随着网络技术的加快速度进行发展,互联网空间的竞争日趋激烈,互联网空间的对抗正在成为高技术战争的一种日益重要的作战样式。作者觉得,韩军正处在网络战建设的关键时期,加快网络战力量建设,确保互联网空间安全非常必要。本文结合网络杀伤链概念及相关案例,提出了旨在加强韩军互联网空间安全的发展方向。
今天,网络安全正在面临着前所未有的挑战,军队的网络同样遭到高级持续性威胁(AdvancedPersistent Threat)、分布式拒绝服务(Distributed Denial ofService)攻击等诸多威胁。洛克希德·马丁(RockheedMartin)公司提出的网络杀伤链将网络攻击流程细分为侦察跟踪、武器构建、散布投递、恶用代码、设置软件、命令与控制、目标达成等七个阶段,并基于此建立了包括各阶段应对方案的运用概念。
目前,韩军正处于网络战建设的关键时期,包括一系列网络攻击流程与应对方案的网络杀伤链为探索网络作战的新模式提供了重要的参考是依据。本文首先介绍了网络杀伤链的概念及实际案例,在韩军网络战中的适用可能性、原则及范围,并提出了韩军的网络防御作战杀伤链架构(案)。希望能够通过这样的努力,能够为韩军构建网络作战遂行体制、制订有关政策、发掘战力化需求提供较为可靠支撑。
以特定国家或企业为对象的智能化、破坏性网络攻击日趋活跃。据韩国互联网振兴院称,虽然蠕虫病毒等网络威胁呈现减少趋势,但是从2008年起,高级持续性威胁(Advanced Persistent Threat)、分布式拒绝服务(Distributed Denial of Service)攻击等网络攻击事件却大幅增加。
从高级持续性威胁、分布式拒绝服务、恶意软件(malware)等网络攻击的特性来看,当接到互联网空间的物理指令后,就会以极快的速度发起攻击。不过,从攻击者寻找攻击目标的漏洞或缺陷、设置攻击程序、建立攻击环境,到下达攻击命令为止,往往有必要进行周密细致的筹划和部署,整一个完整的过程有时需要几日,甚至数年时间。
美国军工企业洛克希德·马丁(RockheedMartin)公司认为,网络攻击是利用网络存在的漏洞和安全缺陷,根据一系列的计划流程实施的攻击活动。基于这一考虑,该公司提出了普遍适用的网络攻击流程与防御概念。这一网络攻击流程与防御概念参考军事上的杀伤链(Kill Chain)概念,使用了“网络杀伤链(Cyber Kill Chain)”一词。“杀伤链”是指从对军事目标的探测到破坏的整个处理过程,网络攻击也要经过类似的、连续的过程。若防御者能够成功阻止某一阶段的攻击,那么攻击者下一个阶段的攻击活动就会受到相应地限制。
网络空间慢慢的变成了新的战场,而网络对抗正在发展成为重要的作战样式之一。正因为如此,有必要加快网络作战力量建设步伐,确保韩国互联网空间安全。
本文介绍了网络杀伤链的概念及相关事例,并提出了旨在加强韩军网络安全的发展方向。
在介绍网络杀伤链之前,有必要简要介绍一下“杀伤链”概念。杀伤链是指对攻击目标从探测到破坏的一系列循环处理过程,由几个不同阶段的行为构成。“杀伤链”是为了有效应对核武器、导弹等一直在变化位置、危险性大、需要即刻应对的时敏目标(timesensitivetarget)而发展起来的作战流程。具体来讲,就是防御者通过各个阶段阻止核武器或导弹等发挥作用,从而使攻击者无法达成预期的作战目的。
杀伤链最初是由美前空军参谋长罗纳德·福格尔曼(Ronald Fogleman)将军在1996年的空军协会研讨会上提出的,后来经过不断地改进与完善。通常,杀伤链可分为F2T2EA六个阶段,即发现(Find)阶段、锁定(Fix)阶段、跟踪(Track)阶段、定位(Target)阶段、交战(Engage)阶段、评估(Assess)阶段2。
网络杀伤链由攻击流程与防御概念构成。如图1所示,攻击流程分为侦察跟踪、武器构建、散布投递、恶用代码、设置软件、命令与控制、目标达成。
第一、侦察跟踪。侦察跟踪是攻击者为达成目标,进行探测、识别及确定攻击对象(目标)的过程。在此阶段,可利用互联网收集企业/机关网站、报道资料、招标公告、职员的社会关系网(socialmedianetworks)、学会成员目录等各种与目标相关的情报。
第二、武器构建。武器构建是指通过侦察阶段确定目标后,准备网络武器的阶段。网络武器可由攻击者直接制造,也可利用自动化工具来制造。
第三、散布投递。散布阶段是指将制造完成的网络武器向目标散布的阶段。据洛克希德·马丁公司网络安全保障小组称,自2004年至2010年间,使用最为频繁的散布手段有邮件附件、网站、USB(Universal Serial Bus)等。
第四、恶用代码。恶用代码是指网络武器散布到目标系统后,启动恶意代码的阶段。在大部分的情况下,往往会利用应用程序或操作系统的漏洞及缺陷。
第五、设置软件。设置阶段是指攻击者在目标系统设置特洛伊木马、后门等,一定期限内在目标系统营造活动环境。
第六:命令与控制。命令与控制是建立目标系统攻击路径,在大部分情况下,智能型网络攻击并非是单纯的自动攻击,而是在攻击者的直接参与下实施的。一旦攻击路径确立后,攻击者将能够自由接近目标系统。
第七、目标达成阶段。这一阶段是指攻击者达到预期目标的阶段。攻击目标呈现多样化,具体来讲有侦察、敏感情报收集、破坏数据的完整性4、摧毁系统等。
这就像传统的盗窃流程。小偷要先踩点再溜入目标建筑,一步步实行盗窃计划最终卷赃逃逸。要利用网络杀伤链来防止攻击者潜入网络环境,需要足够的情报和可见性来明了网络的风吹草动。当不该有的东西出现后,企业要第一时间获悉,为此公司能够设置攻击警报。
要想明确杀伤链技术是不是适合自己的企业,不妨通过杀伤链模型的几个阶段入手,来发现企业应当核实的问题。
洛克希德·马丁公司参考美国防部信息作战(IO:Information Operation)小组的应对方案,将网络防御类型分为探测、拒止、干扰、弱化、欺瞒、破坏六种。
★ 命令与控制:探测基于主机入侵检测系统、拒止防火墙访问控制表、干扰网络入侵防护系统、弱化限定蠕虫、欺瞒DNS重定向
应对网络攻击的类型中,探测是指发现、识别入侵者的行为,拒止是指阻止攻击者的接入,干扰是指阻挠破坏攻击者的入侵信息流,弱化是指降低攻击效率及攻击效果,欺瞒是指通过捏造虚假信息,使攻击者做出错误的判断,破坏是指使攻击者或攻击工具受到损伤,丧失应用功能,没办法恢复原状。
如图2所示,美国防部在2015年发行的《网络安全测试与评估指南》6中援引美国防部防御分析研究所(Institute for DefenseAnalysis)的资料,提出了包括网络攻击与防御主要活动、目的等内容的“网络安全杀伤链(CSKC: Cybsersecurity Kill Chain)”。在CSKC的攻击流程中,没有网络杀伤链中的设置阶段,且在目标达成阶段之后,追加了维持阶段。CSKC的防御者应对类型与网络杀伤链的应对类型相同。
全球性企业高德纳(Gartner)公司、Verdasys公司、惠普企业(HPE)公司等也提出了与洛克希德·马丁公司的网络杀伤链攻击流程类似的概念。
从高德纳(Gartner)公司的“攻击链模型(Attack ChainModel)”来看,攻击流程细分为传递、恶用/设置、命令与控制、提升权限、资源接近、夺取六个阶段7。此外,如图3所示,明确了钓鱼木码、恶意代码等攻击类型与攻击流程中的具体阶段相关。
与洛克希德·马丁公司的网络杀伤链概念不同的是,高德纳(Gartner)公司的“攻击链模型”未将侦察与武器化阶段列入到流程之中。此外,为了具体体现攻击类型的多样性,“攻击链模型”将网络杀伤链的目标达成阶段细分为提升权限、资源接近、夺取三个阶段。
如图4所示,Verdasys公司提出了由恶意代码引入、命令与控制、扩张、目标识别、夺取(攻击)、后退等七个阶段构成的名为“网络攻击防御(Cyber Attack Defense)”的攻击流程和应对方案8。Verdasys公司的“网络攻击防御”的独特之处在于将攻击者侦察对方资料存储系统位置及非法获取接近权限的阶段定义为识别阶段,并专门设置了攻击后实施后退的阶段。
惠普企业(HPE)公司提出了更为详细的攻击流程9。如图5所示,惠普企业(HPE)公司的攻击生命周期(Attack Life Cycle)由侦察、攻击传递、恶用、设置、命令与控制、区域性夺取、内部搜索、提升权限、渠道生成、情报夺取等十个阶段构成。惠普企业(HPE)公司的攻击生命周期将攻击者侵入系统后的阶段细分为内部搜索、提升权限、情报夺取等阶段的同时,未将武器化阶段列入其中。从这一点来看,惠普企业(HPE)公司的攻击生命周期与洛克希德·马丁公司的网络杀伤链有明显不同,而与高德纳(Gartner)公司的“攻击链模型”有所类似。
下面,通过DDoS攻击,对洛克希德·马丁公司的网络杀伤链的攻击流程展开具体说明。DDoS攻击是指借助客户/服务器技术将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者将恶意代码安装在多个计算机上。当这些计算机接到远程控制命令同时接入特定网站时,会引起网站服务器过载,从而干扰乃至阻断系统的正常运行。
从DDoS攻击的流程来看,在第1阶段(侦察)攻击者确定攻击目标;在第2阶段(武器化)生成恶意代码;在第3阶段(散布)通过种种渠道(网站、邮件附件等)散布恶意代码;在第4阶段(恶用)侵入对方系统,搜集有用情报;在第5阶段(设置)追加设置恶意代码;在第6阶段(命令与控制),恶意代码潜伏在僵尸计算机,等候指令;在第7阶段,接到命令后,僵尸计算机同时向特定网站发起攻击,使该网站瘫痪。
第一、“有事时,韩国军队能否有效实施网络作战?”,即需深入研究韩军是不是具备完备的网络作战概念,并评估韩军遂行网络作战的能力。
第二、“在网络作战时,韩军能否应用网络杀伤链概念?”,即需深入研究网络杀伤链概念是否在发达国家中得以应用,并评估韩军网络作战遂行体系中是不是能够运用网络杀伤链概念。
第三、“能否基于网络杀伤链概念,重新确立网络作战遂行体系?”,即需深入研究网络作战各阶段的目标、任务、流程、技术等,并建立保证网络作战顺利实施的相关机构间的合作机制。
从应用网络杀伤链的角度来看,网络杀伤链等攻击流程模型不但可适用于恶意代码,还可适用于其它的攻击形式。即,在大部分情况下,网络威胁采用恶意代码方式,且如同高德纳(Gartner)公司的“攻击链模型”一样,还能够适用于其它的攻击类型。虽说一些人强调网络杀伤链并未考虑到来自内部的威胁,但是真实的情况却是,即便是内部破坏者,同样要经历侦察(目标确定)、武器化(系统接入)等阶段,因此也完全能适用网络杀伤链的基本概念。至于网络杀伤链的应对阶段,主要是基于美国防部信息作战小组的应对方案。考虑到美国防部的应用事例,从军事层面运用网络杀伤链是可行的。
除了洛克希德·马丁公司的“网络杀伤链”之外,由于其它模型的侦察阶段与武器化阶段是在攻击对象系统的外部实施的,而未被列入攻击流程之中。但是从真实的情况来看,跟踪IP地址、接入频率监控、调查与分析武器化工具等在应对网络攻击方面起着很重要的作用。因此,从先发制人的军事应对角度来考虑,需将侦察阶段与武器化阶段包括在内。
第一、为了有效应对当前及今后来自国内外的网络威胁,需完善网络杀伤链概念。
第二、需充分认识网络杀伤链概念的优缺点,最大限度地发挥网络杀伤链的概念优势。
第七、积极运用商用成品或技术(COTS),必要的情况下,可开发政府专用产品(GOTS)。
第二、网络杀伤链概念优先适用于网络作战领域,尽可能减少与一般军事作战的关联性。
第四、敌方的网络攻击流程参照洛克希德·马丁(Rockheed Martin)公司的杀伤链攻击流程。
基于上述考虑,韩军网络防御作战杀伤链框架(方案)如图6所示。整体来讲,攻击与防御呈现多样化,网络攻击与网络防御有时同步进行,有时会有时间差。
从韩军网络防御作战杀伤链架构(案)中的敌方攻击流程来看,大体上分为作战计划、作战实施、作战结束三个阶段,并参考洛克希德·马丁公司的网络攻击流程进行了细化。具体来讲,在作战计划阶段,进行任务计划与监视预防;在作战实施阶段,对网络杀伤链模型的六大应对类型――美国防部信息作战小组的六个阶段(探测、拒止、干扰、弱化、欺瞒、破坏)进行了调整/整合,即对敌网络攻击进行探测、应对、修复、追踪破坏;在结束阶段,分析评估己方损失结果,并提出网络防御作战计划改进事项。
在国防领域应用网络杀伤链,有望达成如下预期效果:首先,面对网络攻击,韩军可以分阶段进行先发制人应对,从而有效防范破坏性的网络攻击。即便遭到网络攻击,也可以有效的进行智能响应及快速高效的网络修复。在攻击者达成目标之前,及时切断攻击线路,从而使攻击者不得不为日后的网络渗透付出更为高昂的代价。
此外,通过一系列分析攻击者的入侵技术、方法与手段,为日后的网络防护及损失评估提供具体数据。与此同时,通过识别新技术与系统、工具、流程等,为构筑内部网络防护系统、确立项目优先发展次序等提供较为可靠支撑。
美军工企业洛克希德·马丁公司认为,网络攻击是利用网络存在的漏洞和安全缺陷,根据一系列的计划流程实施的攻击活动,并基于此提出了普遍适用的网络攻击流程与防御概念。这一网络攻击流程与防御概念参考军事上的杀伤链(Kill Chain)概念,使用了“网络杀伤链”一词。今天,网络杀伤链概念正步入加快速度进行发展期,并在重要行业和关键领域得到普遍应用。发达国家的一些机构和企业也提出了一些与洛克希德·马丁公司的“网络杀伤链”类似的概念。
“网络杀伤链”概念可覆盖目前正在发生的各种网络威胁。今后,韩国需考虑军队特性与韩军的真实的情况,持续发展“网络杀伤链概念”,深入开展韩军网络防御作战相关研究。
易霖博在此提示:面对发生的各种网络攻击和威胁,大范围的应用好网络杀伤链,确保互联网空间安全。
