美國(guó)網(wǎng)絡(luò)空間攻擊與主動(dòng)防御能力解析（總結(jié)篇）

◎安天研究院

習(xí)近平總書記在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上指出“網(wǎng)絡(luò)安全的本質(zhì)在對(duì)抗，對(duì)抗的本質(zhì)在攻防兩端能力較量?！痹谶@個(gè)過程中，對(duì)于網(wǎng)空威脅行為體，特別是以美國(guó)情報(bào)機(jī)構(gòu)為代表的超級(jí)網(wǎng)空威脅行為體的認(rèn)知就構(gòu)成了我們建立自身防御能力和威懾能力的重要前提。與傳統(tǒng)戰(zhàn)爭(zhēng)領(lǐng)域相同，網(wǎng)絡(luò)空間的博弈對(duì)抗也要建立客觀充分的敵情想定，深入分析敵我當(dāng)前的體系、能力、態(tài)勢(shì)、裝備、編制、戰(zhàn)法等相關(guān)因素。要在未來的博弈競(jìng)合中占據(jù)主動(dòng)，既要發(fā)揮我們的傳統(tǒng)優(yōu)勢(shì)和積累，又不能拘泥于原有的視野和慣性；既要把美方作為一個(gè)超級(jí)網(wǎng)空威脅行為體來對(duì)待，又要把其作為一個(gè)能力引領(lǐng)方來看待。為此在過去的近一年時(shí)間里，我們用了11期的篇幅，對(duì)美方的大型信號(hào)情報(bào)獲取項(xiàng)目、網(wǎng)空安全積極防御體系、網(wǎng)空進(jìn)攻性支撐體系、網(wǎng)空攻擊裝備體系等分別進(jìn)行了展開介紹，并對(duì)未來的能力演進(jìn)進(jìn)行了分析，從多個(gè)角度呈現(xiàn)了其在網(wǎng)絡(luò)空間的強(qiáng)大能力。在本期中，我們將總結(jié)美方在網(wǎng)絡(luò)空間的能力優(yōu)勢(shì)和特點(diǎn)，并對(duì)應(yīng)如何建設(shè)相應(yīng)的防御能力提出我們的思考。

在網(wǎng)絡(luò)空間的各個(gè)維度，美方都代表了最強(qiáng)能力。在復(fù)雜的組織、龐大的人員規(guī)模和充沛的安全預(yù)算保障下，美方建設(shè)了一系列大型工程系統(tǒng)，形成了支撐網(wǎng)空行動(dòng)的工程體系，并依托這些工程體系，將情報(bào)獲取、積極防御、進(jìn)攻作業(yè)以及相關(guān)的支撐環(huán)節(jié)等網(wǎng)空能力逐步整合成為整體的國(guó)家能力。

美國(guó)具有國(guó)家安全至上的傳統(tǒng)，隨著國(guó)力發(fā)展，逐漸將全球無死角的監(jiān)聽與情報(bào)作業(yè)能力視為其全球利益和霸權(quán)的基石。從上世紀(jì)40年代開始，美國(guó)陸續(xù)通過“三葉草”、“尖塔”等計(jì)劃，建立了對(duì)電報(bào)電話系統(tǒng)的監(jiān)聽存檔機(jī)制，并從上世紀(jì)60年代開始建設(shè)以“梯隊(duì)”為代表的各類信號(hào)情報(bào)獲取系統(tǒng)，以形成情報(bào)網(wǎng)絡(luò)基礎(chǔ)。通過大型海底光纜監(jiān)聽、重點(diǎn)特殊區(qū)域監(jiān)聽、計(jì)算機(jī)網(wǎng)絡(luò)利用（CNE）、運(yùn)營(yíng)商入侵、衛(wèi)星監(jiān)聽、第三方情報(bào)共享等方式，美方能夠在全球范圍獲取包括電子郵件、文件傳輸、語音通話、網(wǎng)絡(luò)訪問、短信、傳真、電報(bào)等在內(nèi)的各類網(wǎng)空信號(hào)情報(bào)，形成了網(wǎng)空作業(yè)的“先天優(yōu)勢(shì)”。特別是對(duì)于海底光纜和運(yùn)營(yíng)商的竊聽，使美方在信號(hào)獲取和投入側(cè)都具備了無與倫比的隱蔽性掩護(hù)和反溯源性優(yōu)勢(shì)。

美方全球信號(hào)情報(bào)獲取節(jié)點(diǎn)分布

為實(shí)現(xiàn)對(duì)特定區(qū)域、目標(biāo)，特定類型信號(hào)情報(bào)的獲取，在大型信號(hào)情報(bào)獲取系統(tǒng)的基礎(chǔ)上，美方開展了大量針對(duì)性的信號(hào)情報(bào)監(jiān)聽項(xiàng)目，被斯諾登曝光的美國(guó)國(guó)家安全局（NSA）的“棱鏡”項(xiàng)目就是其中的代表。據(jù)不完全統(tǒng)計(jì)，近年來被披露的美方信號(hào)情報(bào)監(jiān)聽項(xiàng)目已超過30個(gè)。通過這些監(jiān)聽項(xiàng)目，美方就可以實(shí)現(xiàn)對(duì)全球互聯(lián)網(wǎng)人員目標(biāo)、信道目標(biāo)、設(shè)備目標(biāo)等完整的畫像，從而形成比較精準(zhǔn)的目標(biāo)定位能力。

在覆蓋全球的信號(hào)情報(bào)獲取能力基礎(chǔ)上，美方建立了以“湍流”為代表的進(jìn)攻性能力支撐體系，通過被動(dòng)信號(hào)情報(bào)獲取、主動(dòng)信號(hào)情報(bào)獲取、任務(wù)邏輯控制、情報(bào)擴(kuò)散與聚合、定向等情報(bào)相關(guān)的能力模塊，實(shí)現(xiàn)完整的網(wǎng)空情報(bào)循環(huán)，并結(jié)合“監(jiān)護(hù)”、“量子”等相應(yīng)的網(wǎng)空攻防能力模塊，進(jìn)一步實(shí)現(xiàn)情報(bào)驅(qū)動(dòng)的網(wǎng)空積極防御和進(jìn)攻行動(dòng)。

在美方整個(gè)的情報(bào)作業(yè)到軍事行動(dòng)中，美方并不認(rèn)為網(wǎng)絡(luò)空間是一個(gè)獨(dú)立的例外空間。而是將其整合為相對(duì)統(tǒng)一的情報(bào)作業(yè)思維和戰(zhàn)術(shù)方法論之中，是將網(wǎng)絡(luò)作業(yè)作為傳統(tǒng)情報(bào)作業(yè)在網(wǎng)絡(luò)空間中的延伸，將網(wǎng)空能力視為對(duì)傳統(tǒng)物理域能力的疊加和增益。美國(guó)網(wǎng)空司令部認(rèn)為“物理領(lǐng)域的優(yōu)勢(shì)很大程度上取決于網(wǎng)絡(luò)空間的優(yōu)勢(shì)”因此美方并沒有單純的網(wǎng)空作業(yè)的概念，而是強(qiáng)調(diào)多域聯(lián)合和跨域切換。美方基于一套成熟的網(wǎng)空威脅框架來統(tǒng)籌攻擊作業(yè)，指引威脅獵殺。這一框架，由管理、準(zhǔn)備、交互、存在、影響、持續(xù)進(jìn)程在內(nèi)相關(guān)環(huán)節(jié)構(gòu)成，美方對(duì)其進(jìn)一步細(xì)化，形成了對(duì)應(yīng)的字典式指南。

美方究竟采用哪種作業(yè)方式或作業(yè)組合是由希望達(dá)成的目的和不同方式的效果決定的。因此，在美方的網(wǎng)空進(jìn)攻作業(yè)中，往往采用人力近場(chǎng)作業(yè)、物流鏈劫持、電磁中繼、社會(huì)工程學(xué)等多種方式相結(jié)合，實(shí)現(xiàn)作業(yè)目的。在作業(yè)入口與突破點(diǎn)方面，美方借助其網(wǎng)絡(luò)目標(biāo)畫像、定位能力和全球部署的信號(hào)情報(bào)監(jiān)聽節(jié)點(diǎn)，實(shí)現(xiàn)互聯(lián)網(wǎng)目標(biāo)的快速識(shí)別和流量注入，進(jìn)而將惡意代碼通過瀏覽器打入上網(wǎng)用戶的節(jié)點(diǎn)中。對(duì)于非上網(wǎng)用戶，美方也能夠通過其他作業(yè)方式，依靠各類針對(duì)性的網(wǎng)空攻擊裝備，對(duì)物理隔離網(wǎng)絡(luò)進(jìn)行突破，之后在進(jìn)行橫向移動(dòng)。美方的網(wǎng)空攻擊裝備體系具有制式化、全平臺(tái)、全能力特點(diǎn)，從美方的裝備研發(fā)思路來看，始終確保攻擊裝備的全I(xiàn)T場(chǎng)景覆蓋能力，針對(duì)各種端點(diǎn)設(shè)備、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備研發(fā)儲(chǔ)備0Day漏洞攻擊工具，和對(duì)應(yīng)的惡意代碼。美方所使用的惡意代碼，基于一個(gè)可擴(kuò)展的模塊化框架，對(duì)功能進(jìn)行細(xì)分到原子化的設(shè)計(jì)。同時(shí)依托精致、嚴(yán)密的指令體系進(jìn)行細(xì)粒度的作業(yè)控制。保證作業(yè)的隱蔽性、謹(jǐn)慎性，減少木馬被完整捕獲的可能性，并有效穿透端點(diǎn)主動(dòng)防御軟件。

在網(wǎng)空積極防御方面，美方建設(shè)了以NSA的“守護(hù)”為代表的積極防御體系，通過國(guó)家級(jí)的信號(hào)情報(bào)能力，提前獲知對(duì)手的攻擊意圖、技術(shù)、工具等信息，將相應(yīng)規(guī)則部署到邊界的高速深包處理設(shè)備，在對(duì)手發(fā)動(dòng)進(jìn)攻時(shí)及時(shí)發(fā)現(xiàn)，快速響應(yīng)。對(duì)于高“價(jià)值”的對(duì)手入侵行動(dòng)，通過邊界的高速深包處理設(shè)備將對(duì)手引入能夠高度模擬其網(wǎng)絡(luò)的“網(wǎng)空欺騙環(huán)境”中，與對(duì)手進(jìn)行“隔空對(duì)抗”，誘導(dǎo)出更多情報(bào)，并在需要時(shí)進(jìn)行反擊。美方在網(wǎng)空防御方面十分重視利用民間技術(shù)和產(chǎn)品，高度尊重網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)價(jià)值規(guī)律，以NSA為例，商用網(wǎng)絡(luò)安全產(chǎn)品是構(gòu)成其防御體系的重要一環(huán)。但商用安全產(chǎn)品和企業(yè)，并非美方防御能力的最強(qiáng)點(diǎn)。在這些商用產(chǎn)品基礎(chǔ)上，其形成了對(duì)威脅實(shí)現(xiàn)理解和環(huán)節(jié)整體防御框架體系，并進(jìn)一步與國(guó)家戰(zhàn)略情報(bào)相互協(xié)同。將戰(zhàn)略情報(bào)通過能力框架脫敏轉(zhuǎn)化為可公開的防御規(guī)則和信標(biāo)。同時(shí)，NSA提出了“鯊魚先知”積極防御計(jì)劃，通過與安全廠商共享威脅情報(bào)，提高整體態(tài)勢(shì)感知能力，進(jìn)而實(shí)現(xiàn)更加有效的高級(jí)威脅發(fā)現(xiàn)和快速響應(yīng)。此外，旨在保護(hù)政府網(wǎng)絡(luò)系統(tǒng)安全的“愛因斯坦3”計(jì)劃中，其入侵防御能力就來自于NSA。美方通過軍用安全能力和商用安全能力的深度結(jié)合，不斷完善防御體系，提升防御能力。

美方網(wǎng)空作業(yè)技術(shù)流程與部分工程和裝備作用的映射

面對(duì)體系化作業(yè)的超級(jí)網(wǎng)空威脅行為體。我們應(yīng)該如何應(yīng)對(duì)？首先，我們需要意識(shí)到，網(wǎng)空對(duì)抗是常態(tài)化的進(jìn)行時(shí)，其沒有非常清晰的平時(shí)與戰(zhàn)時(shí)的差異。因此網(wǎng)空威懾模型不是類似“核威懾”以后果不可承受達(dá)成“互不使用”模式，而是體系化的攻擊與體系化防御的持續(xù)對(duì)抗模式。必須以網(wǎng)空防御能力建設(shè)為基本盤，以強(qiáng)大的防御實(shí)現(xiàn)減少對(duì)手的可攻擊面、削弱對(duì)手的行動(dòng)能力、提升對(duì)手的攻擊成本，并進(jìn)一步通過反制能力提升對(duì)對(duì)手的威懾。面對(duì)復(fù)雜的安全形勢(shì)，重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施的防御水平的高低會(huì)在關(guān)鍵時(shí)刻決定國(guó)家戰(zhàn)略的主動(dòng)程度。

對(duì)于關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)，有效的敵情想定是做好網(wǎng)絡(luò)安全防御工作的前提，要圍繞“敵已在內(nèi)”、“敵將在內(nèi)”建立極限化的敵情想定。高級(jí)威脅行為體有突破目標(biāo)的堅(jiān)定意志、充足資源和充分的成本承擔(dān)能力；防御者所使用的所有產(chǎn)品和環(huán)節(jié)，是攻擊方可以獲得并測(cè)試的，任何單點(diǎn)環(huán)節(jié)均可能失陷或失效，包括網(wǎng)絡(luò)安全環(huán)節(jié)；信息系統(tǒng)規(guī)劃、實(shí)施、運(yùn)維的全生命周期都是攻擊者的攻擊時(shí)點(diǎn)；供應(yīng)鏈和外部信息環(huán)境都是攻擊者可能的入手點(diǎn)；攻擊者所使用的攻擊裝備有較大可能是“未知”的，即對(duì)于防御方以及防御方的支撐維護(hù)力量（如網(wǎng)絡(luò)安全廠商）來說，是一個(gè)尚未獲取或至少不能辨識(shí)的威脅。同時(shí)，敵情想定要深入結(jié)合目標(biāo)場(chǎng)景，避免將防御的重點(diǎn)和成本始終投入到容易看見或容易理解的威脅中去，而脫離了高級(jí)網(wǎng)空行為體帶來的更隱蔽、更致命的威脅。

對(duì)于網(wǎng)絡(luò)信息系統(tǒng)這樣的一個(gè)復(fù)雜系統(tǒng)，不可能靠一個(gè)單點(diǎn)技術(shù)變革和單點(diǎn)創(chuàng)新，或產(chǎn)品堆砌來應(yīng)對(duì)安全問題，必須以體系化的防御來應(yīng)對(duì)體系化的進(jìn)攻，網(wǎng)絡(luò)防御沒有“銀彈”和“永動(dòng)機(jī)”。在網(wǎng)空安全防御體系建設(shè)工作中，根據(jù)網(wǎng)絡(luò)安全研究機(jī)構(gòu)SANS所提出的“滑動(dòng)標(biāo)尺”模型，安天參與將其翻譯引入國(guó)內(nèi)后，國(guó)內(nèi)多家能力型廠商此基礎(chǔ)上在取得共識(shí)后進(jìn)行了延伸拓展，安天在其基礎(chǔ)上進(jìn)一步提出了疊加演進(jìn)的網(wǎng)絡(luò)空間安全能力導(dǎo)向建設(shè)模型?；瑒?dòng)標(biāo)尺的基本模型將網(wǎng)空安全能力分五大類別，其中基礎(chǔ)結(jié)構(gòu)安全、縱深防御、積極防御、威脅情報(bào)等四大類別的能力都是一個(gè)完善的網(wǎng)絡(luò)安全防御體系所必須的，而反制能力則是應(yīng)當(dāng)由國(guó)家級(jí)網(wǎng)空安全防御體系提供。在這些網(wǎng)絡(luò)安全防御能力的支撐下，通過實(shí)戰(zhàn)化的網(wǎng)絡(luò)安全運(yùn)行，實(shí)現(xiàn)全面完善的網(wǎng)空安全防御。

疊加演進(jìn)的網(wǎng)絡(luò)空間安全能力模型

具體來說，在基礎(chǔ)結(jié)構(gòu)安全和縱深防御方面，重點(diǎn)要保障安全能力的“深度結(jié)合、全面覆蓋”，即安全防御能力與物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)與用戶等各個(gè)層級(jí)的深度結(jié)合，并將網(wǎng)絡(luò)安全防御能力部署到信息化基礎(chǔ)設(shè)施和信息系統(tǒng)的“每一個(gè)角落”，最大化覆蓋構(gòu)成網(wǎng)絡(luò)的各個(gè)組成實(shí)體。在此基礎(chǔ)上，建設(shè)以態(tài)勢(shì)感知為核心的威脅情報(bào)驅(qū)動(dòng)的動(dòng)態(tài)防御能力體系，做到“掌握敵情、協(xié)同響應(yīng)”，重點(diǎn)是在敵情想定的基礎(chǔ)上提升網(wǎng)絡(luò)系統(tǒng)的可彈性恢復(fù)水平，特別是依靠具有動(dòng)態(tài)特性的積極防御能力，在威脅情報(bào)能力的驅(qū)動(dòng)下，通過全面持續(xù)監(jiān)控發(fā)現(xiàn)威脅蹤跡，并針對(duì)潛伏威脅展開“獵殺”行動(dòng)，從而發(fā)現(xiàn)并消除威脅。此外，還要加強(qiáng)網(wǎng)絡(luò)安全防護(hù)運(yùn)行工作，將安全管理與防護(hù)措施落實(shí)前移至規(guī)劃與建設(shè)等系統(tǒng)生命周期的早期階段，將態(tài)勢(shì)感知驅(qū)動(dòng)的實(shí)時(shí)防護(hù)機(jī)制融入系統(tǒng)運(yùn)行維護(hù)過程，支撐起協(xié)同聯(lián)動(dòng)的實(shí)戰(zhàn)化運(yùn)行，實(shí)現(xiàn)常態(tài)化的威脅發(fā)現(xiàn)與響應(yīng)處置工作，不斷提升網(wǎng)絡(luò)安全水平。

本文是本系列專欄文章的最后一期，限于篇幅所限，還有大量?jī)?nèi)容沒有完全展開，同時(shí)在文章寫作過程中，雖然我們力求嚴(yán)謹(jǐn)，但水平有限，避免不了可能存在各方面疏漏，請(qǐng)廣大讀者諒解。感謝您一直以來對(duì)本專欄的關(guān)注，希望我們的工作能夠?yàn)槲覈?guó)的關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)工作提供有益借鑒和參考。

（本文重要觀點(diǎn)參考自黃晟同志為《網(wǎng)絡(luò)空間安全防御與態(tài)勢(shì)感知》（Cyber Defense and Situational Awareness）一書撰寫的譯者序，特此鳴謝?。?/p>