敌情想定理念在网络空间安全工作中的应用
肖新光,侯方勇,赵 超,张登峰,关墨辰,刘佳男,白淳升
时间 : 2022年03月07日
说明:本文刊发于《中国电子科学研究院学报》2021年12月刊,刊发标题为《想定理念在网络空间安全工作中的应用》,文献内容是安天相关研究团队从2017年将“敌情想定”理念引入网络安全领域后的第一阶段(2017-2019)工作总结,整理成篇以供业内参考。由于篇幅等问题,刊印版本对原文进行了删减,应读者要求,并征得期刊同意,在此提供完整版本,并有少量更新修订和参考资料的增补。
摘要:文中阐述了网络空间安全中敌情想定的基本概念与内涵。着重从构建敌情想定的整体背景、基础想定、展开场景、具象刻画、底线思维、多手预案、杀伤链分析、全生命周期视角、以及排除无效想定和坚持总体国家安全观十个方面,剖析了敌情想定的工作维度、分析要素、主要结论与安全价值。强调指出客观敌情想定是做好网络安全防御工作的必要前提,只有达成对网络对抗中敌情的真实掌握、深度理解与准确研判,才能为防御能力的发展厘清方向、为防御体系的构建筑牢根基。
关键词:网络空间安全;敌情想定;攻防对抗;推演;高级威胁行为体;威胁情报。
引言
网络安全的本质在对抗,对抗的本质在攻防两端能力较量[1]。网络空间安全威胁转化为后果的过程,并不是传统意义上的生产和社会活动因安全隐患或失误而导致的事故,也不是因气象、地质等外部环境因素而导致的自然灾害。所有网络威胁攻击活动,都是网空威胁行为体带有明确的主观动机意图的行为活动,其影响和后果,是攻击和防御两个具有主观能动性的行为体交互作用下的直接和衍生结果。
当前,网络安全对抗模式已演进为全面体系化对抗,信息基础设施所要应对的主要威胁,已经演变为成建制化的攻击组织,在大规模工程体系支撑下、依托制式化网空装备完成网空杀伤链。与此同时,网络安全与政治安全、经济安全、国防安全等总体国家安全每一领域都强烈相关。网络空间已经从连接域、保障域上升为与传统陆、海、空、天物理作战空间域一样的作业域,日益成为未来战场的制胜要素[2]。网络空间对抗已经事实上成为大国博弈与地缘安全斗争最为剧烈和常态化的样式之一;各种具有霸权背景或受地缘利益竞合方支持的网空威胁行为体始终窥伺、渗透与攻击我方网络,其攻击能力、攻击手段和攻击作业的系统性都在不断地演进升级。因此强化网络空间的敌情意识、科学认知威胁与对抗的演进规律,是做好网络安全工作的必备条件。本文明确了网络安全领域中敌情想定的概念、背景、主要内涵、方法要点以及重要意义;通过敌情想定,达成对网络对抗中敌方目的意图、技术能力、工程体系、作业行为等方方面面的客观分析和正确设定,从而奠定构建我方对抗能力和防御体系的先决条件。
1.网络安全中敌情想定的内涵
1.1 敌情想定的概念
敌情想定是一个军事术语,“敌情”是指敌方的情况,特指敌方对我方采取行动的情况,包括对搜集到的敌方信息进行鉴别、分析、综合等处理与加工而形成的判断性结论;“想定”则是指对作战双方基本态势、作战企图和作战发展情况的设定。在2017年6月的某机构组织的研讨会上,本文作者首次提出了“客观的敌情想定是做好网络安全防御工作的前提”这一观点,把敌情想定引入网络安全领域,并指出“敌已在内”是基础的敌情想定,并多次在技术报告、媒体采访中进行强化[3]。安天于2018年1月以“敌情想定是前提,网络安全实战化”为主题,组织了年度的网络安全冬训营系列技术报告活动[4]。
当前,随着网络攻防对抗的加剧,传统以合规和单点场景为主维度的网络安全建设模式已难以适应威胁的快速发展,尤其是远不足以应对高级网空威胁行为体的复合性攻击。造成这种困境的首要原因,就在于对网络对抗中的根本矛盾与要害威胁缺乏清晰准确的认知,从而导致网络安全建设在思维理念、规划设计、实施运维等环节的偏差与短板,进而形成技术、资金、人力等方面的低效投入与能力缺陷。敌情想定的提出与深化,即是解决这一制约我方网络安全防御建设困境的先决条件,从而厘清我方网络安全的建设方向,引导打造切实有效的对抗能力。
网络空间安全领域的“敌情想定”定义为:在进行网络安全规划、防御能力验证、防御策略改善等工作的过程中,依托防御目标的价值特点,分析可能存在的各种威胁因素,从而在网络对抗的过程中,对敌方意图、体系、能力、资源、预案等因素的客观分析和正确设定。其构成涵盖敌方战略企图与战术行动、作业平台与武器装备、技术手段与支撑体系、人员力量与行动资源等要素,从而形成网络对抗中,我方所面临威胁的多层次、多维度立体刻画。
1.2 敌情想定的基础理念
“威胁是能力和意图的乘积。”能力和意图构成了敌情设定的两个关键维度。其中“意图”来自威胁行为体要达成的战略目标关切,其决定了行为体的目标选择和希望达成何种后果,体现出攻击方持续的作业(行动)意志。而“能力”则是攻击方的组织建制、团队作业能力、支撑工程体系、资源体系、技战术和攻击装备(恶意代码、漏洞利用工具、攻击平台等)的综合评估。
敌情想定需要基于对威胁行为体活动的长期跟踪分析,持续积累,形成客观的判断。对敌能力想定不足将导致自我麻痹;对敌能力过度夸大将导致自我恐吓、虚无放弃。例如,“网络攻击都是通过公共互联网发起”就是一种错误想定,这种错误想定将导致对物理隔离安全机制的过度迷信,导致内部网络防护投入不足,体系性欠缺,甚至孤岛林立,造成安全防护策略和边界无法细粒度到达每一节点。其后果就是实际造成内部节点风险敞口长期存在,安全检测感知能力无法有效覆盖,感知响应闭环效率下降甚至断链,同时也把情报赋能、安全支援能力挡在了内网之外。
面向网络攻防对抗的现状与发展,敌情想定应遵循如下基础理念或核心准则:
(1)符合客观实际的敌情想定是做好网络安全防御工作的前提。
(2)“敌已在内”是基础想定,尤其是我方重要信息系统、关键信息基础设施防护体系与对抗能力构建,均须以这一基础想定为起点。
(3)敌我对抗的状态是“平时的持续性与隐蔽性对抗,战时的高烈度对抗,平战皆为无底线对抗和高成本对抗”;网络对抗不同于物理世界的军事交战,其“平时”即为“战时”,只有知敌于平时,针对性地持续提升常态化防御能力,才能防患于未然。
1.3 敌情想定的基本步骤与作用效果
在网络安全防御工作中,构建敌情想定的相关工作包括:对防御侧资产业务资产环境和资产价值的细致梳理与准确评估;基于资产分析形成场景化威胁分析研判,判断可能产生攻击意图的风险方向和威胁行为体,分析威胁行为体作业动机;综合案例、情报、行为体能力、作业动机等信息,遍历威胁可能使用的攻击战术与技术,分析受威胁影响的具体资产;结合资产价值对风险后果进行预判。所取得的想定结论,不仅可以为拟定网络安全规划、制定预算提供测算数据,更可以开展桌面推演、沙盘演练和靶场训练,从而能为下列工作提供前置支撑:
(1)改善网络安全规划的有效性和针对性;
(2)检验和迭代改善网络防护体系与对抗能力;
(3)促进响应和猎杀能力与策略获得检验和迭代改善;
(4)提升安全认知与实战技能。
2.依托敌情想定改善防御工作的方法要点
网络安全是一种带有强烈传统安全属性的非传统安全。一方面,大国博弈和地缘安全利益竞合已经成为具有情报级、信息战级的高级网络威胁活动的主要策源;另一方面,始终活跃着大量的非政府背景的网络威胁行为体。在具体的攻击活动中,既存在高度有针对性和定向性的攻击,同时也存在试图以非定向的广泛传播获取更大利益的行为活动。一方面,超级网空威胁行为体具有可能打穿防御系统的坚定意志和对应手段;另一方面,网络犯罪团伙包括个体攻击者的攻击活动,与高级持续性攻击混在在一起,构成干扰项。
因此,敌情想定的构建既非一般性的围绕脆弱性展开的风险评估,也不是单纯的以攻验防。其整体来看,是一个从防御目标的综合价值特点出发,分析具有关联性动机的不同威胁行为体,在不同背景要素下,使用何种资源和技战术,进行何种行为活动的对抗式推演工作。
2.1 想定构建要以大气候作为整体背景
网络安全工作所面临的敌情是高度严峻的,认知敌情是艰巨复杂的工作。科学地进行敌情想定分析,应以现实大国博弈和地缘安全利益的竞合为背景,以对抗场景中蕴含的资产价值梳理分析为出发点,以国家安全、社会治理安全、政企机构安全和公民个人安全为综合视角。在客观事实的基础上,通过广泛的关联分析与深度的推断研判,定量与定性兼顾、硬实力与软实力综合、当下与前瞻并重,全面形成我方所面临网络威胁及风险后果的想定结论。
以面向国防相关供应链体系的网络安全防护为例,通过敌情想定以准确分析敌方意图而确定我方防御指向与布防范围,相关分析如图1所示。
图1 面向国防供应链网络安全的敌情想定分析
基于图1的梳理,从攻击方意图和想达成的目标来看,一是获取情报,对我方武器装备和平台体系的机理、能力、频谱、参数等信息诸元进行掌控,以实现对我装备和战法的针对性克制;二是获取我方武器较为先进的设计、机理、关键工艺等,通过抄袭、模仿、借鉴以提升其武器能力,降低研发成本;三是在我方武器系统中注入相应弱点,降低我方武器系统的质量,降低武器可靠性和作战效能,削弱我军贸产品信誉;四是通过埋入后门,构造漏洞,获取密钥等机制实现对我方装备的控制。基于这样的敌情想定,我方防御目的就应着重于:感知对手的意图、限制对手获得信息、切断对手预置能力、实现情报反用和注入。实际上,这个安全体系需要覆盖供应链流程与环节,包括对防务企业负有管理方和使用方角色的组织、防务企业本身及其上下游关联企业、对防务具有特定爱好或兴趣的公众,也包括为这些环境提供网络安全服务的供应商本身。
2.2 敌已在内是最基本的敌情想定
从过去的攻击活动的分析来看,超高能力网空威胁行为体的活动是人力、电磁、网空相结合的,在突破内网、包括物理隔离网络方面,有非常成熟的战法套路和装备支撑。具有一定资产规模关键信息基础设施和重要信息系统都不是孤立存在的,无论其在物理上是否与公共互联网,其都是一个存在人员交互、信息交互、运营交互、供应链支撑和维护的一个开放式复杂巨系统。因此,在基础防御想定中,“御敌于隔离之外”是虚假的安全幻想。
敌已在内是基础想定的这一观点,不仅是基于上述判定,也有参照外方的对比验证[5]。在号称“NSA之盾”的IAD(Information Assurance Directorate)的《Understanding the Co-Evolution of Cyber Defenses And Attacks to Achieve Enhanced Cybersecurity》文档中,提出了网空防御五条规则,即:
规则1. 敌方终将进入我方内网;
规则2.网络防御者不能改变“规则1”;
规则3.敌方已经进入我方内网;
规则4.攻击将会持续进行;
规则5.情况会越来越糟。
提出上述五条规则的外方,在网络安全防御上体系完善、能力系统建设投入巨大,依然秉持对手必将进入内网的观点。相比之下,我方在网络安全防御工作中,就更没有理由认为仅靠物理隔离等简单的措施和制度而可以御敌于城门之外了。
2.3 敌情想定要基于被攻击目标的实际场景具体展开
敌情想定并非普适与泛化的,而是具有强烈的针对性,即:需要针对具体的敌方攻击意图、攻击目标、突破入口、场景特点和可能缺陷进行深度分析,从而形成高度具象化的想定内容。表1列举了典型攻击场景及其对应的敌情想定具体内容[6]。
表1 不同行业领域和机构面临的风险的差异分析
|
不同机构和行业领域 |
敌方攻击意图 |
攻击目标和入口 |
场景特点和可能缺陷 |
|
***网 |
窃取核心机密,干扰战略性决策,长期持久化和预制,战时毁瘫 |
供应链污染,物流劫持,组合攻击,人员派驻发展,摆渡攻击 |
缺少系统性敌情分析,单点防护依然为主导, 反特、保密和安全工作没有有效整合 |
|
政务内网 |
窃取秘密信息,干扰决策,长期持久化和预制,向更高目标摆渡,战时毁瘫 |
供应链污染,物流劫持,组合攻击,人员派驻发展,摆渡攻击 |
检测深度和防御纵深需要进一步提升,单点防护依然为主导 |
|
政务外网 |
窃取敏感信息,长期持久化和预制,向更高价值目标摆渡 |
邮件、网站(水坑)等 |
检测深度和防御纵深需要进一步提升,电子邮件威胁相对离散 |
|
关键基础设施 |
获取核心运行数据,干扰系统运行、破坏社会稳定 |
外网暴露接口,离散站点,运行维护支撑环节,内部人员扩展等 |
主要依靠隔离防护,规划体系不清晰,安全防护不足,大量核心节点裸奔 |
|
自主产品企业 |
植入漏洞弱化我产品安全性,获取代码和产品进行漏洞分析挖掘,窃取产品证书绕过白名单 |
环境入侵,跳板攻击,人员带入等 |
开发人员自身的安全能力和经验不足,缺少有效的安全开发方法引入,缺少场景安全保障 |
|
高科技企业 |
获取技术成果进行抄袭模仿,在商业竞争中获取谈判等优势,在产品进行预制弱化下游环节安全 |
互联网侧直接攻击,基于上游供应链入口的攻击等 |
人员高度依赖互联网,容易被从网上定位摸底 |
|
防务相关企业 |
获取装备部件、组件等信息参数,借鉴模仿,弱化干扰武器能力,进行针对性对抗 |
针对关键人员摸底的间接攻击,人员带入等 |
较大比例是制造、电子、精密加工企业, 网络安全意识和投入不足 |
|
高等院校、科研院所 |
窃取科技成果,获取重大工程项目进展,了解国防和其他关联领域情报 |
互联网入口,学术交流活动等 |
缺少持续性的安全防御投入和能力,依赖阶段性的保密检查推动安全改进,人员流动性较大 |
|
遥感测绘部门 |
获取基础数据,干扰篡改测绘数据 |
监听还原信息传输,入侵存储数据等 |
以发展和效率为主导的思路,缺少总体安全观的指导 |
|
智库机构 |
获取我方决策支撑思路、辅助决策过程与成果等信息 |
社会工程,基于互联网以邮件等入口直接攻击等 |
个人单点目标价值大、人员安全意识差 |
以防务相关企业为例,面临着被敌方获取我方装备部件或组件的信息参数并借鉴模仿,从而进行以弱化和干扰我方武器能力的针对性对抗风险;尤其防务供应链所涉及的民营企业往往网络安全意识薄弱、防御投入严重不足。通过这些典型场景的举例,可以看到不同行业具有不同的资产目标价值,面临着来自不同敌方的不同攻击意图,可能遭遇不同形式与复杂性的攻击渗透手段。因此,网络安全防御必须细化、深化自身面临的敌情想定,从而对应决定要达到的防护水平和应予投入的防护成本。在工作中还要针对防护场景的物理拓扑、资产状况、业务情况、防护情况、运营能力等实际展开。此外,该项工作与传统的合规安全、风险评估的一部分工作是相重叠与可复用的。
2.4 敌情想定要针对实际威胁行为体能力具象构建
敌情想定的核心工作是达成:基于目标场景特性和价值,分析可能面对哪些威胁行为体,这些威胁行为体出于何种动机、会利用何种技战术组合以实施攻击活动。因此敌情想定不同于一般性渗透测试和安全评估工作。其不是以防御方所能调度的渗透评估能力来进行的以攻验防过程,而是要根据具体作业方能力进行预设的以推验防过程。在推演中,由于相关威胁行为体所具备的攻击技术、装备、能力不一定是防御方所建构的“蓝军”组织能真实具备或模拟的,因此需要通过想定和导调以补齐相应的杀伤体系。
敌情想定要针对实际威胁行为体而形成针对性的对抗能力分析。如表2所示,安天在内部技术规范中定义了“0级”到“6级”共七个威胁行为体级别,不同网空威胁行为体具有不同的作业资源、支撑力量和能力水平。表3抽取了安天长期跟踪分析三个能力有显著差异的威胁行为体,对比了其在支撑工程平台体系、作业战术、恶意代码、漏洞储备等方面的具体差异[7,8,9]。
表2 安天内部技术规范中定义的威胁行为体级别
|
威胁等级 |
防御目标 |
特点 |
攻击技术和工具 |
|
0级 |
业余黑客 |
|
公开攻击技术与工具 |
|
1级 |
0级目标+黑产组织 |
非国家行为体,受商业利益驱动 |
公开攻击技术、工具与平台,部分专有攻击技术、工具与平台 |
|
2级 |
1级目标+网络犯罪团伙或黑客组织 |
非国家行为体,受商业利益驱动,也可能受意识形态驱动,敢于造成较大破坏或影响 |
专有攻击技术、工具与平台,漏洞挖掘与利用技术开发能力 |
|
3级 |
1级目标+网络恐怖组织 |
非国家行为体,受意识形态驱动 寻求破坏或影响的最大化 |
专有攻击技术、工具与平台,漏洞挖掘与利用技术开发能力 |
|
4级 |
3级目标+一般能力国家/地区行为体 |
国家/地区行为体, 受国家/地区利益驱动, 网络间谍与网络战一体化,寻求通过网络战获得政治、经济与军事优势 |
部分掌握自身国家/地区级网络基础设施的控制,专有攻击技术、工具与平台,具有漏洞挖掘与利用技术开发能力,掌握少量0day漏洞 |
|
5级 |
4级目标+高级能力国家/地区行为体 |
国家/地区行为体, 受国家/地区利益驱动, 网络间谍与网络战一体化,寻求通过网络战获得政治、经济与军事优势 |
部分掌握自身国家/地区级网络基础设施和外部国家/地区级网络基础设施的控制,专有攻击技术、工具与平台,跨维度高度集成的攻击利用手段,漏洞挖掘与利用技术开发能力,掌握较多0day漏洞 |
|
6级 |
5级目标+超高能力国家/地区行为体 |
国家/地区行为体, 受国家/地区利益驱动, 网络间谍与网络战一体化,寻求通过网络战获得政治、经济与军事优势
|
掌握对自身国家/地区级网络基础设施、外部国家/地区级网络基础设施、互联网级网络基础设施、以及信息科技供应链的部分控制能力,专有攻击技术、工具与平台,跨维度高度集成的攻击利用手段,漏洞挖掘与利用技术开发能力,制造漏洞能力,掌握大量0day漏洞 |
表3 典型威胁行为体的能力对比
|
层次 |
典型组织 |
工程平台体系 |
作业战术 |
恶意代码 |
漏洞储备 |
|
超高能力 国家/地区 行为体 |
方程式[7][8][9][10][11](NSA-TAO) |
基于全球信息感知监听体系能力支撑,通过“星风”等系统构成全球信息获取能力。同时在攻击平台方面全部自研且体系化,具有系统的攻击平台、武器插件库,作业流程标准规范严格。[20] |
基于人力、电磁、网络手段复合作业,使用0day、固件植入、系统漏洞、第三方信道等多种植入方式,针对目标覆盖绝大多数IT设备如网关、防火墙和各类终端。作业高度受控、谨慎、隐蔽,抗检测和分析,反溯源能力强。 |
依托大规模恶意代码工程体系,进行更新迭代,研发高度复杂的、功能原子化的木马,对抗性隐蔽性强,代码复用性好、具有跨平台能力。网络通信使用多级后门代理、公私钥加密机制。对目标的控制时间周期长、可复用性高。 |
大量0day工具的储备,标准漏洞挖掘平台,针对各类软硬件设备、服务、互联网客户端都有大量漏洞积累。 |
|
一般能力 国家/地区 行为体 |
绿斑[12]
|
没有全球或区域作战监控能力、作业平台、也没有规范标准作业流程、介于正规部队和散兵作业模式之间。 |
作业方式局限网络空间入口,如邮件、网站、社交平台等,作业使用公开扫描、渗透工具为主、反溯源手段简单,网络通信基础设施采用动态域名、入侵正常网站、虚拟主机为主。 |
依赖开源代码修改或互联网公开工具、自研载荷则功能简单、只有基本的文件收集或数据监控、常规的规避对抗手段、攻击成功率随机性较大、持久化控制力弱。 |
使用1day或Nday或基于已知漏洞修改利用、大部分攻击代码、ShellCode来自开源代码。
|
|
一般能力 国家/地区 行为体 |
白象[13][14][15][16][17][18][19] |
几乎没有数据资源情报、也没有作业平台支撑、载荷和基础设施匮乏、作战资源经常交叉或重复使用。 |
受限于综合国力限制,无法跳出传统网络作战理念,攻击框架还处于网络攻击战术态,相关攻击活动基于局限在社工钓鱼、鱼叉邮件等攻击手段,多采用机会主义的游击战术。 |
开发环境和标准混乱,载荷能力参差不齐,功能粗暴且单一。安全对抗性低,攻击成功率低,且存在编码疏忽或BUG,易被溯源定位。 |
使用开源模板构造1day或Nday利用样本、易被安全软件检测。
|
从表2的威胁行为体级别差异以及表3的具体威胁行为体能力对比可以看出,超高能力行为体拥有最高层次的整体能力。因此,敌情想定必须考虑对手实际能力,既不轻敌、也不惧敌—— 面向强敌对手,从战略上重视敌人,形成最为严苛的想定;同时不畏强敌,勇于同强敌展开高成本、高烈度的持久对抗。
2.5 想定形成中要强化底线思维
网络威胁演进的复杂性和快速性,使其不可避免地蕴含着诸多不能被我方及时感知与掌握的因素。因此,敌情想定必须本着“料敌从宽”的原则,形成对抗的极限化思维,慎重审视如下因素:
(1) 高级威胁行为体有突破目标的坚定意志、充足资源和完备的体系化作业;
(2) 我方网络的任何单点环节均可能失陷或失效,包括网络安全环节本身;
(3) 信息网络系统规划、实施、运维的全过程,自主关键产品及装备科研、试验、生产、仓储、物流、试用的全过程,都是敌方可能的攻击时点;
(4) 我方防御所使用的所有安全产品和环节,都是敌方可获得、可测试与可能绕过的;
(5) 敌方所使用的攻击装备存在“未知”的极大可能性,这种未知对于我方防御力量以及防御支撑力量(如网络安全厂商)而言,是一个尚未获取或至少不能辨识的威胁。
对比于强敌对手,我方网络防御建设长期投入不足,对抗能力处于低位态势,各类信息系统千疮百孔;如果以“幻想”而“确定”能够御敌于外,终将形成巨大隐患和严重危害。必须立足于“敌已在内”,内部不但已存在被敌方控制的网络节点或信息系统,还存在可被敌方利用的人员。现实是残酷的,网络安全防御不是从零开始,而是一项从“负”开始的工作。如果我们不能以极限化思维建立一套严苛的敌情想定、并进而以此谋划防御,我们就不可能建立起有效的布防。
2.6 基于不同对抗烈度场景进行多预案想定
在强化底线思维的同时,也需要看到,网络攻击活动对威胁行为体同样存在成本与后果影响的顾虑。特别是面对战略对手的活动,不是将其极限能力作为常态能力,而是要形成对手在何种背景条件和对抗烈度下会使用何种资源、使用何种战术、达成何种后果的综合判断,尤其是对手使用极限能力的条件判断。通过科学分析,支撑我方对所应采取的防御策略进行准确判断,形成针对不同对抗场景的多预案想定。
威胁行为体的作业活动,同对抗双方当前所处的对抗烈度是紧密关联的。整体来看,对抗烈度可划分为平时的低烈度对抗,以及战时的高烈度对抗,也可能因为某些热点或危机的出现而引发对抗烈度的波动。在低烈度对抗场景下,威胁行为体基于代价考虑与后果顾虑,一般采用渗透、植入、窃密等情报级作业,并尽力隐蔽其作业过程;与此种敌情想定相对应的防御策略,应加强常态化安全运营,注重隐患排查、数据安全、威胁猎杀等工作。在高烈度对抗场景下,威胁行为体除了会加强情报级作业的力度,还会将情报作业进一步升级为作战行动;与此种敌情想定相对应的防御策略,则应进一步采取有力措施保障各种关键信息节点、设备等的功能安全乃至物理安全,防范敌方通过网络实施信息战性质的攻击。
此外,网络攻击活动可能处于威胁行为体实施作业的不同阶段,并非始终表现为持续不断的连续性活动。当某一威胁行为体的活动减弱甚至消失时,并不能盲目地认为敌方已终止了其作业行动。威胁行为体对重要价值目标的攻击作业,在未达预设目的之前,是绝不会终止的。暂时的活动减弱或消失,可能是由于敌方需要进一步的侦察、试探,可能是由于攻击策略调整或手段升级准备,也可能是由于敌方已然完成了渗透与持久化而暂停其活动以加强隐蔽性。还有,大国博弈与地缘安全的高度复杂性,使得不同时期、不同场景下可能存在的威胁行为体并非是单一的,需要依据可能面对的多个威胁行为体的作业能力与特点,综合形成对应的敌情想定。以上这些因素的存在,都要求敌情想定必须具有动态调整的能力,从而依据形势与场景变化而形成针对性的多预案想定。
2.7 敌情想定构建要基于TTPs情报以形成高拟真的杀伤链支撑
敌情想定既要作好战略层面敌方目的意图研判,从而指导我方防御方向和防御重点部署,也要深入到战术层面,拟真地模拟来自想定战略威胁方向的想定对手的实际能力和具体攻击手段,从而针对性地构建我方防御系统各项安全机制并可靠验证防御实战能力。以印方攻击组织“苦象”[16][17](安天命名)为例,通过分析该攻击组织对我国某重要部门实施网络攻击的系列活动,其所使用的攻击技战术(也就是TTP, Tactics, Techniques and Procedures)映射于威胁框架的情况如图2所示。不同于“苦象”攻击组织,对“Darkhotel”[21]攻击组织的惯用技战术分析则形成如图3所示的威胁框架映射。
图2 苦象组织的攻击战术与技术映射于ATT&CK威胁框架
图3 Darkhotel Ramsay组件的攻击战术与技术映射于ATT&CK威胁框架
对比图2和图3,可以看出不同攻击组织所采用的作业手段是显著不同的。“苦象”组织的攻击技战术涉及威胁框架中8个攻击战术和18个攻击技术,而“Darkhotel”组织的攻击战术和技术则分别是10个和28个(包括疑似1个)。除了手段数量的不同,这些手段具体所处的战术阶段与具体对应的技术特性也显著不同,尤其是对应技术的难度水平以及危害的严重程度显著不同。由于不同的对手所使用的攻击战术技术是显著不同的,只有针对性地获取对手TTPs情报并以之为依据,才能够高度拟真地仿真想定攻击组织对我方网络实施攻击的具体过程和作业手法,并结合靶场、推演等手段,可靠评估我方防御机制对想定攻击组织网空杀伤链进行检测、干扰、阻断、呈现的能力及效果。这种攻击组织在作业手段方面的相互差异性与独特性,要求我们必须持续性地建立对攻击战术技术相关知识与情报资源的收集与积累。基于最广泛的对手TTPs情报,按照对攻击战术技术持续遍历与迭代分析的思路,支撑对想定攻击组织最具针对性和最具效力的防御机制的构建与验证。
2.8 敌情想定构建中要完善全生命周期视角
网络攻击和防御都是一个时间过程,需要从攻防两个生命周期角度看。在对抗的全生命周期中,与攻击复杂性相叠加,还存在基于敌方作业能力与机会窗口期的对位性。以表4所示的 “白象”攻击为例[14],其攻击手段在早期并不使用漏洞,后续逐渐使用相对陈旧的漏洞。这一方面说明该行为体的攻击能力和资源有限;另一方面,也暴露出我们的防御缺失,使得不利用漏洞或利用简陋漏洞的攻击依然得以奏效。
表4 “白象”一代与二代对比
|
|
白象一代(2012) |
白象二代(2015) |
|
主要威胁目标 |
巴基斯坦大面积目标与中国少数目标(如高校) |
以中国大面积目标为主,包括教育、军事、科研、媒体等各类目标 |
|
先导攻击手段 |
鱼叉式钓鱼邮件,含直接发送附件 |
鱼叉式钓鱼邮件,发送带有格式漏洞文档的链接 |
|
窃取文件类型 |
*.doc,*.docx,*.xls,*.ppt,*.pps,*.pptx,*.xlsx, *.pdf |
*.doc,*.docx,*.xls,*.ppt,*.pps,*.pptx,*.xlsx, *.pdf,*.csv,*.pst,*.jpeg |
|
社会工程技巧 |
PE双扩展名,打开内嵌图片;图片伪造为军事情报、法院判决书等;整体较为粗糙 |
伪造相关军事、政治信息,整体较为精细 |
|
漏洞使用 |
未见 |
CVE-2014-4114 CVE-2012-0158 CVE-2015-1761 |
|
签名盗用/伪冒 |
未见 |
未见 |
|
组织规模推测 |
10-16人,水平参差不齐 |
有较高攻击能力的团队 |
|
威胁后果判断 |
造成一定威胁后果 |
可能造成严重后果 |
图4 陈旧漏洞攻击的持续和存活
图4表明,大部分的攻击组织普遍都在漏洞公开后一段时间内持续使用该漏洞,只在少数情况下,漏洞是以“0day”方式被使用的。攻击者对陈旧漏洞的持续使用,一是可以显著降低能力要求和研发成本,二是在当前网络安全环境下,补丁、系统加固等基础安全环节不到位、安全产品能力不充分,使得这种攻击对大部分目标系统依然是有效的。
针对Intel等CPU的“幽灵”和“熔毁”漏洞的处置过程,则进一步凸显了全生命周期视角在敌情想定中的重要性。相关漏洞最初被通报时间为2017年6月1日,但在经历了长达6个月的时间之后,关联厂商并没有充分地做好准备。这说明,漏洞的被发现、被批露直至被修复,出于多种复杂原因,可能会历经一个较长的时期,由此而导致的攻击时间窗口和潜在威胁隐患需要深入分析推演。防御并不能简单局限于“修复漏洞”,而必须在漏洞的生命周期内,全面考虑各种直接与间接威胁隐患。当敌方作业窗口对位我方未修复漏洞而形成攻击敞口时,要以敌方已经利用漏洞完成植入为想定,不能只采取面向漏洞本身的修补措施。不仅仅只限于漏洞,对高级和特种木马的防范与消除,也不能只是考虑如何将其消杀;尤其对于重要信息系统,应更进一步考虑到这些恶意代码完全可能已被敌方劫持控制、已被敌方利用并实施了内网横向移动。为此,在弥合对位形成的攻击敞口的基础上,必须进一步进行深度前向分析、后向布防调整、持续监测检测、乃至开展必要的威胁猎杀等工作,以尽可能消除可能经由这些恶意代码已引入的隐患。
2.9 排除导致自我麻痹的无效想定
缺乏敌情想定的安全思维,或者偏离客观实际的敌情想定,都属于无效的敌情想定。无效敌情想定对我方网络安全建设有百害而无一益。表5列举了几种典型的无效敌情想定。
表5 无效敌情想定的若干种典型情况
|
无效想定 |
实际情况 |
|
假定自主研发编写的代码就是安全的、没有后门,甚至没有漏洞 |
能够降低预置后门的可能性,但并不能排除后门与漏洞的存在 |
|
存在特殊的不可被攻击者逾越的防御屏障,典型的例如物理隔离 |
首先,物理隔离网络是能够被攻击者渗透的;其次,物理隔离网络内部的安全防护能力更为脆弱 |
|
内部人员都是完全可靠 |
内部人员往往具有一定的访问和操作权限、且存在监督管理的死角,可能无意中或有意地造成更为恶劣严重的危害 |
|
系统布防是从纯白环境(敌方尚未渗透进来的环境)开始的 |
供应链以及建设过程高度复杂,对手可能会通过预先植入的后门,在系统布防之前已然在系统内取得持久性立足点 |
|
安全规范是能被全面落实 |
任何管理规范与措施都存在未能严格落实的情况,诸如弱口令、违规进行涉密文件拷贝等问题普遍存在 |
|
某种单点创新(比如某种“颠覆性”技术)能解决所有的网络安全问题 |
网络安全是一项长期性、持久性、系统性的工程,不存在能够以“一时”、“一事”或“一技”来全面解决的可能性 |
|
供应链、仓储、物流等环节是可靠的 |
供应链体系的每个环节,都有可能被敌方渗透而形成深度威胁隐患 |
|
攻击方完全基于线上完成攻击作业 |
敌方有可能采取多种手段复合实施作业,包括利用人员与电磁能力实施攻击载荷的投放 |
无效想定带来自我安全麻痹,并在行动上导致只注重对“应激性事件”的处置,从而与通过体系化建设持续提升防御能力的正确路线严重背离。
2.10 基于总体国家安全观综合研判网络安全风险后果影响
当前,网络安全已与社会、经济、政治、军事乃至国家安全紧密联接为一体,对网络安全风险后果影响的研判,不能仅仅局限于受攻击目标本身、或者局限于攻击类型本身。必须坚持总体国家安全观,将网络安全置于更宽广的时空范围内,辩证看待其内因与外因,准确分析其内涵和外延,从而形成对网络安全风险后果的全面把握和综合研判。
英国皇家国防研究所在报告《国家网空行动,网空响应框架建议/State Cyberspace Operations, Proposing a Cyber Response Framework》中提出的影响模型如图5所示[22],它梳理了针对不同攻击类型、不同受攻击目标,所对应的风险后果严重性等级。
图5 防御者系统受攻击影响模型[安天译]
该框架将网空攻击行为活动和被攻击场景目标结合,进行影响分析。按照这一框架:类似“系统危害(虚拟)”对民用目标而言,其后果严重性相对较小,其影响主要涉及到日常生活或工作的中断;但对于关键基础设施目标而言,则会产生严重后果,因为相关目标遭受攻击,可能由此引发诸如交通安全、生命安全、社会秩序混乱等严重连带后果。而针对核设施的网络攻击则可能导致最致命的影响。
3.结语
我国网络安全整体防护水平有了长足进步,但面对高等级网空威胁行为体的有效布防能力依然严重不足,其中原因之一,就是在于对超高能力威胁行为体的能力体系、作业意图、装备与支撑体系认知不足,分析推演不够系统深入。对攻击行为施加于关联场景以及潜在风险后果等重要因素,缺少极限推演。进而导致建设方向偏差、建设思路滞后。为此,本文整体阐述了网络安全中敌情想定的概念、基本内涵和作用价值,并总结了在网络安全建设中做好敌情想定工作的方法要点、分析要素以及价值意义。
网络安全防护工作,不是一厢情愿的自我臆想与闭门规划实施,而是必须正视威胁、直面对手,将对手和威胁的要素叠加在防御体系上的系统而严谨的工作,是一场关乎国家前途命运和人民福祉的伟大斗争。要充分认识到网络安全所面临敌情的高度严峻性,要立足于大国博弈与地缘安全斗争的大背景,深入贯彻总体国家安全观。把敌情想定构建作为网络安全规划的重要步骤,把“敌已在内”作为基础的想定,针对性地分析对抗场景与条件因素,综合研判目标价值、威胁行为体行动与后果之间的相互作用关系,深入洞悉对手意图目的,真正以高能力网空威胁行为体的组织建制、支撑体系、攻击装备、作业手段、作业体系与行动特点为客观依据,叠加到具体的防御场景上推演分析,完善对网络安全防御工作的规律认知,形成以有效防护为导向的能力建设与实战检验标准。要始终坚持客观敌情想定是网络安全工作的前提,不怯于认知敌情工作的长期性、持续性与艰巨复杂性,不被网空敌情的低可见性所迷惑,不被陈旧的认知与错误的观念所误导,坚持战略上藐视对手,战术上重视对手,将网络安全防御工作建立在正确的敌情想定基础之上,真正打造动态综合有效的网络安全防御能力。