目前,网络空间已成为继陆地、海洋、空中和天空之后的第五大主权空间。这是军事领域国际战略的演变。时代国家安全面临严峻挑战。随着网络空间战略地位不断凸显,美国等发达国家正在积极推进网络空间军事化,组建专业化网络作战部队,研发先进网络武器。网络空间对抗呈现出主体国有化、手段武器化、大数据化的趋势。
网络空间对抗的演变趋势
总结三个趋势:国有化、武器化、大数据,主要体现在国家网络安全框架和方法论、国家漏洞储备、国家网络应急机制等方面。
一、网络空间对抗主体呈现全国趋势
图片“黑客团队”
2015年以来,国家行为者实施的大规模网络监视和网络攻击对国际局势的稳定产生了负面影响。例如,俄罗斯卡巴斯基公司指控美国“方程式团队”通过植入间谍软件,感染伊朗、俄罗斯、中国等30多个国家的军事、金融、能源等关键领域的数万台计算机。意大利“黑客团队”公司400多G数据出炉,表明美国、摩洛哥、埃塞俄比亚、阿塞拜疆、乌兹别克斯坦、科威特、巴林、印度、以色列和格鲁吉亚等20多个国家的机构购买了网络间谍和利用它的工具。
(一)制定国家网络空间安全战略
美国早在 2009 年就发布了国家层面的网络空间安全战略。2017 年 12 月,美国总统唐纳德特朗普发布了新版国家安全战略,进一步强调了网络空间的竞争力,宣布美国各国将考虑使用一切手段阻止和挫败针对美国的所有网络攻击网络空间作战部队,并“根据需要”对对手进行网络行动。 2017年11月,白宫国土安全顾问汤姆·博塞特透露,美国正计划制定新的网络安全战略,其主要内容包括:提高计算机网络的安全性;利用政府资源更好地保护关键信息基础设施;空间建立了良好行为的规范,同时惩罚了不良行为。 2018年3月,美国网络司令部在互联网上发布了其指挥战略远景文件《获取和维持网络空间优势》。本指南指出:要在陆、海、空、天等物理领域取得成功 英国的军事优势很大程度上取决于在网络空间领域所能取得的优势,提高了竞争的重要性。网络空间领域的军事优势再上新台阶。
英国发布新版“国家网络空间”。安全战略(2016-2021)”,为未来网络安全发展制定路线图。德国发布新的网络安全战略计划,以加强应对政府机构、关键基础设施、企业和公民的网络威胁。俄罗斯发布新版《信息安全学说》,提出新的国家安全战略,制定新的战略目标。澳大利亚发布年度修订版《国家网络安全战略》,启动网络联合计划安全中心。
(二)建设国家网络空间对抗力量
2017年,美国继续在网络空间安全组织和力量建设方面发力,新型网络力量和指挥架构基本形成。 2017年8月,美国总统特朗普宣布,美国网络司令部将升格为美军第十联合作战司令部。作为一个独立的军种,未来它不需要经过相关军种,可以直接指挥其下属的各个军种的单位。 2017年11月,美国陆军网络司令部和美国海军网络司令部先后发表声明,41个陆军网络特遣部队和40个海军网络任务部队均已通过美国网络司令部的全面作战验证,这意味着他们已经满足成为美国网络任务部队一部分所需的人员配备、能力和培训要求。美国网络司令部拥有133个网络任务部队(41个陆军、40个海军、39个空军、13个海军陆战队),计划在2018年9月30日前扩充至6200人,具备全面作战能力。
此外,俄罗斯、德国、日本、韩国、澳大利亚等国家都加强了网络作战能力的部署。俄罗斯宣布,它已经建立了专门负责发动信息战的单位。北约协作网络空间防御卓越中心发布了《塔林手册2.0》,该手册将最初用于处理网络战的法律扩展到了和平时期网络行动的国际法规则。德国军方宣布成立网络与信息空间司令部,与陆军、海军和空军一起构成联邦国防军系统。韩国空军成立了网络防护中心,负责网络安全工作,整合军队现有的分布式网络防护部门。新加坡将成立国防网络局,加强国防部网络安全管理。菲律宾武装力量将在武装力量体制和网络结构上进行重大改革,加大网络防御能力建设。中国台湾地区当局拟组建网络部队作为第四军种。
德国国防军(Bundeswehr)已于2017年初正式成立网络与信息空间司令部,预计指挥机构人员将达到1.50,000人。
与此同时,日本防卫省也在加快建设网络作战军事力量的步伐。 8月20日,日本《每日新闻》援引日本防卫省官员的话说,日本陆上自卫队西部战区将组建网络防御部队,这将是陆上自卫队的第一个网络作战单位。部队将部署在区域部队中。任务是保护军事通信系统网络,甚至为部署在偏远岛屿上的作战人员提供安全通信能力。预计到 2019 年 3 月,日本的军事网络作战力量预计将达到 430 人左右。事实上,日本早在 2014 年就组建了第一个拥有 90 名军事人员的网络防御部队,并在 2017 年通过了大幅增加规模的计划将其网络防御部队的人数增加到 1000 人,并成立了一个新的专门研究网络战技术的 A 工作组。
(三)促进国家网络空间漏洞储备
Cyberspace Vulnerabilities是计算机系统的硬件和软件、网络通信协议、网络系统安全策略等方面的缺陷,攻击者可以利用这些缺陷未经授权访问网络,窃取或操纵数据,或瘫痪网络的功能。网络,甚至对网络系统造成物理损坏。
美国国防部将“漏洞”定义为容易受到攻击或利用信息安全系统的设计、程序、实施或内部控制中的弱点来获得对信息的未经授权的访问或对信息的访问系统。这里的关键词是“漏洞”,是三个要素的交集:“系统缺陷或漏洞、威胁访问系统缺陷的能力、攻击者利用系统缺陷的能力”。
据统计,平均每1500行代码就会有一个漏洞,而且随着计算机程序代码规模越来越大,漏洞在客观上是不可避免的,而且数量越来越多。此外,还有大量故意预设的后门,比如美国垄断CPU芯片、操作系统等关键核心软硬件技术,在向全球出口产品时,预设后门,这些后门就是漏洞,漏洞百出。是他们在关键时刻突破对方网络系统的武器。
2017 年 5 月 12 日 20:00 在全球范围内,全球互联网爆发大规模病毒感染。肇事者是一个名为“Wannacry”的勒索软件。中毒的计算机文件将被自动加密,解密将花费 300 美元的比特币。据悉,这就是美国。安全局网络武器库泄露后,这是全球首例利用漏洞进行网络攻击的事件。网络黑客组织 Shadow Brokers 声称窃取了美国军方的网络武器库,并以 7 亿美元的天价出售。本次勒索软件攻击,是利用泄露的网络武器库中“永恒之蓝”的漏洞发起的。从泄露的网络武库来看,美军已经大规模开发和储备了大量网络武器,而这些网络武器都被漏洞利用。漏洞已成为网络空间最大的安全风险。
欧美等发达国家较早地对漏洞数据库进行了研究,并拥有多个具有国际影响力的漏洞数据库,如美国。漏洞数据库、美国的 US-cert、澳大利亚的 Aus-CERT、丹麦的 Secunia 和法国的 VUPEN。中国国家漏洞库CNWVD已于2009年11月正式启动,这些漏洞库执行通用标准,相互配合。基于漏洞信息的工具和修复有效支持漏洞信息的全国共享和披露。以美国为例,美国政府部门、安全机构、商业公司各司其职,深度合作。各机构的漏洞库相互补充,形成完整的体系。
国土安全部的美国认证与各个联邦部门和安全团体组织和商业公司广泛合作,发布详细和权威的漏洞信息和公告。开放安全基金建立的“开源漏洞库”是一个独立的开源漏洞库。赛门铁克“SecurityFocus Vulnerability Database”公布的漏洞包含许多技术细节,受到技术人员和安全爱好者的广泛青睐。来源。 VeriSign 的 iDEFENSE Vulnerability Advisor 数据库以“VCP”能够持续有效地发现漏洞为目标,拥有相当数量的 0day 漏洞,使其能够对系统中隐藏的、以前未知的泄漏提供即时和独特的见解。
2017年12月,“白帽黑客”与美军网络专家联合举办了黑客马拉松漏洞赏金活动——H1-212。来自美国、加拿大、英国、瑞典、荷兰、比利时和拉脱维亚的 25 名超级黑客,与多位军事网络专家一起,深入美国空军关键网络,探查各种可能原因美军300多个分支机构的在线运营。危险的安全漏洞。美国空军首席信息安全官彼得·金表示:“这次漏洞赏金活动让美军大开眼界,美国与伙伴国的合作为美军带来了宝贵的成本效益。选择最优秀的人才。” 2017 年 6 月,美国空军举办了第一个漏洞赏金计划。当时,美国国防部邀请“五眼”(美国、英国、加拿大、澳大利亚和新西兰)情报联盟的安全研究人员、军事人员和“白帽黑客”闯入空军网络发现207个有效漏洞。此前美国国防部“黑入五角大楼”计划一共发现了138个漏洞,美国陆军“黑入陆军”也发现了118个漏洞。
表:Microsoft 赞赏列表统计数据(2009 年至今)
漏洞挖掘能力是安防企业综合实力的具体体现。安全软件主要是防范病毒和木马,无法有效防范漏洞攻击。只有当漏洞被黑客大规模攻击时,安全软件厂商才有机会检测到漏洞。这种延迟响应方式已经不能适应新的安全形势了。
近年来,360通过大量人才和技术的积累和储备,成为全球安防行业的领军企业。微软此次修复的66个漏洞中,近1/3是360独立挖矿造成的。目前,360不仅是微软MAPP(主动防护计划)的合作伙伴,也是我国CNNVD(中国国家信息安全漏洞数据库)的核心支持单位。漏洞防护能力多机构评估,360排名第一 安全部于2018年8月中旬举办了首届全国大选安全网络桌面游戏。参与单位包括44个州政府、国防部、司法部、美国国家安全局、美国网络司令部等相关机构。在一天中,桌面演习围绕新闻和社交媒体操纵、针对特定选举相关个人的网络钓鱼、对投票登记信息系统和程序的干扰、对选举网站和网络应用程序的一般网络攻击以及影响选举。现实世界的威胁,例如投票机和选举管理系统、对州和县选举网络的入侵以及潜在的网络风险。
2017 年 4 月,国家安全局 (NSA) 领导了“网络安全防御演习”(CDX)。今年的演习将重点关注与攻击性入侵、恶意软件分析、主机取证和防止无人机攻击相关的任务,以及无人驾驶地面车辆和小空间卫星之间的数据传输。 CDX成立于2002年,是美国国防部培育网络力量的一项重要活动。美国发布《联邦网络安全人才战略》,要求培养、招聘和留住优秀的网络安全人才,支持人才发展。资源。美国国土安全部举办了100场工控系统网络安全培训课程,4000余人次接受专业培训。
英国政府将开设国家网络安全学院,约 40% 的课程将涵盖网络研究。 GCHQ 为 13 至 15 岁的女孩发起了一场全国性的网络安全竞赛,以选择具有网络技能的女性情报人员。日本“国家网络培训中心”推出青年网络人才培养计划,培养高端青年网络技术人员。日本在全国范围内开展网络防护培训,加强重要基础设施抵御网络攻击的能力。澳大利亚国防部将在全国招募年仅14岁的年轻网络高手、年轻黑客和高中生,参与国家网络安全保护。在大学开设专门课程,培养情报分析员。各国还通过举办安全比赛来选拔人才。
二、网络空间对抗呈现武器化趋势
短短十几年,网络空间对抗的顶级模式已经从单纯的宣泄愤怒和偷窥,发展成为国家主体/国际组织基于自身利益、一定的特定能力(经济、军事、行政、等)的另一个国家主体/国际组织进行破坏和瘫痪的军事行动。网络空间对策还包括由个别黑客和恶作剧者开发的小程序和恶意代码,这些程序演变为国家组织开发和部署武器。
(一)发达国家推动网络空间武器化
为了夺取网络空间的控制权,美国等军事大国基于自身的信息技术优势发展网络空间武器,成为推动网络空间武器化的创造者。 2017年,一方面,美国空军优化网络空间管理组织,提升武器系统网络安全管理水平。另一方面,加大技术研发力度,着力发展网络指挥控制任务体系,提升军队网络作战效能。 2017年1月,美国空军宣布在马萨诸塞州汉斯科姆空军基地成立武器系统网络弹性办公室(CROWS)。该办公室将协调空军武器系统的网络安全以应对各种网络攻击,支持与网络空间能力相关的武器系统采购工作(包括武器系统设计和开发),监督现有武器系统的运行安全,并进行与网络安全相关的维护和培训.
3、2017 年 4 月,美国空军与雷神公司、诺斯罗普·格鲁曼公司和博思艾伦·汉密尔顿控股公司签署了总价值 2800 万美元的合同,用于建设网络指挥和控制任务系统(C3MS),从而增强兵力网络攻击能力。 CM3S 位于圣安东尼奥的拉克兰空军基地,该基地也是美国空军第 24 航空联队的所在地,负责运营和保卫美国空军网络。 C3MS作为顶层系统,主要负责指挥和控制美国空军的网络空间防御武器系统、网络安全和控制系统程序以及空军内网控制系统。 C3MS 不仅增强了对美国空军网络安全和信息处理系统的保护,还涵盖进攻性网络空间作战、广泛的现实世界和网络域监视能力,并与包括美国网络司令部在内的关键网络司令部密切合作空军表示,C3MS 系统为世界各地的作战指挥官提供永久的作战支持,将空军的影响力和警惕性扩展到全球网络领域。其中,诺斯罗普·格鲁曼公司将负责开发网络任务平台(CMP)。该平台是空军进攻性网络作战的硬件和软件托管平台。雷神公司正在建设 C3MS 作战中心,而博思艾伦公司则致力于将大功率电磁环境应用于空军网络和电子战。按照计划,C3MS 将于 2018 年 4 月完成。
(二)网络空间武器呈现快速发展趋势
根据各国公开的网络空间战略和当前网络武库分析表明,新型网络武器在继承现有网络武器特点的同时,还具有以下发展趋势。
首先,创新驱动网络武器的研发。未来的网络武器将不仅仅用于网络和系统攻击,可能会直接影响到人。目前,美军研制的“电子生物”武器可以吞噬计算机电子设备,使电子线路绝缘,直接破坏物理设备; “神经电子”武器会导致显示屏产生不易让人感知的闪烁,使面对雷达屏幕和电脑显示屏的操作者神经性头痛,损伤视觉细胞,直接破坏正常机制人类的。网络攻击的路径不再局限于互联网,正在走向跨网渗透,如“微波炸弹”、“电磁脉冲”等。美国军方 DARPA 等计划突出了无线注入、频谱抑制等方法。物理网络攻击。
第二,情报成为网络武器战斗力的倍增器。随着机器学习、人工智能等技术的应用,网络武器将具备“反侦察、智能感知和决策”的功能,反侦察能力增强了武器的隐蔽性,使网络管理人员和网络安全专家发现和了解他们的攻击行为。智能感知和决策意味着网络武器具有感知环境并能够适应环境的能力。选择或预定义决策路径来细化模式和行为,提高通过学习成功经验来提高攻击的成功率和有效性,不再按照单一的一、确定的顺序执行攻击步骤。工具变体是指网络武器的发展,它可以通过升级或更换部分武器来快速改变自己工具,然后发动快速变化的攻击,而在每次攻击中,都会有很多不同的变种攻击工具。
第三点是对抗点。对抗由对抗变为对抗。网络武器将从本地效用转变为战略效用。 “邮件门”改变了美国大选,“颜色革命”颠覆了国家政权。这些攻击都显示了网络武器的战略效用。近年来,社交网络、移动通信网络等新兴网络媒体在“占领华尔街”等活动的组织策划中发挥了重要作用,对国家公共安全与稳定构成严重威胁。美国国防部启动了“信息、生物、网络与认知交叉融合”的基础研究项目,旨在探索人类获取信息的认知机制。从战略角度预测,未来的网络武器可以通过影响人们的认知机制来控制舆论,甚至可以操纵重要人员的决策。改变局面。
第四,攻击目标转向移动终端和物联网。智能手机、物联网等已经逐渐成为人类生活中不可或缺的一部分,甚至产生了依赖,因为如此重要,将逐渐成为网络武器攻击的目标。臭名昭著的 Mirai 僵尸网络利用网络摄像头和家庭路由器等不安全物联网设备中的登录漏洞,发起了迄今为止已知的最大 DDoS 攻击。除了用于拒绝服务攻击外,受感染的 IoT 设备还可用于监视他人的隐私、赎回被劫持的设备,或被用作渗透窗口来攻击 IoT 设备所连接的网络移动设备和物联网缺乏必要的安全保护措施,存在大量设计和实施缺陷,已成为网络攻击者的武器弹药。总有一天,无人驾驶汽车、智能微波炉等可能会成为被攻击控制的遥控炸弹。
三、赛博对抗聚焦大数据趋势。
大数据是网络空间的固有特征。大数据是新技术革命的核心,特别是在“云、物、大、移动、智能”等新技术新应用领域。网络空间安全具有多个层次和角度,其中数据安全是网络空间安全的核心内容。
(一)大数据给网络空间安全带来新风险
包括隐私泄露的风险、对基础设施的严重安全威胁,以及大数据对网络攻击的重要性,目标和大数据技术已经成为网络攻击的手段。
首先,大数据增加了隐私泄露的风险。个人隐私信息主要包括个人身份信息、财产信息、位置信息、社会信息、健康信息等。在数据环境中,如果对隐私信息处理不当,很可能对用户的个人隐私造成极大的损害。在大数据环境下,个人隐私泄露一方面涉及到个人隐私信息本身的泄露,另一方面,更大的风险是基于用户之前的大数据分析来推断和预测用户的行为和状态,从而造成对用户隐私构成极大威胁,甚至被用于实施精准营销甚至网络诈骗。军队的正常生活受到严重干扰,甚至威胁到正常的社会生活秩序。
今年8月7日,美国国防部正式发布禁令,要求所有士兵进入敏感基地和高风险作战区域以及相关国防承包商不能使用健身软件和手机应用,这是第二次国防部已正式要求美军各级指挥官采取措施,避免敏感军事信息泄露。今年 1 月,从事 GPS 追踪业务的美国公司 Strava 发布了一张反映该公司健身软件服务的地理定位卫星数据图。此热图基于 2015 年至 2017 年 9 月的数据。人口较多的区域以颜色突出显示,但人口集中度较大的区域除外。此外,美军在中东执行作战任务的基地几乎都在地图上显示出来。
8月26日,以色列一家通讯社发布消息称,数十万以色列国防军士兵的个人敏感度很高。泄露信息。根据以色列证券管理局的调查报告,攻击者在 2011-2014 年间通过网络钓鱼获取了大量军人的敏感个人信息,并将其出售给营销公司和其他第三方组织以获取利益。
第二网络空间作战部队,大数据中心成为高价值目标。大数据中心是大数据安全运行的主要载体和重要基础,具有分布式和虚拟化的特点。作为大数据平台的支撑——云计算安全面临严峻的安全威胁。随着云计算的发展,数据进一步集中在收集、传输、存储、处理、共享、使用、销毁等环节。大数据在云端集中存储,必然导致数据安全风险加剧,大数据基础设施受到网络攻击的几率增加,从而影响大数据基础设施的正常运行。
数据中心安全不再是一个新话题,尤其是进入云时代的数据中心,云架构崩塌了数据中心的安全边界,一切都可能渗透到云上的安全威胁。这是数据中心面临的最大安全问题。由于数据中心托管和处理大量高价值数据,包括个人客户数据、财务信息和公司商业机密,因此它们最容易成为网络犯罪分子的目标。
传统数据中心面临的外部威胁主要有黑客攻击、木马蠕虫、病毒破坏、数据传输窃取、未授权访问等;内部威胁主要有管理权限越权、病毒二次传播、内网IP欺骗、ARP欺骗等。随着云计算技术的发展和应用,云计算的风险也在发生变化。 CSA对云计算的风险进行了分析,提出云计算的新风险有:数据损坏、数据丢失、账户劫持、API不安全、拒绝服务、恶意内部人员、滥用和恶意使用、审查不足、共享技术问题。
第三,大数据技术已成为网络攻击的手段。由于大数据包含丰富而全面的信息,黑客可以利用大数据技术通过收集海量用户隐私信息,对特定目标发起精准攻击。网络攻击中使用数据挖掘和分析等大数据技术发起高级持续威胁(APT)攻击。通过在大数据中嵌入APT网络攻击代码,利用大数据技术发起僵尸网络攻击,可以控制海量傀儡机,进而发起更大规模的网络攻击,严重威胁网络信息安全。
2016年1月,中国保监会发函通知保诚人寿内部控制缺陷并要求整改。通知称,保诚人寿面临泄露客户银行卡号、密码、开户银行地址、身份证等数万条敏感信息的风险。 In March 2016, OpenSSL, the open source encryption tool used by two-thirds of the world's website servers, broke out a new security vulnerability "Water Prison Vulnerability", which allows "hackers" to attack websites and read passwords, credit card numbers, business Encrypted information such as confidential and financial data creates a huge security challenge for websites around the world. In April 2016, the cyber threat intelligence monitoring platform reported that their monitoring found that the information of 1.50,000 Jeep owners had been leaked, including the buyer’s name, address, contact number, purchased model and other information. In May, Russian hackers stole 2.72.3 billion mailboxes, including 40 million Yahoo mailboxes, 33 million Microsoft mailboxes and 24 million Google mailboxes. Hackers exploited loopholes to steal 360 million MySpace users Email address and password.
Big data becomes the security support of cyberspace. Big data can be summarized as data mining based on distributed computing, which can be compared with traditional data processing modes to understand big data
1、Data Sampling—>Comprehensive Raw Data (Raw Data)
1、Data Sampling—>Raw Data
p>
2、Small Data + Big Algorithms——>Big Data + Small Algorithms + Contextual Relevance + Knowledge Accumulation
3、Model-Based Algorithms——>Mechanical Poverty For example (without assumptions)
4、Accuracy + real-time -> prediction in the process
Using big data ideas, it is possible to do modern network security technology Improvements as follows
1、 Protocol-specific packet analysis—>Full-traffic raw data capture (Raw Data)
2、 Real-time data + complex model algorithm ——>Long-term full flow data + a variety of simple mining algorithms + contextual correlation + knowledge accumulation
3、 Real-time + automation ——> early warning in the process + manual investigation
It is difficult to detect advanced persistent attacks through traditional security defense measures. Enterprises must first determine what the normal behavior model of each user and business system in the daily network is, so as to determine whether the enterprise's network and data are attacked as soon as possible. Security vendors can use big data technology to process event patterns, attack patterns, time, space, and behavioral characteristics, summarize and abstract some models, and turn them into big data security tools. In order to accurately describe the threat characteristics, the modeling process may take months or even years, and enterprises need to spend a lot of manpower, material resources, and financial resources to achieve their goals. However, by integrating big data processing resources, coordinating big data processing and analysis mechanisms, and sharing key model data between databases, the modeling process of advanced sustainable attacks can be accelerated, and the harm of advanced sustainable attacks can be eliminated and controlled.
Today's defenses are no longer aimed at phishing and hanging horses in the past. The focus of defense has evolved into precise APT attacks. Defenses should be based on four assumptions: the system has undiscovered vulnerabilities, and the system has discovered vulnerabilities Unpatched, systems have been infiltrated, employees are unreliable. The introduction of some visual methods will also be of great help to the security analysis based on big data. Tan Xiaosheng said that 360's big data analysis platform uses Hadoop and Storm, with more than 15,000 storage & computing servers, a total storage data volume of 200PB, 1PB added every day, 20,000 computing tasks every day, and computing and processing data every day3.@ >5PB.
C2
April·Beijing
