美国智库发表防止攻击性网络能力扩散研究报告,重新诠释了网络能力扩散的描述,以更符合整个网络行动的生命周期,并提出了攻击性网络能力的五个支柱。
编者按
美国智库大西洋理事会发布题为《攻击性网络能力扩散启蒙》的研究报告,重新诠释了攻击网络能力扩散的内涵,包括提供和开发攻击性网络能力的两大空间以及构成攻击性网络能力链条的五大支柱。
报告称,攻击性网络能力扩散导致网络空间的不稳定性日益增长,相关因素进一步将该问题扩展到了地缘政治程度。解决该问题的关键是建立关于攻击性网络能力的建设、销售和使用的框架,从而制定技术上可行的防扩散政策,提高目标打击的精确性,而又不会损害网络安全行业的宝贵要素。
报告提出,政府、犯罪集团、业界和“访问即服务”提供商在自我监管或半监管市场内开展活动,以扩散攻击性网络能力。两大空间都提供了对诸如恶意软件、支持性基础架构和漏洞之类技术的接触渠道,但是其成熟度、创新能力和产品质量有所不同。其中,自我监管空间通常通过地下互联网市场自主运作,包括可以自由访问的“自由市场”、以信任机制为基础的“引入市场”以及高技能网络犯罪分子经常光顾的“隔离市场”;半监管空间中的经营者通常公开活动,受到其经营所在国家的管辖,具体包括从具有成熟网络能力并能够自主开展攻击性网络行动的国家以及能够提供高性能网络工具的私人公司。
报告提出了攻击性网络能力的五大支柱:一是漏洞研究和利用开发,包括发现漏洞本身的研究,以及促进被发现漏洞和编写漏洞扩散的披露计划和研究机构;二是恶意软件有效载荷生成,包括攻击者用于开展攻击性网络行动所编写或使用的任何恶意软件或恶意软件工具,或鼓励或开展恶意软件交换的任何平台;三是技术性命令和控制,包括提供旨在支持攻击性网络能力运作方面的技术,例如防弹主机、域名注册、服务器端命令和控制软件、虚拟专用网(VPN)服务或涉及攻击性网络行动初始创建的交付账户;四是运营管理,包括行动管理、资源和团队的战略组织、最初目标决策以及有效管理开展网络行动的机构所需的其他职能;五是培训和支持,包括提供有关攻击网络行动流程的任何培训计划或教育,从而扩大训练有素专业人员的数量,并在他们之间建立了联系,以促进攻击性网络能力的发展。
奇安网情局编译有关情况,供读者参考。
执行摘要
攻击性网络能力涵盖了从复杂长期的物理基础设施中断到用于针对人权记者的恶意软件的全范围。随着这些能力以其日益增加的复杂性和新型行为体而持续扩散,减缓和抵制其扩散的必要性只会增强。但是,面对这种日益增长的威胁,从业者和决策者必须了解其背后的流程和动机。网络能力扩散问题通常是作为尝试对入侵软件进行出口控制而提出来的,单一强调了恶意软件组件。本文重新诠释了网络能力扩散的描述,以更符合整个网络行动的生命周期,并提出了攻击性网络能力的五个支柱:漏洞研究和利用开发;恶意软件有效载荷生成;技术性命令和控制;运营管理;培训和支持。本文描述了政府、犯罪集团、业界和“访问即服务”(AaaS)提供商如何在自我监管或半监管市场内开展活动,以扩散攻击性网络能力,并表明上述五个支柱为政策制定者提供了更精细的框架,可在此框架内制定技术上可行的防扩散政策,而又不会损害网络安全行业的宝贵要素。
一、 介绍
攻击性网络能力(OCC)的扩散经常被与核扩散和储存进行比较。核武器和网络武器是两个截然不同的威胁,特别是在其监管成熟度方面,但许多双边和多边条约已在两者之内得到建立,然后被归避、加入、扩展和放弃,像跳舞中的舞步一样。由于攻击性网络能力难以捉摸的性质以及对其衡量的难度,该领域中的法规和政策方面尤其困难,特别是在缺乏明确的框架来定义它们并将其映射到国际均衡的更广阔形势的情况下。攻击性网络能力目前尚不具备灾难性,但却是悄然而持久性有害的。进入该区域的障碍更多类似于平缓斜坡而非陡峭山崖,并且该坡度只会逐渐变平。随着国家和非国家行为体获得更多和更好的攻击性网络能力,以及使用它们的领域内诱因,网络空间的不稳定性日益增长。此外,源于攻击性网络能力部署的动能效果、无形民兵组织攻击溯源流程的困难、成熟防扩散机制的缺乏将该问题扩展到了地缘政治规模。
在网络空间中建立防扩散机制已经让决策者困惑十多年之久。随着国家支持的网络行为体的数量伴随网络攻击的严重性而不断增加,这个问题变得更加紧迫。
欧盟在这个议题上所焕发出的新活力以及美国政治新当权者的到来为在更完整背景下提供辩论和更准确地确定参与者利益带来了机会。这项工作的重中之重是作为扩散问题框定攻击性网络能力的建设、销售和使用。政策工作应设法减少这些能力的使用,并影响参与扩散进程的当事方的动机,而不是徒劳地寻求完全阻止扩散。
二、进攻性网络能力:看到整个链条
攻击性网络能力防扩散失败的原因是对网络能力的生成和传播方式了解甚少。当代的大多数政策努力,包括瓦森纳协定,都是冷战时期不扩散战略在网络空间中的贫瘠移植。作为现有抵制扩散工具包的一部分,这些努力将攻击性网络能力视为工具,并努力通过出口管制规则来阻止其销售;这种方法广受批评。瓦森纳协定占了其中一部分,不是控制恶意软件(被称为“入侵软件”)本身,而是专为命令和控制而设计的软件。
但是,攻击性网络能力不仅仅包括恶意软件及其命令和控制。“震网”是归因于以色列和美国的恶意软件,这是一种不依赖命令和控制网络的蠕虫。该恶意软件被设计用于攻击用于控制机械和工业流程的硬件(SCADA系统),包括用于获取核材料的离心机,并通过造成受控故障来破坏它们,最终延缓了伊朗的核计划。该恶意软件不仅针对伊朗纳坦兹核基地的特定硬件量身定制,而且还使用了五个零日漏洞,由恶意软件开发人员定期更新,并且可能需要以色列和美国情报部门之间的大力协作才能部署。“奥运会行动”(Operation Olympic Games)中的“震网”恶意软件传递机制、测试流程和部署是多种攻击性网络能力的最终产物,远远超出了命令和控制范围。因此,要准确地构建攻击性网络能力,至关重要的是能够区分和分离不同的攻击能力——将攻击性网络能力理解为由商品、技能和活动组成的链条,不再只强调恶意软件组件,而是转向网络行动的生命周期。
本文介绍了攻击性网络能力的五个支柱,以此来表征攻击性网络能力的技术和运营基础。这五个支柱分别为漏洞研究和利用开发、恶意软件有效载荷开发、技术性命令和控制、运营管理以及培训和支持。表1概述了这些支柱。接下来的部分将提供这些交易发生市场的更详细图景,并描述攻击性网络能力链条的五个支柱。
表1:攻击性网络能力扩散的五个支柱
三、攻击性网络能力扩散的半监管和自我监管市场
攻击性网络能力的提供者和开发者可以大致分别列入自我监管和半监管的空间。两个空间都提供对诸如恶意软件、支持性基础架构和漏洞之类技术的接触渠道,但是它们的成熟度、创新能力和产品质量有所不同。自我监管空间自主运作,通常通过监管交易和执行合同规则的地下互联网市场。在最知名的网站中,0day.today在clearweb上运行,并被标记为专门针对漏洞利用和零日漏洞(尽管质量可疑)的市场,而地下的exploit.in和dark0de作为管理良好的论坛为其成员提供了一个可信赖的环境,以促进各种产品的交易。相比之下,半监管空间中的经营者通常公开活动,受到其经营所在国家的管辖;其中,臭名昭著的以色列公司NSO Group在其网站上表示,它为“授权政府提供帮助他们打击恐怖和犯罪的技术”。两个空间都包含能力、界别和资源各异的参与者,以发展和开展自身业务。例如,0day.today提供了一个宽松的环境,几乎无法保证其中的漏洞利用是有效且无法检测的;相比之下,主要在俄罗斯地下空间中运作的更强力(自我)监管市场,例如exploit.in,提供了更强的监管机制,旨在提高所交易产品的平均质量。服务在提供能力方面也有很大差异。其范围包括从提供单个组件到独立开发和开展整个攻击性网络行动。
自我监管和半监管空间中存在的行为体可以进一步划分为政府、犯罪和实现访问即服务(AaaS)的私人行为体,即有效地向客户销售计算机网络入侵服务的雇用黑客行为体。取决于发起国和攻击性质,单个网络行动可以由跨多个类别(例如,政府和承包商业,政府和犯罪,商业和犯罪)的个人组成。
在自我监管的犯罪空间,各种各样的地下市场激增,从可以被任何(希望成为)攻击者很容易和自由访问的自由市场,到通过受市场信任成员的邀请来启用某些访问监管机制的引入市场,再到高技能网络犯罪分子经常光顾的隔离市场。这种进展不仅反映了更受控制的环境,还反映了对更成熟和创新的攻击能力(例如,以新漏洞、恶意软件或命令和控制基础架构的形式)的接触渠道。
同样,在半监管空间中,运营者的攻击能力也各不相同:从具有充裕而成熟的网络能力并能够发展自身攻击且在各级别上自主开展攻击性网络行动的国家,到提供具有与犯罪分子可能滥用网络工具功能相同的合法版本网络工具的私人公司。其中,AaaS机构也在半监管的空间中运作,但与所有其他形式的扩散不同,它们提供了只有经过认证的行为体(例如,拥有大量资源但内部技能很少或不足的政府机构)才能商业获取的全面攻击性服务。基于提供服务以及同时开展研发、培训人员和扩大业务的频度能力所能获得的价格或资金,这些行为体为政府提供并发展了先进攻击能力。
众所周知,AaaS团体可以为需要既定能力但又无法有机地生产它们的政府提供支持。以色列NSO Group是此类服务中最著名的供应商之一,其为45个国家的行动提供了服务。在区分政府和私人行为体能力方面的主要差异来自后者的商业模式的存在,而商业模式最终需要保持盈利才能运作,这对于开发先进网络能力的国家来说不一定是同样强力的约束。尽管政府出于战略原因可能会开发攻击性网络能力,但AaaS私人团体必须实现经济可持续性才能继续运营。但是,访问即服务公司以私营部门的速度提供了政府级别的能力。
攻击性网络能力链条包括以下五个活动支柱。这些支柱植根于有关网络行动和能力的现有文献和模型,以及“野外”观察到的网络行动的公共报告。下一部分将说明扩大这些能力的犯罪、政府、行业和AaaS机构之间的差异。表2列出了这些呈现纬度的总体鸟瞰图。总体而言,随着从地下市场转向私人和政府机构,进攻能力有了明显的发展;另一方面,出现了一些相似之处。接下来,我们将提供自我监管和半监管空间中行为体发展的跨定义支柱特定能力。
表2
注:单元格显示给定行为体的特定支柱能力。
带破折号的空白单元格表示该特定维度没有功能;
◯表示行为体仅在该维度上具有基本能力,例如通过操作自动化框架获得的能力;
◐表示行为体可以在该维度上重新利用和修改现有技术,例如混淆已知的恶意软件/利用代码;
⬤表示行为体可以在该维度上生成新方法或活动,例如零日漏洞利用。
(*)为对具有成熟网络能力政府的评估。AaaS代表“访问即服务”。
四、进攻性网络能力扩散的五大支柱
支柱一:漏洞研究与利用开发
攻击者通常在多阶段行动的背景下发现漏洞并编写利用程序,以获得对目标程序或设备的立足点或访问权。该支柱包括发现漏洞本身的研究,以及促进被发现漏洞和编写漏洞扩散的披露计划和研究机构。
漏洞是系统设计、实施或操作与管理中的缺陷,通常可以通过催化意外行为来利用它来破坏系统的安全策略。通过使用此漏洞来触发意外行为的特定代码被称为漏洞利用。漏洞利用针对特定漏洞和漏洞目标系统的类型而编写。
利用漏洞可以使攻击者在安装产生预期最终效果的恶意软件有效负载前访问目标系统。当涉及所谓的零日漏洞时,此访问特别有效。零日漏洞是软件供应商和系统受到漏洞影响的机构所未了解的漏洞,因此不存在补丁程序。因此,精心设计的零日漏洞利用程序将无法防御,直到开发出修补程序为止。许多归因于民族国家的活动都使用了零日漏洞:据称起源于朝鲜、中国、伊朗、阿联酋、韩国、美国和其他多个国家的网络活动使用零日漏洞,以增加对目标网络的访问权限、下载其他恶意软件或在受害者计算机上安装后门程序。
由于零日漏洞在开展攻击性网络行动时可以提供无与伦比的访问权限,因此有时漏洞研究或漏洞赏金计划与政府机构相关联,从而将漏洞输送到国家支持的网络行动中。美国“漏洞公平裁决程序”(VEP)视具体情况来决定零日漏洞是向公众披露还是被隐藏用于网络行动。
漏洞披露也可能受到开展攻击性网络行动的政府机构的影响,以防止目标系统修补。漏洞研究在政府和私人公司内部防御方面有合法用途:通过在自己系统中发现漏洞,机构可以在漏洞利用前更新其软件,从而保护用户。公司和政府范围内的漏洞赏金计划正是为此目的而设计的,从而有效地“众包”安全测试。
国家和大型犯罪集团也利用漏洞利用,即使漏洞已得修补(即已知漏洞,N-days)。虽然通常效果不佳,但这些漏洞利用占了所有实际使用漏洞的大部分。已知漏洞利用程序通常嵌入在地下市场出售或出租的漏洞利用工具包和工具中,其价格从几百美元到几千美元不等,具体取决于漏洞利用程序的可靠性和采用的漏洞利用程序组合。众所周知,访问即服务(AaaS)和私人团体至少在某种程度上进行了自主漏洞研究和利用开发,并从半监管市场中的其他私人行为体那里获得了零日漏洞和相关漏洞利用。这一点可以通过私营零日漏洞供应商看出来,例如Zerodium和以色列的NSO Group:这两个机构都可能拥有自己的漏洞研究团队,同时还购买外部漏洞利用程序。市场也可能在促进这些能力在参与者之间转移方面起到了催化剂的作用:将漏洞和漏洞利用卖给AaaS团体的漏洞研究人员以后可能会被雇用并整合到AaaS团体本身中。同样,内部能力可能会在外部“剥离”给新的或现有的漏洞研究公司。例如,对于NSO Group,也观察到了类似的动态。
自由访问地下市场所提供的新颖而有效的进攻能力几乎不存在。这些市场主要由针对想要成为犯罪分子的诈骗人员组成,这导致了不可靠的交易领域。漏洞研究在这些市场中仍然是相对基础的,并且似乎主要依赖于先前存在的技术或自动化框架(例如,发现悬而未决的漏洞)。引入市场通常无法提供新的漏洞和漏洞利用,这些漏洞和漏洞利用是为隔离场所和市场的较精英空间保留的,其拥有适当的信任机制来实现交易。在这方面,建立在可靠的信任机制和用户验证基础上的隔离市场既可以为成员间讨论以及合作与研究提供空间,也可以为私人团体提供的高效产品和服务的交易提供空间。这些市场可能交易已被武器化为易于部署漏洞利用的零日漏洞。相比之下,引入市场已经证明能够提供新的恶意软件有效载荷生成技术,并能够在管理更复杂的命令和控制体系结构方面取得进展。
支柱二:恶意软件有效载荷生成
面向恶意软件的活动中最常见的部分是恶意软件本身。该支柱包括攻击者用于开展攻击性网络行动所编写或使用的任何恶意软件或恶意软件工具,或鼓励或开展恶意软件交换的任何平台。
恶意软件通常构成攻击性网络能力扩散辩论的大部分内容。恶意软件可以作为攻击性安全和入侵工具公开共享,作为跟踪软件被开发和出售,甚至被批准为大型机构的商业间谍软件。免费入侵工具可以在代码共享站点上找到,并在网络安全界内定期开发,尽管许多工具针对的是较旧的系统,或者利用了由于常见的开发人员或用户错误而导致的弱点。
恶意软件也可以在地下市场中找到。在这些恶意软件中,恶意软件的最终预期效果、逃避检测的效率以及进出通信加密方式差异很大。这在很大程度上与地下市场本身的质量或成熟度有关。在自我监管空间中,可以为更成熟市场严格执行转售软件或销售不可靠软件的规则,违反规则通常会导致被永久逐出社区。在这些市场中,相对常见的情况将恶意软件宣传为针对限量购买者的“专有”交易,通常价格要比其他非专有恶意软件更高。
恶意软件有效负载在更专有的市场变得更量身定制和有效,尤其是对于最专有的客户:政府机构。无法开发自身攻击性网络能力的政府机构会再次向AaaS团体寻求获取高质量的恶意软件来开展攻击活动;该恶意软件可以依靠零日漏洞和复杂的隐身机制来开展攻击性网络行动。通过“维基揭秘”共享的Vault7和其他信息指控美国国家安全局和中央情报局都有各自集中的攻击性网络能力开发小组。最近,美国财政部制裁了一家俄罗斯国家研究中心(TsNIIKhM),理由是该中心编写了与俄罗斯在中东网络行动有关的恶意软件。
如果政府内的国家支持恶意软件并非在内部构建,则承包商也可以填补这一空白。承包商和其他提供恶意软件开发服务的访问即服务公司使得政府能够购买自己可能无法自行构建的能力。同样,AaaS团体(例如NSO Group)会开发内部恶意软件,然后将其附加功能提供给寻求政府;NSO Group的Pegasus恶意软件以其模块化和相对复杂性而闻名,采用多阶段感染阶段来维持(并增加机会)对系统的立足。通常,这可通过采用多种漏洞利用和所谓dropper木马来实现,其负责维持在系统上立足,并可在安装后用于自定义恶意软件功能(例如,通过安装或更新恶意软件模块)。其他技术还依赖于使用诸如Rootkit之类的隐匿恶意软件来维持对受感染系统的立足;例如,意大利Hacking Team公司提供的产品中有一部分是VectorEDK,这是一个统一可扩展固件接口(UEFI)恶意软件,其可以确保在第二阶段恶意软件被检测并被删除的情况下,潜在的UEFI感染仍然存在,并可用于按照攻击者的意愿重新安装已擦除的恶意软件。从事地下市场活动的黑客使用类似的多阶段技术来提供按安装次数付费(PPI)服务。
支柱三:技术性命令和控制
该支柱包括提供旨在支持攻击性网络能力运作方面的技术,例如防弹主机、域名注册、服务器端命令和控制软件、虚拟专用网(VPN)服务或涉及攻击性网络行动初始创建的交付账户。
攻击性网络行动通常不仅包含恶意软件的有效载荷和漏洞利用。在大多数情况下,恶意软件需要被交付并与之通信。最初的交付、命令和控制以及最终的渗透都取决于攻击者建立的可靠基础架构。这被称为“入侵分析钻石模型”的“基础架构”部分,这是一种用于分析和跟踪网络入侵特征的流行模型。攻击性网络能力基础架构可包括命令和控制服务器、网络钓鱼页面的域名、发动网络钓鱼攻击的资源(例如,用于网络钓鱼电子邮件的泄露邮件地址)或滥用技术(从公司供应链中的软件到大规模邮件提供商)。
在许多国家赞助的案例中,用于攻击性网络行动的基础架构通常会入侵或滥用合法的互联网技术,主要是为了掩盖恶意活动的指征。国家支持的网络行动还入侵了合法网站以提供恶意软件。从命令和控制的角度来看,民族国家和网络犯罪分子都开发了使用合法云服务(例如Google Drive)与受害计算机进行通信或将其他恶意软件下载到受害计算机的恶意软件。
特别是在自我监管市场中,为恶意软件活动设置和运行命令和控制基础架构经常会面临被执法部门捣毁的风险。为了防止非法体系遭受不必要干扰,犯罪界通常会购买“防弹”主机服务,该服务提供的基础架构可以抵抗监管机构或执法部门的干预。这些服务可以由罪犯自己或位于限制较少国家的个人来创造。这些防弹主机服务的提供商在犯罪论坛上非常丰富。在提供此类服务中,地下市场在提供相关基础架构服务中发挥着重要作用。一些服务建立在以前的攻击性行动(例如,从网络钓鱼活动中获得的僵尸网络)所产生的基础架构之上。众所周知,AaaS和私人参与者在全球范围内部署其基础架构,以支持在不同国家开展活动,尤其是维持与这些行为体提供的服务相关的命令和控制活动;在至少一个先前的案例中,一个AaaS团体DarkMatter(一个在所谓“乌鸦计划”中雇用美国雇佣军的阿联酋行为体)试图成为一个可信证书颁发机构——该地位将使该团体作为可信命令和控制服务器进行签名,并有可能允许其作为攻击性行动的一部分分发软件。
无论哪种方式,极有可能的情况是民族国家、罪犯或为进攻性网络行动建立技术基础架构的任何其他实体大量此事此类活动。在自我监管的市场中,用于垃圾邮件的虚假社交媒体或电子邮件账户创建、虚假评论和其他相关欺诈活动成为一个蓬勃发展的行业,相关的验证码破解服务和与创建账户相关的专用硬件产品也是如此。对于在内部进行设置的机构而言,许多为行动设置基础架构的个人通常会遵循一定的模式。
支柱四:运营管理
作为行动更以人为中心的方面,该支柱包括行动管理、资源和团队的战略组织、最初目标决策以及有效管理开展网络行动的机构所需的其他职能。
恶意软件、漏洞利用和相关的基础架构不会自我扩散。形成战略方向、建立组织流程、建立关系以及制定应急计划都需要人员,并且都需要开发、执行和迭代,才能达成任何攻击性网络行动机构的整体成功。
即使在小型网络犯罪公司中,创建流程并指导个人执行特定操作也是很常见的。美国司法部对安德烈·图尔钦(Andrey Turchin)的未密封起诉书透露其所在的网络犯罪集团FXMSP遵循一个可重复的流程:使用网络钓鱼电子邮件或暴力破解凭证进入企业网络,部署恶意软件以建立网络本身中的驻足,然后在多个犯罪论坛上根据访问级别和受害者实体将访问货币化。为了将访问货币化,据称安德烈·图尔钦雇用了网络犯罪分子安东尼·莫里科内(Antony Moricone)(或“BigPetya”)作为该流程他的销售经理。
其他犯罪活动得到精心设计犯罪商业模型的支持(并通过其扩展)。在2020年,莫里康尼先生的工作通过创建模拟即服务(IMPaaS)基础架构实现了自动化,这是犯罪创新的另一个实例,旨在解决如何通过较少的手动工作就将盗窃的信息货币化的问题。IMPaaS模型创建了源于系统性恶意软件感染的产品的整个供应链,当恶意软件收集到更新信息时将用户信息(例如凭证、系统指纹、网络Cookie)推向付费用户在类似电子商务的市场中选择其产品的系统。
为攻击性网络能力创建功能强大的国家资助部门需要的组织知识要比小型网络犯罪集团要多得多。具有进攻性网络能力的部门必须知道如何收集有关目标的情报,为这些目标定制行动,并成功执行行动。这些部门固有的知识和流程可以通过多年的内部研发来自身培育,但是将手动流程转变为集体自动化的工作需要技巧、时间的非线性输入以及不小的努力。美国国防高级研究计划局通过其“网络超级挑战赛”项目自动化漏洞发现和修补中的许多手动流程就是例证。“网络超级挑战赛”虽然是防御性示例,而不是与攻击性网络能力严格相关的示例,但它是一种研发形式,可能会影响美国政府攻击性网络能力内部的未来流程。
这些部门也可以由外部机构协助。例如,阿联酋的网络监视机构“开发与研究部门”(DREAD)最初是在2008年由外部机构协助建立的。美国前反恐协调员理查德·克拉克(Richard Clarke)建议阿联酋建立一个网络监视机构,然后通过自己的公司Good Harbor Consulting帮助该机构建立并发展壮大,直到2010年。Good Harbor达成目标的做法包括建立该机构的整体架构,雇用精通攻击性网络行动的美国分包商来开发该项目的必要秘密计算机网络,并为潜在的阿联酋员工提供必要的培训。
第三方供应商可以进一步补充网络能力。阿联酋在美国Cyberpoint公司等其他承包商的帮助下扩展了DREAD能力,该公司著名的“乌鸦计划”(Project Raven)有效地将阿联酋特工引入间谍技术,他们之后又对国内异见人士和美国公民使用了该技术。主要由美国前情报人员组成的美国“乌鸦计划”特遣队查明了目标中的漏洞,为目标开发或获取了恶意软件,并协助阿联酋人开展了行动。
支柱五:培训和支持
攻击性网络行动计划需要训练有素的专业人员才能成功。该支柱涵盖了由一组个人向另一组个人提供的有关攻击性网络行动流程的任何培训计划或教育,从而扩大训练有素专业人员的数量,并在他们之间建立了联系,以促进攻击性网络能力的发展。
机构无法自发组建技术高超的团队来开展攻击性网络行动。必须为操作人员、漏洞研究人员和恶意软件作者提供适当的培训,以完成其工作,同时必须对新员工进行定向、培训和监督。
与其他支柱一样,出于防御原因也可以提供攻击性训练计划。YouTube上广泛提供了开源安全工具(例如Nmap、Metasploit和其他Kali Linux工具)的培训,并被宣传为“道德黑客”课程。Offsec Services LTD之类的公司提供了如“攻击性安全认证专家”之类的认证及其相关的培训和工作手册。其中一些证书不仅是顶级渗透测试、审查和咨询工作申请所需的经验,而且还可能是申请的先决条件。许多安全会议,包括广泛参加的BlackHat会议以及诸如INFILTRATE之类专门的攻击性安全会议,也提供了培训课程,以发展攻击安全社区(尽管美国和其他情报机构的成员也有可能参加同样的会议)。
还存在攻击性网络行动培训(尽管在不太开放的场所)。地下犯罪论坛包含明确的欺诈指南,其中显示了如何将转储的信用卡号码转为比特币,并提供了在这些论坛上出售的商品恶意软件的设置指南。这些教程和恶意软件说明实质上是用于设置或重新创建恶意软件配置的“复制指南”。一些教程与“工具包”(例如网络钓鱼工具包)一起提供,任何攻击者都可以部署这些工具包并随时针对其目标使用。这在私营领域中也很常见:创建了Cobalt Strike(一种流行的渗透测试工具,也经常在APT攻击中使用)的组织托管了有关如何使用该工具的免费视频教程。
在半监管空间中提供攻击性网络行动培训的组织将特意前往外国司法管辖区,在专门的研讨会上为政府官员和组织提供服务。各国政府在决定对员工进行攻击性网络行动策略和技术培训时,有许多资源可供汲取。政府开发的内部解决方案,例如美国国家安全局的国家密码术学校,过去一直在开发量身定制的专业知识方面很有用。此外,还存在教育预算以补充其他学习计划:例如,美国“服务奖学金”计划允许STEM(科学、技术、工程和数学)个人获得官方认可学校的全额奖学金,以换取政府服务。同样,网络安全培训课程由美国计算机协会和IEEE等协会通过由来自多个机构的成员组成的联合任务组制定。
最终,提供培训的组织,尤其是为政府受众设计的培训,不仅仅提供技术专业知识。通过将人们汇聚到一个房间里,他们在开展攻击性网络行动所必需的个人和机构之间建立了结缔组织。当然,由不同实体提供的特定培训类型也取决于激励这些行为体提供培训的业务模型或激励措施。例如,一般而言,AaaS或私人团体可能会对提供有关部署或使用自己的技术的培训感兴趣(例如,Hacking Team泄露就很好地体现了这一点),而对向第三方提供开发这些攻击能力方面的培训则没有那么大的兴趣。但是,各国政府可能会采用或支持一系列培训计划,这些计划同样旨在培养和挑选其未来打算获取的人才。
五、专注于进攻性网络能力的防扩散
美国在网络空间中的防扩散政策选择未得到充分利用,这主要是因为“网络武器”对比潜在网络能力的狭窄看法。将网络扩散理解为多种能力的扩散为决策者提供了足够的颗粒度,以开始制定技术上可行的防扩散政策。
了解犯罪市场、政府机构和私有AaaS团体提供和构建用于开展攻击性网络行动的最新产品的方式,还可以使政策制定者将特定的行为体群体作为打击目标,而不会损害整个网络安全行业。具体来说,揭露AaaS团体在扩大进攻性网络能力中的作用将有助于推动美国、欧盟和其他地区更有效的防扩散政策。专注于监管访问即服务提供商、漏洞利用提供商以及其他故意与敌对政府(尤其是在战略上优先在网络空间瞄准美国的政府)接触的攻击性网络培训机构将会带来迅速而有益的结果,确保攻击者在攻击美国及其盟国时不会获得私营部门优势。
表2(修正)