美國網絡空間攻擊與主動防御能力解析（總結篇）

◎安天研究院

習近平總書記在網絡安全和信息化工作座談會上指出“網絡安全的本質在對抗，對抗的本質在攻防兩端能力較量。”在這個過程中，對于網空威脅行為體，特別是以美國情報機構為代表的超級網空威脅行為體的認知就構成了我們建立自身防御能力和威懾能力的重要前提。與傳統戰爭領域相同，網絡空間的博弈對抗也要建立客觀充分的敵情想定，深入分析敵我當前的體系、能力、態勢、裝備、編制、戰法等相關因素。要在未來的博弈競合中占據主動，既要發揮我們的傳統優勢和積累，又不能拘泥于原有的視野和慣性；既要把美方作為一個超級網空威脅行為體來對待，又要把其作為一個能力引領方來看待。為此在過去的近一年時間里，我們用了11期的篇幅，對美方的大型信號情報獲取項目、網空安全積極防御體系、網空進攻性支撐體系、網空攻擊裝備體系等分別進行了展開介紹，并對未來的能力演進進行了分析，從多個角度呈現了其在網絡空間的強大能力。在本期中，我們將總結美方在網絡空間的能力優勢和特點，并對應如何建設相應的防御能力提出我們的思考。

在網絡空間的各個維度，美方都代表了最強能力。在復雜的組織、龐大的人員規模和充沛的安全預算保障下，美方建設了一系列大型工程系統，形成了支撐網空行動的工程體系，并依托這些工程體系，將情報獲取、積極防御、進攻作業以及相關的支撐環節等網空能力逐步整合成為整體的國家能力。

美國具有國家安全至上的傳統，隨著國力發展，逐漸將全球無死角的監聽與情報作業能力視為其全球利益和霸權的基石。從上世紀40年代開始，美國陸續通過“三葉草”、“尖塔”等計劃，建立了對電報電話系統的監聽存檔機制，并從上世紀60年代開始建設以“梯隊”為代表的各類信號情報獲取系統，以形成情報網絡基礎。通過大型海底光纜監聽、重點特殊區域監聽、計算機網絡利用（CNE）、運營商入侵、衛星監聽、第三方情報共享等方式，美方能夠在全球范圍獲取包括電子郵件、文件傳輸、語音通話、網絡訪問、短信、傳真、電報等在內的各類網空信號情報，形成了網空作業的“先天優勢”。特別是對于海底光纜和運營商的竊聽，使美方在信號獲取和投入側都具備了無與倫比的隱蔽性掩護和反溯源性優勢。

美方全球信號情報獲取節點分布

為實現對特定區域、目標，特定類型信號情報的獲取，在大型信號情報獲取系統的基礎上，美方開展了大量針對性的信號情報監聽項目，被斯諾登曝光的美國國家安全局（NSA）的“棱鏡”項目就是其中的代表。據不完全統計，近年來被披露的美方信號情報監聽項目已超過30個。通過這些監聽項目，美方就可以實現對全球互聯網人員目標、信道目標、設備目標等完整的畫像，從而形成比較精準的目標定位能力。

在覆蓋全球的信號情報獲取能力基礎上，美方建立了以“湍流”為代表的進攻性能力支撐體系，通過被動信號情報獲取、主動信號情報獲取、任務邏輯控制、情報擴散與聚合、定向等情報相關的能力模塊，實現完整的網空情報循環，并結合“監護”、“量子”等相應的網空攻防能力模塊，進一步實現情報驅動的網空積極防御和進攻行動。

在美方整個的情報作業到軍事行動中，美方并不認為網絡空間是一個獨立的例外空間。而是將其整合為相對統一的情報作業思維和戰術方法論之中，是將網絡作業作為傳統情報作業在網絡空間中的延伸，將網空能力視為對傳統物理域能力的疊加和增益。美國網空司令部認為“物理領域的優勢很大程度上取決于網絡空間的優勢”因此美方并沒有單純的網空作業的概念，而是強調多域聯合和跨域切換。美方基于一套成熟的網空威脅框架來統籌攻擊作業，指引威脅獵殺。這一框架，由管理、準備、交互、存在、影響、持續進程在內相關環節構成，美方對其進一步細化，形成了對應的字典式指南。

美方究竟采用哪種作業方式或作業組合是由希望達成的目的和不同方式的效果決定的。因此，在美方的網空進攻作業中，往往采用人力近場作業、物流鏈劫持、電磁中繼、社會工程學等多種方式相結合，實現作業目的。在作業入口與突破點方面，美方借助其網絡目標畫像、定位能力和全球部署的信號情報監聽節點，實現互聯網目標的快速識別和流量注入，進而將惡意代碼通過瀏覽器打入上網用戶的節點中。對于非上網用戶，美方也能夠通過其他作業方式，依靠各類針對性的網空攻擊裝備，對物理隔離網絡進行突破，之后在進行橫向移動。美方的網空攻擊裝備體系具有制式化、全平臺、全能力特點，從美方的裝備研發思路來看，始終確保攻擊裝備的全IT場景覆蓋能力，針對各種端點設備、網絡設備、網絡安全設備研發儲備0Day漏洞攻擊工具，和對應的惡意代碼。美方所使用的惡意代碼，基于一個可擴展的模塊化框架，對功能進行細分到原子化的設計。同時依托精致、嚴密的指令體系進行細粒度的作業控制。保證作業的隱蔽性、謹慎性，減少木馬被完整捕獲的可能性，并有效穿透端點主動防御軟件。

在網空積極防御方面，美方建設了以NSA的“守護”為代表的積極防御體系，通過國家級的信號情報能力，提前獲知對手的攻擊意圖、技術、工具等信息，將相應規則部署到邊界的高速深包處理設備，在對手發動進攻時及時發現，快速響應。對于高“價值”的對手入侵行動，通過邊界的高速深包處理設備將對手引入能夠高度模擬其網絡的“網空欺騙環境”中，與對手進行“隔空對抗”，誘導出更多情報，并在需要時進行反擊。美方在網空防御方面十分重視利用民間技術和產品，高度尊重網絡安全產品和服務價值規律，以NSA為例，商用網絡安全產品是構成其防御體系的重要一環。但商用安全產品和企業，并非美方防御能力的最強點。在這些商用產品基礎上，其形成了對威脅實現理解和環節整體防御框架體系，并進一步與國家戰略情報相互協同。將戰略情報通過能力框架脫敏轉化為可公開的防御規則和信標。同時，NSA提出了“鯊魚先知”積極防御計劃，通過與安全廠商共享威脅情報，提高整體態勢感知能力，進而實現更加有效的高級威脅發現和快速響應。此外，旨在保護政府網絡系統安全的“愛因斯坦3”計劃中，其入侵防御能力就來自于NSA。美方通過軍用安全能力和商用安全能力的深度結合，不斷完善防御體系，提升防御能力。

美方網空作業技術流程與部分工程和裝備作用的映射

面對體系化作業的超級網空威脅行為體。我們應該如何應對？首先，我們需要意識到，網空對抗是常態化的進行時，其沒有非常清晰的平時與戰時的差異。因此網空威懾模型不是類似“核威懾”以后果不可承受達成“互不使用”模式，而是體系化的攻擊與體系化防御的持續對抗模式。必須以網空防御能力建設為基本盤，以強大的防御實現減少對手的可攻擊面、削弱對手的行動能力、提升對手的攻擊成本，并進一步通過反制能力提升對對手的威懾。面對復雜的安全形勢，重要信息系統和關鍵信息基礎設施的防御水平的高低會在關鍵時刻決定國家戰略的主動程度。

對于關鍵基礎設施和重要信息系統，有效的敵情想定是做好網絡安全防御工作的前提，要圍繞“敵已在內”、“敵將在內”建立極限化的敵情想定。高級威脅行為體有突破目標的堅定意志、充足資源和充分的成本承擔能力；防御者所使用的所有產品和環節，是攻擊方可以獲得并測試的，任何單點環節均可能失陷或失效，包括網絡安全環節；信息系統規劃、實施、運維的全生命周期都是攻擊者的攻擊時點；供應鏈和外部信息環境都是攻擊者可能的入手點；攻擊者所使用的攻擊裝備有較大可能是“未知”的，即對于防御方以及防御方的支撐維護力量（如網絡安全廠商）來說，是一個尚未獲取或至少不能辨識的威脅。同時，敵情想定要深入結合目標場景，避免將防御的重點和成本始終投入到容易看見或容易理解的威脅中去，而脫離了高級網空行為體帶來的更隱蔽、更致命的威脅。

對于網絡信息系統這樣的一個復雜系統，不可能靠一個單點技術變革和單點創新，或產品堆砌來應對安全問題，必須以體系化的防御來應對體系化的進攻，網絡防御沒有“銀彈”和“永動機”。在網空安全防御體系建設工作中，根據網絡安全研究機構SANS所提出的“滑動標尺”模型，安天參與將其翻譯引入國內后，國內多家能力型廠商此基礎上在取得共識后進行了延伸拓展，安天在其基礎上進一步提出了疊加演進的網絡空間安全能力導向建設模型。滑動標尺的基本模型將網空安全能力分五大類別，其中基礎結構安全、縱深防御、積極防御、威脅情報等四大類別的能力都是一個完善的網絡安全防御體系所必須的，而反制能力則是應當由國家級網空安全防御體系提供。在這些網絡安全防御能力的支撐下，通過實戰化的網絡安全運行，實現全面完善的網空安全防御。

疊加演進的網絡空間安全能力模型

具體來說，在基礎結構安全和縱深防御方面，重點要保障安全能力的“深度結合、全面覆蓋”，即安全防御能力與物理、網絡、系統、應用、數據與用戶等各個層級的深度結合，并將網絡安全防御能力部署到信息化基礎設施和信息系統的“每一個角落”，最大化覆蓋構成網絡的各個組成實體。在此基礎上，建設以態勢感知為核心的威脅情報驅動的動態防御能力體系，做到“掌握敵情、協同響應”，重點是在敵情想定的基礎上提升網絡系統的可彈性恢復水平，特別是依靠具有動態特性的積極防御能力，在威脅情報能力的驅動下，通過全面持續監控發現威脅蹤跡，并針對潛伏威脅展開“獵殺”行動，從而發現并消除威脅。此外，還要加強網絡安全防護運行工作，將安全管理與防護措施落實前移至規劃與建設等系統生命周期的早期階段，將態勢感知驅動的實時防護機制融入系統運行維護過程，支撐起協同聯動的實戰化運行，實現常態化的威脅發現與響應處置工作，不斷提升網絡安全水平。

本文是本系列專欄文章的最后一期，限于篇幅所限，還有大量內容沒有完全展開，同時在文章寫作過程中，雖然我們力求嚴謹，但水平有限，避免不了可能存在各方面疏漏，請廣大讀者諒解。感謝您一直以來對本專欄的關注，希望我們的工作能夠為我國的關鍵基礎設施和重要信息系統的網絡安全防護工作提供有益借鑒和參考。

（本文重要觀點參考自黃晟同志為《網絡空間安全防御與態勢感知》（Cyber Defense and Situational Awareness）一書撰寫的譯者序，特此鳴謝！）