美国网络空间攻击与主动防御能力解析
——美国网络空间的能力演进

◎安天研究院

在之前的文章中，我们分别展开介绍了美国大型信号情报获取项目，网空积极防御体系，网空进攻支撑体系以及包括用于突破物理隔离、持久化控制、漏洞利用、命令与控制和利用无线信号的网络空间攻击装备体系，全面解析了美国在网络空间的攻击与积极防御能力。在本期中，我们将对美国网络空间攻击与积极防御能力的演进进行分析，展现其未来发展的趋势。

随着网络技术的快速发展、网络场景的不断变化，美国在网络空间中的进攻与积极防御能力也会不断演进。为了应对未来可能出现的新威胁，必须对美国未来网络空间的能力演进进行研究，分析可能出现的新变化、新趋势，对未来的敌情进行合理的推测，以此建立有效的敌情想定，在此基础上发现我方防御能力的不足，指导我方网络空间防御体系的不断完善。未来美国网络空间的能力演进主要表现在战略思想、网络空间防御能力、网络空间进攻能力等几个方面。

一、战略思想上的转变

2018年9月，特朗普政府发布了《国家网络战略》，这是继小布什政府的《网络空间安全国家战略》（2003年）后，15年来美国公布的首项内容全面的网络战略。该战略强调对关键基础设施的保护、与私营企业合作、保护政府网络以及建立更强大的合作伙伴关系以共享威胁情报信息。与以往类似政策不同的是，《国家网络战略》展现了美国政府在应对网络空间对手方式上的转变，称为达成有效威慑，要让网络恶意行为体承受“反应快速、代价巨大、清晰可见的后果”。可以看出，特朗普政府计划加强进攻性网络行动，通过先发制人的网络攻击威慑对手。

同月，美国国防部发布了《2018国防部网络战略》，该战略概述了一项军方如何处理网络安全的更为详细的计划，即以“防御前置”的方式从源头上破坏或制止恶意网络活动。所谓“防御前置”，实际上是强调网络进攻。几乎在同一时间，美国国家安全总统备忘录13（NSPM 13）提出，美国总统可以将某些网络权限授予国防部长执行特定任务，以加速网络行动。NSPM 13在很大程度上消除了奥巴马政府实施的长时间的机构间审批程序，使得军方更容易发起进攻性网络行动。

美国政府和军方的一系列动作，代表着美国网络安全从防御到攻击态势的危险转变，增加进攻性网络行动的做法可能会加剧网络冲突。一方面，快速的网络行动意味着没有足够的时间留给政府针对网络攻击事件进行追踪溯源，很有可能使美国攻击错误的目标；另一方面，“进攻是最好的防御”这一观点在网络空间中不能成立，先发制人的网络攻击并不能形成针对对手的有效威慑能力。

二、网络空间防御能力持续提升

在网络空间防御方面，美国建设了国防部积极防御系统“监护”（Tutelage），并将相关技术应用到了旨在保障联邦政府机构网络安全的“爱因斯坦”计划中。在不断建设和演进过程中，正在形成一套具有完备有效的感知能力、积极防御及反制能力的国家网络空间安全防御体系。

应对外部威胁方面，在原有防御体系基础上，美国安全部门也投入了大量的人力、资金设立新的研究计划和项目，以应对网络空间中的各类威胁。NSA的“零日网络防御计划”（Sharkseer），旨在利用商用成品（COTS）快速检测和缓解基于Web的恶意软件、零日漏洞和高级持续性威胁，并实现不同密级间的情报数据实时共享。此外，美国陆军正在测试欺骗性的网络防御技术——网络空间欺骗能力，该技术旨在诱骗攻击者让其误认为已经攻破计算机网络，可用于提供预警、虚假信息、混淆、延迟或其他方式阻止网络攻击者。在需要时，该技术还能通过欺骗攻击者，诱导出更多情报，进而驱动反击行动。

另一方面，长期以来以斯诺登为代表的各类泄密事件，给美国政府造成了巨大的损失。因此，美国情报机构高度重视内部威胁，并通过各种举措应对内部威胁。早期，在“7号军火库”（Vault 7）中有一款名为“涂鸦”（Scribbles）的CIA网空装备，Scribbles是一款用于将网络信标标签嵌入机密文档的软件，即在Office文档内部嵌入一个透明水印图片组件，用于追踪可能被内部人员、举报者、记者或其他人员复制的文档，以便监控机构追踪泄密者和外国间谍。Scribbles的最新版本于2016年3月1日发布，在Office97至2016版本上通过测试，标记授权日期直至2066年。此外，在情报共享中，美国国家情报总监办公室（ODNI）选择可信数据格式（TDF），采用基于属性的访问控制，既可以指明接收者的身份及业务信息，也可以指明允许处理数据的终端或环境特性，以此保障安全受控的共享。

三、网络空间进攻能力不断加强

通过之前对国家安全局（NSA）和中央情报局（CIA）的网络空间装备体系的梳理和分析，我们在一定程度上了解了美方网络空间装备库全平台、全功能的特点。《2018国防部网络战略》中，将“加速网络能力开发”作为实现“建立更具杀伤力的联合部队”这一目标的重要举措。未来美方会不断丰富自己的网络攻击装备体系，并向覆盖更广泛、能力更全面的方向不断演进。

在漏洞挖掘、收集和利用方面，美方的优势能力无论是在“震网”（Stuxnet）还是“魔窟”（WannaCry）事件中都得到了很好的证明。“震网”事件中，美方使用了5个Windows零日漏洞和1个西门子的零日漏洞，以一种看似近乎挥霍实则精妙组合利用零日漏洞的方式，实现了通过网络空间作业对伊朗核设施造成物理破坏的效果，几乎永久地迟滞了伊朗核计划，达成了美方的战略意图。2017年5月全球爆发大规模的“魔窟”感染事件，只是利用了NSA泄露的众多漏洞之一，就引发了席卷全球的勒索病毒感染事件，美方的漏洞储备能力可见一斑。未来美方将会持续加强其在漏洞挖掘和储备上的优势能力，并且不排除美方存在利用其在供应链上的优势，向设备中埋入漏洞的可能。类似地，在持久化控制、突破物理隔离、命令与控制等方面，美方将在目标覆盖范围、全面性、隐蔽性等方面持续提升，继续保持优势能力。

除了不断加强已有的攻击能力外，随着各种新设备的出现和新技术的逐渐成熟，新的攻击手段将会逐渐从研究进入实用。在Black Hat 2018上，研究人员展示了利用传真机对企业内部网络进行渗透的实例，只需掌握传真机的电话号码，就能对传真机进行攻击，并以其作为跳板，侵入内网。类似地，未来的演进趋势还包括：针对各类IoT设备，包括智能手表、音响、耳机、眼镜、摄像头，甚至汽车等的攻击将更加普遍；利用声、光、电、热、电磁波等建立信道，实现隐蔽通信的技术可能会逐渐成熟，被更多地应用在攻击行动中；通过无人机抵近目标，进行侦察、入侵、控制、窃取的作业方式可能逐渐增多等。

面对这些变化，应该如何完善我方的防御能力，以应对可能的挑战呢？首先应基于敌情的演进建立敌情想定，将高能力对手的敌情存在作为基本假设，包括内网已经被渗透、任何内网设备都可能被攻陷、我方人员已经被敌方策反、供应链已被敌方渗透、敌方有能力劫持我方设备采购的物流链等，以极限化的敌情想定驱动防御能力的演进。

在具体的网空防御体系建设中，需要强化已有静态的防御机制实现兼顾“结合面”与“覆盖面”的综合防御能力体系。将网络安全防御能力与物理、网络、系统、应用、数据与用户等各个层级深度结合，在信息化环境各层级结合网络安全防御能力，使防御能力与实际情况紧密结合；将网络安全防御能力部署到信息化基础设施和信息系统的“每一个角落”，力求最大化覆盖构成网络的各个组成实体，避免由于在局部的安全盲区或者安全短板而导致整个网络安全防御体系的失效。同时还必须加快建设动态防御能力体系，其中关键是针对网络空间时代的高水平复杂威胁行为展开协同响应对抗的积极防御能力。最终实现构建具有与网络信息基础设施“深度结合、全面覆盖”的综合防御特点、强调“掌握敌情、协同响应”的动态防御特点的网络空间防御体系。

在下一期的文章中，我们将对美国网络空间攻击与积极防御能力进行总结，并对如何进行系统的应对提出建议，敬请期待。