【腾讯科技编者按】据业界媒体TechRepublic介绍,欧洲、加拿大、美国、澳大利亚等国正在积极开展例行演习,为应对网络战争的爆发做准备。锁盾(Locked Shields)是其中最大的模拟演习。以下是对今年锁盾演习的报道:
Berylia遭到了攻击。这已经不是第一次了。
Berylia这个岛国地处大西洋一个比较寒冷的水域,拥有世界一流的无人机产业,该国的很大一部分财政收入都来自这个产业。但最近,他们的无人机研究实验室遭到了身份不明的黑客入侵,该国不得不把安全专家快速反应小组部署到实验室里,希望尽快查明状况,阻止攻击。
在忙碌的两天时间里,安全团队不仅要对抗黑客,保护自己的系统,避免无人机被黑,而且还要应付一个带有敌意的媒体记者。
这并不是Berylia第一次遭到攻击了:奇怪的是,这种网络攻击每年同一时间都会发生。这也不会是该国最后一次遭受攻击,因为Berylia是一个虚构的国家,是北约(NATO)年度网络防御演习“锁盾”的背景设定。
全球最大的国际网络防御演习锁盾是北约网络战智库卓越合作网络防御中心(Cooperative Cyber Defence Centre of Excellence ,简称CCD COE)在爱沙尼亚承办的一个防御演习。自2010以来,每年都会举办一次,目的是为国家信息系统的日常安全工作培训专才。虽然这个演习每年的情景设定都有所不同,但基本套路是一样的:Berylia遭到攻击,而对手Crimsonia经常也会出现。
虽然Berylia是一个虚构的国家,但爱沙尼亚本身对这种类型的数字攻击有亲身经验:在2007年,当爱沙尼亚当局提议移除战争纪念馆时,它的银行和政府系统遭到了黑客破坏。俄罗斯否认参与任何网络攻击活动,但那起事件加快了这个北约网络智库的形成。该智库坐落在爱沙尼亚首都塔林。
今年的锁盾演习针对1500个虚拟化系统开展了逾1700次攻击,共有20个防御团队分别为在线服务和工业控制系统提供保护,阻止恶意软件攻击和数字入侵。
这不是唯一的大型网络防御演习。美国自己每年也会开展“网络卫士”(Cyber Guard)演习,今年演习的参加者不仅包括来自美国政府各机构的大约1000人,还包括一些来自英国、加拿大和澳大利亚的安全人员,情景设定是炼油厂、电网和港口遭到了虚构攻击。此外,英格兰银行也在伦敦各大银行举办了“醒鲨”(Waking Shark)演习。然而,“锁盾”自称是全球最大的国际科技网络防御演习。
如何给防御增加难度参加锁盾演习的所有团队,他们面对的任务都是一样的,需要保护的虚拟系统也是同一套。虽然这个演习是在爱沙尼亚的卓越合作网络防御中心开展的,但大部分团队都是在自己的国家远程登录的系统。所有团队同时参与演习,但是各自作战,所以从某些方面来说,这是在同时进行20场演习,虽然锁盾也允许团队之间进行一些信息共享。
在今年的设定中,所有团队都需要扮演刚刚被部署到无人机研究实验室的快速反应部队。这就意味着,在演习开始的时候,他们甚至不知道需要保护哪个系统,也不知道攻击者是否已经成功入侵。
就连透露给他们的关于无人机系统的信息也非常少,而且未必准确――因为在现实世界就会是这样。这给防御团队的准备工作增加了难度。
“我们使用了取材于现实生活的攻防场景,这不是在一个抽象的模拟系统上演习,我们使用的操作系统和现实世界中是一样的,” 2016年锁盾活动的场景主管雷恩乌提斯博士( Rain Ottis)说。
“我们想看看,如果很多细节都不太明朗,他们对整个环境并不是很了解,在这种情况下,他们如何开展团队行动,”他说。
而且难度还会增加。团队不仅要应对黑客的攻击,还要面对“自己人”的指责。 “我们也把这种情况做得尽量逼真,”乌提斯说。
处于防御方的蓝队每队大约有十几个人,这些团队必须保护大约2000台机器组成“业务网络”,包括电邮站点、购物网站,以及各种各样的工业控制系统。
这样做的目的,是持续给团队施加压力,测试这些专业防御人员在遭受全面网络攻击下的反应。当然他们希望永远不会在现实生活中遭遇这样的全面网络攻击。
一切东西都是目标
“各种状况应有尽有,我们有windows 7、8、10,还有 苹果 OS X,还有大部分linux版本,所以场景中有很多操作系统。而且还有一个普通的办公室可能会用到各种软件和硬件,我们模拟它们,把它们容易受到攻击的一面展示出来,”CCD COE的技术演习主管阿勒雷托恩(Aare Reintam)说。
“我们希望展示环境中一切可能成为目标,或者成为黑客入侵内部网络的跳板的东西,”他说。
这就是说,从智能手机到不起眼的打印机,各种东西都有可能会成为目标。 “我们想表达的是,网络中的所有一切都可能成为目标,所以所有的东西你都必须保护。攻击者只要找到一个薄弱点,就可以展开攻击,”他说。
因此,团队不只要保护标准的PC或服务器,还要保护物联网。根据设定,团队要保护无人机的研究实验室,所以他们面临的一个挑战就是掌控无人机的指挥和控制系统――如果已经被黑客掌控,就要重新夺回控制权。
他们需要保护的一个出人意料的系统,是一个工业指挥和控制系统,服务器机房冷却装置就是由该系统控制的。如果团队失去控制的这个系统的控制权,那么黑客就可能会打开暖气,导致他们的服务器宕机(出现这种情况时,服务器机房的模拟器就会闪火花)。
这些团队回应挑战的方式各有不同,当面临重大网络攻击的时候,拔插头,通过脱机方式来保护系统是一个很诱人的选择。但是这和演习的要求是相悖的。演习要求团队必须能够保护系统,同时又保持它们的正常运行,虽然也有谁先谁后的原则。
雷托恩认为这是一个关键点:“我们是在教他们如何保护我们的生活方式,那些我们已经习惯的生活方式,比如你在早晨醒来,你开灯,然后烧水煮咖啡,你可以一边喝咖啡,一边浏览新闻……你必须注意到这种生态系统的方方面面,必须要保护它。”
红队的策略如果没有扮演攻击者的红队,防御演习也难以起到明显的效果,红队大约有60名成员,任务是“制造战争的迷雾,将防御团队笼罩在其中”。红队的负责人Mehis Hakkaja是Clarified Security公司的首席执行官。红队使用尽可能逼真的方式开展攻击,不过这些攻击都是可以被抵御的。
虽然红队事先就对蓝队系统的薄弱环节很了解,还知道一些预先植入的后门。但演习一旦开始,情况就会迅速发生变化,他说。有些攻击针对的是基本的网络安全问题,比如缺少补丁之类,但很快就可以升级为针对复杂工业控制系统的攻击。红队的攻击可以伪装成各种典型的黑客手法――有些是神不知鬼不觉的“高级持续性威胁”,另一些是攻势高调,但技术含量不高的攻击,或者是根据场景不同,同时使用这两种攻击方式。攻击计划的变化取决于防御团队是否应付得当。攻击者会尝试窃取文件,然后将其泄露给虚拟的媒体,但如果蓝队设法阻挠了他们的行动,攻击就会朝着另一个方向发展。
从不同方式展开攻击和威胁,红队和组织者可以评估蓝队的注意力和反应力,评估他们的初步防御计划是否奏效,以及他们是否掌握了控制权,是否了解局面。
“拥有良好的初始防御策略是好事,但更为重要的是拥有即时调整计划的能力。”
对软能力的测试在技术之外,演习还测试了团队在其他一些方面的能力:对法律问题的理解,如何应付媒体,如何向虚构的指挥员和政治领导者汇报情况。
在应对媒体方面,即使采访记者带有敌对情绪,企图引导团队泄露太多情况,或者说错话,团队也必须能够清楚解释自己采取的行动,准确传达自己的观点,所有采访都会在专供演习的新闻网站中播出。
由于在黑客活动,特别是网络战争领域,往往没有法律可以遵循,所以团队必须尽一切所能来确保自己行为的合法性。
而且团队还必须做好记录工作。
“我们希望他们能写出具有可读性的报告,讲明白到底发生了什么回事,这些报告可以提交给经理或政府部长,非技术专家也可以理解它们。我们之前见过多次这样的情况,这是网络安全界的一个弱点。我们喜欢使用术语,这就是为什么我们想要传达的有些信息没有传达到的原因,所以我们要做这方面的训练。”乌提斯说。
“网络安全专业人员处在巨大压力之下,他们必须监控环境,考虑到社会、政治和法律方面的影响,同时又要应对源源不断的技术挑战。”
优秀防御团队的特点这次演习强调的一个重点是团队沟通、团队领导力和权力下放。那么,怎样才算得上是一个优秀的网络防御团队呢?
优秀团队往往会事先做好准备,他们会思考有哪些技能和工具可能用得上。这些团队通常也可以很快给成员分配好任务,让大家进入角色,所以他们不必去操心在行动开始之后,由哪个成员负责哪些系统。
优秀团队会设法理解战况,预测攻击者的下一步打算,并尽量作好准备,乌提斯说。
“我们希望看到的是,团队从哪些地方入手来理解战况,了解自己,了解对手,并在这个基础上制定计划,”乌提斯说。 “要弄清楚你需要在哪里装传感器,哪些服务需要派更多的人工监测,哪些可以放一放。关键是要在网络攻防中掌握主动。”
红队主管Hakkaja也有类似的观点:“团队要看到整个大局,理解它,并向成员传达,不要纠缠在技术细节上――要做到这一点对于技术人员来说可能是最困难的。蓝队在日常工作中很少遇到这样的场景,像锁盾这样的大规模的网络演习提供了一个独特的机会,让他们面对这样快节奏的状况。”
然而,有一件事是团队无法做到的,那就是反击攻击者。 “这是一个严格的防御性演习,所以我们希望他们能够保护自己的系统,我们也希望他们在有必要的时候开展合作,我们希望他们和上级指挥以及其他人保持沟通。但是,我们不希望他们进行反攻,因为这会带来非常严重的法律后果,”乌提斯说。
斯洛伐克团队赢得了今年的比赛,紧随其后的是北约的计算机事件响应能力团队(NCIRC)和芬兰队。斯洛伐克队在“媒体挑战”环节得分最高,德国在“法医科学”环节获得第一名,NCIRC是法律分析环节的第一名,捷克在场景挑战环节得分最高。
雷托恩说,各国对这种演习有巨大的需求,这反映了北约很多国家在网络防御方面的担心,尤其是波罗的海国家。他们担心遭到俄罗斯的网络攻击,爱沙尼亚甚至在考虑把大量公共数据(从出生记录到房契)备份到外国的一个安全地方。
因此,NATO近几年来越来越重视网络战,近期还把网络空间定义为一个作战领域,也就是潜在战场的意思。
然而,北约很多成员国缺乏训练有素的安全人员,难以应对国家基础设施可能遭受的重大网络攻击。像锁盾这样的演习不仅鼓励成员国更加认真地对待数字防御措施,而且也是在向潜在攻击者表明北约的态度。(编译/Kathy)
