网络空间与物理空间的深度融合,使数字世界的安全威胁直接影响到人类社会的每一个角落,也深刻影响了人们对网络空间的看法。 本节试图从高层级的对抗视角,通过多维度的分析去梳理洞察这种变化,帮助读者理解网络空间的复杂性。这与本书的主题——网络靶场息息相关。
日新月异的信息技术,创造了互联网的奇迹,也创造了人类沟通、社交、生活与工作的新空间。随着网络空间的社会属性不断丰富、与物理空间的联系更加紧密,其安全隐患也得到了民众与国家层面的重点关注,因此,网络空间已成为继“陆、海、空、天”之后,人类生存的第五疆域,国家主权的相应职能和权力也随之投射在网络空间中。
从政治学的角度来看,所谓网络主权,就是指国家有权决定采取何种方式、以什么样的秩序参与网络空间活动,并有权在网络空间利益受到侵犯时采取保护措施,决不允许外来干涉。通常,网络主权管辖权大致包含以下四种权利。
·管辖权。是指主权国家对本国网络加以管理的权力,比如通过设置准入许可,限制未被授权的网站接入到网络中,对不服从管理的信息系统与网络设施立刻停止服务,以及对网络空间和网络生态加强整顿等。
·独立权。是指本国的网络可以独立运行,不用受制于别国。
·防卫权。是指主权国家具有对外来网络攻击和威胁进行防卫的权力。
·平等权。是指各国网络之间可以平等地进行互联互通,达到共享共治。
对于任何国家主权实体来说,主权疆域永远是至高无上的利益诉求。既然是主权疆域,那么必然需要定义边界范围。众所周知,在物理空间中,可以通过界山、界河、界碑或者地理坐标数据来划定国与国之间的边界线,确定各自的主权范围。但网络空间中,问题突然变得复杂起来,虽然还可以沿用主体国籍或设备所在地的原则进行划分,但数字世界中的网络通信与数据传输具有一种几乎无限的连通性,并且这种连通性处于不断的动态变化中,这让网络边界变得异常模糊。宏观上,在全球化的大潮中,各国网络因为社会分工、公共事业、跨国公司、商业流通和政治合作等原因,无比复杂地交织在一起,早已是你中有我、我中有你、难分彼此了;微观上,云计算、人工智能、物联网、工业互联网和卫星互联网等新兴技术与数字经济不断推进大数据中心与算力网络的建设与发展,IaaS、PaaS、SaaS各层的运营商、服务商、用户都有不确定性,往往会打破组织甚至国家的边界。因此, 物理空间的边界难以直接置换给网络空间。
网络空间是由各式各样的计算机,光纤、电缆、交换机/路由器等通信设备,TCP/IP等网络协议,操作系统、数据库、办公软件、业务软件、管理软件以及海量数据等庞杂的元素构成的,软硬件与管控政策共同决定了用户能够如何访问网络、传输数据和运行业务。在网络空间中,代码与法律、市场及准则共同规制着网络空间中的行为,也决定了 网络空间中主权的行使方式会与物理空间存在很大的差异。
网络主权的概念是伴随着争议逐步发展起来的。争论的一方在网络空间中的各方面能力都占有绝对优势,因此大谈网络无国界,网络空间是全球公共领域,不应受任何单个国家所管辖与支配的观念;争论的另一方观点是,网络基础设施、网民、网络公司等实体都是有国籍的,并且都是所在国重要的战略资源,理所应当受到所在国的管辖,而不应该是法外之地。
中国是网络大国,捍卫网络主权非常重要。我国在2015年7月通过并实施的新《国家安全法》第一次从法理上明确了“网络空间主权”的概念。不难理解,中国境内的网络,当然属于国家主权管辖范围,我国有权对境内的互联网通过立法、司法进行管理。2015年12月16日,在第二届世界互联网大会开幕式上,我国明确提出 尊重网络主权,推动构建“网络空间命运共同体” ,为全球互联网发展治理贡献了中国智慧、中国方案。
网络主权是当代世界和平与发展中的重大课题。网络空间已成为兵家必争之地。因此,我们要通过建设“网络边防”来保卫“网络领地”。而网络靶场是构建网络空间安全防线的重要基础设施。
玩过围棋、象棋与军棋的朋友都对棋盘的“空间感”印象深刻,这种空间感大都由横平竖直的线条刻画出来,并以类似于“楚河汉界”的空间术语进行定义。
比上述棋类更具“战场”即视感的是兵棋(Wargame)。
据传,普鲁士的文职战争顾问冯·莱斯维茨男爵于1811年发明了一款战争游戏(德文名称为Kriegsspiel)。这款游戏包括一张地图、推演棋子和一套规则,通过回合制进行一场真实或虚拟战争的模拟。1816年,兵棋作为军官训练和计划作战的一种新手段在普鲁士步入正轨。
后来,科幻小说大师H. G. Wells推进了桌面战争游戏的发展。他于1913年成功发布了Little Wars(见图1-1),采取了Kriegsspiel模拟战争的核心概念,创造了更为完善的规则体系,玩家遇到的问题都可以在规则书上获得解答。
·图1-1 H. G. Wells与他的战争游戏Little Wars
H. G. Wells认为,Little Wars对战争冲突模拟的方法虽然是为每个人设计的,但它比更乏味、严肃、复杂并且缺乏现实主义的Kriegsspiel更准确地表达了战争,相信可以起到意想不到的效果。
兵棋推演采用的地图一般是真实地图的模拟(见图1-2),有公路、沙漠、丛林和海洋等各种地形场景。推演棋子代表各个实际上真正参加了战斗的战斗单位,如连、营、团和各兵种、相应战斗力等描述。规则是按照实战情况并结合概率原理设计出来的裁决方法,告诉你能干什么和不能干什么,以及行军、布阵、交战的限制条件和结果等。通常,兵棋被设计为一种“策略游戏”,通过对棋子时间和空间上的调动,与对手进行对抗。
·图1-2 一种“策略型”兵棋的界面
可惜,迄今为止,还没见到适合“网络战”攻防推演的兵棋。不妨设想一下,网络战兵棋的“地图”应该怎么设计?网络战场的空间与距离应该如何表达?网络武器的类型与战斗力按照何种规范进行表示?
在网络上,由A到B,不管多远,哪怕跨越七大洲四大洋,中间也不过几十个跃点,区区几十毫秒的时延而已,转瞬即至。地理学意义上的空间与距离突然消失了,棋盘上还需要画格子吗?
但网络空间依然有投射到地理空间上的价值。
传统地理学有一套“人地”关系的理论,在地理空间中描述社会关系。借鉴这一思想,国内安全专家提出, 用地理、资产和事件三个维度来描述网络空间资源的分布和属性,从社会人、网络、地理空间与数字化信息数据间的关联关系建立“人-地-网”关系模型,并以事件为触发条件,通过图形快速串联事件、资产和地理要素,形成了动态、实时、可靠和有效的网络空间地图。 这张地图,可以让网络空间的资产底数更清楚、事件发现更精确、威胁定位更准确、安全分析更智能、攻击溯源更自动、演习要素更可控。
网络空间地图的构建离不开以下两项核心工作。
1.构建基于“人-地-网”关系模型的要素体系
传统的网络空间要素仅根据网络空间的物质属性和社会属性进行分类,忽视了网络空间要素的地理属性。根据网络空间要素自身的结构和特点,结合网络实战攻防演练的业务需求,将所有要素划分为地理环境、网络环境、行为主体和业务环境4个层次,如图1-3所示。
·图1-3 网络空间要素的构成
(1)地理环境层
该层是各类网络空间要素依附的载体,强调网络空间要素的地理属性,如网络基础设施和网络行为主体的地理位置、空间分布和区域特性,涉及距离、尺度、区域、边界和空间映射等概念。
(2)网络环境层
该层是各类网络空间要素形成的节点和链路,即逻辑拓扑关系,又可分为物理环境和逻辑环境,包含各种网络设备、网络应用、软件、数据、IP和协议等。
(3)行为主体层
该层包含实体角色和虚拟角色,关注网络行为主体(即实体角色或虚拟角色)的交互行为及其社会关系,包括信息流动、虚拟社区和公共活动空间等。
(4)业务环境层
该层包括业务部门重点关注的各类网络安全事件(案件)、网络安全服务主体和网络安全保护对象等。
地理环境层、网络环境层、行为主体层和业务环境层4个层次的要素之间相互联系、相互影响,共同构成了网络空间要素体系。
网络空间要素可视化表达主要分析网络空间要素的类型、层次、时空基准、表达标准和尺度问题,并以网络空间地理图谱的形式进行展示。网络空间要素表达以网络空间地理测绘及地图构建为基础,将地理空间中网络地理实体抽象成为多尺度的空间对象,利用网络探测成果与网络拓扑结构数据,结合空间链接与实体映射来构建网络空间地图。
2.网络空间地图构建技术
网络空间地图的目标是描述攻防演练中网络要素之间的动态关系,以及网络空间与地理空间之间的映射关系。为此,需要研究网络空间的结构特性,结合网络空间和地理空间要素的交互映射,研究网络空间和地理空间的多尺度拓扑关联,实现网络实体在网络空间、地理空间的结构投影。
网络要素之间的关系通过网络空间测绘技术(网络探测和拓扑分析),分析网络资源属性,形成内容丰富的网络实体连接拓扑结构,实现不同级别、不同颗粒度的网络拓扑可视化,展示各类范围的拓扑关系,包含全球、国家间、国家内、AS域间、AS域内的三维地理拓扑和二维逻辑拓扑等。地理空间和网络空间具有复杂的耦合关联关系,网络空间与地理空间之间的关系可视化重点是实现两个空间的动态交互。结合网络空间要素可视化,基于网络资产探测、网络拓扑空间化、二维和三维一体化网络地理数据关联等技术,研究多尺度地理空间和网络空间的实体连接和关系识别,探索空间、信息与人类行为之间的内在关联,实现地理空间与网络空间的多尺度、多维度和动态可视化。
如图1-4所示,以城市尺度综合展示网络空间地图为例,依据网络拓扑结构中的核心层、汇聚层和接入层各节点关系,结合城市二维与三维地理要素位置分层展示,每个节点都与地图上的地理实体相关联。通过网络拓扑图的分层展示,既为网络空间关系提供了清晰的可视化效果,又与地理空间建立了充分的联系。
·图1-4 城市网络空间地图中网络地理数据的关联关系
近年来,全球顶级网络攻击工具泄露事件时有发生,其中影响较大的事件如下。
2015年7月,Hacking Team攻击工具源代码泄露。
2016年8月,“影子经纪人”(The Shadow Brokers)泄露“方程式”(Equation Group)组织的攻击工具,共4000多个文件,覆盖UNIX与Windows等平台(见图1-5和图1-6),其中最早的黑客工具可以追溯到2010年。网上拍卖价高达100万个比特币,也就是相当于当时的5.68亿美元。
·图1-5 “影子经纪人”泄露的UNIX黑客工具(部分)
·图1-6 “影子经纪人”泄露的Windows黑客工具(部分)
2017年4月,“影子经纪人”泄露NSA“永恒之蓝”等系列0day漏洞攻击工具。
2019年3月,某位自称Lab Dookhtegan的个人(或组织)在社交软件Telegram上泄露了黑客组织APT34的攻击工具。其中包括远控工具PoisonFrog、DNS隧道工具Webmask、Web Shell工具HyperShell和HighShell。
2020年10月,在GitHub上有用户上传了名为Cobalt Strike的文件夹,是渗透测试工具Cobalt Strike 4.0通过逆向重新编译的源代码。该用户同时还上传了“冰蝎”动态二进制加密网站管理客户端和“哥斯拉”Shell管理工具的源代码。
2020年12月8日,美国火眼公司(FireEye)在其官方网站发布公告称,“高度复杂的威胁行动者”攻击了其内网并窃取了用于测试客户网络的红队(Red Team)工具,如图1-7所示。FireEye是一家定位于高级网络威胁防护服务的美国企业,其为客户提供的红队工具可模拟多种威胁行为体的活动,从而模仿潜在的攻击者对企业网络进行渗透,以评估企业的安全防御体系和应急响应能力。
·图1-7 美国FireEye公司泄露红队工具事件
FireEye声明,这是一起由具有一流网络攻击能力的国家发动的攻击事件。攻击实施者专门针对FireEye定制了高级攻击手段,使用了一些前所未见的新型技战术。攻击者在战术方面受过高度训练,执行时纪律严明且专注,并使用对抗安全工具和取证检查的方法执行隐蔽的攻击行动。此次事件中,被窃红队工具的范围覆盖了从简单自动化侦察脚本到类似于Cobalt Strike和Metasploit等公开可用技术的整个框架。
接二连三的网络武器的泄露事件为大家揭开了网络战场的“兵工厂”一角。那么,什么样的攻防工具才称得上“武器”?大体要具备以下三方面条件。
首先,要以计算机代码为基础技术载体。计算机代码通常是网络武器攻击中的核心组成部分,是网络特性的重要表现,也是区别网络武器与电磁武器(电磁干扰、电磁脉冲等)的重要因素。同样,对网络信息系统进行物理打击和破坏一般也不属于网络武器范畴。
其次,操作者是否具有使用网络武器的主观意图。网络武器是操作者用以实现特定政治、军事目的的网络军事工具,这是区别于单纯的网络安全事故或是群体性无意识失范行为的依据。
最后,是否对目标产生损伤效果。网络武器的目标可能是多样的,效果也包括从低烈度到高烈度的不同层级,但无论是数据层面、信息层面、物理层面甚至意识层面,网络武器必然会对某一类目标对象造成一定损伤。
随着网络安全攻防技术的不断发展,网络武器已逐步呈现出以下三个演进趋势。
一是网络武器攻防一体化。 传统武器从设计、制造、系统构建和部署、操作者意图等多方面,可以大致判断其是属于进攻武器还是防御武器。但就网络武器而言,攻击与防御的界限日趋模糊。
例如,网络漏洞的自动检测分析,这类技术既可以被用于网络防御,检测判断算法、系统或者应用是否安全、是否存在漏洞,又可以用于网络攻击,搜索发现对方网络系统中可利用的安全缺口。2016年,美国国防部高级研究计划局(DARPA)举办网络超级挑战赛(CGC,Cyber Grand Challenge ),目标是实现“全自动的网络安全攻防系统”,最终来自卡内基·梅隆大学的一支人工智能团队夺得冠军,并在之后的挑战赛中战胜了两支由人组成的黑客队伍。
这种全自动网络安全攻防意味着人工智能已经把网络攻防推向智能化时代,基于深度学习技术能够大幅减少传统网络攻防对抗的时间和人力成本。迈克菲实验室在《2017年威胁预测报告》中曾发出警告:“犯罪分子将使用机器学习技术进行自动化攻击并绕过检测,传统防御技术将难以抵挡智能化的渗透式网络入侵。”随着未来的网络技术突破,尤其是随着人工智能技术的不断发展和军事应用,网络武器的攻击性和防御性将不断交锋,技术进步和应用转化将同时在网络攻防两端产生作用。
二是网络武器效能实体化。 早期的网络攻击往往针对虚拟目标,产生的损害主要在数据层、逻辑层和应用层。即使是一度肆虐的勒索软件病毒,其攻击方式也主要是对数据进行篡改、偷取和破坏,现实的损害往往是数据或功能的损伤。但是随着网络技术的不断发展,网络空间与现实空间融合交织的程度日益加深,网络武器对于物理系统的渗透性越来越强,可能造成的现实打击也越来越直接和深刻。IPv6与5G时代的到来会使这一趋势变得更加紧迫,全球范围的物联网具备了更加现实的技术和硬件支持,接入网络空间的物理设备与网络资产将呈现爆炸式增长,这将使得 网络武器能够更加容易地突破虚拟与现实的空间隔阂,直接对各种联网终端进行攻击,并带来直接的物理损失和连带性的现实影响,而不仅仅是传统虚拟数据层的损害。 有些国家正在开发可突破物理隔阻的各类网络攻击手段,这将成为网络武器发展的一个重要趋势。
三是网络武器平台体系化、集成化。 这方面的例子也很多,如2012年美国军方开始资助所谓的“X计划”。“X计划”包含了网络态势感知等极其丰富的内容,但其中一个很重要的元素或者组成部分,就是试图把各种网络武器集成到同一个平台上。其设想是能够让每一个作战单位,甚至每一个具体执行任务的士兵,都能够从这个平台选择想要的网络武器发动攻击,因此这种平台体系化趋势越来越明显。再比如2022年披露的Quantum(量子)攻击系统,是APT 组织APT-C-40针对国家级互联网专门设计的一种先进的网络流量劫持攻击技术,具有“QUANTUMINSERT(量子注入)”“QUANTUMBOT(量子傀儡)”“QUAN-TUMBISCUIT(量子饼干)”“QUANTUMDNS(量子DNS)”“QUANTUMHAND(量子掌握)”“QUANTUMP HANTOM(量子幻影)”“QUANTUMSKY(量子天空)”“QUANTUM-COPPER(量子警察)”“QUANTUMSMACKDOWN(量子下载)”九大功能模块,分为QUANTUM Capabilities网络定位、QUANTUM SIGDEV网络监控和QUANTUMNATION操作进入三个QUANTUM(量子)攻击实施过程,已完全实现了工程化、自动化(见图1-8)。据NSA(National Seacrity Agency,美国国家安全局)官方机密文档 Quantum Insert Diagrams 内容显示,QUANTUM(量子)攻击可以劫持全世界任意地区、任意网络上用户的正常网页浏览流量,实施漏洞利用、通信操控和情报窃取等一系列复杂网络攻击。
·图1-8 量子攻击系统的三大应用场景与九大功能模块
注意,平台体系化的趋势不只是体现在网络攻击技术的整合上,还极大地扩展到了其他层面: 一是跨组织的横向整合 ,主要体现在国际间的网络空间联盟化,如美国提出云驱动下的国际协同防御概念,即所谓的“伙伴国家”的安全人员,可以通过智能技术对共有的情报数据进行提取、分析和共享,从而制定相应的战略战术; 二是纵向的体系化 ,主要是对多维度信息资源进行整合应用,形成全域型的作战空间。伴随着军事空间网络化,网络空间已经成为陆、海、空、天等实体战场的支撑,信息化军队是建立在网络基础之上的,谁控制了网络,谁就拥有了现代战场上的制信息权,赢得了主动。与此同时,陆、海、空、天等实体战场也扩展了网络信息资源来源的维度,构建了一个纵向立体的信息化战场。
网络武器是攻防手段的核心能力支撑。如果深入研究高级网络攻防手段,会发现其复杂度非常高。为了方便大家建立概念框架,这里引进MITRE公司提出的“ATT&CK技战术模型”(Adversarial Tactics Techniques and Common Knowledge)。
MITRE认为,网络安全模型可以分为如图1-9所示的三个层级。
·高层级模型:如Kill Chain、STRIDE。
·中层级模型:如MITRE ATT&CK。
·低层级模型:如Exploit、Database、Vulnerability、Models。
·图1-9 网络安全模型的层级划分
其中,高层级模型普遍对网络攻击的抽象程度较高,无法在操作面上形成针对性的指导。以网络安全KillChain模型为例,它将攻击行为分解为多个阶段: 侦查(Reconnaissance)→武器化(Weaponization)→传输(Delivery)→挖掘(Exploitation)→植入(Installation)→命令和控制(C2)→操作目标(Actions on Objectives)。 这个模型框架对于深入理解网络攻击有一定意义,但由于高度概括抽象,所以很难对具体问题提供指导。低层级模型又过度注重技术细节,如安全漏洞库、恶意代码特征等,让人们无法把控攻击者的目的和整体攻击过程。
因此,MITRE提出了一个中层级安全模型,即ATT&CK,以便刻画网络攻击中的以下要素。
· 每次攻击行为之间的联系。
· 连续的攻击行为背后的攻击目标。
· 每次攻击行为如何与数据源、防御、配置和其他被用在一个平台/技术域之间的措施相联系。
TTP(Tactics Techniques Procedure)是ATT&CK模型的核心内容,如图1-10所示。
·图1-10 ATT&CK模型中的TTP概念
X轴是战术(Tactics),描述攻击行为的目标(WHY),如持久化、提权等作战意图。 战术之间可能没有严格的时序关系,需要在实战对抗中灵活运用。此外,并非所有归纳出来的战术都一定会应用在现实中。
Y轴是技术(Techniques),说明达成战术目标所使用的手法(WHAT)。 根据统计,在检测逃逸(TA0005,Defense Evasion)、持久化(TA0003,Persistence)和荷载执行(TA0002,Execution)三类战术中包含了最多数量的技术手法。例如,为了在Windows操作系统环境中实现攻击持久化的目标,可以使用系统定期任务(T1053,Scheduled Task),或者利用注册表启动项/系统启动目标(T1060,Registry Run Keys/Startup Folder)等多种技术。
ATT&CK矩阵的Z轴指TTP的最后一环——过程(Procedure),用于说明成功执行技术手法应该如何操作实施(HOW)。 攻击过程包括了丰富的技术细节,万千变化皆在于此。
ATT&CK模型将网络安全事件划分为12个阶段(或者说是12种技战术指导策略)进行描述: 初始访问→执行→持久化→提升权限(提权)→防御绕过→凭据访问→探索发现→横向移动→收集→命令与控制→数据泄露→影响。
(1)初始访问
“初始访问”是攻击的起点,也是攻击者在目标环境中的立足点。攻击者会使用不同技术来实现初始访问技术。
(2)执行
“执行”战术是所有攻击者必然会采用的一个战术,因为无论攻击者通过恶意程序、勒索软件还是APT攻击等手段,为了能成功攻入主机,最终都会选择“执行”战术。但换个角度想,如果恶意程序必须运行,安全防御人员将有机会阻止或者检测它,无论是主动出击还是守株待兔,都有可能成功防御。但是需要注意,并非所有的恶意程序都是可以用杀毒软件检测到的,高级的恶意程序会被攻击者精心包装,做了免杀加壳甚至自动备份隐藏,在面对这种机器无法扫描到的情况时,就需要专业人员来进行调查研究了。
(3)持久化
“持久化”战术是所有攻击者追求实现的技术之一,除勒索软件外,大部分攻击者的存活时间取决于何时被检测系统发现。试想一下,一个攻击者花了很大的攻击成本攻入了某台主机后,必然不愿意再花同样的时间成本在下次登录(攻击)的过程中,所以最简便最能减少工作量的方法就是“留后门”或者叫“持久化”。在攻击者成功执行完“持久化”之后,即便运维人员采取重启、更改凭据等措施,持久化依然可以让计算机再次感染病毒或维护其现有连接。例如,“更改注册表、启动文件夹和镜像劫持(IFEO )”等。
(4)提升权限
“提升权限”战术也是攻击者比较追捧的技术之一,毕竟不是每位攻击者都能够使用管理员账号进行攻击,谁都希望自己能获得最大的权限,利用系统漏洞达到root级访问权限可以说是攻击者的核心目标之一。
(5)防御绕过
“防御绕过”战术极为重要,据统计,目前其包含的技术约69项。而防御绕过中有一些技术可以让一些恶意软件骗过防病毒产品,让这些防病毒产品根本无法对其进行检查,又或者绕过白名单技术。例如,修改注册表键值、删除核心文件和禁用安全工具等。当然作为防御者,在应对此类战术时可以通过监视终端上的更改并收集关键系统的日志来让入侵无处遁形。
(6)凭据访问
“凭据访问”也是对攻击者极具吸引力的战术。毫无疑问,它是攻击者最想要的东西之一,因为有了凭据访问,不仅能节省下来大量的攻击成本,而且减少了攻击被发现的风险。试想一下,如果攻击者可以堂而皇之地进行登录,怎么会花费大量的攻击成本冒险使用0day漏洞入侵?
(7)探索发现
“探索发现”战术是所有攻击手段中最难以防御的策略,可以说是“防不胜防”。其实该战术与网络安全“杀伤链”(Kill Chain)的侦查阶段有很多相似之处。组织机构要正常运营业务,肯定会暴露某些特定方面的信息,而这些信息可能恰好被攻击方所利用。
(8)横向移动
“横向移动”战术是攻击者常用战术之一,在攻击者利用某个漏洞进入系统后,无论是为了收集信息还是为了下一步攻击寻找突破点,通常都会尝试在网络内横向移动。哪怕是勒索软件,甚至是只针对单个系统的勒索软件,通常也会试图在网络中移动寻找其攻击目标。攻击者一般都会先寻找一个落脚点,然后开始在各个系统中移动,寻找更好的访问权限,最终控制目标网络。
(9)收集
“收集”战术是一种攻击者为了发现和收集实现目标所需的数据而采取的技术。但是该战术中列出的许多技术都没有关于如何减轻这些技术的实际指导。实际上,大多数都是含糊其辞,声称使用白名单,或者建议在生命周期的早期阶段阻止攻击者。
(10)命令与控制
现在大多数恶意软件都有一定程度的命令和控制权。黑客可以通过命令和控制权来渗透数据、告诉恶意软件下一步执行什么指令。对于每种命令和控制,攻击者都是从远程位置访问网络。因此了解网络上发生的事情对于解决这些技术至关重要。
(11)数据泄露
攻击者获得访问权限后,会四处搜寻相关数据,然后开始着手数据渗透。但并不是所有恶意软件都能到达这个阶段。例如,勒索软件通常对数据逐渐渗出没有兴趣。与“收集”战术一样,该战术对于如何缓解攻击者获取公司数据,几乎没有提供指导意见。
(12)影响
“影响”是攻击过程中的最后一项战术,攻击者试图操纵、中断或破坏企业的系统和数据。用于影响的技术包括破坏或篡改数据。在某些情况下,业务流程可能看起来很好,但实际已经更改为有利于对手的目标。这些技术可能被对手用来完成最终目标,或者为机密泄露提供掩护。
随着现代科技的不断发展,先进武器得到广泛运用,大国对抗已经演变为高技术条件下的信息战、精确战和智能战,由先前的三位一体发展成为四维空间作战。对抗双方战场的透明化不断扩大,如何能够有效地隐蔽自身进攻目的是对抗双方都希望拥有的能力。
而网络战场的特点,恰恰提供了“主动-被动”关系的转变。在传统对抗领域,防守方拥有更多优势,如防御工事、有利于防守者的信息不对称性等。但在网络空间领域,上述理论已被颠覆,相对于防守方来说,攻击者具有以下优势。
·成本可控:网络武器的成本比常规武器要低得多,真实部署时可以大量使用无需定制的现成技术或免费工具。
·资源可控:不需要大量的部队和武器。
·即时效应:可用于实现“即时”效应,并可消除部署常规武器时常见的拖延现象。
·层级可控:可以减少或避免卷入火力打击作战行动的需要。
·匿名性:攻击者可躲藏在跨越国家主权和司法管辖边界的全球网络中,使攻击归因变得更为复杂。
·主动性:对手可以选择发起攻击的时间、地点和工具,更为主动。
·漏洞利用:攻击者能够在全球范围进行探测,并触及网络空间防御薄弱环节。
·人性弱点:社会工程学攻击,证明了存在于人身上的弱点与漏洞极易被利用。
·取证难度:证据的易变性和瞬时性特点使对攻击的分析变得复杂化,相当棘手。
以目前的态势来看,要想在网络对抗中占据优势,需要学会如何提升“机动”能力。
几乎所有的军事家都需要探索一个永恒不变军事课题,那就是如何快速有效地集中自己的力量,并凝聚利用这些力量,以将其投入在最优的攻击任务上。队伍集结需要机动能力,队伍的运动需要机动能力,队伍的后勤保障也需要机动能力。可以这样说,一支队伍要想在其军事任务中取得胜利,其机动能力将起到至关重要的地位。
在网络空间的APT攻击中,可以更深刻地理解这种主被动关系。在高级持续威胁攻击中,攻击事件的发生和发展完全处于动态发展之中,而当前的防护体系更多强调的是静态特征异常检测,这种方式不可能对抗长期的动态变化的持续性攻击。因此,防护者或许能挡住一时的攻击,但是随着时间的推移,系统不断有新的漏洞被发现,防御体系也会存在一定的空窗期,如设备升级、应用需要的兼容性测试环境等,遇到这种机会攻击者就会果断进行入侵,持续性、渐进性入侵,直到达到入侵目标并提升权限。在定向入侵成功以后,攻击者会长期控制目标,获取更大的利益,同时在特定时期下也会突然破坏性爆发,最终导致系统失守。
网络对抗中,最重要的资源就是人,尤其是具备网络攻防实战能力的人。
攻击战队一般会采用针对目标单位的从业人员,以及目标系统所在网络内的软件、硬件设备同时执行多角度、全方位、对抗性的混合式模拟攻击手段。通过技术手段实现系统提权、控制业务和获取数据等渗透目标,来发现系统、技术、人员、管理和基础架构等方面中存在的网络安全隐患或薄弱环节。
攻击战队并不只是一般意义上的黑客。一般黑客以攻破系统、获取利益为目标。攻击战队也有可能以发现系统薄弱环节、提升系统安全性为目标。此外,对于一般的黑客来说,只要发现一种攻击方法可以有效地达成目标,通常就不会再去尝试其他的攻击方法和途径。但攻击战队的目标则是要尽可能地找出系统中存在的所有安全问题,因此往往会穷尽已知的“所有”方法来完成攻击。换句话说,攻击战队人员需要的是全面的攻防能力,而不仅仅是“三板斧”式的几个绝招。
攻击战队的工作也与业界熟知的渗透测试有所区别。渗透测试通常是按照规范技术流程对目标系统进行的安全性测试。而攻击战队一般只限定攻击范围和攻击时段,对具体的攻击方法则没有太多限制。渗透测试过程只要验证漏洞的存在即可,而攻击战队则要求实际获取系统权限或系统数据。此外,渗透测试一般都会明确要求禁止使用社会工程学手段(通过对人的诱导、欺骗等方法完成攻击),而攻击战队则可以在确保自身安全的情况下使用社会工程学手段。
攻击战队的资源可以通过定向邀请、竞赛选拔、公开招募和社会动员等方式调集。
从网络靶场的资源要素来看,除战队资源外,支撑网络对抗活动的工具库、安全知识库、其他知识库与支撑资源库也需要积累。其内容分列如下。
(1)工具库
工具库是网络靶场系统的重要组成部分,用于支撑靶场的攻防对抗实训、竞赛演练、人才培养、认证与检测、研究与实验等各类业务或功能。工具库分为攻击工具库、防御工具库和测试工具库三大类,其中攻击工具库与防御工具库尤为重要。
· 攻击工具库:包含端口扫描工具、漏洞验证工具、提权工具、SQL注入工具和DDoS类工具等,它们可以由平台管理方所提供,也可以由平台使用者提供,还可以由其他方式提供,但是,都必须经过平台管理者进行验证和授权使用。
· 防御工具库:包括防火墙、WAF、病毒查杀、恶意代码专杀、漏洞防护、IDS、IPS和SOC等,它们也由平台管理方所提供,还可以由使用者提供,但是,都必须经过平台管理者进行验证和授权使用。
· 测试工具库:较为重要的测试工具有4类。第一类是流量生成型仿真工具,用于实现向所定义的路由和节点发送包含特定内容的特定数据流。所送的数据流可能是真实网络环境下采集的数据流量的回放,也可以是基于特定规测而实时生成的数据流量;第二类是传感器/探针型数据采集工具,用于放置在特定节点,或者是用来采集某种特定数据或特定行为,以便触发下一步仿真测试动作,或者是作为仿真测试结果记录器,在特定节点记录全部或指定的协议和内容的数据;第三类是基于模型的网络应用仿真器,按照从特定实际环境中,针对特定的网络应用所建立的网络行为模型,在该仿真环境中反向实现该项网络应用;第四类是各种测试仪表,如Avalanche、IXIA、BreakingPoint、Core Impact和Codenomicon等。
(2)安全知识库
安全知识库为网络靶场环境构建、攻防对抗演训、安全检测评估与信息安全新技术研究等提供重要能力支持,主要有安全漏洞库、威胁情报库,以及相关的专家系统。
其中安全漏洞库与业界重要的漏洞平台(CNVD、CNNVD、CVE等)对接,面向社会收集大数据安全漏洞,收纳靶场举办各类实战活动挖掘发现的漏洞,持续积累“漏洞银行”。威胁情报 是指网络空间中一种基于证据的知识,包括情境(Context)、机制(Mechanisms)、指标(Indicators)、隐含(Implications)和实际可行的建议(Actionable Advice)。威胁情报描述了现存的,或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。 广义的威胁情报库可以包含以下安全数据:恶意代码样本与安全漏洞技术信息;IP信誉、DNS信誉、Web信誉、文件信誉和邮件信誉等安全信誉数据;恶意代码的静态特征码、IPS特征规则;恶意软件行为数据、网络攻击行为数据;高级威胁检测模型;攻击工具Profile;黑客画像与APT组织Profile(见图1-11)。
·图1-11 威胁情报包含的内容
(3)其他知识库
其他知识库包括样本数据库、社工知识库、想定生成库、安全模型库、演练脚本库、安全基线库和应急预案库等。
(4)支撑资源库
支撑资源库包括基础镜像资源库、行业应用场景资源库、私有镜像资源库、私有场景资源库和试验结果库等。
· 基础镜像资源库中汇总了各种标准的操作系统库、中间件库、数据库和虚拟化资源等常见的应用环境,并已经制作成了虚拟机镜像,可以供所有的试验者调用。
· 行业应用场景资源库中包括具有行业背景的业务系统应用场景库,由“网络拓扑+虚拟机镜像+相关安全设备硬件+安全配置”组成,并且由系统管理员根据业务需求设定访问策略决定用户的使用权限。
· 私有镜像资源库中包括各个试验者自己制作,并仅应用在自己所从事的试验中的专用镜像资源,这些资源要提交给系统管理员管理,但是按照提交者的要求分配应用权限。
· 私有场景资源库中包括由各个试验者自己制作,并仅应用在自己所从事的试验中的专用场景资源,这些资源要提交给系统管理员管理,但是按照提交者的要求分配应用权限。
· 试验结果库中提供一定的文件空间给各个试验者,由他们存放试验过程中所产生的试验数据,这个空间是有权限的,建议由申请人自行管理。