美军遇网络战难题 指挥与控制系统有潜在危害性

在网络安全世界的某些领域，传统的认识就是极端重要的信息技术资产保卫者被锁定在敌方享有无限优势的不对称战争中，处于极其不利地位。对于保卫者部署的每个“盾”（即防护措施或设施），对手都能发明数以百计甚至千计的新式武器或破解术予以击穿。只要对手数以百万次的进攻成功一次，就能穿透防御之“盾”，同时，保卫者只能面临因无法阻止各种攻击而出现的难以预料局面。

此种情形甚为常见，然而，传统看法被从根本上有点夸大其词了。确实，从敌方来看，此种形式的战斗是非对称的，但进攻方并非总是占有优势，除非我们允许对方肆意妄为。每位明智的指挥官都知道掌控战场——选择作战地点、时间和方法——要确保战略优势并最终击败敌人，这是最基本的。在网络空间里敌人有充裕的时间选择战斗方式。现在是时候改变了。鉴于美国网络资产的价值，不仅是国防方面，还包括关键的基础设施，如能源和医疗保健信息技术服务——采用新的网络安全构想不合适，且事关重大。防范性方案同时也预示了敌人也有此优势。如果保卫者改变视角（来对待此问题），这个优势并非一成不变。我们能获胜，意味着我们能阻止入侵者达成其目的，就要了解对手如何操控，就要调整防范措施卡住其进攻途径。我们的工业界已经有许多工具和处置方法可检测和禁绝网络入侵者，而我们也正在培训我们的员工并开发新技术和程序来弥补现有差距。网络安全团体作为一个整体还未形成，但我们仍有相当多的机会利用和分享敌人层出不穷的战术理解来发展新的作战概念。

要理解对手，首先需要对不同的威胁拥有不同的策略有个正确评价，将最阴险的攻击者群体分类为高级持久威胁（Advanced Persistent Threats，简称 APT）。其次，基于对当前攻击模式的分析，我们要区别对待 APT 侵扰。每个回合并非偶然性事件，都是有预谋行动的某个过程。每次侵扰，在他们达到最终目标之前，入侵者都需要通过连续的步骤进行。

在一条攻击性杀伤链中，以此方式审视攻击，可得出一个新的安全策略路线图。保卫者可一招制敌，只要一个步骤就能中断入侵，对攻击者而言，必须在所有步骤都要成功。而且防卫者还能进一步获得策略优势，即延缓杀伤链中的所有步骤。而后，敌人要想成功必须步步改变方法。最后，现今没有工具或处置方法能完成这个级别的智能分析；熟练的分析人员与其他人合作，分享（制止）入侵心得是此类成功策略的基本方法。在现今网络安全中反制威胁不像火箭科学（那样能取得突飞猛进），更需要集思广益、循序渐进地实现，并通过改进训练、做法和思路来支持。

安全重要性

网络安全的极端重要性可用两个词来总结：任务弹性（resiliency）。在敏感数据、防御系统或公共与私人基础设施中，美国大部分重要系统与资产必须能在所有条件甚至是有干扰下能继续保持运营状态。在战场中，任务弹性依赖于随时随地快速而便捷地访问必需的可信赖信息，向指挥官汇报正确的态势感知情报并自由执行战场计划，即使甚至在敌人的决策环内也许如此。众所周知，执行重大任务普遍依赖于信息技术——横跨国防、政府和工业领域——赢得网络战争与本国在陆海空天领域一样重要。

由于我们执行各种范围的任务越来越依赖于信息技术，因此我们的对手也开始冲击网络。理解冲击的本质和幕后操控者的意图是设计有效的网络安全策略的基础。

引起重视的是考虑攻击的指数级增长。安全软件的领先开发者——赛门铁克公司在《全球互联网安全威胁报告》第 15 卷中指出，2009年就有大约300万新的有署名的恶意代码出现，超过之前15年的总和。这些数据表明未知威胁多于已知威胁，今天的许多网络安全解决方案偏向于用防堵法来解决已知威胁——完全不需要查清楚根本原因。

通用识别对于防御来说，还是不可或缺的重要部分。已退休的国家安全局信息查证科主任迪克•斯查夫（Dick Schaeffer）曾谈到，在业界最佳实践下，我们能——当然是措施得当——成功抵住来自网络访问节点上约80%的网络攻击。这是因为大多数攻击发起者——尽管他们也与时俱进，变得更加诡计多端——在本质上仍然主要是机会主义者，目的是破坏一下网络就离开，或者窃取个人数据。他们依靠大量的试探，希望能进入未设防护的或防护不足的系统中。实现最佳实践并接近一体化防务之后，各组织能反制大多数此类攻击。能管制现存情况的解决方案和程序正在被许多前瞻性机构使用，每个组织自身必须找到利用这些（解决方案和程序）的最佳方式。80%攻击之外的是什么概念？这就是网络安全团体面对的强大挑战。未知威胁和 APT ，理论上归于这 20% 部分，我们相信我们有能力预测并反制这部分。

高级持久威胁（APT）

由于现在的 IT 资产均具有高价值，我们对手的意图也改变了，所以也有了他们的策略。我们发现我们今天面临的对手，包括有组织犯罪、恐怖分子和单一民族国家在搜寻经济、政治或军事机密时更有威胁且更强大。这些目的性很强且资金充裕的组织和个人更有隐秘性、忍耐性、持久性。他们意图不是“破坏和窃取”，而是在目标网络中建立深度存在，以便在不惊动受害者的情形下随意进出“数据”战场，并能长期如此。他们可称之为网络中的间谍鼹鼠。

此类 APT 不能用部署更大更多的防御盾的传统方法来阻拦。对方经常使用社会工程战略，目标在于将特定的个人作为入口点——这个实际做法名为“长矛刺探”——他们有资源来开发定制化的“致病件”和“零日”，规避补丁（程序）和反病毒软件检测或降低暴露可能性。总而言之，这些现象将持久存在。一旦他们对外部防御的“弹幕射击”获得成功，就在网络本体这放置一把“长矛”（即刺探性扫描软件），他们不断地探察，寻找（网络系统）弱点，以使他们能从内部肆意妄为，在外部看来防御已无实效。因此，APT 干扰并非孤立或离散事件，但一场神不知鬼不觉的战役能跨越数年。持久威胁适应了保卫者，达成企图之后再次评估并选择分头活动和结束战役。

由于有目的的干扰耗时费力，所以攻击者关注高价值信息——政府和关键性基础设施信息技术系统和网络。除了这些目标代表高价值之外，还由于这些系统的结构复杂以及存在特别脆弱部分。政府网络，包括民用和国防都是跨机构的，交叉复杂，经常是许多必须的系统和网络的合并，构建时所依赖的都是不同标准。这些系统和网络以及其中软件的安全问题解决方案并未被统筹考虑，更未被作为一个整体来实现，对于经验丰富的入侵者来说简直漏洞百出。从未考虑各类系统集成的架构，到开发人员在代码开发是未考虑安全且留有应用级漏洞，这类基础设施和环境的诸多糟糕设计造成今天的高级威胁比比皆是。

更有甚者，APT 不单瞄准今天已安置好的网络和系统，还可能将其作为供应链加以利用，一旦在目标环境中安装成功，便可让其他有威胁的“带菌者”插入恶意代码或（控制）硬件，从而建立指挥与控制通道。我们必须实现电子系统制造的可视性和审核机制，在这些我们不能进行物理控制的设备上要考虑应用反篡改技术。

在保卫者赢得对APT作战胜利之前，他们必须理解对手如何操作。在洛克希德•马丁公司（Lockheed Martin），我们分析过 APT 感染，并鉴定了这个过程的七大步骤及各步骤特征，我们用防务学术界的说法称之为“杀伤链”。我们每天都用此方法保卫我们的企业网络。对于保卫者来说，杀伤链最重要的课题是在敌人达成其期望目标之前要洞悉敌人从每一步成功进入下一步的详情；仅需一次反制即可打断链条并击败敌方。保卫者在整个链条上反制措施越多，国防系统就变得越有弹力（resilient）。杀伤链各部分如下所示：

1、侦查。目标的研判、识别和选定通常表现为用特定技术在互联网网站上搜索电子邮箱或有关信息。

2、“武器”准备。通常用私自开发的自动工具连接一个远程访问木马进入一个可传递（信息）的负载系统中。逐渐地，像微软 Office 文档或 Adobe PDF 文件等数据文件等都可作为“武器”传递“设备”。

3、传递。“武器”向目标（网络或系统）的传递。最常见的“武器载体”传送物件（vector）是电子邮件、网站和USB可移动介质。

4、探察。触发攻击者的代码。最常见的方式是探察一个应用程序或操作系统的漏洞。简单的探察方式是劝诱用户打开邮件所带的可执行附件，或利用操作系统自动执行代码的特性。

5、安装。在被感染的系统中安装一个具有远程访问功能的木马或后门，允许攻击者影响系统的所有用户，且在系统重启仍能保持存在。

6、指挥与控制（C2）。最常见的做法是利用一个连入互联网服务器的国外设备完成建立C2通道的目标。这种连接提供手动的“键盘控制”访问，这也是大多数 APT 恶意件必定提供的功能。

7、针对目标的活动。最终步骤必须在入侵成功后展开。最常见的目标是数据窃取，以及搜集、加密和窃取危及系统的信息。攻击者也可能会试图破坏数据完整性和可用性。其他目的可能是从受害者的IT环境中侧向转移，在后来的目标中展开新的杀伤链。

攻击重组与综合

从敌人的视角探明和理解杀伤链式过程，在检测他们入侵时分析其意图是相当有价值的指导。一次检测通常提供单步攻击的特征很有限，但进一步分析能揭示许多其他特征并提供防范这种活动的多种选项。此外，在某步骤中检查一次入侵可让保卫者跟踪攻击过程，查明在之前未检测时成功执行的步骤。早期的入侵步骤能用来分析和收集信息，有助于提前切断杀伤链中的后续攻击。

从入侵之初就开始分析（入侵）过程到未被检测出就能顺其路数得出结论同等重要。通过综合分析已经发生的情况，保卫者能查明攻击者计划在后续步骤中部署方法，如安装后门等。

例如，敌人发送刺探邮件给某组织中的某个人进行“零日”（zero day，一个著名网络窥探组织）式的探察。这种探察手段不会被网关或工作站中的反病毒软件发现，但邮件投送包括众所周知的 APT 战役相关迹象，而入侵在投送步骤就被阻断了。这种恶意代码经调试已被识别为一个“零日”式探查，在国防工业界内已共享（此类信息）了。敌人有新的探查方式，但不会改变投送机制；如果他们做了，最可能的是指挥与控制（C2）通道，会与其一直用的方式相同，入侵行为于此即可被抓获。这个实现方式可让保卫者更有效地开发弹性反制（软件等）并用于预防，而不是进行抓捕活动、优先投资新技术和新程序。

网络防御的企业方法

在有我们的敌人策略相关知识武装下，保卫者为了确保任务弹性，如何拥有开发强大防御系统的知识以应对千变万化的干扰？答案是重新配置网络防御的方案，在训练有素的工作人员使用成熟程序的情况下，借助高级工具对付最高优先级的威胁。另有紧密合作的伙伴，共享更多信息可让网络安全团体抵消目前攻击者的优势。这个方案的本质是企业方法，即从整体上掌控网络安全，而非零散功能的集合——从网络存取控制和数据泄密防范到系统审核与“法医检定”（forensic analysis）——诸如此类的坐井观天式的传统做法。这个新式方法建立在三个支柱之上：集成方案、主动服务和抗灾难系统。

集成方案支柱通常接近由分散的信息技术组织单独部署的优秀的商业产品，无需多少协调。单点方案就能有效达到其所拥有的特定能力，但其本身不是一个全面的防御（方案）。这些方案需要无缝集成到一个安全组织内，这将横跨所有的软硬件企业。其他技术，如多系统中的端对端系统也可例证分析师们并不能仅仅是使用单个工具或技术的专家，相反，必须是具备多学科知识的专家，用新的途径将数据联系起来，解决迫在眉睫的挑战。集成方案的其他重要方面是性能指标。例如，攻击检测与抵御等传统指标，对摆脱实际的网络数据泄露等尴尬困境几乎没有体现。度量此事的糟糕程度以提供安全方面的一个负面感觉，必须用一组更成熟的指标来代替。最近，政府和业界网络防御专家提出20项网络控制——称为共识审计准则（Consensus Audit Guidelines ，简称CAG）——帮助各类组织更有效认识他们需要防范什么以及如何做好防范工作。CAG文件鉴别出由各种控制所能抵消的攻击，列举了自动控制的最佳实践方法，并确定了有效实现各种控制的测试方法。作为集成方案的一部分，CAG能作为连续测度网络安全和确保审核合格的基准线，确实能解决80%的网络攻击。

有了一个适当的集成方案，企业方法的第2个支柱——主动服务就可提供技术方案，以及解决已知和未知威胁的计划。开发和整合最佳信息技术安全产品是一项团队运动，要通过公共/私营的合作伙伴、实验室和大学的研发，实现国防业大合作。如果我们打算走在敌人的前面，则这种团队精神必不可少。

我们（美国军方）已经与业界联手，准备组建一个网络安全技术联盟。参与联盟的有思科（Cisco）、因特尔（Intel）、McAfee、微软、赛门铁克、Juniper 网络公司、EMC、RSA、VMWare、NetApp、CA科技、戴尔、惠普和APC等。这些合作伙伴向我们的新一代网络创新与技术中心（Next-Gen Cyber Innovation and Technology Center）都提交了有它们专家支持的最新方案。它们正在高速互联的全球网络范围内测试现实的、仿真的客户方案。这些方案提供了一个安全的端对端基础，能有效保护（系统）不受已知的和未知的威胁（危害），构建出一个用于了解敌人进攻策略的环境，这反过来又让我们了解（如何）通过全球网络保卫自己。该联盟利用测试环境进行反复的高级练习，用当前的入侵技巧让保卫者加速学习应对复杂攻击。

与此同时，联盟伙伴、国家实验室和重点大学合作研发解决（方案）以应对已知的严峻挑战，并弱化未知的威胁。这些方案已得到测试，并整合到客户环境中可有效确保同一性。

这项研究和实验的目的是尽可能提前找出危险（点）并消除难以预料的部分。在敌人达成其目的之前，数据量本身具有的指示和警示意义能提供潜在危害性入侵的能见度。分析攻击者行为模式有助于在一次真正的入侵之前预测恶性事件，防患于未然，因而可作为保卫者的指示器和告警铃。企业方法的第三个支柱——抗灾难系统须解决系统可能发生的任何事情，系统防范措施无论有多良好都有或多或少的漏洞，都可能在某个点上被攻陷。鉴于这个现实，一个整合完全且经过测试的方案应被视为一个坚实的基础，但针对持久、复杂且不断变化的威胁未必能做到尽善尽美的防范。为了达到实效的下一层次（即下文所述的系统完整恢复），这个方案必须确保任务弹性——即使在一次入侵期间和之后都应如此。

手工技巧及方法不足以应付这种严重型威胁。恢复速度相当重要，当我们执行耗时的操作时就会体现出来。这意味着施行自动恢复——机器对机器的交互，能在入侵发生的同时就能对威胁做出快速响应。数据库（libraries of data，指收集和保存的各种数据，并非指专业意义上实现表状化存储的database）同化（Assimilation，对现有数据进行分门别类整理，使之符合某种规范且便于管理）、多源情报与网络作战数据熔合、行动科目选择和跨全球网络行动的实现需要比现有更高级的自动指挥与控制网络。自动恢复的一个方法是是自修复系统，软件和硬件能自己修复或恢复到受信任状态，在受到攻击的同时还能持续运行。

挑战正在加剧

实现80%安全的方案并非具有革命性意义。这方面的技术和方法今天都已存在。然而，有效实现需要的是文化的改变——这已被证明为难以企及的事。我们的敌人并非比我们更聪明或更有经验，但要击败他们，我们必须采用新的方法——如何、何时和何地部署我们的资源来对付他们。在敌友皆存的全球网络空间中，我们不能挖掘出宽阔的城池来阻止敌人攻入我们的城门。然而，我们能阻止敌人实现它们的目标——禁绝它们盗窃我们的数据和破坏我们的系统。对复杂的高级持久威胁余下20%部分的作战胜利在望。我们正在国家实验室、研发团队内观察现代灾难恢复系统的演示。我们已总结了杀伤链过程对逆转不对称作战为保卫者的优势。如果业界能利用伙伴关系，加上有更好的信息共享下进行合作，保卫者能赢得（网络战争）。

为此，保卫者必须实现集成方案以克服拥有强悍工具和系统的零散组织障碍。我们也必须认识到网络防御是什么——是整个组织的危机管理方面的挑战。网络空间的防卫对整个组织来说堪称重大使命，且影响着网络防御资源部署的决策折射了（严峻的）现实状况。指挥官们必须领导这场变革。同时也是指挥官们的重要使命。我们最重要的使命是什么？我们最有价值的信息是什么？它存于于何处？如何长期保持其价值呢？又要保护多长时间呢？

为了切实有效地打击最新一代网络敌人，我们必须扩展我们的战场视野。我们必须利用诸如在杀伤链上建立入侵模型等情报驱动方式实现新的战略。我们必须发展新技术，并以综合化程度更高的方式部署，让熟练的分析人员掌握成熟方法。最后，我们必须能随机应变，适应不断变化的威胁环境以达到和维持得心应手的程度。

如果我们和高度训练有素的专业人士一样达到企业级视野，与我们的敌人一样持之以恒，我们就能赢得网络战争。