实战网络攻防演习专题 | 北约“十字剑”网络攻防演习观察
2024-6-14 17:41:54 Author: mp.weixin.qq.com(查看原文) 阅读量:2 收藏

背景

2020年1月下旬,北约“卓越联合网络防御中心”(Cooperative Cyber Defense Center of Excellence, CCDCOE)与拉脱维亚“电脑网络紧急应变小组”(Computer Emergency Response Team Latvia, CERT.LV)合作,在拉脱维亚首都里加举行了“十字剑2020”(Crossed Swords 2020)网络演习。此次演习吸引了来自26个国家的120多名专家与军方人士参与,作战设定聚焦于两个假想国家(Berylia和Crimsonia)之间的领土争议。被占领国Berylia试图压制入侵国Crimsonia的防空系统,以夺回其领土。演习还纳入了关键基础设施和移动通信网络运营商,旨在建立并加强民用和军事领域之间的信息共享及合作机制。

安全意义

一、以混合型态的演练改变态势作战思维

一般而言,网络攻防演习通常只演练针对信息系统的突破与防御等相关技术和能力,北约“卓越联合网络防御中心”举办的年度“十字剑”网络演习,其最大的特点在于纳入传统作战单位,同时进行虚拟与实体领域(cyber-kinetic domain)的演练。以2020年的演习为例,强调测试网络作战人员和特种部队成员如何合作,完成控制特定军事目标的任务。例如,特种部队针对电子和数据存储等装置进行实体入侵,再与后方的“数字取证”(digital forensics)人员配合完成取证分析任务。

尽管网络作战概念对未来战场的重要性已普遍被接受,第一线战场指挥官对网络攻击的指挥控制程序与效益的掌握度仍远远不如对传统武器平台熟悉,网络武器与行动经常被排除在前线指挥官的作战工具选项内。即便采纳,通常将“实体作战”与“网络作战”视为两种各自独立的作战方式,而非交互运用。CCDCOE希望通过此种演习设计,让参演者熟悉如何进行传统部队与网络单位的合作,渗透敌方的指挥控制系统或关键基础设施,进而改变前线指挥官的作战思维。

二、通过换位思考加强红队的训练

CCDCOE所举办的“十字剑”演习,旨在为北约年度网络实兵演习“锁盾”(Exercise Locked Shield)训练专门扮演攻击者角色的“红队”(Red Team)。在CCDCOE的规划下,红队进一步分为三组:用户端设备攻击小组(client-side attack sub-team)、应用程序攻击小组(web-application attack sub-team)和网络攻击小组(network attack and exploit development sub-team)。该演习的一大重点在于,要求红队成员熟悉并操练网络防御者在真实场景中会用到的必要技术和工具,如检测并辨识追溯攻击来源的“数字取证”,进一步预想蓝队将如何进行防御。“十字剑”网络演习亦不设置胜败条件,而是允许红队成员不断试错,找出最佳的进攻模式。通过此种换位思考的演练设计,红队在躲避防护系统的检测后成功入侵的能力得到大幅提升,也增加了接续“锁盾演习”的挑战性。

趋势研判

一、网络与实体作战场域的界限逐渐模糊

北约自2016年“华沙峰会”(2016 Warsaw Summit)上正式将网络空间纳为第五作战领域,这意味着对任何一个成员国的网络攻击,将遭遇来自北约的集体回应。特别是当此种网络攻击造成重大的利益损害,甚至人员伤亡时,有可能引发实体的军事打击报复。因此,网络与实体空间的作战变得环环相扣。当目标的实体防御难以攻破时,可通过对指挥控制系统的网络渗透,为实体作战部队创造机会。反之,当锁定的目标无法通过网络空间连结渗透时,则由军方展开“动能打击”(kinetic attacks),或是通过特种作战人员渗透取得破口。这其实就是美军的“多领域作战”概念的一环,意味着未来网络/实体作战场域界限将逐渐模糊。

二、逐步勾勒网络作战的适法性范围

“十字剑”演习的参演队伍规划,除了常见的攻击组(红队)、防守组(蓝队)及指挥控制小组(白队),亦包含分别负责准备网络硬件技术与基础设施的绿队与网络空间态势感知的黄队。此外,“十字剑”演习在参演小组设计上的最大特点在于,为了尽可能模拟现实的决策过程,并详实反映网络作战可能面临的挑战,单独设立了一个法律小组,负责为网络攻防所可能引发的法律争议,提供参演者相关的法律咨询与分析。

演习过程中,除了对关键基础设施与网络系统进行攻防外,还要求参演者解决与处理包括鉴识、追责、攻击行为适法性、危机升级等方面的挑战,尽可能模拟现实冲突的复杂性,预先制定解决各类威胁的方案。网络空间领域的作战,已从传统技术领域扩展到了法律攻防。可以预见,以美国为首的西方国家将加速网络作战的准则与法律规范框架的构建。

推荐阅读

闲谈

  1. 中国网络安全行业出了什么问题?

  2. 国内威胁情报行业的五大“悲哀”

  3. 安全产品的终局


威胁情报

1.威胁情报 - 最危险的网络安全工作
2.威胁情报专栏 | 威胁情报这十年(前传)
3.网络威胁情报的未来
4.情报内生?| 利用威胁情报平台落地网空杀伤链的七种方法
5.威胁情报专栏 | 特别策划 - 网空杀伤链

APT

  1. XZ计划中的后门手法 - “NOBUS”

  2. 十个常见的归因偏见(上)

  3. 抓APT的一点故事

  4. 揭秘三角行动(Operation Triangulation)一

  5. 闲话APT报告生产与消费

  6. 一名TAO黑客的网络安全之旅

  7. NSA TAO负责人警告私营部门不要搞“黑回去”


入侵分析与红队攻防

  1. 入侵分析与痛苦金字塔

  2. 资深红队专家谈EDR的工作原理与规避


天御智库

  1. 独家研判:五眼情报机构黑客纷纷浮出水面

  2. 美军前出狩猎并不孤单,美国网络外交局优先事项分析

  3. 《国际关系中的网络冲突》

huj

文章来源: https://mp.weixin.qq.com/s?__biz=MzU0MzgyMzM2Nw==&mid=2247485788&idx=1&sn=43c79f4fd21a3605509362f799f557ff&chksm=fb04ca34cc7343222d1d9d8d95d8da3394f867a2e507a88a3c901e604a7e4ac35bffa86959aa&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh