序言
2022年疫情无聊,曾经写过一篇有关网络作战的稿子,不长不短三十多页,原本想他几百页,后来收受时间、技术水平、能力和种种原因,当然也不包括经济问题,没有持续下去。研究是需要投入,没有后续虽然是个遗憾,但也希望有人能继续下去。最近看到各种有关网络作战相关的内容层出不穷,于是想把这个内容继续发出来,原文在我知识星球已经发布过。心急者可先去一睹为快。
本文原本随心而写,谁知一发不可收拾,限于水平和认知能力,全文围绕美国陆军战争学院《网络空间作战战略指南》展开,基于民用设施在未来网络作战中的可利用性作为假想形成一种全民网络作战的基础认知。使每个人都能意识到战争的危机不是某个人某个机构某个职业的危机,而是一种全民危机;全文构建一种假想的网络作战环境,通过美军常用的网络作战战略与战术结合克劳塞维兹的《战争论》来共同认识网络作战。
虽然我知道在中国知识产权侵权是个必然的习惯性问题,但是我希望大家如果想继续这样免费阅读请尊重作者的劳动成果,反对剽窃。如果本文有内容与您的知识产生违反《民法典》以及知识产权保护相关立法内容的情形下可联系本人。
全文预计会用1年的时间完成,欢迎专业人员提供意见、建议和素材补充这个读物的不足和缺陷。
第一章 引子
2021年,美国陆军作战学院发布了新一版的《网络空间作战战略指南》,在该指南中首先描述了网络空间作战的背景:
-
1.本指南遵循作战设计方法和联合规划过程 (JPP),并将这些原则应用于网络空间领域。网络空间是信息环境中的一个全球域,由相互依赖的信息技术基础设施和驻留数据网络组成,包括互联网、电信网络、计算机系统以及嵌入式处理器和控制器。网络空间作战 (CO) 是使用网络空间能力,其主要目的是在网络空间内或通过网络空间实现目标。[1]指挥官必须发展在网络领域指挥作战的能力,因为战略任务的成功越来越依赖于网络空间的机动自由。[2]
美军在建立网络作战背景的基本对象是基于全球环境下的信息技术和数据网络,他包含了可以被利用的硬件、软件、固件及通信设施。同时更加关注构成整个网络空间设备设施的依赖性以及相互作用。这种相互性是构成业务交互中必不可少的元素和活动;依赖性越高,网络作战所形成的影响力也就越高,而这种影响所产生的战略价值也就越大,因此在选择战略目标时有可能关注的不再是简单的基于业务的重要性,而是业务的依赖关系产生的蝴蝶效应,有时候一个不起眼的入口恰好可以导致整个水坝毁于一旦,这就是通常我们所说的千里之堤毁于蚁穴的道理。
-
2.总统、国防部长 (SecDef) 和参谋长联席会议主席(CJCS)通过向国防部(DOD) 传达广泛的目标和特定问题的指导来提供战略方向。它提供了整合和同步联合参谋部 (JS)、作战司令部 (CCMD)、军种、联合部队、作战支援机构 (CSA) 和其他国防部机构的规划活动和行动的共同线索。它为军事力量的使用规划提供了目的和重点。战略方向确定了理想的军事目标或最终状态、国家层面的规划假设和国家层面的限制。[3]在作战层面,联合规划将国家层面的指导转化为旨在实现战略和作战目标并实现军事目的的具体活动状态。计划将战略提供的广泛意图转化为行动;成功的作战实现了战略的目标。[4]
网络作战从初期的战术目标转向了战略目标,传统的网络作战(如:早期的电子战、90年代兴起的信息战,然后到现在的网络战)作为作战部队的重要辅助手段,通常由作战部队直接策划与指挥;即使到了现在,具体运用于实际作战环境的指挥依旧由作战指挥实施指挥活动。但是随着信息化/数字化的社会依赖性越来越高,网络作战开始向战略层转换。网络作战不在是简单的实际作战的一种手段,而是成为整个战略策划的一个基点成为一个完整的作战体系中重要的一环。由国家最高层及国家军事力量的最高层构建共同的战略方向并将网络作战融入战略规划。
-
3.战斗指挥官 (CCDR) 使用战略指南和指导来准备专注于其司令部特定能力和任务的指挥战略,将国家战略指导与战区或职能战略和联合作战联系起来。指挥战略与国家战略一样,确定了有助于国家安全的指挥部广泛的、长期的目标。指挥战略提供了国家战略指导和联合规划之间的联系。[5]
联合作战成为美军网络作战的基础,从基干军事化力量建设中,网络作战人员不仅仅是一个单独的作战单元,也可能成为一个整体作战单元的一份子,使得即从整体作战中将网络作战独立化,又可以将网络作战单元形成融合化,在不同的作战环境中使用不同的网络作战手段,将长期、中期与短期作战相结合,由战斗指挥官针对具体的作战环境指挥联合作战。
-
4.在SecDef的授权下,国防部利用网络空间能力塑造网络空间,并为国家防御提供综合进攻和防御选项。[6]通过精心控制的级联效应,网络空间中的行动可以实现网络空间活动的自由行动。[7] CCDR和军种使用CO在网络空间中和通过网络空间创造效果,以支持军事目标。[8] CO的步伐需要大量的战前协作和发起后的持续警惕,以便在整个作战环境(OE)中进行有效协调和消除冲突)。[9]
战争永远是基于攻防两端的问题,《战争论》中提到“防御的规则是以进攻的规则为根据,而进攻的规则又是以防御的规则为根据,这点是非常自然和必要的。”同时克劳塞维兹又指出“防御的目的完全是对付进攻,所以一定要以敌人的进攻为前提。进攻的目的却不是应对防御,而是为了其他东西,比如为了占领,所以,它不必以对方防御为前提。因此,防御方式是让战争要素产生作用,首先从己方的立足点出发来考虑作战双方并为战争制定最初法则的一方。同理,网络作战同样需要在建立攻击的同时讨论可能的应对攻击的防御能力,这种能力不仅是在攻击能力的角度考虑,更多的是通过作战产生的实际影响来考虑;而防御的能力不仅是人员能力还需要关注设备设施、技术及实现手段的“可信”能力建设基础之上的考虑。因此,塑造整个国家网络作战能力的必要条件是塑造整个国家的网络作战防御/对抗能力。
在该背景下美国政府进一步加速了网络作战的相关工作以及建立联合作战的指挥系统,将网络作战与常规作战形成一个整体;从一个单一化作战单元整合为联合作战单元;从战术作战需求提升为战略作战需求;使得网络作战基于其可以在无形世界中长期潜伏,并且结合文化侵袭和心理作战的抽象化作战来替代传统的实体作战效果。从费效比上最大化的降低实体战争中产生的人力、物力、财力资源的损失。
第一节 网络作战环境解析
本文标题为假设性网络作战,引子部分是笔者假设的一个网络战的场景,该场景不代表任何实际发生的情况以及未来可能发生的社会情况;所有物理地点、时间、攻防双方及多方纯属虚构,如有雷同纯属巧合。本假设是基于美国在建立网络空间作战战略中,有关对作战环境的解析:
-
1.作战环境是影响作战能力并影响指挥官决策的条件、环境和影响的综合。它包括空中、陆地、海洋和空间领域以及信息环境(包括网络空间)的物理区域和因素。了解OE有助于指挥官更好地识别问题;预测潜在结果;并了解各种友方、敌方和中立行动的结果以及这些行动如何影响实现军事最终状态。[10]
由于不同的国家,不同的区域,不同的行业以及不同的系统在制定网络安全政策、法律、法规、策略有着不同的能力和观点,同样技术的自主化在很大层面上增加了攻防双方的复杂度。复杂的地缘政治关系与民族主义情结也在影响着作战环境。正如同1999年发生的中美黑客的对抗,事件的起因源自我国南斯拉夫大使馆在贝尔格莱德时间1999年5月7日(北京时间1999年5月8日)被以美国为首的北约精确制导导弹袭击,导致新华通讯社记者邵云环、《光明日报》记者许杏虎和朱颖当场牺牲,数十人受伤,大使馆建筑严重损毁。时至今日美国及北约依旧否认事件的真相无耻的坚称为误炸。事件发生后中美之间爆发了大规模的黑客对抗,此次对抗表面上是中美之间产生的,但实际上全球多个国家参与了对抗。即使是同一个国家也产生了阵营的分裂,这就使得在实际的网络作战中不仅要考虑攻防双方之间的能力,还必须考虑在作战产生之后可能引入的多方势力的介入,这种势力甚至可能产生于本国的内部。这些因素都可能直接影响到作战的最终状态。
-
2.网络空间作战能力已成为一项重要的国家安全要求。信息战对军事行动的影响越来越大,进一步增加了网络空间的重要性。随着技术能力和对信息的即时访问不断增长,实时通信和信息共享的机会也在扩大。这些能力对经济和国家发展至关重要。然而,依赖这些能力需要保护网络和信息。网络空间中的对手活动可能威胁到美国在空中、陆地、海洋和太空领域的主导地位,因为它们变得越来越相互关联并依赖于网络空间技术。[11]
前期的电子战更多的是被直接用于军事对抗活动中,电子技术在民间并没有形成依赖性的应用;但是信息化的产生使得其在整个社会中地位举足轻重。近几年,云技术、大数据、工业互联网、Web 2.0、物联网、智慧城市以至于今年(2022年)开始流行的元宇宙的出现。当我们把生活的点点滴滴都关联在一种不可控的技术基础时,他对于国家的重要性而言已经不言而喻了。他从一个特定目标演变成重要的军事目标,而具体的应用成为作战中的特定目标。而对于防守者而言,你关注的是一个点的防守还是一个链的方式;你所承受的是局部损失还是由于级联故障、横向入侵而带来的整体损害?这种损害的蔓延是已知的还是未知的?是可控的还是不可控的?弹性的解决方案是否能够应对国家级的军事打击而不是应对传统的网络攻击?而一个国家的网络受到攻击后会不会连带其他相关国家也会被恶意利用甚至被破坏。这就需要进一步讨论广义的卫星PNT(定位、导航和授时)服务中所产生的服务链的问题。
-
3.独特的网络空间能力和特点。网络空间是影响生活方方面面的便捷、动态信息交换的全球推动者。它允许金融交易以及产品和货物的移动和跟踪在全球范围内即时信息流动。但是,它也允许攻击者从任何位置访问这些信息并破坏重要作战。由于易于访问,网络空间难以监管。从军事角度来看,网络空间活动很少需要部队的移动,允许从更远的对峙范围进行交战。它还可以影响无法通过其他域访问的人群。
网络基础设施是物理的,但是网络间的流动是虚拟的,存在链接就可能存在通信,存在通信就可能存在控制和操作;谁(Who)在哪里(Where)通过什么(What)手段执行怎样(How)的操作,最后导致的影响有多高?网络打破了传统的物理边界,攻防双方可以把战火引向全球任何一个可能的网络空间或者云基础设施。这就使得攻击者的手段可以超出传统作战的孤立性。对于攻击者而言,他可能选择全球任何一个通信节点作为攻击节点,也可能通过民族主义者、被收买的黑客、具有政治倾向的APT团队或者恶意的供应链通过内部发起攻击。网络攻击与网络战争最大的区别就在于由国家层面发起,具备特定(政治、国家经济等)的战略目标;而网络攻击可能是某个人、某个组织、某个团队甚至是某个商业利益团队基于一个狭义的愿景对安全属性的破坏从而获利的过程;从手段而言,两者所使用的可能一致,但是从结果和影响而言却存在本质的差异。
比特币等虚拟货币的流通实际为金融领域攻击提供了一种更加直接的手段,数字货币能够绕开国际金融结算平台实施结算一方面是在挑战美国的金融霸权,但是另一方面,当数字货币占有量达到一定基数的时候,数字货币平台就会成为新的战略目标。一方面通过这种机制实施大规模的货币转移和非法流通以及伪造,制造金融混乱;另一方面针对数字货币平台的可用性攻击导致国家金融体制瘫痪。
第二节 网络作战场景假设
2030年6月,位于亚热带气候的A国X市突然发生大面积传染疾病,为了有效控制疾病,有关部门对市区进行风险控制处理,要求居民居家不得随意外出,并由政府提供日常生活用品和物资。一夜之间,城市常用的各种社交媒体和论坛出现大量负面新闻和视频,很多发布者都是互联网大V,甚至有些政府所属的网站、平台遭到恶意篡改,加剧了城市居民的恐慌;紧接着城市供电系统出现异常,不规律的城市电力过载和中断、低压问题频频发生,电力异常导致居民住宅用电受到干扰和影响,家用电器也因为频繁发生跳闸、断电发生损害,尤其是冰箱、空调和电视设备。而这类设备的损坏加剧了居家生活的困难,在高温下,居民日常生活受到极度的影响,休息以及大量食物的损坏使得居民在不良传闻的诱导下产生了对抗情绪;同时电力问题也直接影响到了生活用水、天然气等其他问题的产生。
外界不停的出现B国、C国开放式的管理模式和繁华的视频、图片、新闻,并出现通过手机短信、邮件、P2P即时通信工具等日常通信模式传播所谓如何获得“自由新闻”的通道及手段。这类新闻使得中产阶级在担心自身利益受损的情况下开始通过互联网金融模式以及虚拟货币进行货币资产转移并出售有形资产,这使得城市金融产生危机。
由于过度依赖信息化及数字化产业,很多政务工作和事务性工作以及日常企业运营都在依赖互联网来完成。但是在网络出现很多企业、公众人物、敏感人物、执法人员以及其他公务人员的个人信息及商业机密,这种情况加剧了社会矛盾关系,人们已经失去辨别真伪的勇气和欲望,由此带来了新一轮的因为社会矛盾而产生的骚乱。
进一步假设,当所有的目光都开始关注该城市的社会问题的时候,城市暴力在有组织的成员策划、指挥并提供准军事化装备支撑的情况下,网络攻击开始转向了城市安防系统、警用摄像、监控系统以及报警平台,干扰甚至通信劫持和监听,大量的虚假报警信息使得城市警察力量陷入一种疲于奔命;而这一切都可以为突然出现的地面作战提供前期的必要条件:(1)地缘政治因素下的国际舆论;(东欧模式)(2)意识形态领域下的区域性战争;(中东模式)(3)新的“和平演变”下的第三方势力的介入(东欧及中东“和平演变”模式);而这一系列的活动实际上是在经过多年的策划和操作下在一个特定时间和环境的条件下发起。假设我们到此为止,本文可以理解为一本科幻小说,也可以理解为一本包含大量网络安全基础知识的读本。
首先我们预想这场战争的策划:
这场战争可以在发起前若干年开始建立;首先在公共自由的互联网平台上选择目标城市使用量最大的公共社交媒体及其他通信工具;然后使用人工以及机器注册的模式注册大量账号,同时收买僵尸粉以及在18-32岁人群中通过推广搭建一个强大的粉丝团队;尤其是在构造话题时刻意形成对立,比如:地域矛盾、群体矛盾、兴趣矛盾,使得在矛盾中推出若干个能够领导社交媒体的发声人,我们称之为大V,随着大V的出现以及他所产生的所谓公信力,使得他能够取代官方形成一种新的代言人的角色。这时候病毒式传播和推送使得舆论产生偏向。而这种舆论的偏向从一些很小社会缩影中逐渐扩大,甚至可能影响到城市或者国家的金融政策及地方管理政策。由于这种行为在初期没有产生明确的指向和违法落地国立法的行为,更多的时候会归结于道德问题,使得所有的关注点并不会向更深的层次进行构想,而互联网平台更关注的是其带来的流量而不是舆情和态势的分析,甚至会主动置顶或者通过其强大的互联网平台的力量进行推导和辅助加载流量;我相信在传统认知中,大多数人不会认为这是网络战的一份子,但是这种模式实际的威力远远大于实体作战,对于攻击者而言,避免了本国成员的损伤。
长期的目标入侵计划首先针对国家关键基础设施发起,而这种攻击更多的是长期潜伏,然后在特定条件下实施下一阶段行为,比如:伊朗纳什尔核电站“震网”事件;2016年我国发布的《网络安全法》在第三章第二节第三十一条中定义了国家关键信息基础设施的范围“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益”;2021年在《关键信息基础设施保护条例》中对该定义进行了补充,其第二条明确指出“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行 业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”属于国家关键信息基础设施,同时在第三十二条中进一步强调“国家采取措施,优先保障能源、电信等关键信息基础设施安全运行。能源、电信行业应当采取措施,为其他行业和领域的关键信息基础设施安全运行提供重点保障。”
长期潜入常用的手段:(1)供应链攻击:可以使用产品预设、软件污染、人员攻击、服务商攻击等手段;(2)社会工程学:利用管理缺陷、人的弱点为前期的潜伏创造机会;(3)利用已知的漏洞和暴露的接口(软件接口、管理接口、网络通信接口以及业务连通性);(4)标注可接入的通道(物理通道,利用离场设备;逻辑通道,未标注的通信链路或者违规使用的无线链路);(5)特种木马;(6)伪装账号和僵尸账号;由于长期潜伏的目的本身是为了后期的攻击做出进一步的准备,因此潜伏前后都不会对系统产生破坏或者数据操作的行为,更多的是通过模拟日常的业务流行为隐蔽自己;
中期战略更多会发生在互联网平台,由于前期产生大量的账号,甚至可能已经获取某些平台的管理权限;本阶段开始培养用户及拥护者,并且不断发布有利于整个政治需求的言论;而对于特定的作战目标和意图利用前期的潜伏有针对性的收集信息进行情报分析为短期战略提供支撑;本阶段会大量使用僵尸网和爬虫来收集及获取数据,为了掩盖自己的意图,伪造第三国IP地址实施形式化攻击,利用网络攻击行为来模糊化实际网络作战的战略意图,并可以制造国家之间的民族情绪。实际上我们经常所说的APT[12]攻击在网络作战中定义为中期作战手段。而这类APT更加关注于政治意图具有国家背景的行为。
短期战略实际上已经可以定义为具体的战术手段,本阶段结合具体的环境利用已经具备的工具、权限实施具体的行动。这里面有一些假想会受到广泛的质疑:(1)为什么不是针对通信的瘫痪式攻击?很容易解释,网络攻击需要提供通信渠道建立攻击途径,就和攻击者为什么不炸毁攻击路线的桥梁和道路一样,没有了空中力量,当道路和桥梁没有了,请问攻击部队如何前进?对于通信的瘫痪需要在特定条件下,比如:瘫痪军事通信、瘫痪应急通信、劫持政府通信以便自己发布虚假宣传;因此构成瘫痪的条件是是否有利于攻击者的行为。(2)为什么是无规律的区域性中断而不是全局中断?攻击还是事故?这是在建立应急响应工作过程中的一个难题,如何判定产生故障的因素来自于外部还是内部;来自于人为还是物理或者设备设施的故障,然后才能基于预案实施处置。大面积中断从产生故障的节点而言要比随机性的中断更容易判断,而且一旦有效处置,后续攻击将变得异常复杂;但是随机多区域不停的产生多元化故障一方面是为了导致应急人员产生误判;另一方面使应急人员疲于奔命式的救援导致人身体的疲惫从而延长处置时间和判断力;第三、当产生误判时,使其能够保持原有的防护能力而不至于产生防护升级以及溯源产生的攻击者的暴露。(3)为什么会选择电力系统?因为“电能”是构成整个人类生活最基本的元素,而信息化/数字化所依赖的基础就是“电能”。
其实从这个问题讨论是想分析在任何时候,网络战的引入有很多可用的场景,并不一定是我们可能预见或者可能预测的。很多情况下战争的节奏是基于战场的形势和状态不断发生调整或者产生新的动机和能力。每个国家由于对信息化的依赖程度不同,而且本国对于完全自主的信息技术的拥有权不同,所以面对网络战的思考也应该是不同的。网络安全圈有一段时间非常流行一个概念“挂图作战”。其实我一直在考虑一个问题,什么是挂图,挂图的目的如果对应作战,那么新的问题产生了,不同的战场、相同的战场不同的对手、相同的战场相同的对手不同的战术工具和战术思想,甚至相同的战场相同的对手相同的战术工具和战术思想最终我们会使用同一张作战地图指挥战斗吗?答案是否定的,不会。挂图中的图是地形图、地貌图,他要考虑精密度、标尺、标高等等诸多要素,对应到网络战而言就是很多人都看不起的网络拓扑图。网络拓扑的准确程度,对区域内资产识别的完备程度,以及描述设备的部署、配置以及用例都是决定战场成败的根本。任何一场战场都不可能使用一个通用攻击场景作为地图来展示战场。因此本问所分析的仅仅是针对一个特定场景产生的问题进行阐述。
第二章 网络战
前面我们已经探讨了很多问题,其实表面上是一个MD断电的话题,但是里面涉及到了网络战、挂图作战、威胁建模等等相关概念,话题太大,今天我们探讨其中一个话题:网络战。首先我们看看德国军事学家克劳塞维兹在《战争论》中针对战争的十四个定义,1.暴力最大限度地使用;2.目标是使敌人无力抵抗;3.最大限度地使用力量;4.在现实中的修正;5.战争绝不是孤立的行为;6.战争不是短促的一击;7.战争的结局绝不是绝对的;8.现实中的概然性代替了概念中的极端和绝对;9.现在政治目的又显露出来;10.只有一个原因能使军事行动停顿而且看来它永远只能存在于一方;11.军事行动因此又会出现连续性,使一切又趋向极端;12.进攻和防御是不同的作战形式,由于两者的强弱是不对称的,所以两极性原理对它们不适用;13.战争是多种多样的;14.一切战争都可看作是政治行为;
为什么要导入这个理论,实际上是要说明网络战与网络攻击之间不一定形成对等概念(11);第二随着攻防双方对产生的依赖性的不同导致战争的偏移和目标(4,13)不断发生变化;在现代战争中,随着对信息化的依赖,不仅仅是在作战中,更多的是在民生和基础能力建设中,使得战争的手段更加丰富和不可预测;第三网络战随着供应链的依赖和延伸,蝴蝶效应[13]变得更加明显,依赖性越高,这种效应也就越突出,因此,战争本身考虑的不仅仅是攻防双方的战力和国力而是全球化的一种影响。更多理论的对应在这不一一阐述,因为我们要重点讨论网络战的细节。
2021年美国陆军战争学院发布了《网络空间作战战略指南》一书,这本书从5个章节讨论了网络战的整体活动,如图:
第一节 网络战设计
美国军方首先将一个战争通过设计作战、规划作战、执行作战和国家行动四个方面,那么第一层次就是设计作战。我们回到《战争论》的基础,《战争论》在阐述战争时通过战争理论、战略理论、防御、进攻、战争计划五个方面进行论述。在传统意义上网络战是常规战争的辅助作战手段,因此他需要协助或辅助主体作战实施作战手段和能力,因此他应该是执行作战中的辅助计划实施;但是从美国网络战能力而言,我们可以看到,美国在设计网络战时是把网络战作为一个独立的主体作战模式来进行定义,也就是说未来美国的网络战既可以是一种辅助手段也可以作为一切实体作战的先导或者独立的作战手段来进行。因此需要建立完整的网络战战略。
设计一场战争可能是一天,也可能是一年、若干年甚至几十年。当年日本在发起侵华战争前有据可查的是在清末就开始对众多的地质地貌进行勘察并绘制作战地图,日本人的作战地图能够精细到一口水井,一棵具有标志性的树,从东三省一直延伸到大西南。这种设计可能对很多国人是不可思议,但是事实的确如此。而对于网络战而言,如果我们把网络战划为为三个阶段:电子战、信息战和网络战,那么美国在实施我们现在所理解的网络战的设计实际上早在上世纪中期就已经开始,1991年,众所周知的海湾战争发起时通过潜藏在HP打印机中的电子芯片破坏伊拉克的通信设施,这可以看作是典型的供应链攻击结合侧信道攻击的一个实例场景;1998年我国遭受的CIH病毒,其针对大陆简体版Windows95的破坏有理由怀疑是由台湾军方主使,美国作为最大的技术支撑而开发的第一款针对硬件实施破坏的病毒;2010年破坏伊朗纳什尔核电站的震网病毒[14]后被证实是美国和以色列长达5年的设计和研究开发的网络战武器,这次攻击使用到的不仅是传统的跨IT/OT的信息技术手段,更主要的是通过收买间谍人工植入病毒的社会工程学在核心场地使用,因此打破了传统网络战中单一的技术作战的场景。这种极具针对性的网络武器还包括“火焰”[15]“毒球”等一系列网络战武器。但是这些作战武器和手段的开发和设计并不是随心所欲而是经过了很长时间的战略考量才形成。一个问题就是“箭在弦上,不发则已,一发必中”。
“作战设计为决策提供背景以及许多方面可能如何相互作用的问题,使指挥官和规划人员能够识别危险、威胁、后果、机会和风险。作战艺术是指挥官和参谋人员使用的认知方法——以他们的技能、知识、经验、创造力和判断力为支撑——制定战略、战役和行动,通过整合目的、方式、手段和风险来组织和使用军队。”[16]
2013年,英国《金融时报》专栏作家 吉迪恩•拉赫曼披露了一段新闻:爱德华•斯诺登(Edward Snowden)披露了美国国家安全局(NSA)在英国国家通信总局(GCHQ)帮助下开展间谍活动的细节,这一爆料确实产生了全球性的影响。斯诺登最初是在香港露面的,他现身之际恰好就在美中峰会几天之前。当时,奥巴马(Obama)总统本打算在这次峰会上以网络监听的话题将中国国家主席一军。
接着,斯诺登去了莫斯科,令这一故事又与俄罗斯产生了联系。然而没过多久,斯诺登的爆料就波及全球。为抗议美国间谍活动,巴西总统迪尔玛•罗塞夫(Dilma Rousseff)取消了长期以来深受众人期待的赴华盛顿国事访问。而关于美国显然监听了德国总理安格拉•默克尔(Angela Merkel)手机的爆料,也在德国引起了公愤。美国互联网经济的领军企业谷歌(Google)和Facebook发现,由于自己卷入这一丑闻,业务面临切实的威胁。最重要的是,斯诺登爆料迫使人们开始更加认真地思考信息时代意味着什么,以及国家安全和个人隐私之间的矛盾。因此,这一事件很可能在未来多年影响公共政策和政治。
棱镜计划是很多人熟知的一个话题,我在对棱镜门进行分析是做出了一张较为完整的棱镜的一份路线图,从图中我们可以看到从1982年Main Core[17]开始,美国已经开始建立全球化的网络监听的基础架构;后来与英国、加拿大、澳大利亚及新西兰共同构建了梯队系统[18],对于澳大利亚和新西兰而言,亚大网络战战略已经形成;紧接着2001年总统监视计划和2007年开始的棱镜计划,也就是说我们在2013年才开始真正了解这个庞大的计划体系。但是众所周知的原因,美国是互联网的霸主,从基础网络协议到IP地址分配,再到根域名服务器,监听本身并不是技术难题,但是为什么会把这件事炒的热火朝天呢?再谈阴谋论的观点:我们可以看到棱镜计划的披露使得全球开始加速网络安全建设,但是最终我们会发现一个问题,“我就没有核心技术”。这种建设相当于在一座危楼上不断搭建各种混凝土式的加固,最终要么楼被封了,要么楼被建塌了。但是这种耗费对于国家的人力财力物力以及缺乏系统工程思想的设计中,会越来越走向崩溃。所以,我一直认为这次披露斯诺登本身是一个“死间”[19]的角色,而这次事件就是为了将全球拉入美国的轨道和节奏,成为第二次“星球大战”[20]计划。
第二节 网络战战略
战略(strategy)一词最早是军事方面的概念。战略的特征是发现智谋的纲领。在西方,“strategy”一词源于希腊语“strategos”,意为军事将领、地方行政长官。后来演变成军事术语,指军事将领指挥军队作战的谋略。在中国,战略一词历史久远,“战”指战争,略指“谋略”“施诈”。春秋时期孙武的《孙子兵法》被认为是中国最早对战略进行全局筹划的著作。[21]克劳塞维兹认为“战略是为了战争的目的运用战斗的学问,战术是在战斗中运用军队的学问。”简单来说,战略是“我要达成什么,是一种全局思想”而战术是“我做什么,是一种基于全局的具体实现”。所以我们更多的时候要理解为什么要提供战略的主导思想。比如:匿名者组织[22]对某个目标发起DDoS攻击,我们看到的DDoS攻击就是一种战术,但是我们更希望了解的是后面的战略问题,也就是说发起攻击的目的,用术语而言就是威胁的动机是什么?如果只是单一的民族主义情结或者一种宣泄,我们不能称之为网络战,而只是一种网络攻击;但是一旦其具有某种特定的政治目的和意图,或者受到民族主义国家的操纵或支持那么这就有可能被定义为一种网络战的表现。可能这时候会有人提出《塔林手册》,但是我大概阅读了一下塔林官网(https://ccdcoe.org/about-us/)后,感觉这个是基于北约立场所编制的一个网络战立法规则,具有自身利益价值保护的本性,所以本文并没有遵循该手册对网络战的相关规则的描述。
《战争论》将战略要素分为“精神要素、数学要素、物质要素、统计要素和地理要素”。
精神要素是战争中最为重要的问题之一,比如:毛泽东与蒋介石;彭德怀与麦克阿瑟,首先以弱胜强有很多因素,但是作为一种精神要素而言,两者真正的差距是不能通过物质获得的精神要素;
数学要素体现在兵力的使用,组织一支或者若干支作战部队,美国网络司令部指挥官的任务是指导、同步和协调网络空间规划和行动,与国内和国际合作伙伴合作捍卫和推进国家利益。其下属美国网络司令部通过军事服务网络组件执行其任务。陆军网络司令部 (ARCYBER)、舰队网络司令部/第十舰队(FLTCYBER)、第十六空军/空军网络(AFCYBER)、海军陆战队网络空间司令部 (MARFORCYBER);美国网络司令部的组织概念包括 133 个网络任务部队 (CMF):国家任务部队小组通过观察对手的活动、阻止攻击并进行机动来击败他们来保卫国家。作战任务部队团队开展军事网络行动以支持作战司令部。网络保护小组保卫国防部信息网络,保护优先任务,并为作战准备网络部队。战斗指挥支援。美国网络司令部协调网络任务部队以支持联合部队;在战争前清晰的定义诸军种之间的相互关系;
物质要素,战争需要消耗资源,实体战争中需要战略预备队,那么在网络战中呢?你肉鸡的数量、分配的区域、算力的大小、指挥通信的带宽、弹性的获取和弹性的分配、参与攻击的力量分布的区域、以及可以使用的0day、工具和手段。在这些物质要素下还要考虑一旦实施攻击的资源受到破坏或者夺权、反向利用时,是否能够寻找替代的资源发起新的攻击并且能够将反向利用的流量牵引到蜜罐或者反射到其他攻击节点;
统计要素是对兵力的合理利用,一方面资源对于攻防双方而言都是有限的而不是无限的,有和无仅仅是相对概念而不是绝对概念,在攻击的过程中必须事先计划所需要的资源和人员,可充分利用的条件要素:如依赖性、自然环境以及可以触发连带作用的其他攻击途径和手段,合理的使用资源需要大量的数据来支撑这种行为,这时候大数据成为网络战略的必然支撑和条件;
地理要素在网络战中被完全打破,战争不在需要国与国之间的毗邻,也不需要假道伐虢[23],地域被打破加大了网络战的复杂性,这就意味着攻击的通信可能是在本地,也可能是通过异地、国际通信光缆,甚至通过卫星通信、微波通信等等通道。正如2009年7月4日,朝鲜网军对美国和韩国政府网站发动分布式拒绝服务攻击,一些恶意软件还可以删除电脑硬盘数据。韩国国情院表示,类似攻击多为有组织和成体系指挥下的黑客行为,但由于攻击发起点大多在第三国,很难予以追踪并反击。
那么这时候我们就要再次提出前面的概念“挂图作战”。地理要素要求行军者必须清晰地了解战争活动中地理场景,一个经典的案例就是我军在抗日战争期间的神头岭作战[24],作战地图竟然与实际地貌不相符,如果不是刘伯承司令员亲自查看地形,这场战斗也不可能被美国西点军校作为经典战例做讲解。那么网络挂图指的是什么-拓扑图,一张完整的拓扑图有多重要呢?我们要通过一张拓扑图了解一个目标从外部边界开始有多少边界节点、设备类型、厂商、型号、用途、IP、通信模式、协议开发状态、ACL、管理员及其生活习惯、特性、常用的账号、口令、服务商、服务模式等等内容,全部标注在作战地图上,然后以此为起点向内部逐一延伸,当完成整个结构绘制之后,我们要确保每一个组件、硬件、软件、固件、人员、服务、数据类型都能够被清晰完整的形成记录之后,威胁建模的依据因此而形成。挂图是针对攻击对象的具体描述而不是一个通用描述。因此美国在CSF中明确定义的网络安全框架第一步就是Identify(标识),通过标识来作为一切网络安全活动的基础。
美国在《网络战战略指南》中将网络战略从三个层面描述:1.国家安全战略;2.国防战略;3.国防网络战略;那么我们重点看看国防网络战略的描述:
|
2018 年 9 月,国防部更新了国防部网络战略。 a.该战略定义了五个网络空间目标:
b.该战略定义了五种战略方法:
|
同时定义了网络空间战略环境和网络空间作战环境两部分;在美国2009年发布的CNCI中指出,美国网络空间战略的三道防线中是在一线防御的基础上建立威慑机制。当定义网际空间为国家主权空间时,针对国家级的网络入侵行为可以视为主权的争夺和对抗,这就是战争的导火线。可能有人会觉得这有点夸大,但是想想萨拉热窝事件[26]导致的第一次世界大战,你会觉得当政治选择需要时,战争的导火线可能会是一颗鸡蛋的争夺。因此,对于威慑而言,2017年美国国务院 (DOS) 起草了一份报告,其中包括阻止恶意网络活动的战略和政策:a.美国在构成使用武力威慑的网络攻击方面仍然处于强势地位,因为传统的威慑工具——包括响应性地使用动能武力——仍然有效和有力。然而,在阻止低于使用武力阈值的恶意国家支持的网络活动大幅增加方面存在重大挑战。b.通过防御和保护关键基础设施和其他敏感计算机网络并确保有效缓解和及时从恶意网络活动中恢复来进行威慑必须是美国威慑方法的基础。c.美国威慑努力的理想最终状态将是:1)没有继续构成对美国、其合作伙伴和盟国使用武力的网络攻击。2)针对美国利益且低于使用武力门槛的破坏、损害或以其他方式破坏稳定的恶意网络活动显着、持久地减少。d.该方法的关键要素将包括:1)制定美国何时施加后果的政策。2)产生一系列后果。3)为施加这些后果进行政策规划。4)建立伙伴关系。
因此当我们准备发起一次或者准备对抗一次网络攻击的时候必须考虑后果,不管是战胜或者战败都必然承担一定程度的损失,这种损失是否接受,这是发起一场战争必须要承受的基础。在现代战争中,这种后果可能包括,政治、经济、国土、盟友以及其他可能的一切因素。为什么要在这讨论这个问题,其实只是想说明“不要轻言战”,任何人或权力基于宪法的准则没有权力代表国家宣战,更没有权力宣称自己实施网络战。这些都有可能成为真正战争的导火线,任何的网络战都应该是建立在一个总体战略思想下的行为而不是盲目的。1948年1月18日,毛泽东在为中共中央起草的决议草案《关于目前党的政策中的几个重要问题》中又说:“当着我们正确地指出在全体上,在战略上,应当轻视敌人的时候,却决不可在每一个局部上,在每一个具体问题上,也轻视敌人。”很多时候我们看到的更多的是各自为战的游击战术,而不是一种真正具有战略思想的实施方法。
既然是假设,未雨绸缪,如果我作为一个战略规划者,定义网络战之前我会做什么呢?
定义一个网格化的立体框架模型:
首先定义网格的元素分为:国家网格、目标网格、能力网格;要说明的是每一种网格基于各种因素的动态性,网格本身也应该是动态的。
-
国家网格:[27]基于最原始的战争理论所宣称的,没有永远的敌人同样没有永远的朋友,国家网格的定义是为建立针对本国利益(领土、政治、经济、国民)产生危机的影响程度定义;
|
1 |
2 |
3 |
4 |
5 |
|
损害 |
骚乱 |
破坏 |
占领 |
颠覆 |
-
目标网格:目标网格是针对敌方与我方IT/OT应用领域的设定;战争是基于攻防两端的活动,因此目标网格的设定既是攻击对象同样是防御对象;
|
1 |
2 |
3 |
4 |
5 |
|
其他 |
教育平台、支撑性业务平台、娱乐、游戏 |
公共互联网平台(超过1千万用户)、传媒(电视台、广播电台、P2P、直播平台)、公共服务机构 |
民用通信、交通、金融、公共健康及医疗服务、公共治安、基础民生设施 |
国防、军事、能源、重大科研领域 |
-
能力网格:能力网格是针对攻击者与防御者能力的分类和定义,通过长期的情报能力的分析,获取具备攻防能力成员的水平和技能,分类能力网格,能力网格对应目标网络的攻防关系,然后作用于国家网格实施能力水平。
|
1 |
2 |
3 |
4 |
5 |
|
具备网络渗透或网络防御知识,能够在专业人员的指导下实施攻击/防御。 |
具备网络渗透或网络防御的能力,针对特定的系统和平台能够展开攻击/防御,跨平台或工程化能力不足导致缺乏攻击的持续性,手段较为单一,通常会使用已被熟知的工具或手段实施攻击/防御。特征明显 |
通常意义的黑客团队、组织;具备完善的攻击/防御手段和攻击/防御能力,可以利用开源工具或经过加工的工具实施攻击或防御;通常独立作战也会自发组成松散的团队化作战,规模与人员能力水平差异化可能较大;但人员数量庞大。 |
受国家资质的民族主义者、具备一定能力的网络战成员(包括情报机构、公共执法机构、APT组织、民间技术高手),具备专业技能和攻击/防御能力;能够通过团队化的组织和协调能力实施多点攻击,基于团队的努力可以执行跨平台、跨知识域的攻击能力,能够通过网络战辅助实体作战部队完成任务实现甚至超过战役目标 |
隶属于国家网络战体系,具备及其专业的技术能力和攻击/防御能力;能够独立制作并运用网络化武器;熟练掌握或使用多国语言或者多种平台跨IT/OT领域执行操作,甚至可能在一次局部战争中决定胜负的能力 |
为了进一步体现各个网格之间的相互关系,我们通过一个矩阵表来对应,并且将矩阵中形成的参数用于关联能力网格的关系。
|
国家网格 |
||||||
|
1 |
2 |
3 |
4 |
5 |
||
|
目标网格 |
1 |
1 |
1 |
2 |
2 |
3 |
|
2 |
1 |
2 |
3 |
3 |
4 |
|
|
3 |
2 |
3 |
3 |
4 |
4 |
|
|
4 |
2 |
3 |
4 |
4 |
5 |
|
|
5 |
3 |
4 |
5 |
5 |
5 |
|
针对矩阵对应攻防能力矩阵
|
能力网格 |
||||
|
1 |
2 |
3 |
4 |
5 |
可能有人要问,为什么要定义这样的矩阵关系?永远不要暴露自己最终的实力,孙子兵法有言:“故善攻者,敌不知其所守;善守者,敌不知其所攻。”[28]每一次攻防对抗都会形成对自己能力的暴露,战争是持续的,除非你能完全掌控整个局势时,我们必然要在实施本次作战时为下一次作战考虑目标和能力。
说明:由于笔者是一个从初中就开始数学不及格的蠢货,所以矩阵的数学模型没有科学依据和可参考性,仅作为一种感性的定义。建议专业人员可以针对上述模型优化矩阵值,提供更可靠的数学模型。同时强调,以上矩阵设计仅仅作为一个假设,不代表专业性和官方属性,可以理解为一个弹性的架构。
场景假设:
假设某国策划一次大规模的国家级网络安全演练活动,在规划前期,首先定义参与演练的攻击方(红队)与防守方(蓝队)[29]
参与对象蓝方:
能源行业-电力机构
金融行业-国有银行、中型商业银行、证券服务公司
政府组织-政务服务组织
其他-商业组织
我们对对象进行进一步的划分和描述:
|
行业[30] |
组织 |
业务 |
规模 |
|
能源 |
电力 |
调度网 |
10Kw |
|
超高压 |
省网 |
||
|
金融 |
国有银行 |
电子支付平台 |
全国 |
|
ATM |
某省 |
||
|
中型商业银行 |
核心数据平台 |
全网 |
|
|
网上交易平台 |
全网 |
||
|
证卷服务 |
证券交易平台 |
全网 |
|
|
政府组织 |
政务服务平台 |
在线税务系统 |
省级 |
目标网格分析:
|
系统名称 |
目标网格 |
目标网格及交错因子分析 |
|
|
调度网 |
国防、军事、能源、重大科研领域 |
5 |
4 |
|
超高压 |
5 |
5 |
|
|
电子支付平台 |
民用通信、交通、金融、公共健康及医疗服务、公共治安、基础民生设施 |
4 |
3 |
|
ATM |
4 |
2 |
|
|
核心数据平台 |
4 |
4 |
|
|
网上交易平台 |
4 |
2 |
|
|
证券交易平台 |
4 |
4 |
|
|
在线税务系统 |
公共互联网平台(超过1千万用户)、传媒(电视台、广播电台、P2P、直播平台)、公共服务机构 |
3 |
3 |
|
互联网即时通信平台 |
3 |
4 |
|
为什么要定义交错因子,在相同的系统重要性情况下由于其所产生的覆盖范围不同,影响程度也不同,但是这个问题从客观角度对待而言,还应该进一步分析其是否会产生级联故障,以及关联系统的能力和危害程度等多方面因素。
定义战略目标:
|
系统名称 |
战略周期 |
战略价值 |
安全属性 |
|
调度网 |
长期 |
情报、破坏 |
机密性、完整性、可用性 |
|
超高压 |
短期 |
破坏 |
可用性 |
|
电子支付平台 |
长期 |
情报、混乱 |
机密性、完整性 |
|
ATM |
中期 |
破坏 |
可用性 |
|
核心数据平台 |
长期 |
情报、破坏、混乱 |
机密性、完整性、可用性 |
|
网上交易平台 |
中期 |
破坏、混乱 |
完整性、可用性 |
|
证券交易平台 |
短期 |
破坏、混乱 |
完整性、可用性 |
|
在线税务系统 |
中期 |
情报、混乱 |
机密性、完整性 |
|
互联网即时通信平台 |
长期 |
混乱 |
完整性 |
定义战略目标是为下一步实施具体战术提供依据,选择攻击手和攻击工具及工具利用的能力。
通常“长期”基于“情报”的攻击属性更多的目的可以细分为:(1)长期的情报收集及获取;(2)长期的潜伏,以待在需要的情况下通过条件触发(时间、事件以及使用状态)或者近场通信激活、远程通信激活以及卫星通信激活,当然随着IT/OT的融合,侧信道所形成的芯片级和硬件级攻击成为激活下一步攻击的重要手段和工具;这种攻击更强调“潜伏”而不是“启动”,有时候为了保护自己,“潜伏”还可能需要通过加固目标以便使自己不因低劣的攻击而产生连带的暴露;从战略价值而言,长期攻击能够为中期和短期提供更多的支持和协助。
“中期”通常会针对一种特定的目标或者战略目的而建立,其更主要的是为了制造一种“混乱”,比如:获取某些社交媒体或信息发布平台权限后,通过僵尸账号或者收买“水军”发布扰乱社会秩序或者制造社会混乱的内容或者假新闻;
“短期”更多会对可用性进行破坏,例如:在特定条件下针对特定目标发起DoS/DDoS攻击,或者对云平台进行瘫痪式攻击;
定义战略周期:
长期:通常大于一年
中期:通常6个月至一年
短期:小于六个月
定义攻击能力:
|
系统名称 |
目标价值 |
攻击价值 |
团队能力 |
|
调度网 |
5 |
4 |
4 |
|
超高压 |
5 |
5 |
5 |
|
电子支付平台 |
4 |
3 |
3 |
|
ATM |
4 |
2 |
2 |
|
核心数据平台 |
4 |
4 |
4 |
|
网上交易平台 |
4 |
2 |
2 |
|
证券交易平台 |
4 |
4 |
4 |
|
在线税务系统 |
3 |
3 |
3 |
|
互联网即时通信平台 |
3 |
4 |
4 |
第三节 网络战战术
完成基本的作战战略设计,为什么叫基本战略设计,因为后续战略设计需要大量的情报的支撑,这就要涉及更多大数据及情报领域的相关内容,为了不把这篇文章写的过于宽泛,我们可以在后面的章节陆续再来了解战略设计中可能涉及的相关内容。接下来我们要讨论的是战术设计的问题。
战术是指导和进行战斗的方法。主要包括:战斗基本原则以及战斗部署、协同动作、战斗指挥、战斗行动、战斗保障、后勤保障和技术保障等。按基本战斗类型分为进攻战术和防御战术;按参加战斗的军种、兵种分为军种战术、兵种战术和合同战术;按战斗规模分为兵团战术、部队战术和分队战术。战术的基本问题包括战术的分类、战斗原则及其运用、进攻战术、防御战术、移动和驻止、战斗保障等。
由于网络战的特殊性,很多时候本身战争已经发起,但是由于损失及损害在短时间内无法显示其真正的危害,比如:信息的窃取、病毒攻击、后门、木马、僵尸网络以及侧信道中和BGP网桥流量牵引带来的截听等;所以战术是在特定场景及环境下针对具体的目标利用不同能力维度的实施者在不同国家领域中开展的一项具体活动而做出的预案和规划。
设计作战需要大量的情报支持工作,情报不限于针对传统IT/OT所具备的漏洞还会包括诸如:人员、流程、工艺、管理、供应链,如果继续延展甚至可能包括涉及人员的亲属、朋友等等诸多因素。我们回忆一下针对谷歌的“极光”事件[31],在“极光”的整个攻击链条中,其中有一个环节就是通过伪造谷歌员工朋友的邮箱发送带有0Day电子相册的链接地址,导致攻击链的构成。所以在整个作战设计中可以通过两种形式:第一种针对特定环境、特定目标的攻击预案,然后随着技术的变化与情报关联动态的调整作战手段和工具使用;第二种根据随机的作战目标匹配相应的作战能力人员基于战略需求选择相应的工具在当前情报的支撑下实施作战,并对作战可能产生的失败或者阻碍有备份小组和应急小组执行处置。
我们把战术设计分为:情报设计、能力设计、工具设计、手段设计;所有设计都应该是建立在一个具体场景之下,我们可以称之为战场,在建立设计时我们必须理解和了解战场,这就是我们所宣称的挂图,而挂图的知识源自于实时的情报,所以需要通过情报来支撑我们进一步的能力需求;具备能力的成员应该清楚的了解需要什么样的工具来作用于具体的对象,比如:操作系统类型、版本、防御侧的技术特征、ACL规则和硬件、软件的能力水平等等以适配工具,同时工具的选择还应该关联作战的目的:潜伏、破坏、宣传还是收集数据;最后就是如何利用工具来完成工作,比如:可借助的通信信道,可使用的跳板、云以及可能的账号和接入点。
作战设计关系图
2.3.1 情报设计
情报是我们所处世界中的知识和预判。美国政策制定者决策和行动的先导。情报机构将这种信息以某种方式提供给消费者、国民领导或军队指挥官,(以便让他们)去思考可替换的选项和结果。情报处理过程涉及漫长细心和通常是枯燥耗时的对事实的搜集、对它们的分析、快速和清晰的评估、仔细判断后形成产品,并且不时递知给消费者。综上,这个分析过程必须是完整而冗长的,经常性的和与政治需求及企业相关的。[32]
-美国中央情报局(CIA)
“情报”的第一层含义定义了作用“知识”,知识是情报的基础,知识定义了情报的本质,知识源自于动态的和静态的数据及信息。“预判”是建立在事件尚未发生之前的状态,这种状态的依据源自于“知识”;“情报”的第二次含义是“决策”和“行动”的“先导”,“决策”是为活动提供一种信心,这种信心是在可信的条件支撑下定义的;“决策”为“行动”提供动力;通过情报为决策和行动提供这种动力和基础;
“在考虑作战环境及其对情报分析的巨大影响时,我们必须考虑一些可以干预指挥官决策、指挥与控制以及情报分析的特性。”[33]因此在网络作战环境下情报将成为攻守双方的重要手段,战争的天平有时候是以情报作为衡量的依据,我相信每一个熟悉战争史的读者都不会忘记第二次世界大战的珍珠港战役,日本之所以能够取得战役的胜利依托的正是强大的情报网。
在网络作战考虑中,我们假设一个长期作战的情报场景;那么在定义这个场景前我们先了解有关情报的知识;
情报是一种谍报。它结合了可以被用来横跨整个产业的方法论和技术。它的收集包括五个核心原则和它们的附属原则。传统情报社区辨别情报的原则基于他们的计划目的和收集来源。对五个情报原则的描述如下。[34]
1.人力情报(HUMINT)- HUMINT是从一个线人那里收集信息。这种来源也许拥有第一手或者第二手的资料,且通常通过看、听和活动来获得。它可以包括威胁、中立或友好的(政府)文职人员。
通过传统的社会工程学是获得这类情报最好的来源。“茶馆文化”代表了一种中国人的生活习惯,往往喜欢在酒楼、咖啡厅、茶肆以及其他一些娱乐场所谈论有关工作话题和商业秘密。这使得情报人员能够轻而易举的获取他想要知道的内容,而这种攻击的前提是针对组织敏感人员身份进行情报收集,根据其生活习惯和行程、轨迹进行跟踪、监视甚至通过技术手段“窃听”“收买”等手段;每个人都可能在有意或无意之中成为“线人”为情报人员提供情报;
2.开源威胁情报(OSINT)- OSINT探索、利用和提高可公开获得的公众信息。由于海量的可利用信息,数据挖掘和高级搜索技术显得尤为重要。这种情报包括电视、雷达广播、书籍、报纸和网络这些来源。
作为通用情报收集手段,开源威胁情报支撑了我们常见的态势感知产品和网络威胁情报的获取。如果抛开人力情报而言,OSINT在传统情报领域中已经成为威胁情报的代名词。
“OSINT 不能替代卫星、间谍或现有的建制军事和民用情报能力。但是,它是计划和执行从人道主义援助到全面战争的整个范围内的联盟行动的基础——一个非常强大的基础。OSINT提供战略历史和文化见解;它提供有关基础设施和当前状况的操作有用信息;它提供国家能力无法提供的战术上重要的商业地理空间信息。在联合行动中,OSINT 既是军民合作的基础,也是机密双边情报共享框架。”[35]
开放信息和情报有四种不同的类别。
l开源数据 (OSD)。数据是原始印刷品、广播、口头汇报或来自主要来源的其他形式的信息。它可以是照片、磁带录音、商业卫星图像或个人的私人信件。
l开源信息 (OSIF)。 OSIF 由可以组合在一起的数据组成,通常通过提供一些过滤和验证以及演示管理的编辑过程。OSIF 是通常广泛传播的通用信息。报纸、书籍、广播和一般每日报告是 OSIF 世界的一部分。
l开源情报 (OSINT)。 OSINT 是为了解决特定问题而刻意发现、区分、提炼和传播给特定受众(通常是指挥官及其直接工作人员)的信息。换句话说,OSINT 将经过验证的情报过程应用于广泛的开放信息源,并创造情报。
l经验证的 OSINT (OSINT-V)。 OSINT-V 是可以高度确定的信息。它可以由全源情报专业人员制作,可以访问机密情报来源,无论是为国家工作还是为联军工作人员工作。它也可以来自可靠的开源,对其有效性毫无疑问(通过媒体播放的飞机抵达机场的图像)。
3.信号情报(SIGINT)- SIGINT被定义为对交通系统、雷达和武器系统的信号转换的收集和利用。SIGINT的结果来自收集、锁定、处理、分析和报告被拦截的通讯和没有通讯功能的发射器。SIGINT被归为电子情报(ELINT)和通讯情报(COMINT)的子类。
在传统电子战中,通讯频率的捕捉收集和利用是干扰和对抗雷达、制导系统以及无线通信系统和远程控制系统的重要手段。现代网络作战中,电子化和数字化手段的依赖性使得这类情报被更加广泛的被应用,并且被直接运用在正规作战环境中;
4.图像情报(IMINT)- IMINT是被大量陆地、航空或卫星探测器收集的地理空间信息。
物理上而言,数据中心、重要信息基础设施以及需要高度依赖的IT/OT通信或者中介物理环境等都可以被物理坐标和定位;但是在逻辑上网络拓扑图作为网络挂图作战的重要依据同样会在逻辑空间形成图像情报。我们可以称之为“网络空间地理”
网络空间地理学是地理学的分支学科,是地理学研究内容从现实空间向虚拟空间的延伸,集中探讨网络空间和地理空间的映射关系,揭示网络空间安全运行机理与保障路径。[36]
网络空间的多层次可视化表达
地理学与网络空间安全等学科的融合,为网络空间研究提供了崭新的视角。同时,网络空间这一特殊空间形态的出现与发展,给传统地理学的基础理念带来了强烈冲击,对地理学来说既是挑战也是机遇。网络空间地理学丰富了地理学的内涵,拓展了地理学研究的外延,将地理学家的目光从现实空间延展到虚拟空间。
-
5.测量和特征情报(MASINT)- MASINT是情报的一个技术分支,使用通过诸如雷达、声呐、无源电光传感器、地震仪和其他用来测量物体或事件以通过它们的特征来辨别它们的传感器所收集的信息。这包括去离散标记一个人、一个地方或有特殊特征的事物的能力。
测量和特征在网络威胁情报中通过扫描器、网络分析工具、流量分析工具、网络爬虫、窃听等手段进行采集并通过相关工具进行分析。
案例场景:针对一个特定目标进行的情报设计活动
|
情报类别 |
情报对象 |
|
人力情报 |
组织机构图、核心管理人员、IT部门人员、业务主管人员、财务人员、持有特权账号及特权物理访问权限人员 |
|
服务商、供应商、软件开发商、保安、清洁工 |
|
|
可利用的家庭成员、朋友、其他可被利用的人员 |
|
|
开源威胁情报 |
IT/OT资产类型、操作系统及软件版本号、开发环境、开发习惯、已知的漏洞、组织演练过程中暴露的漏洞、组织成员参加CTF活动中使用攻击手段或者防守手段、协议缺陷、网络架构缺陷、软件结构缺陷、应用关联关系分析、数据结构关联分析 |
|
信号情报 |
IT/OT通信泄露、近场通信、射频通信、红外线频率、波段、数据包特征以及私有协议特征 |
|
图像情报 |
数据中心物理地址、场外设备物理地址以及DCS部署位置和区域、核心物理设备、核心通信链路物理位置及部署情况、核心人员办公地点 |
|
测量和特征情报 |
网络拓扑,已暴露的通信链路和接口、未标注但暴露在互联网的IT/OT设备、设施以及链路、接口、通信等、可被捕捉的其他入口模式,暴露物理和逻辑的、可利用的地理环境,如:水沟、涵洞、通信井、高地、高压线缆、水管、液化气管、通风口等; |
根据网络作战战略周期需求定义收集的情报类型、情报收集数量,制定情报分析手段,设置情报漏洞,从海量的数据中选择可利用的情报为下一步战术设计提供依据和导向。
2.3.2 能力设计
“降维”原本是计算机科学技术方面的术语,指将高维多媒体数据的特征向量映射到一维或者低维空间的过程。随着刘慈欣的科幻小说《三体》的热销,“降维”与“打击”组成新的词语——“降维打击”,在小说中用于形容外太空生物的一种新型攻击战术,即用“二向箔”将攻击对象本身所处的空间维度降低(如将四维空间降为三维空间,三维空间降为二维空间),致使对方无法在低维度的空间生存以达到打击对方甚至毁灭对方的目的。[37]
无数的战争实践告诉我们,击败对手可能有很多种方式,但效费比最高的永远是“降维打击”。因为跟对手在同一个维度,意味着双方要遵循同一套战争法则,那么只能通过整体力量优势赢得胜利,这种胜利可能“杀敌一万,自损八千”;而提升自身的“作战维度”,则意味着创造出一套新的战争法则,从而站在更高层面打击对手。这种打击方式,或者运用新的武器装备,或者创造新的战法战术,或者二者兼而有之,往往能够突破对手的常规防御体系,从而取得出其不意、令人震撼的作战效果。[38]
为什么要在这提出这个概念,“降维”的前提是产生绝对的碾压力,正如同使用一个国家级黑客携带网络化武器去攻击一个普通的商业网站。这时候我们可以发现这种攻击太过于轻而易举,但是从攻击的价值而言,一旦你的攻击对象所在的国家具备与攻击者相近或者略低于攻击者能力的时候,你所产生的暴露的价值远远高于你的攻击价值。所以在网络战战术设计中必须考虑能力设计原则。众所周知,很多团队会参与CTF或者红蓝对抗比赛,俗称“靶场”。所谓“靶场”我们可以简单的理解为一个虚拟平台或者环境,开放式靶场不限制你的手段和工具,也不限制你的途径,在环境许可的条件下完成任务即为胜者或者得分;更多的靶场限制了你使用的工具、手段、路径和Flag的参数;不管哪一种手段,虚拟系统都可以捕捉每一个参赛者的行为,从技术手段到攻击思路,如果具备足够的分析能力,还可以通过对键盘的定义和捕捉来分析参赛队员击键特征和误码率,从而在未来实际对抗中通过动态击键分析和误码状态准确定义攻击者及其身份,然后根据其历史参赛行为来判断可能的攻击路线、手段、工具使用特征和能力以便更加迅速的建立对策。
设计能力的目的就是为了根据不同的对象基于情报选择不同的能力与水平的攻击者,而不是盲目的使用一个水平参差不齐的团队,一旦某个人暴露从而导致整个攻击失败甚至可能是反向溯源。也就是说不管是攻击和对抗,在不同战略目标的作战实施过程中,我们应该清晰的定义攻击能力,选择合适的人员及团队实施作战规划和演练。作战人员不仅仅具有网络攻击能力还应该熟悉攻击环境(物理环境、网络环境、云环境、管理环境、人员环境)、业务关联(纵向业务关联、横向关联、交叉业务关联)、防守方的技术特长、技术架构(网络架构、软件架构、数据架构)、技术手段(产品类型、厂商、服务商、软件开发商)以及攻击的安全属性(机密性、完整性和可用性)并进一步需要通过情报分析所掌握的其他信息。
[1]美国参谋长联席会议,国防部军事和相关术语词典(华盛顿特区:美国参谋长联席会议,截至2021年1月),55。
[2]布雷特T.Willliams,“联合部队指挥官网络空间作战指南”,联合部队第73季(2014年第2季度),第12期。
[3]美国参谋长联席会议,联合规划,联合出版物5-0(华盛顿特区:美国参谋长联席会议,2020年12月1日),II-5。
[4] JP 5-0, xii.
[5] JP 5-0, xvii.
[6]《美国参谋长联席会议,网络空间行动》,联合出版物3-12(华盛顿特区:美国参谋长联席会议,2018年6月8日),第xii-xiii页。
[7] JP 3-12, vii-viii.
[8] JP 3-12, x.
[9] JP 3-12, xvii.
[10] JP 5-0, IV-6.
[11]美国参谋长联席会议,《联合作战规划指南中的跨领域协同》(华盛顿特区:美国参谋长联席会议,2016年1月14日),第49-50页。
[12]高级持续性威胁,具有政治集团、经济集团或国家背景的攻击组织针对特定的战略目标、基础设施、高价值等目标发动的高级持续性的威胁活动。APT攻击活动目前已经影响到地缘政治及经济利益、国家安全等诸多方面。(图与解释均来自与安天)
[13]美国气象学家爱德华·洛伦兹(Edward N.Lorenz)1963年在一篇提交纽约科学院的论文中分析了这个效应。“一个气象学家提及,如果这个理论被证明正确,一只海鸥扇动翅膀足以永远改变天气变化。”在以后的演讲和论文中他用了更加有诗意的蝴蝶。对于这个效应最常见的阐述是:“一只南美洲亚马逊河流域热带雨林中的蝴蝶,偶尔扇动几下翅膀,可以在两周以后引起美国得克萨斯州的一场龙卷风。”其原因就是蝴蝶扇动翅膀的运动,导致其身边的空气系统发生变化,并产生微弱的气流,而微弱的气流的产生又会引起四周空气或其他系统产生相应的变化,由此引起一个连锁反应,最终导致其他系统的极大变化。他称之为混沌学。
[14]震网(Stuxnet),又称作超级工厂,是一种Windows平台上的计算机蠕虫,这是有史以来第一个包含PLC Rootkit的电脑蠕虫,也是已知的第一个以关键工业基础设施为目标的蠕虫。
[15]“火焰”病毒的全名为Worm.Win32.Flame,它是一种后门程序和木马病毒,同时又具有蠕虫病毒的特点。只要其背后的操控者发出指令,它就能在网络、移动设备中进行自我复制。一旦电脑系统被感染,病毒将开始一系列复杂的行动,包括监测网络流量、获取截屏画面、记录音频对话、截获键盘输入等。被感染系统中所有的数据都能通过链接传到病毒指定的服务器,让操控者一目了然。据卡巴斯基实验室统计,迄今发现感染该病毒的案例已有500多起,其中主要发生在伊朗、以色列和巴勒斯坦。苏丹、叙利亚、黎巴嫩、沙特阿拉伯、埃及和中国(家庭电脑较多)等国也有个别案例
[16]《网络空间作战战略指南》鹰眼翻译社区中文版第6页
[17]自20世纪80年代以来,美国联邦政府维护的数据库的代号。Main Core包含数百万美国公民的个人信息和财务数据,认为是对国家安全的威胁的数据,这些数据来自国家安全局,联邦调查局,中央情报局和其他来源,它包含了“主要核心或本质每项情报信息对美国的联邦调查局和其他机构的美国情报界产生的副本。”Main Core数据库起源于1982年的联邦应急管理署(FEMA),罗纳德·里根的业务连续性计划概述的国家安全指令(NSD)69/国家安全决策指令(NSDD)55,题为“持久的国家领导”1982年9月14日实施。
[18]一个以美国为中心的情报收集分析网络的俗称。参与国家是英美防卫协定的五个签署国,英国、美国、加拿大、澳大利亚及新西兰。欧洲议会的报告书指出,梯队系统毫无疑问存在,它能够全球性地拦截以公众交换电话网络、卫星及微波通讯所传送的电话、传真,电子邮件和其他数位资讯,并监控其中的内容当中最有名的是沙特阿拉伯60亿美元客机案,空中客车公司给沙特阿拉伯官员回扣的通讯被梯队系统截去,对话内容并被NSA公开,以致最后空中客车公司投标失败。
[19]孙子兵法用间篇:“故用间有五:有因间、有内间、有反间、有死间、有生间。”所谓死间,是指故意在外面制造、散布假情报,通过我方间谍将假情报传给敌间,诱使敌人上当受骗,一旦真情败露,我间谍则难免一死。
[20]“星球大战计划”的出台背景是在冷战后期,由于苏联拥有比美国更强大的核攻击力量和导弹突防能力,美国害怕“核平衡”的形势被打破,需要建立有效的反导弹系统,来保证其战略核力量的生存能力和可靠的威慑能力,维持其核优势。同时,美国也是想凭借其强大的经济实力,通过太空武器竞争,把苏联的经济拖垮。
[21]摘自于https://baike.baidu.com/item/%E6%88%98%E7%95%A5/1210606?fr=aladdin
[22] https://www.cesafe.com/html/1941.html#:~:text=%E2%80%9C%E5%8C%BF%E5%90%8D%E8%80%85%E2%80%9D%E9%BB%91%E5%AE%A2%E7%BB%84,%E8%A7%A3%E5%AF%86%E7%BD%91%E7%AB%99%E7%9A%84%E6%94%AF%E6%8C%81%E3%80%82
[23]《左传·僖公二年》是指向对方借道为名,行消灭对方之实。
[24]神头岭伏击战是八路军第129师于1938年3月16日,在山西省潞城县至涉县之间,邯(郸)、长(治)公路上进行的一次伏击战。此役激战2个多小时,我部以伤亡240人的代价击毙敌1400余人、俘敌80余人、缴获各类枪支300余件、毙伤和俘获骡马600余匹。这次战斗沉重地打击了入侵晋东南地区日军的嚣张气焰,有力地策应了兄弟部队在晋西地区的作战行动,以至于日军承认,这次战斗是八路军“一流的伏击战”。
[25]詹姆斯N.Mattis,《2018年国防部网络战略摘要》(华盛顿特区:国防部,2018年9月),第3-6页,https://media.defense.gov/2018/Sep/18/2002041658/-1/-1/1/CYBERu STRATEGYu SUMMARYu FINAL.PDF。
[26]萨拉热窝事件(Sarajevo Assassination)于1914年6月28日在巴尔干半岛的波斯尼亚发生,这一天是塞尔维亚的国耻日(1386年6月28日土耳其征服塞尔维亚。6月28日是塞尔维亚被土耳其征服的纪念日,所以塞尔维亚从此把6月28日称为“国耻日”),奥匈帝国皇位继承人斐迪南大公夫妇被塞尔维亚民族主义者普林西普(一名隶属塞尔维亚“黑手社”的波斯尼亚青年学生)枪杀。这次事件导致奥匈帝国向塞尔维亚宣战,成为了第一次世界大战的导火线。
[27] 2016年美国通过NSA下属的一个IAD计划定义了国家网格,基于针对美国产生影响的程度为全球各个国家建立网格化分类,然后通过不同分类实施相应的国家战略和供应链管理分类,同时在2019年美国发布了《确保信息通信技术与服务供应链安全》,在该项政策中定义了“外国对手”指长期参与危害美国国家安全、美国人民安全的活动或对其造成严重损害的外国政府或外国非政府人士;
[28]善于进攻的,能使敌人不知怎样防守;善于防御的,敌人不知道怎样进攻
[29]此处声明,红蓝对抗最早用于军事领域,在常规军事定义中,红方为攻击方,蓝方为防守方定义演习脚本。但是现代战争中没有完全的攻击和防守的概念,因此红蓝只是标识两个团队的基本职能而不是完全描述攻防关系
[30]本表所包含所有业务皆为虚构,请勿对号入座
[31]极光行动(英语:Operation Aurora)或欧若拉行动是2009年12月中旬可能源自中国的一场网络攻击,其名称“Aurora”(意为极光、欧若拉)来自攻击者电脑上恶意文件所在路径的一部分。遭受攻击的除了Google外,还有20多家公司:其中包括Adobe Systems、Juniper Networks、Rackspace、雅虎、赛门铁克、诺斯洛普·格鲁门和陶氏化工。——摘自百度https://baike.baidu.com/item/%E6%9E%81%E5%85%89%E8%A1%8C%E5%8A%A8/7064097?fr=aladdin
[32]本文原出处为网上一篇文章《威胁情报定义》,由于该文件未标注作者及出处,因此在今后文章中引用本文时都会注明“引用”。如果作者看到请及时联系,以便补充作者出处。
[33]《情报分析-如何在复杂环境中思考》美国陆军准将韦恩·迈克尔·霍尔(Wayne Michael Hall)和加里·西特伦鲍姆(Gary Citrenbaum)博士编著。
[34]以下斜体字内容均来自于引用
[35]北约开源情报手册
[36] https://www.sohu.com/a/349369972_169228
[37]孙晓青. 从“碾压”到“降维打击”[N]. 语言文字周报,2020-10-16(004).
[38]漫话“降维打击” .中国青年网百家号[引用日期2020-11-06]
原文始发于微信公众号(老烦的草根安全观):假设性网络战-利用民用基础设施发起网络作战
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论