 |
| 攻击技术的演变 |
本文是由情报部门和国家安全联盟(INSA)网络理事会系列研究报告的第一个报告。其目的是扩大政府和产业界的高级决策者的视野。我们在本文中的目的是通过讨论为什么网络情报是必要的,以及如何处理这一功能的发展,来讨论网络情报。虽然对当前的网络安全问题探讨得多,但是很少在更高的层次定义和探索网络威胁环境。网络威胁独特的发展机制和对我国经济和国家安全的影响没有得到充分的研究。在本文中,我们将主要集中于防御性网络活动。目前有快速增长的需要,要在国内和全球范围内充分利用网络情报资产和能力来解决普遍存在的、多样化的和不断发展的对手群体。
执行摘要
不断发展的信息系统技术已经把网络域变成了一个多维的攻击空间——在从传统的领域到虚拟领域,关键的经济和国家安全资产都面临重大的威胁。个人的、商业的、国家的和国际的活动在这一领域中互动,增加了进攻和防御行动的空间。网络空间是各种破坏性行动——包括侦察、盗窃、破坏和间谍活动——的一个避风港。在这个环境中,威胁可以攻击硬件、软件、金融资产、知识产权、和个人身份。
本文是由情报部门和国家安全联盟(INSA)网络理事会系列研究报告的第一个报告。其目的是扩大政府和产业界的高级决策者的视野。我们在本文中的目的是通过讨论为什么网络情报是必要的,以及如何处理这一功能的发展,来讨论网络情报。虽然对当前的网络安全问题探讨得多,但是很少在更高的层次定义和探索网络威胁环境。网络威胁独特的发展机制和对我国经济和国家安全的影响没有得到充分的研究。在本文中,我们将主要集中于防御性网络活动。目前有快速增长的需要,要在国内和全球范围内充分利用网络情报资产和能力来解决普遍存在的、多样化的和不断发展的对手群体。还有一个需求,就是明确定义一个新兴的网络情报学科,以快速的、透明的方式与相应的私人和外国合作伙伴共享。
网络威胁机制(Cyber Threat Dynamic)可分为三个部分:
•网络空间环境
•网络威胁
•网络空间环境效应和威胁的融合(Convergence of the Effects of the Cyberspace Environment and the Threat)
网络威胁机制产生的两个主要成本是由于对抗性活动以及提供和维持安全的费用损失。在网络空间,进入和容易获得的低成本创建了一个不对称的环境,公共部门和私营部门的机构抵御攻击后果的代价相对来说是不成比例的。尽管网络攻击净影响的量化评估是难以做到的,但是成本是足够大的,需要通过复杂的网络情报支持采取网络安全设备。
本文评估了网络威胁动机制、网络攻击和安全的经济成本、以及目前美国的网络情报做法。根据这些评估,我们认为产业界、学术界和政府对下列问题的进一步讨论后,将是对于日益重要的网络领域,对其未来安全性和可靠性给予谨慎的投资。这些主题包括需要:
1、系统地定义和建立有效的网络情报方法、专门的职业、需要的技能集/培训/教育和技术;
2、促使制定网络情报有关的政策、方法,在整个产业界、学术界/非营利组织和政府做出努力,提供非保密的态势感知、表征、预警数据、分析和24/7的非保密和保密的(依情况而定)报告给政府机构、值得信赖的产业界以及全球合作伙伴的报告。网络委员会认为,这些试点工作是对于网络情报的理解能提出很有价值的建议。
3、建立了公私伙伴关系网络推广论坛,以全面的、实际的、可执行的解决这些问题。
4、所有相关机构和私营部门之间建立有意义的虚拟伙伴关系,以确保无缝地共享威胁信息,及时地分析判断,做出可衡量的反应,以清除威胁。
最后,有效的网络情报将提供有关网络威胁活动的预测性和战略性的预警,减轻与威胁相关的风险,提高我们评估网络入侵影响的能力,并把网络安全简化成为一个基于信息充分条件下的决策的、更有效的和更有成本效益的流程。
简介:今天的网络环境
在20世纪,美国经历了巨大的经济和工业增长,因为发明家、企业家和决策者合作,将想法转变为节约劳动力和改善生活的技术。在此期间,政府和行业需要以前所未有的方式进行合作,以服务于国家利益和满足安全需求。
信息系统技术的进步推动个人和国家之间进行协作,不受位置的影响。创新的步伐不断加速,美国大受裨益,忽视了如出于恶意目的而使用这些新功能的后果。相同的技术突破给了无原则的个人、组织和国家新的工具,以实施盗窃、欺诈、破坏和间谍活动。
全球网络被“黑客”和其他令人讨厌的闯入者看作是一个临时的时尚。从历史上看,政府和产业界往往在关键技术创新上进行合作,如核电,以促进共同利益。如今,政府机构和产业界似乎经常追求不同的(也许是适得其反的)的政策,而不是有效合作,以解决本地的和全球的网络域面临的威胁。
如在其他领域,对于威胁,政府有独到的见解,但不能与拥有并运营超过90%的电信基础架构的产业界无缝地分享这些见解。而且普遍的误解进一步加剧了危机——那就是,威胁是技术和战术层面的攻击,最好在单位或者个人域层次(the unit or individual domain level)得到处理。这种存在歧见的方法造成了以前的亏损,而网络威胁载体(cyber threat vector)和活动的水平已成倍增长。此外,整体而言,美国还没有在政府、学术界和产业界实施系统方法、技术和终端到终端的解决方案。
虽然对当前的网络安全问题探讨得多,但是很少在更高的层次定义和探索网络威胁环境、其独特的机制、对我国经济和国家安全的潜在影响。我们要充分利用网络情报资产和能力,来解决这一普遍存在的、多样化的和不断发展的对手群体。本白皮书讨论网络威胁环境的如下维度:
A、新维度:网络威胁机制;B、网络攻击的当期影响水平:经济学分析;
C、情报在网络域的作用;D、进一步讨论和评估的域
一、新的维度:网络威胁的机制
不断发展的信息系统技术已经把网络域变成了一个多维的攻击空间——在从传统的领域到虚拟领域,关键的经济和国家安全资产都面临重大的威胁。网络空间环境和威胁载体的融合创建了一个复杂的机制。网络威胁机制可分为三个部分:1、网络空间环境;2、网络威胁;3、网络空间环境效应和威胁的融合。
1、网络空间环境
网络空间已成为一个增强互动、信息交流和提高生产力的全球公共领域。然而,网络空间是各种破坏性行动——包括侦察、盗窃、破坏和间谍活动——的一个避风港。在这个环境中,威胁可以攻击硬件、软件、金融资产、知识产权、和个人身份。
“信息高速公路”的重要性
虽然互联网和高速公路系统的类比可能有点老生常谈,但是评估网络空间环境和网络入侵对经济的影响对商务活动来说是有益的。试想一下,如果美国企业不能使用跨州交通系统可靠地运输货物会是怎样。同样,在海外贸易的初期,船舶经常被海盗和土匪抓获,他们抢劫客商,很少受到惩罚。二战期间,商船队依靠军队的护送,而军队又依赖于产业界的供给和创新。产业界与政府之间的共生伙伴关系是国家的经济增长和世界经济的基础。今天,90%的商务活动通过海洋进行,大多相安无事。互联网已经金融交易和信息交流方面扮演同样重要的作用。保护这个“超级高速公路”是公共、私人部门和学术部门的当务之急。
多维攻击空间
网络环境结合技术已经创造了一个新的多维攻击空间。空间、物理、逻辑和社会层之间构成互连,而对手肆无忌惮的行动。攻击空间的复杂性意味着调查人员必须了解这些层之间的关系,并查明行为人的源起和意图,以清楚追查。随着计算机和电信网络的融合,防御者必须全方位审视这个问题,然后分解成各个部分。有线、无线、和光学技术(网络和射频)并存。虽然在此之前企业化网络可能有别于手持设备或战术无线电,但是现在网络已经从企业化网络和基础设施延伸到了军队、执法者、购物者使用的无线设备,或者司机使用的具备GPS功能的设备。
与物理域和物理科学不同,这种环境确实是一个复杂的、动态的网络生态系统,每一天都会发生意想不到的行为。类似于在19世纪初的物理学,我们仍然处在理解网络作为一个域及其影响的早期阶段。网络科学、工程和网络域还处于起步阶段,但是都在不断发展的技术进步的驱动下快速发展。很少用战略眼光以系统减轻威胁;大多是采取战术的、被动的行动方式。新版本漏洞在全球范围内每天都会出现,造成新的漏洞。鉴于这种软件和系统方面的缺陷,战术层面的攻防重复循环也没完没了。
法律治理与威胁之间的差距。
国家性的和国际的法律、法规和执法行动仍然在努力处理世界各地的网络活动。规则、协议和标准很少,而且不连贯,经常互相冲突。在大多数情况下,法律还没有跟上对手快速通过国家的、学术的、商业的和私人的互联网服务供应商的技术能力。术语也特别混乱,因为它仍然不完善。例如,就对一个国家的攻击或侵犯主权而言,没有一致意见。盗窃、间谍、侦察、甚至是简单的黑客行为,经常被描述为一种攻击。
外包的后果
美国政府外包了大多数信息技术的设计、实施和维护业务给其他国家,专业我们的潜在对手可以很容易地进入到我们的供应链。美国等发达国家已经外包其信息技术研发有经济方面的原因,但市场未能充分解决安全风险增加的现实。现在的情况就如同在冷战期间美国决定外包桥梁、电网和物理基础设施的设计给苏联一样危险。除了信息技术开发的外包,信息技术系统本身也变得越来越复杂了。系统的复杂性增加了意味着有更多的机会利用更多的漏洞。
2、网络威胁
在网络领域,我们的国家安全和经济利益面临的威胁因身份、目标、资产和能力不同而变化,如中断、简单的盗窃、瘫痪关键基础设施、扰乱政府职能。威胁方总是处于优势地位。这些行为体的能力和意图对于防御者的动作就很重要了。
复杂的情况
攻击者不需要受到良好的教育,也不需要得到很充分的资源。它们可以来自社会任何地方,只要他们有使用技术干事的意图和能力。下面是一些例证:
•不论年龄大小。很多国家的青少年已经利用互联网侵入了五角大楼的网站。
•犯罪分子利用互联网开展国际帮派活动,参与毒品、色情、贩卖人口等。犯罪分子也出售功能和服务给其他犯罪分子、团体甚至是国家。
•恐怖组织正在利用互联网进行活动,招募人员,并进行更大规模的活动协调。
•国家正在利用互联网进行侦察和间谍活动。窃取知识产权在一些国家政府和国有企业的做法中屡见不鲜。有些国家使用互联网来进行进攻作战,这是其作战条令的一部分。这些行动包括中断通信线路和攻击通信媒介。这应该被看作是战争的新工具——与装甲战或空战的到来不同。
没有国界,不分对象
在网络空间没有地理界限,个人、团体和/或民族国家攻击者可以在任何地方。目标同样是不不受限制的。攻击的动机有简单的好奇心、个人仇杀、财务或知识产权好处、和/或伤害一个机构或国家等。目标包括个人、团体、商业利益、基础设施和国家。
资产和能力
在过去二十年,攻击方法和技术得到迅速发展。图1展示了自1990年以来新的、更加复杂的威胁资产和能力。
3、威胁和网络空间环境影响的融合
网络威胁机制的核心是网络空间环境的影响和威胁在哪里相遇。这种融合对网络目标的漏洞有乘数效应。
攻击者熟悉网络基础设施的程度
攻击者对受害人使用的硬件和软件的熟悉程度可让他们在准备和执行攻击时获得优势。攻击者可以在与受害人使用的同一种基础设施上进行试验,完善一次攻击。使用样板计算平台的一部分成本就是攻击者了解我们的基础设施。这些蓝图,加上基础设施的复杂性,让他们有藏身的地方。软件架构既错综复杂又相对便宜,从而导致规模经济,使计算成本指标复杂化。我们认为几乎每个人都对别人的基础设施进行克隆。由于信息技术基础设施的复杂性,以及作为一种廉价无处不在的商品,导致网络威胁很占优势。
促进一个非对称的网络威胁
网络域构成了不对称战争的一个新的和复杂的维度。从历史上看,所有类型的敌人选择利用对手最弱的时间和地点,特别是如果攻击者处于劣势的时候。因为攻击者熟悉基础设施,网络空间发展为一个虚拟域,其中经济和国家安全机制在发挥作用。在这一领域个人的、商业的、国家的和国际的活动交织互动,增加了进攻和防御的空间。
在这个领域,没有必要必须存在一个对等的关系,也没有必要是攻击者一定获胜。某个个人、犯罪集团、或者一个发展中国家可以和一个资源丰富的高级玩家一样危险。这种劣势在于国家和全球商业利益都依赖于互联网以及国家安全和经济贸易的关联性。虽然每个国家都是脆弱的,但是也有对黑客而言特别有利的攻击点。就像黑客为罪犯和恐怖分子做事一样,失败国家为黑客提供了机会。这些国家要么根本就没有资源,要么自己太腐败,让问题继续存在。也有一些国家容忍其境内的黑客,只要他们不攻击所在的国家。
利用当前的防御范式
如同其他形式的非对称战争,外围防御是不能奏效的。在网络空间,面临诸多的挑战——时间、技术、法律和追查等等。攻击者的技术从不太复杂的拒绝服务式攻击发展到非常复杂的攻击。攻击操控核设施离心机的“震网”(Stuxnet)就是一个范例。攻击者现在既有合法的身份,又从事非法获得知识产权的活动,或进行其他操作。攻击者还在受害者的网络中植入指挥和控制代码,然后激活,进行预先指定的活动。他们越来越能够操纵信息的内容,以满足他们的目标,影响被害人的行为。所有这些行动都可以在千里之外、在肇事人选择的时候实施,并产生重大的影响。
时间方面对攻击有利
时间维度改变了威胁环境,攻击者占优势。来自世界各地的袭击瞬间发生,在几秒钟之内,通过多个点,这往往掩盖其抵达受害者的路径。不受地理边界的限制,可以通过优化的、虚拟的路径到达目的地。如果攻击者成功地侵入网络边界,攻击者可以快速行动,也可慢慢行动,或处于潜伏状态,这取决于受害者的网络和入侵意图。此外,随着网络速度的增加,犯罪者可以占据先机。黑客可以充分利用硬件、软件的速度和利用通信技术升级,以加快他/她的攻击载体(attack vector)。防御者一直是处在追赶中。
共同威胁和共同责任
今天的网络威胁是公共部门、私人部门和政府机构面临的共同威胁。这个共同的威胁产生了额外和前所未有的风险。攻击者可以利用相同的机制来攻击多个目标。产生平民“伤亡”和附带损害是非常可能的。例如,对关键基础设施的攻击,如电力,能够对医院、紧急服务和其他意外的受害者带来二阶效应和三阶效应。网络威胁能够破坏政府机密和非机密系统之间的链接点。在没有设计完全新的互联网架构之前,公共部门和私营部门有内在的联系,是相互依存的,必须采取共同的、有效的解决方案。
二、情报在网络竞技场中的作用
在任何安全中,情报是战术的和战略的决策之重要组成部分。有效的网络情报将加强我们评估网络攻击效应的能力,减轻与威胁相关的风险,并把网络安全简化为一个基于完善消息条件下进行决策的、有效的和具备成本效益的流程。
定义威胁情报任务(一个哲学教程)
情报的作用是收集、分析、并生成信息,以完整、准确、及时地提供相关威胁评估,让决策者根据信息采取行动。当情报以最低的保密级别被分发给数量最多的用户时,情报才是最有效的。在执行此任务中,情报机构设法按照国家战略的、战役的和战术的优先事项分析实际的或潜在的威胁目标。这些机构然后设法按照最大数量相关客户的需求,获得关于对手和威胁的能力和意图的情报。
威胁情报流程驱动采取行动
情报和威胁分析并不为自己的目的而存在。当威胁的细节被抑制或忽略,国家安全会承受重大影响。重要的是要在动态的网络域维持一种较高的行动效能。这个环境中,威胁迅速变化,并且使用无处不在的信息技术的新概念主张了环境变化。新一波创新能力,无论是未来的云架构或是连接到网络的个人设备,似乎彻底地打破了用户的陈旧观念。鉴于这种不断演变的环境,情报可能会成功赶上技术创新的步伐,或者它可能行动缓慢,甚至是做出错误的威胁评估。因此,评估公共部门的和私人的网络情报活动如何以战略性的方式支持安全任务就至关重要了。
网络情报界
这是一个独特的、目前也是临时设立的团体,由政府、电信和互联网服务供应商、计算机应急响应分队和其他正式的信息安全机构、专业公司和供应商构成。这个团体的成员从事的各种活动可能是网络威胁的潜在受害者。“网络情报界”目前是一个非正式的愿意联盟,收集和分析非保密的和机密的网络情报数据和发展趋势。目前整个产业界和政府的网络情报机构之间没有形成正式的机制,以成功地收集、处理、分析和所有可以识别的关键网络威胁行为,并以非保密的或保密的合理层次,报告给所有适当的客户。情报提供者和顾客之间的有效连接是指客户已经理解和内在化情报,按照情报有效行动,减轻威胁。良好的情报专业人士竭力与客户互动,以确保:数据得到收集、分析和传递;情报服务于客户的宗旨;采取行动(或者故意不采取某些行动)。目前制度化这个临时特设的团体的一个概念还缺乏。
网络冲突并不存在于真空中
参谋长联席会议出版物1(Joint Chiefs of Staff Pub 1)(非机密的)把信息战定义为整合电子战/攻击、计算机网络作战(进攻、防御和刺探)、军事信息支援作战(MISO)(以前的心理战)、作战欺骗和作战安全。这些行动可以是动能的和/或是非动能的。还有战略沟通、与空间有关的任务、秘密行动等相关的定义当一个有能力的对手把这些任务在时间和空间维度成功地集成到一起,创造最大效果,结果可能是灾难性的。在网络领域,这些普遍相关的和重叠的因素情报管理者必须考虑到,以进行进攻性行动规划和执行,以及设计和实施防御性响应。
网络情报搜集技术、技能和能力方面的投资
对网络情报进行大幅的和持续的投资应该是信息时代的战略要务。此外,还必须使用这些情报保护我们维持安全的能力。我们必须确保稳定的国内和国际经济不会受到竞争性大国、流氓国家、失败国家、现代化的恐怖分子和小偷、大规模杀伤性武器扩散等冲突的危害。所有正式的和非正式的情报学科都满足于这些需要,包括信号情报(SIGINT)、人力情报(HUMINT)、开源情报(OSINT)、地理空间和测量情报(GEOINT)、以及所有的计算机应急响应分队监测到的大量的非保密网络数据和相关行为。所有关联方之间保持持续的联系是至关重要的,这样才可以保证无缝共享。
不断发展的网络情报搜集技术要求各个层次的强而有力的技术和专业分析。这样的技术人才和相关的能力仍然没有明确界定,并且在整个政府和产业界供不应求。已经在这方面取得了一些进展的一个机构是国家安全局的信息保障局(Information Assurance Directorate)。信息保障局处在防御性网络任务的前沿。它拥有大量的资源、高级人才、有力的流程;它还与军队、公共和私人伙伴合作,以确保我们的网络能力和知识产权得到捍卫,而我们的防御会加强进攻,反之亦然。信息保障局是一个良好的试验,但我们必须推广相关的良好的和创新的做法,界定与网络领域相关的独特的职业属性、教育和训练目标。
绝大多数危险活动发生在.com域之内(相对于.gov或.mli而言),超过90%的威胁数据和分析都是非机密的。因此,美国把威胁识别、跟踪和报告转交给网络运维领域和IT专业人员,而没有利用美国情报界宝贵的经验和分析技术。
三、进一步讨论的问题
我们国家在网络情报领域的能力仍不清楚。有证据表明,我们在这个复杂的领域可以进行有效的情报收集。有充分的开源证据信息显示,我们正在获得重要的网络和信息战能力。不幸的是,作为一个国家,我们将继续容易受到网络威胁的影响。这种情况以及不确定性提出了许多问题,包括:
急忙冲入信息时代市场会同时推动我们进入一个潜在的深渊,致使我们忽视,淡化网络需要信息安全的事实?
我们的创新努力太专注于市场和功能,以至于我们不能同时要创新一些低、中、高等层次的信息安全和整体硬化措施?
情报活动在告知社会和公众了解网络威胁方面做了足够的工作吗?
我们可以推断,这些问题的答案是不利的,因为公共和私人部门呼吁需要做更多工作以及时分发威胁数据、态势感知和预警。数据需要具体化,而不是笼统的数据。美国军方已经对某个领域的敌手处于压倒优势,以至于我们还没有面对真正的网络战争。但是文献中一直充满了关于即将发生的或已经发生的威胁的故事,在最坏的情况下,在冲突和危机的功能方面,可以对国防和国家关键基础设施产生重大影响。
整个美国情报界几乎都或多或少参与到网络威胁问题。尽管经常信息是保密的,但是在深入调研分析或新情报的基础上进行收集、分析和形成预测性的和事实性的数据的方法是具备的。像国家安全局、中央情报局、国防情报局、国土安全部和各军种这样的组织机构比其他机构更多地参与网络情报。然而,威胁信息的实际处理方法和密级分类是分发网络情报面临的普遍问题。
更多阅读:
