境测绘,首先需要明确什么是网络空间以及网络空间测绘

1

网络空间

“网络空间”的概念最早于1984年被威廉·吉布森在美国科幻小说《神经漫游者》中提出,被描述为通过计算机设备进入的数据库空间。不同研究领域的国内外学者对网络空间概念进行了研究和阐述,目前已有定义可概括为两类:

1) 强调网络空间的物质属性,认为网络空间依存于软硬件设施等物质基础,是互联网与万维网的近似概念;


2) 强调网络空间的社会属性,认为网络空间是人基于网络技术操作与社交行为活动,再现空间感和社会认知的虚拟空间。

综上,网络空间被定义为构建在信息通信技术基础设施之上的人造空间,用以支撑人们在该空间中开展各类信息通信技术相关的活动。

2

 网络空间测绘

“测绘”的概念最初源于地理测绘学是指“对自然地理要素或者地表人工设施的形状、大小、空间位置及其属性等进行测定、采集和绘制”。地理测绘的概念包括了“测量”和“制图”两项主要内容。

“网络空间测绘”是近几年出现的新概念,相对于地理空间测绘,网络空间测绘同样需要对网络空间的组成要素及其属性进行“测量”和“制图”。


网络空间测绘将网络空间、地理空间和社会空间进行相互映射,测绘成一份动态、实时、可靠、有效的网络空间全息地图。

网络空间测绘的定义如下:

1) 从狭义上讲:网络空间测绘主要指在互联网环境下,利用网络探测、采集或挖掘等技术,获取网络设备等实体资源、用户和服务等虚拟资源的网络属性,通过设计有效的定位算法和关联分析方法,将实体资源映射到地理空间,将虚拟资源映射到社会空间,并将探测结果和映射结果绘制出来。


2) 从广义上讲:网络空间测绘的研究范围包括互联网、电信网、工业控制网等各种类型的网络,研究对象除互联网资源外,还包括其他各种网络上的资源。

总的来讲,网络空间测绘即对网络空间中的各类虚实资源及其属性进行测量、分析和绘制的全过程。

3

网络空间战场环境测绘

网络空间作为新型作战域,其受人控制,反映人的意志,服务人的认知,并通过人施加到自然物理空间之上,最终影响人的战争意志。网络空间作战正是反映了“人”在网络空间对抗中的核心地位。

网络空间瞬息万变的战场态势,区别于传统火力作战的新型武器装备,远超传统作战域的目标范畴,具有高度级联性的作战效果。而网络空间战场环境正是在作战背景下对网络空间环境的一个实例体现,既包含了对传统网络空间的资产测绘,又包含了在作战背景下的情报测绘。


最近俄乌战争的实际情况更加说明了这一点,在俄乌战争实际战场的背后,一场没有硝烟的网络空间“大战”早已经打响,其参与人数、攻击规模、影响后果不亚于实体战场。


战场环境基本要素



网络资产和网络情报是战场环境的两个基本要素。其中资产包括了脆弱性资产、军事战略资产、关键基础设施资产、蜜罐资产和供应链资产;情报包含了人员信息情报、漏洞信息情报、舆情情报和作战情报。

脆弱性资产:脆弱性资产是指在战场环境中存在漏洞易于被攻破的一类网络资产。网络空间的战场环境也受传统网络安全“木桶效应”的影响,单点突破后对全局都会造成影响。掌握敌我的脆弱性资产是掌握战场主动性的先决条件。


军事战略资产:军事战略资产是指在战场环境中具有重大军事战略价值的一类网络资产。这类资产包含网络摄像头、工控设备、卫星设备、军事阵地设备、新闻媒体平台等,控制这些设备能够左右战局的走势,有利于掌控更多的军事战略情报。


关键基础设施资产:关键基础设施资产是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的一类资产。这类资产是战场环境里的命门,一旦遭到破坏、丧失功能或者数据泄露,会在军事作战中处于完全被动的局面,对实体武器对抗也会造成重大影响。


蜜罐资产:蜜罐资产是指对攻击方进行欺骗,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析的一类资产。网络空间对抗是一个攻防博弈的过程,掌握敌方布置的蜜罐资产可以有效隐蔽我方储备的网络漏洞、攻击手法和攻击路径等信息,隐藏自身的攻击行为和意图。


供应链资产:供应链资产是指一个包含对网络资产的供货商、供应商、制造商、仓储商、运输商、分销商、零售商以及终端客户等多个主体的综合资产。在战场环境中掌握供应链资产的信息有利于切断敌方供应链来源,使其实现技术断层。同时供应链也提供了更多攻破敌方阵地的可能,供应链资产的脆弱性也是敌方整体资产脆弱性的一环。


人员信息情报:人员信息情报是指对战场内外核心人员个人身份相关的情报信息。古人云知己知彼百战不殆,掌握人员信息情报有利于在战场上对指定目标进行定点打击和渗透,同时可以进行钓鱼等社会工程学攻击。


漏洞信息情报:漏洞信息情报是指敌方掌握的网络漏洞数量和质量相关的情报信息。漏洞是现代网络战场上的核武器,漏洞信息情报对掌控战局至关重要,它关系着敌我双方暴露的脆弱性资产的数量,通过漏洞能够对敌方战场环境进行降维打击。


舆情情报:舆情情报是指在战场环境中围绕战事的发生、发展和变化,作为主体的民众对作为客体的社会管理者持有的社会态度相关的情报信息。民心是现代网络战争中获胜的关键一环,得民心者得天下。舆情情报通常来自自媒体信息,依赖于军事战略资产的输出。关注舆情情报并适当制造舆情能够在内部瓦解敌人,扭转战场形势。


作战情报:作战情报是指在战场环境中有关战前、战时、战后等网络作战相关的情报信息。网络空间中的作战武器装备可能是一段恶意代码、一个植入后门或是一组破译密码,具有“一触即发”的瞬时性,其时效性决定了我们必须准确并迅速的掌握作战情报,了解地方动态。


战场环境测绘的基本方法


战场环境测绘便是围绕着上述的“五类资产”和“四类情报”进行的,具体测绘思路如下:

脆弱性资产:首先需要搜集漏洞特征库和poc,然后对战场环境的资产进行漏洞库和poc的验证和匹配,同时储备exp以便精准打击。


军事战略资产:需要通过指纹识别出哪些是军事战略资产,重点关注网络摄像头、工控设备、卫星设备和军事阵地设备。


关键基础设施资产:以指纹识别为主,区分出能源、交通、水利、金融、公共服务、电子政务、国防科技工业等资产,对这些资产的存活情况、地理分布、行业属性等能精准定位。


蜜罐资产:可以通过蜜罐指纹、蜜罐溯源方式、配置失真特性、蜜网特性等对蜜罐资产进行精准识别。


供应链资产:­­­­­­­­­主要依靠网络爬虫、开源情报、招投标信息结合指纹探测对资产所使用的组件信息对资产供应链进行探测和识别。


人员信息情报:主要依靠资产探测时爬取到的身份信息如个人电话、邮箱、社交媒体账号,以及通过开源情报和第三方数据接口对更多的人员情报信息进行测绘。


漏洞信息情报:对各大漏洞平台、安全社区、代码托管平台等泄露的漏洞信息进行监控和爬取,同时在本方阵地设立蜜罐捕获敌方探测的poc。


舆情情报:­­­对各大社交媒体、新闻平台和敌对势力常用活动社区的公众交流信息进行爬取,分析社会舆情倾向,根据战况定期监控舆论导向。


作战情报:通过资产探测和网络爬虫结合的方式获取更多和作战相关的情报信息。重点关注军事战略资产上隐藏的信息以及通过脆弱性资产进行打击后获取的和作战相关的情报信息。


作战应用构想


在进行战场作战时首先需要对脆弱性资产、军事战略资产和关键基础设施资产进行测绘,找到脆弱性资产与军事战略资产和关键基础设施资产的交集部分,这部分是我们需要重点关注的“重点打击资产”。
其中脆弱性资产可以通过供应链资产进行补充,同时需要排除“重点打击资产”中的蜜罐资产,如下图所示:
网络空间战场环境测绘初探

在对“重点打击资产”进行定向打击后,我们可以通过渗透攻击获取所需要的情报信息。此外人员信息情报也可对军事战略资产、关键基础设施资产和供应链资产进行测绘和爬虫获取;舆情情报可以通过军事战略资产中对社交媒体资产进行测绘和爬虫获取。


在获取到情报信息后,可以通过情报的内容反补资产,如下图所示:

网络空间战场环境测绘初探

在战场环境中资产与情报是不可分割的,同时也是网络空间作战胜利的关键要素,两者的关系如下:


网络空间战场环境测绘初探

俄乌战争中的实例应用


1

军事战略资产->人员信息情报

社交平台作为军事战略资产的重要一环,是交战双方最容易接触到的一类信息,任何社交平台上发布照片等,都有可能成为溯源到你在何地的确凿证据,尤其是当照片中出现了非常明显的特征如广阔的背景、标志性建筑、奇特的植物,或是太阳的位置。

作为国家高层,更应该注重隐藏自身位置,否则随时都有可能引来敌国的攻击。


在俄乌战争中乌克兰政府高层并没有意识到社交媒体平台对信息泄漏的严重性,包括总统泽连斯基(@ZelenskyyUa),国防部长列兹尼科夫(@oleksiireznikov)和总统办公室顾问波多利亚克(@Podolyak_M),他们每天在推特上晒图晒视频晒自拍,照片和视频毫无防范意识,身后的背景、建筑清晰可见,更加离谱的是,他们还会在文字中描述自己位于哪个地方,这并不是像大家想象的那样为了误导俄军,而是确确实实的没有安全意识。


俄军获取乌克兰情报的其中一个主要途径就是每天看乌克兰高层官员的推特。

网络空间战场环境测绘初探


2022年3月6日,总统办公室顾问波多利亚克在推特宣传炫耀消息,暴露了外国雇佣兵的位置。


网络空间战场环境测绘初探


2022年3月13日,也就是曝光位置的一周后,位于利沃夫西北约40公里的城镇亚沃里夫(Yavoriv)的"国际维和与安全中心",也就是波多利亚克拍照的位置,受到俄罗斯8枚导/弹袭击,造成35人死亡,134人受伤,多栋建筑毁于一旦。
网络空间战场环境测绘初探

2

供应链资产->人员信息情报

供应链在战场应用里覆盖的范围很广,既可包括敌我双方的供货商、供应商、制造商等,也可包括给双方提供情报信息的厂商。
在俄乌冲突愈演愈烈之后,俄罗斯发现了不对劲的地方,那就是乌克兰频繁对俄国高级将领下手,并且能屡次完成斩首行动。截至目前,已经导致6名俄军高级指挥官倒在乌军的斩首行动之下。对此外界也给出了多种说法,猜测行动顺利的原因和一个叫Clearview AI的公司提供的人脸识别数据库相关。


Clearview是一家人工智能公司,它首先会测绘存在敏感图片的网站源,然后爬取网站上存储的所有照片,通过其面部识别算法运行它们并将它们存储在私有的数据库中。这些网站通常包括由资产测绘得到的新闻媒体、照片网站、公共社交媒体(如美国Facebook、Twitter、俄罗斯社交网络VKontakte等)和其他公开的来源,整体数据库包含了200多亿张面部图像。在爬到这些数据后,它将对其数据库的访问权出售给各种客户,尤其是执法机构,他们可以通过上传照片在数据库中进行检索匹配,并找到匹配的面孔和相应标签信息。


由客户清单可以发现,虽然Clearview做的都是爬虫窃取类“见不得光”的事情,但是和美国政府有着紧密密切的合作:


网络空间战场环境测绘初探


Clearview在人员信息情报获取上有不少的成功案例:


网络空间战场环境测绘初探

Clearview公司在战争开始后就立即向乌克兰提供了支持,其技术作用主要体现在两个方面,一是确认死者身份、确认与家人分散的难民身份、揭穿与冲突有关的虚假社交媒体帖子。另一个用途是在战场上识别俄罗斯特工,这可能为反恐和叛乱提供重要优势。

网络空间战场环境测绘初探

3月3日,空降兵出身的俄41集团军副司令安德烈少将在哈尔科夫附近遭乌军狙击手击杀,成为本次战争中俄军首个阵亡的将军。第二次车臣战争中俄军58集团军副司令马洛费耶夫少将最终也是死于车臣狙击手枪下。随后的8天里,俄41集团军参谋长格拉西莫夫及29军团司令卡列斯尼科夫少将也分别在哈尔科夫和基辅相继阵亡。乌军从土耳其等国购入的无人机也成为专盯俄军将领的空中幽灵,150摩步师师长米杰耶夫少将以及近卫第8合成集团军司令莫尔德维切夫中将都是在视察前线时被对方无人机锁定并招致乌军炮击而阵亡的。

乌克兰之所以能频繁对俄军高级指挥官下手,作为供应链的Clearview公司的人脸识别技术提供了巨大的帮助。这种技术可以通过无人机、路边监控系统等监控系统拍摄所有进入监控范围的俄军官兵,并由此了解其身份等信息,为后续针对性的攻击提供了准确的情报。倘若乌军没有使用人脸识别技术,也许仅凭所谓的间谍和北约国家的技术支持,根本无法锁定俄军指挥官的具体位置。结合外界的消息来看,美企不会平白无故向乌克兰开放人脸数据库。这背后必定隐藏着一些秘密,很有可能与俄军高级指挥官被斩首,有着密切关联。


3

关键基础设施资产<->作战情报

关键基础设施资产毫无疑问是网络战中争夺的焦点,它的变化趋势也侧面反映了战争的走向。通过对关键基础设施资产的测绘可以生成部分作战情报,而作战情报又能对关键基础设施资产进行反补。


乌克兰属于典型的资产集中化国家,其首都基辅的网络资产占了全国资产的三分之一,剩余城市资产分布较为均匀。与此同时,政务类资产主要集中在基辅和敖德萨,这两个城市是乌克兰关键基础设施所在的核心城市。

网络空间战场环境测绘初探
网络空间战场环境测绘初探

我们借助盛邦安全的网络空间雷达RaySpace对交战的前两个月乌方的失陷资产进行了摸排,发现存活资产总数从2150960骤降至1595907个,降幅高达25.8%,十大城市资产前后对比如下表所示:

网络空间战场环境测绘初探

资产降低率排行如下:
网络空间战场环境测绘初探

引起资产数量骤减的原因主要由两部分构成,一是军事打击,二是网络攻击。

由上图可以发现,基辅、哈尔科夫和敖德萨三个城市在本次战争中的资产降低率名列前茅,这三个城市也恰好是俄乌战争前期的关键冲突点。借助对关键基础设施的资产测绘我们能够对作战路径进行推演,生成的情报又能对更多的关键基础设施进行发现,实现战场空间上的闭环。


网络空间战场环境测绘初探


4

重点打击资产<->作战情报

在前文中我们谈到过,关键基础设施资产、军事战略资产和脆弱性资产的交集为网络战里最需要关注的“重点打击资产”,对这类资产实施攻击是我们取得网络战胜利最重要的一环。

以军事战略资产里的摄像头资产为例,一旦这类资产存在漏洞,被批量控制后我们能从中获取不少敏感信息,生成作战情报。下图为部分存在漏洞的摄像头的截图,里面不乏一些重点会议场所信息:

网络空间战场环境测绘初探


此外关键基础设施也是网络打击的关键点,在战争开始后乌克兰重要军事、政府、教育、金融等部门的网络系统多次遭到大规模DDoS攻击,包括乌克兰国家公务员事务局(nads.gov.ua)、乌克兰政府新闻网站(old.kmu.gov.ua)、乌克兰国家储蓄银行(oschadbank.ua)、乌克兰国内最大商业银行(Privatbank.ua)以及乌克兰外交部、安全局等。


网络空间战场环境测绘初探

在战争前两个月关键基础设施资产沦陷的比例最大,部分是通过ddos毁瘫,部分则是直接被敌方利用脆弱性进行了控制:

网络空间战场环境测绘初探

从交战开始以来各攻击团伙的攻击方式不难看出,ddos是主流攻击手法之一,同时也有很多团队会利用漏洞对脆弱资产进行正面打击,如果通过脆弱性资产控制了核心设备,在设备里获取的作战情报又能反补出更多需要毁瘫和定点打击的目标:

网络空间战场环境测绘初探

参考文献



  • https://zhuanlan.zhihu.com/p/392837309

  • https://www.sohu.com/a/478724116_358040

  • https://www.shangyexinzhi.com/article/4692964.html

  •  https://baijiahao.baidu.com/s?id=1728078025760323356&wfr=spider&for=pc

  •  https://mp.weixin.qq.com/s/I42V9-_os4ZoODIetNRy4w



原文始发于微信公众号(Beacon Tower Lab):网络空间战场环境测绘初探

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月28日00:12:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  网络空间战场环境测绘初探 http://cn-sec.com/archives/1140592.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: