◎上海戎磐網(wǎng)絡(luò)科技有限公司首席信息官 slimming Panda
著名軍事家詹姆斯·亞當(dāng)斯在其著作《下一場(chǎng)世界戰(zhàn)爭(zhēng)》中曾預(yù)言:在未來(lái)的戰(zhàn)爭(zhēng)中,計(jì)算機(jī)本身就是武器,前線無(wú)所不在,奪取作戰(zhàn)空間控制權(quán)的不是炮彈和子彈,而是計(jì)算機(jī)網(wǎng)絡(luò)里流動(dòng)的比特和字節(jié)。網(wǎng)絡(luò)上真有可能爆發(fā)一場(chǎng)戰(zhàn)爭(zhēng)嗎?美國(guó)國(guó)土安全部的結(jié)論是:很有可能,而且現(xiàn)在美國(guó)就必須準(zhǔn)備好打贏這場(chǎng)戰(zhàn)爭(zhēng)。美國(guó)國(guó)土安全部自2006年起牽頭組織實(shí)施了六輪“網(wǎng)絡(luò)風(fēng)暴”演習(xí),該演習(xí)堪稱美國(guó)史上最大規(guī)模網(wǎng)絡(luò)戰(zhàn)演習(xí),正是美國(guó)未雨綢繆、厲兵秣馬備戰(zhàn)第五空間的練兵場(chǎng)。
“網(wǎng)絡(luò)風(fēng)暴”系列演習(xí)是由美國(guó)國(guó)會(huì)授權(quán)、國(guó)土安全部(DHS)下設(shè)機(jī)構(gòu)國(guó)家網(wǎng)絡(luò)安全與通信集成中心(NCCIC)牽頭實(shí)施的國(guó)家級(jí)網(wǎng)絡(luò)事件響應(yīng)演習(xí),每?jī)赡昱e行1次,從2006年開(kāi)始實(shí)施,迄今已經(jīng)舉行過(guò)6次。除了“網(wǎng)絡(luò)風(fēng)暴IV”演習(xí),其他五次演習(xí)都屬于頂層國(guó)家級(jí)演習(xí)。網(wǎng)絡(luò)風(fēng)暴IV因?yàn)槁?lián)邦應(yīng)急管理署決定將“國(guó)家級(jí)演習(xí)(NLE)2012”定調(diào)為網(wǎng)絡(luò)攻擊事件響應(yīng),為避免重復(fù),籌劃組因此放棄了頂層演習(xí)的方案,轉(zhuǎn)而采用由小型研討會(huì)、到兵棋推演、再到大型實(shí)戰(zhàn)演練等15個(gè)大小不等的演練活動(dòng)組成的方案。此次演習(xí)在時(shí)間跨度上也最長(zhǎng),從2011年底一直延續(xù)到2014年初。
不同于國(guó)際和國(guó)內(nèi)眾多的CTF(攻防比賽)以選拔技術(shù)人才和檢驗(yàn)技術(shù)方案為主,“網(wǎng)絡(luò)風(fēng)暴”系列演習(xí)更加側(cè)重于檢驗(yàn)聯(lián)邦政府、州、地區(qū)、國(guó)際組織以及私營(yíng)組織之間的協(xié)同應(yīng)急處置能力(主要為處理兩個(gè)關(guān)系:政府和私營(yíng)伙伴之間的關(guān)系;政府和其在州、地區(qū)以及國(guó)際政府伙伴之間的關(guān)系。)國(guó)土安全部希望通過(guò)該演習(xí)查找薄弱環(huán)節(jié),評(píng)估并強(qiáng)化網(wǎng)絡(luò)戰(zhàn)備工作,檢查事件響應(yīng)流程以及完善信息共享機(jī)制。該系列演習(xí)純屬“模擬演習(xí)”,在演習(xí)中沒(méi)有實(shí)際的系統(tǒng)受到攻擊,但網(wǎng)絡(luò)風(fēng)暴提供了一個(gè)場(chǎng)所,可以模擬發(fā)現(xiàn)和響應(yīng)影響美國(guó)關(guān)鍵基礎(chǔ)設(shè)施的大規(guī)模協(xié)調(diào)網(wǎng)絡(luò)攻擊。
網(wǎng)絡(luò)風(fēng)暴演習(xí)是一次多國(guó)、多政府部門、多安全能力機(jī)構(gòu)、多私營(yíng)企業(yè)等的協(xié)同演練。參演單位包括聯(lián)邦政府部門(如國(guó)防部、財(cái)政部、交通部、國(guó)家安全局等),各個(gè)行業(yè)的信息共享和分析中心(ISAC),州、國(guó)際政府伙伴,以及私營(yíng)合作伙伴(如關(guān)鍵基礎(chǔ)設(shè)施類企業(yè)以及高科技企業(yè)),堪稱美國(guó)史上同類型最大規(guī)模的網(wǎng)絡(luò)安全演習(xí)。
“網(wǎng)絡(luò)風(fēng)暴I”演習(xí)的參與者包括32個(gè)政府部門、4家公司(微軟、思科等);“網(wǎng)絡(luò)風(fēng)暴II”演習(xí)的參與者則包括9個(gè)州、18個(gè)聯(lián)邦機(jī)構(gòu)、5個(gè)國(guó)家,以及超過(guò)40家私營(yíng)公司;而到了“網(wǎng)絡(luò)風(fēng)暴V”演習(xí)時(shí),參演單位已增加至9個(gè)政府內(nèi)閣級(jí)核心部門、32個(gè)州、2個(gè)盟國(guó)、近70家私營(yíng)企業(yè)和協(xié)調(diào)機(jī)構(gòu);為了進(jìn)一步擴(kuò)大演習(xí)覆蓋面,網(wǎng)絡(luò)風(fēng)暴VI演習(xí)還邀請(qǐng)了關(guān)鍵制造業(yè)和運(yùn)輸業(yè)私營(yíng)合作伙伴深度參與演習(xí)。
每一次網(wǎng)絡(luò)風(fēng)暴行動(dòng)皆以此前發(fā)生過(guò)的真實(shí)事件為基礎(chǔ)進(jìn)行演練?!熬W(wǎng)絡(luò)風(fēng)暴I”演習(xí)的假想敵是一個(gè)擁有充足資金支持的松散黑客組織?!熬W(wǎng)絡(luò)風(fēng)暴II”的假想敵是一群“壞分子”在全球范圍內(nèi)展開(kāi)的一場(chǎng)聯(lián)合網(wǎng)絡(luò)攻擊,通過(guò)“肉雞”用戶去攻擊真正的目標(biāo)網(wǎng)站,即“APT攻擊”。“網(wǎng)絡(luò)風(fēng)暴III”的假想敵是一個(gè)擁有充足資金和時(shí)間的對(duì)手,其攻擊的主要目標(biāo)是互聯(lián)網(wǎng)身份認(rèn)證系統(tǒng)和域名解析系統(tǒng)。在遭到這些攻擊后,美國(guó)可能出現(xiàn)部門功能癱瘓乃至人員傷亡的情況。“網(wǎng)絡(luò)風(fēng)暴V” 的假想敵則是75個(gè)不同的松散組織,其攻擊的主要目標(biāo)是路由器、用于域名和IP地址相互映射的域名系統(tǒng)以及提供加密和數(shù)字簽名服務(wù)的公鑰基礎(chǔ)設(shè)施。“網(wǎng)絡(luò)風(fēng)暴VI” 的假想敵雖然因官方刻意隱瞞而無(wú)從得知,但據(jù)國(guó)土安全部負(fù)責(zé)網(wǎng)絡(luò)安全和通信的助理部長(zhǎng)Jeanette Manfra透露,想定主要圍繞關(guān)鍵制造業(yè)、運(yùn)輸業(yè)以及IT和通信領(lǐng)域的網(wǎng)絡(luò)攻擊。
每一次“網(wǎng)絡(luò)風(fēng)暴”演練,都是對(duì)網(wǎng)絡(luò)技戰(zhàn)術(shù)的一次概念性嘗試。“網(wǎng)絡(luò)風(fēng)暴I”的演練內(nèi)容是“攻擊網(wǎng)絡(luò)”;“網(wǎng)絡(luò)風(fēng)暴II”演練了“利用網(wǎng)絡(luò)實(shí)施攻擊”;“網(wǎng)絡(luò)風(fēng)暴III”演習(xí)則前瞻性地論證了通過(guò)破壞互聯(lián)網(wǎng)身份認(rèn)證和域名解析能力,實(shí)現(xiàn)“讓網(wǎng)絡(luò)自己攻擊自己”;“網(wǎng)絡(luò)風(fēng)暴V”和“網(wǎng)絡(luò)風(fēng)暴VI”演習(xí)則緊跟網(wǎng)絡(luò)安全形勢(shì)的演變,聚焦針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的新型網(wǎng)絡(luò)攻擊樣式。
網(wǎng)絡(luò)風(fēng)暴I是網(wǎng)絡(luò)響應(yīng)團(tuán)體第一次共同研究國(guó)家對(duì)網(wǎng)絡(luò)事件的響應(yīng)方案;網(wǎng)絡(luò)風(fēng)暴II重點(diǎn)演練個(gè)人應(yīng)急能力和領(lǐng)導(dǎo)決策;網(wǎng)絡(luò)風(fēng)暴III側(cè)重于根據(jù)國(guó)家級(jí)框架實(shí)施的應(yīng)急響應(yīng),并提供了國(guó)土安全部負(fù)責(zé)協(xié)調(diào)公私部門協(xié)同響應(yīng)的中樞機(jī)構(gòu)國(guó)家網(wǎng)絡(luò)安全與通信集成中心(NCCIC)的第一次運(yùn)行測(cè)試;網(wǎng)絡(luò)風(fēng)暴IV側(cè)重于幫助社區(qū)和各州提升事態(tài)升級(jí)情況下的網(wǎng)絡(luò)響應(yīng)能力。網(wǎng)絡(luò)風(fēng)暴V和VI重點(diǎn)演練針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊,并匯集了包括零售和醫(yī)療保健業(yè)以及關(guān)鍵制造業(yè)和運(yùn)輸業(yè)等在內(nèi)的新行業(yè)。特別是,近兩次演習(xí)尤其注重從多領(lǐng)域響應(yīng)嚴(yán)重的網(wǎng)絡(luò)事件,以此為團(tuán)隊(duì)建立起響應(yīng)的“肌肉記憶”,以便所有人知道遇到此類事件時(shí)該怎么做。
2018年4月10日,美國(guó)國(guó)土安全部(DHS)召集1000余人組成的參演力量,舉行了聲勢(shì)浩大的新一輪網(wǎng)絡(luò)風(fēng)暴演習(xí)(網(wǎng)絡(luò)風(fēng)暴VI)。參演單位除了傳統(tǒng)的聯(lián)邦和州政府核心安全部門、國(guó)際合作伙伴以及私營(yíng)合作伙伴,此次演習(xí)還特別邀請(qǐng)了關(guān)鍵制造業(yè)和運(yùn)輸業(yè)私營(yíng)企業(yè)的參與,并且重點(diǎn)演練了關(guān)鍵制造業(yè)和運(yùn)輸業(yè)關(guān)鍵基礎(chǔ)設(shè)施遭受攻擊后的應(yīng)急處置方案。演習(xí)持續(xù)時(shí)間只有短短的3天,目的是讓參演人員走出舒適區(qū),并且在場(chǎng)景設(shè)置上也是強(qiáng)調(diào)任何一家機(jī)構(gòu)都無(wú)法憑借一己之力來(lái)應(yīng)對(duì),必須通過(guò)多部門、軍政地之間的協(xié)同。
Jeanette Manfra表示,關(guān)鍵基礎(chǔ)設(shè)施面臨網(wǎng)絡(luò)威脅形勢(shì)日益嚴(yán)峻,是美國(guó)必須面對(duì)的最嚴(yán)峻的國(guó)家安全挑戰(zhàn)之一。Manfra還指出,DHS 會(huì)持續(xù)關(guān)注關(guān)鍵制造行業(yè)和工業(yè)控制系統(tǒng)。此外,負(fù)責(zé)監(jiān)督投票系統(tǒng)的美國(guó)數(shù)州(科羅拉多州、特拉華州、愛(ài)荷華州、蒙大拿州、德克薩斯州、弗吉尼亞州和華盛頓州)2018年也參與了這場(chǎng)演習(xí)。
“網(wǎng)絡(luò)風(fēng)暴VI“演習(xí)的主要目標(biāo)是通過(guò)演練相關(guān)政策、流程和程序,加強(qiáng)美國(guó)在應(yīng)對(duì)影響范圍波及多個(gè)行業(yè)的關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)攻擊方面的網(wǎng)絡(luò)安全戰(zhàn)備和應(yīng)急處置能力。具體目標(biāo)包括:一是實(shí)踐協(xié)調(diào)機(jī)制,評(píng)估美國(guó)國(guó)家網(wǎng)絡(luò)事件響應(yīng)計(jì)劃(NCIRP)指導(dǎo)事件響應(yīng)的效果;二是評(píng)估信息共享門檻、途徑、及時(shí)性、信息有效性以及網(wǎng)絡(luò)事件響應(yīng)各方共享信息的障礙;三是鑒于美國(guó)國(guó)土安全部(DHS)與受影響實(shí)體協(xié)同響應(yīng)網(wǎng)絡(luò)事件,演習(xí)旨在繼續(xù)評(píng)估 DHS 的角色、職責(zé)與能力;四是為演習(xí)參與各方提供論壇,旨在實(shí)施、評(píng)估并完善相關(guān)框架、流程、程序以及組織機(jī)構(gòu)內(nèi)部或相關(guān)組織之間的信息共享機(jī)制。
一是重點(diǎn)關(guān)注交通運(yùn)輸和關(guān)鍵制造業(yè)。網(wǎng)絡(luò)風(fēng)暴VI的演練重點(diǎn)就是針對(duì)交通運(yùn)輸和關(guān)鍵制造業(yè)的關(guān)鍵基礎(chǔ)設(shè)施和工控系統(tǒng)網(wǎng)絡(luò)攻擊事件的應(yīng)急響應(yīng)能力。而就在前不久,美國(guó)國(guó)土安全部和聯(lián)邦調(diào)查局曾發(fā)出警告,稱俄羅斯政府黑客正在通過(guò)一項(xiàng)多階段入侵行動(dòng),對(duì)美國(guó)的“關(guān)鍵制造業(yè)”進(jìn)行網(wǎng)絡(luò)攻擊。此外,航空業(yè)巨頭波音公司的一家生產(chǎn)工廠在3月底遭到了WannaCry勒索軟件的網(wǎng)絡(luò)攻擊,更是說(shuō)明“關(guān)鍵制造業(yè)”已成網(wǎng)絡(luò)重災(zāi)區(qū)。所以,“網(wǎng)絡(luò)風(fēng)暴VI”演習(xí)在加強(qiáng)美國(guó)聯(lián)邦政府與合作伙伴之間的公私合作方面,特別強(qiáng)調(diào)讓關(guān)鍵制造業(yè)和交通業(yè)等新的關(guān)鍵基礎(chǔ)設(shè)施合作伙伴加入演習(xí),提升美國(guó)16個(gè)關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的成熟度和融合性。
二是融入社交媒體平臺(tái)與漏洞“非常規(guī)”披露?!熬W(wǎng)絡(luò)風(fēng)暴 VI” 演習(xí)特別關(guān)注“非常規(guī)”漏洞披露,為此還融入了模擬的新聞網(wǎng)站和社交媒體平臺(tái),以郵件、電話或模擬在社交媒體平臺(tái)上發(fā)布文章的形式,為參演人員“注入”包含軟件漏洞報(bào)告在內(nèi)的信息。參演人員在收到這些信息后需要決定如何采取應(yīng)急響應(yīng)。Manfra表示,近年來(lái),部分漏洞研究人員直接在社交媒體上披露漏洞,而不是通過(guò)漏洞披露程序,這給政府分析人員帶來(lái)了新挑戰(zhàn)。
一是健全國(guó)家網(wǎng)絡(luò)安全領(lǐng)域事件響應(yīng)協(xié)調(diào)機(jī)制,加強(qiáng)軍政融合、借力民間優(yōu)勢(shì)。有效的響應(yīng)協(xié)調(diào)機(jī)制是“網(wǎng)絡(luò)風(fēng)暴“演習(xí)順利實(shí)施,也是開(kāi)展網(wǎng)絡(luò)空間實(shí)戰(zhàn)化攻防對(duì)抗的根本保證。根據(jù)美國(guó)《國(guó)家網(wǎng)絡(luò)空間安全事件響應(yīng)計(jì)劃》(NCIRP)描述,DHS下設(shè)的國(guó)家網(wǎng)絡(luò)安全與通信集成中心負(fù)責(zé)作為聯(lián)邦政府響應(yīng)與演習(xí)協(xié)調(diào)過(guò)程中的聯(lián)系點(diǎn),同時(shí)亦是聯(lián)邦政府、情報(bào)行業(yè)以及執(zhí)行部門的網(wǎng)絡(luò)與通信集成樞紐所在,還被指定為聯(lián)邦政府同私營(yíng)部門間進(jìn)行信息共享、跨部門協(xié)調(diào)以及事故響應(yīng)的對(duì)接載體。網(wǎng)絡(luò)風(fēng)暴演習(xí)的宗旨之一就是查找DHS對(duì)內(nèi)和對(duì)外溝通協(xié)調(diào)的薄弱環(huán)節(jié)和不足,完善網(wǎng)絡(luò)事件響應(yīng)協(xié)調(diào)機(jī)制。隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展,網(wǎng)絡(luò)安全已從“信息安全”時(shí)代進(jìn)入了“大安全”時(shí)代,應(yīng)對(duì)網(wǎng)絡(luò)空間威脅,必須通過(guò)多部門、多領(lǐng)域參與的軍政民一體融合模式,尤其是要建立高效暢通的跨部門高層協(xié)調(diào)機(jī)制,統(tǒng)籌應(yīng)急響應(yīng)框架、程序和流程制定,信息共享,應(yīng)急處置演練和技術(shù)規(guī)范與融合等工作。
二是通過(guò)立法確立情報(bào)共享激勵(lì)機(jī)制,打造網(wǎng)絡(luò)安全態(tài)勢(shì)一張圖。美國(guó)通過(guò)網(wǎng)絡(luò)風(fēng)暴等一系列演習(xí)的檢驗(yàn),已經(jīng)建立了相對(duì)完備的網(wǎng)絡(luò)安全信息共享機(jī)制,為政府機(jī)構(gòu)和私營(yíng)企業(yè)共同應(yīng)對(duì)網(wǎng)絡(luò)安全威脅、保障網(wǎng)絡(luò)空間安全提供了有力支持。我國(guó)雖然已經(jīng)開(kāi)始關(guān)注這方面的問(wèn)題,大力推進(jìn)信息系統(tǒng)和平臺(tái)研發(fā),但缺乏相關(guān)立法來(lái)規(guī)范信息共享的主體、范圍和程序,尚未建立國(guó)家層面的網(wǎng)絡(luò)威脅信息共享和分析中心,缺乏引導(dǎo)網(wǎng)絡(luò)安全企業(yè)、工業(yè)互聯(lián)網(wǎng)企業(yè)等積極參與網(wǎng)絡(luò)安全信息共享的激勵(lì)機(jī)制。
三是大力度推進(jìn)關(guān)鍵制造企業(yè)、工業(yè)企業(yè)和網(wǎng)絡(luò)安全企業(yè)深度合作,協(xié)同保障工業(yè)互聯(lián)網(wǎng)安全。就美國(guó)而言,工業(yè)控制企業(yè)通常會(huì)與網(wǎng)絡(luò)安全企業(yè)合作,共同研發(fā)網(wǎng)絡(luò)安全方案。但這種合作模式目前在國(guó)內(nèi)基本上還沒(méi)有開(kāi)始,一些工業(yè)集成企業(yè)要么是對(duì)安全問(wèn)題認(rèn)識(shí)不足,要么是希望自己做安全,與網(wǎng)絡(luò)安全企業(yè)合作存在行業(yè)壁壘。然而,在“大安全”時(shí)代,“+”出來(lái)的問(wèn)題還需要“+”起來(lái)解決。面對(duì)潛在的跨行業(yè)協(xié)同網(wǎng)絡(luò)攻擊,建議制定加快促進(jìn)工業(yè)企業(yè)與網(wǎng)絡(luò)安全企業(yè)合作的鼓勵(lì)政策,以能源、航空航天等關(guān)鍵產(chǎn)業(yè)為試驗(yàn)田,集中攻關(guān)高精尖安全產(chǎn)品和解決方案,共同打造高效、安全的工業(yè)互聯(lián)網(wǎng)。