【編者按】隨著網絡技術的快速發(fā)展、網絡場景的不斷變化，美國在網絡空間中的進攻與積極防御能力也會不斷演進，本期圍繞美國網絡空間的能力演進，介紹了戰(zhàn)略思想、網絡空間防御能力、網絡空間進攻能力等方面的能力表現(xiàn)，預判未來美國網絡空間的能力演進，希望指導我方網絡空間防御體系的不斷完善。

在之前的文章中，我們分別展開介紹了美國大型信號情報獲取項目，網空積極防御體系，網空進攻支撐體系以及包括用于突破物理隔離、持久化控制、漏洞利用、命令與控制和利用無線信號的網絡空間攻擊裝備體系，全面解析了美國在網絡空間的攻擊與積極防御能力。在本期中，我們將對美國網絡空間攻擊與積極防御能力的演進進行分析，展現(xiàn)其未來發(fā)展的趨勢。

隨著網絡技術的快速發(fā)展、網絡場景的不斷變化，美國在網絡空間中的進攻與積極防御能力也會不斷演進。為了應對未來可能出現(xiàn)的新威脅，必須對美國未來網絡空間的能力演進進行研究，分析可能出現(xiàn)的新變化、新趨勢，對未來的敵情進行合理的推測，以此建立有效的敵情想定，在此基礎上發(fā)現(xiàn)我方防御能力的不足，指導我方網絡空間防御體系的不斷完善。未來美國網絡空間的能力演進主要表現(xiàn)在戰(zhàn)略思想、網絡空間防御能力、網絡空間進攻能力等幾個方面。

一、戰(zhàn)略思想上的轉變

2018 年 9月，特朗普政府發(fā)布了《國家網絡戰(zhàn)略》，這是繼小布什政府的《網絡空間安全國家戰(zhàn)略》（2003 年）后，15 年來美國公布的首項內容全面的網絡戰(zhàn)略。該戰(zhàn)略強調對關鍵基礎設施的保護、與私營企業(yè)合作、保護政府網絡以及建立更強大的合作伙伴關系以共享威脅情報信息。與以往類似政策不同的是，《國家網絡戰(zhàn)略》展現(xiàn)了美國政府在應對網絡空間對手方式上的轉變，稱為達成有效威懾，要讓網絡惡意行為體承受“反應快速、代價巨大、清晰可見的后果”。可以看出，特朗普政府計劃加強進攻性網絡行動，通過先發(fā)制人的網絡攻擊威懾對手。

同月，美國國防部發(fā)布了《2018 國防部網絡戰(zhàn)略》，該戰(zhàn)略概述了一項軍方如何處理網絡安全的更為詳細的計劃，即以“防御前置”的方式從源頭上破壞或制止惡意網絡活動。所謂“防御前置”，實際上是強調網絡進攻。幾乎在同一時間，美國國家安全總統(tǒng)備忘錄13（NSPM 13）提出，美國總統(tǒng)可以將某些網絡權限授予國防部長執(zhí)行特定任務，以加速網絡行動。NSPM 13 在很大程度上消除了奧巴馬政府實施的長時間的機構間審批程序，使得軍方更容易發(fā)起進攻性網絡行動。

美國政府和軍方的一系列動作，代表著美國網絡安全從防御到攻擊態(tài)勢的危險轉變，增加進攻性網絡行動的做法可能會加劇網絡沖突。一方面，快速的網絡行動意味著沒有足夠的時間留給政府針對網絡攻擊事件進行追蹤溯源，很有可能使美國攻擊錯誤的目標；另一方面，“進攻是最好的防御”這一觀點在網絡空間中不能成立，先發(fā)制人的網絡攻擊并不能形成針對對手的有效威懾能力。

二、網絡空間防御能力持續(xù)提升

在網絡空間防御方面，美國建設了國防部積極防御系統(tǒng)“監(jiān)護”（Tutelage），并將相關技術應用到了旨在保障聯(lián)邦政府機構網絡安全的“愛因斯坦”計劃中。在不斷建設和演進過程中，正在形成一套具有完備有效的感知能力、積極防御及反制能力的國家網絡空間安全防御體系。

應對外部威脅方面，在原有防御體系基礎上，美國安全部門也投入了大量的人力、資金設立新的研究計劃和項目，以應對網絡空間中的各類威脅。NSA 的“零日網絡防御計劃”（Sharkseer），旨在利用商用成品（COTS）快速檢測和緩解基于 Web 的惡意軟件、零日漏洞和高級持續(xù)性威脅，并實現(xiàn)不同密級間的情報數(shù)據(jù)實時共享。此外，美國陸軍正在測試欺騙性的網絡防御技術——網絡空間欺騙能力，該技術旨在誘騙攻擊者讓其誤認為已經攻破計算機網絡，可用于提供預警、虛假信息、混淆、延遲或其他方式阻止網絡攻擊者。在需要時，該技術還能通過欺騙攻擊者，誘導出更多情報，進而驅動反擊行動。

另一方面，長期以來以斯諾登為代表的各類泄密事件，給美國政府造成了巨大的損失。因此，美國情報機構高度重視內部威脅，并通過各種舉措應對內部威脅。早期，在“7 號軍火庫”（Vault 7）中有一款名為“涂鴉”（Scribbles）的CIA 網空裝備，Scribbles 是 一款用于將網絡信標標簽嵌入機密文檔的軟件，即在 Office 文檔內部嵌入一個透明水印圖片組件，用于追蹤可能被內部人員、舉報者、記者或其他人員復制的文檔，以便監(jiān)控機構追蹤泄密者和外國間諜。Scribbles 的最新版本于 2016年3月1日發(fā)布，在 Office97 至 2016 版本上通過測試，標記授權日期直至 2066 年。此外，在情報共享中，美國國家情報總監(jiān)辦公室（ODNI）選擇可信數(shù)據(jù)格式（TDF），采用基于屬性的訪問控制，既可以指明接收者的身份及業(yè)務信息，也可以指明允許處理數(shù)據(jù)的終端或環(huán)境特性，以此保障安全受控的共享。

三、網絡空間進攻能力不斷加強

通過之前對國家安全局（NSA）和中央情報局（CIA）的網絡空間裝備體系的梳理和分析，我們在一定程度上了解了美方網絡空間裝備庫全平臺、全功能的特點?！?018 國防部網絡戰(zhàn)略》中，將“加速網絡能力開發(fā)”作為實現(xiàn)“建立更具殺傷力的聯(lián)合部隊”這一目標的重要舉措。未來美方會不斷豐富自己的網絡攻擊裝備體系，并向覆蓋更廣泛、能力更全面的方向不斷演進。

在漏洞挖掘、收集和利用方面，美方的優(yōu)勢能力無論是在“震網”（Stuxnet）還是“魔窟”（WannaCry）事件中都得到了很好的證明。“震網”事件中，美方使用了5 個 Windows 零日漏洞和 1個西門子的零日漏洞，以一種看似近乎揮霍實則精妙組合利用零日漏洞的方式，實現(xiàn)了通過網絡空間作業(yè)對伊朗核設施造成物理破壞的效果，幾乎永久地遲滯了伊朗核計劃，達成了美方的戰(zhàn)略意圖。2017 年 5月全球爆發(fā)大規(guī)模的“魔窟”感染事件，只是利用了NSA 泄露的眾多漏洞之一，就引發(fā)了席卷全球的勒索病毒感染事件，美方的漏洞儲備能力可見一斑。未來美方將會持續(xù)加強其在漏洞挖掘和儲備上的優(yōu)勢能力，并且不排除美方存在利用其在供應鏈上的優(yōu)勢，向設備中埋入漏洞的可能。類似地，在持久化控制、突破物理隔離、命令與控制等方面，美方將在目標覆蓋范圍、全面性、隱蔽性等方面持續(xù)提升，繼續(xù)保持優(yōu)勢能力。

除了不斷加強已有的攻擊能力外，隨著各種新設備的出現(xiàn)和新技術的逐漸成熟，新的攻擊手段將會逐漸從研究進入實用。在 Black Hat 2018上，研究人員展示了利用傳真機對企業(yè)內部網絡進行滲透的實例，只需掌握傳真機的電話號碼，就能對傳真機進行攻擊，并以其作為跳板，侵入內網。類似地，未來的演進趨勢還包括：針對各類 IoT 設備，包括智能手表、音響、耳機、眼鏡、攝像頭，甚至汽車等的攻擊將更加普遍；利用聲、光、電、熱、電磁波等建立信道，實現(xiàn)隱蔽通信的技術可能會逐漸成熟，被更多地應用在攻擊行動中；通過無人機抵近目標，進行偵察、入侵、控制、竊取的作業(yè)方式可能逐漸增多等。

面對這些變化，應該如何完善我方的防御能力，以應對可能的挑戰(zhàn)呢？首先應基于敵情的演進建立敵情想定，將高能力對手的敵情存在作為基本假設，包括內網已經被滲透、任何內網設備都可能被攻陷、我方人員已經被敵方策反、供應鏈已被敵方滲透、敵方有能力劫持我方設備采購的物流鏈等，以極限化的敵情想定驅動防御能力的演進。

在具體的網空防御體系建設中，需要強化已有靜態(tài)的防御機制實現(xiàn)兼顧“結合面”與“覆蓋面”的綜合防御能力體系。將網絡安全防御能力與物理、網絡、系統(tǒng)、應用、數(shù)據(jù)與用戶等各個層級深度結合，在信息化環(huán)境各層級結合網絡安全防御能力，使防御能力與實際情況緊密結合；將網絡安全防御能力部署到信息化基礎設施和信息系統(tǒng)的“每一個角落”，力求最大化覆蓋構成網絡的各個組成實體，避免由于在局部的安全盲區(qū)或者安全短板而導致整個網絡安全防御體系的失效。同時還必須加快建設動態(tài)防御能力體系，其中關鍵是針對網絡空間時代的高水平復雜威脅行為展開協(xié)同響應對抗的積極防御能力。最終實現(xiàn)構建具有與網絡信息基礎設施“深度結合、全面覆蓋”的綜合防御特點、強調“掌握敵情、協(xié)同響應”的動態(tài)防御特點的網絡空間防御體系。