在帶有刺眼條狀燈光的低頂房間的門口,Klaid Magi一臉疲憊。在他的后面,這個混亂表明,這不像平常的辦公日子。箱子里裝滿了可口可樂的罐頭,書桌上裝滿了小吃包裝盒,房間幾個小時前就清新怡人。
Magi的團隊是由二十多位此刻看起來很疲憊的安全專家的小隊伍組成,他們在一排排寫滿筆記的電腦和白板之間徘徊,逐漸從一個小國家對大規模網絡戰的最后一次防御工作中恢復精力。
Magi往常的工作是管理愛沙尼亞的計算機應急小組,但是今天他一直負責保護虛構的Berylia國家免受侵略者的侵害。
這個在愛沙尼亞首都塔林(Tallinn)的郊區的一個不起眼的塔樓里運營的防御者團隊,只是其中一個參加旨在幫助他們準備應對真正的國際網絡防御演習的團隊。
由北約組織的網絡防御智囊團組織的為期兩天的演習,旨在測試這些團隊捍衛一系列技術的技能——從個人電腦和服務器到空中交通管制系統。
Magi說:“我們所有的基礎設施都受到一定程度的攻擊。
他補充說:“在現實生活中,你永遠不會看到每日幾千次的網絡攻擊,顯然這是難熬的一天。”
這是第一天比賽的結束(不同于真正的網絡戰爭,該游戲稍微更文明些,限于標準的營業時間),愛沙尼亞隊被認為是最強的一個,他們已經感覺到自己已經渡過難關了,他們正在保護他們所保衛的虛構的空軍基地的系統。
Magi說:“這是我們的日常工作,我們習以為常了。”
但是第二天還有更多的事要發生。
在塔林的另一邊是給Magi的團隊惹事兒的壞蛋。
這無關個人恩怨——他們也將給18個在戰爭游戲中被稱為“鎖盾(Locked Shields)”的防御團隊造成破壞。
在游戲運行的兩天中,市中心酒店的宴會廳作為演習的樞紐,這幾天,晚餐夾克和派對連衣裙在穿閃亮T恤和臨時軍服的網絡安全專家面前顯得相形見絀。
這也是攻擊者的基地——以紅隊著稱——這看起來很搭:一個由巨型屏幕主導的海灣大廳。
在這個充滿紅色T恤的房間里,大多是男性黑客,房間很安靜,有條不紊,這與這個團隊發出的無情轟炸多少有些格格不入。
Mehis Hakkaja是外貿嚴肅的紅隊老大。他微笑著說:“我是個好人。”但很明顯,他喜歡這個演習的挑戰。
我提到我對愛沙尼亞藍隊的造訪。他問“他們看起來很累嗎?累就對了。”
鎖盾演習自2010年以來一直在運作,而且這種情況往往是以保護Berylia為主,這是位于北大西洋某地的虛構的北約新成員,它與敵對國Crimsonia的關系很緊張。
這個場景中瞎折騰的敵人Crimsonia所在的地方并不完全清楚。但是,參與演習的人沒有一個懷疑它位于歐洲某地以東。
鎖盾由北約的網絡合作防御卓越中心(Cooperative Cyber Defence Centre of Excellence,CCD COE)執行,鎖盾號稱是最大和最復雜的國際技術網絡防御演習,它涉及來自25個國家的900名參賽者。今年有18支國家隊,外加北約自身的團隊。
這樣的練習近年來一直在規模化增長,因為網絡戰在某種程度上已經從理論轉變為令人擔憂的可能性。
很多國家正在大規模投資以提高對數字系統發動戰爭的能力美國,俄羅斯和中國被認為是最有能力的。2015年烏克蘭西部的電網遭到黑客攻擊的事件中,停電造成數十萬無電可用,這些事件顯示出對關鍵基礎設施采用數字攻擊的有效性。
今年,防御方藍隊必須發揮快速反應的電腦安全團隊的作用,該團隊已經參與保護Berylia的主要軍事空軍基地以使其免遭網絡攻擊。
該團隊必須防御你在標準辦公室中可能找到一切(包括Windows PC,Mac,Linux以及電子郵件和文件服務器)。他們還必須保護控制電網的系統并規劃空中軍事行動,包括與空軍基地燃料供應相關的軍事監視無人機和可編程邏輯控制器(programmable logic controllers)。目的是加強這樣一個觀念,即網絡內外每個單一系統都可能成為攻擊者的出發點。
這個技術游戲,即擊退一波又一波的網絡攻擊,是演習的主要目的,也是團隊得分的主要方式。
組織比賽的白隊負責人Rain Ottis解釋說:“這是技術性的,這是親身實踐的,我們所體驗的大多數比賽打法是在真實的電腦上,面對真實的威脅,應對真實的對手。它是真槍實彈的。我們實際上有一個活生生的對手,他們實際上控制著一個服務器,他們可能會破壞它或者做任何他們必須做的事情。”
多年來,鎖盾已經擴展到包括一個通信游戲,團隊必須響應訪問請求和更新Berylia人對攻擊的反應,以及一個法律游戲,球隊的律師必須解決攻擊是否違法以及怎么處理。除此之外,還有一個桌面戰略比賽,它試圖模仿高級軍事和民事決策者的角色,而這些角色必須弄清楚如何應對這種攻擊——根據其中一個參賽者的說法就是將其置于“更加宏大的地緣政治背景下”。
Ottis說:“在技術層面上,你必須擔心惡意軟件這樣的東西,或者有人破壞你的網站,或者是‘為什么我的電力被關停了?’這樣的問題。在戰略游戲中有關于這樣的問題,即如果在現實生活中發生了這樣的問題是否考慮使用武力或武裝攻擊。有什么值得開戰的嗎?”
更為復雜的是,游戲的控制器不僅僅管理一個虛構的Berylia,而是多達20個獨立的版本的堆疊,因為雖然每個團隊都面臨著同一組威脅,但他們可能會遇到不同的問題和不同時間的不同的場景的元素。這意味著每個團隊的比賽會根據所做的決定以獨立的,不同的速度呈現。參與比賽的球隊之一選擇了時間旅行的Tardis作為他們的非官方吉祥物就不足為奇了。
所有這一切都是在宴會廳的控制室運行的,整個演習向TechRepublic全程開放。
運行游戲不同元素的團隊被分配了自己的彩色T恤和成排的個人電腦。紅色代表攻擊隊伍;綠色代表保持游戲運行的基礎設施團隊;而白色代表通信和法務團隊以及其他運行場景的人員。
另外還有一個坐在控制室外的小組。網絡釣魚攻擊和勒索軟件只有在組織中的人蠢到打開一個檔或點擊一個可疑的鏈接時才能成功。而在網路戰比賽中,誰會愚蠢地點擊一個奇怪的電子郵件地址的隨機附件?
對攻擊者而言是幸運的而對防御者而言是不幸的,每個藍隊都被分配一組虛擬終端用戶,這些終端用戶信任(或愚蠢的)到點擊各種帶毒的附件,并向壞人提供一種讓他們進入的方式。更為混亂的是,這些一頭霧水的虛擬用戶將向藍隊投訴說他們無法訪問電子郵件或其它服務(因為他們剛剛通過點擊勒索軟件而使其癱瘓),這給防御團隊帶來了更大的工作量和麻煩。
視線中沒有任何藍色的T恤衫——防御團隊大部分都在自己的國家。這些團隊的規模可以從20人到60人;大多數像Magi的愛沙尼亞隊一樣,是民用和軍事安全專家的組合。某些團隊的成員盡是以前的鎖盾老手,有些團隊則完全是新手。
比賽以參賽者可能不會期望的方式開始——不是通過一個從未見過的計算機病毒撕裂他們的系統,而是一個文檔作出Berylians正在建造違禁武器的虛假聲明。正當團隊試圖弄清楚發生了什么時,其余的轟炸就開始了。
當游戲開啟時,控制室里嗡嗡聲不斷,但它也受到控制;當其中一個團隊失去系統時肯定不會有歡呼聲。
在游戲中很容易陷入困境,當有團隊失去無人機或努力使電網免遭關閉時,很難不同情他們。始終判斷是誰在攻擊他們,法律情況如何,即使團隊本身可能距離數百英里之遠。
在所有不同的小組頭上隱約出現一架巨大的無人機在微風中輕輕搖動,而來自下面的則是團隊偶爾激烈的對話,它的長長的翅膀下面的鏡面反射了下面的明亮的屏幕。
這個無人機并不是肆虐的虛擬戰斗的唯一提醒。房間邊緣的一些系統使比賽更真實,同時對于攻擊者和防御者來說。
在一個角落是一個充滿了一套灰色金屬盒子的白板,大概像一塊房磚那么大——除了底部的一些綠色和紅色的閃光燈都是平的。這些是無人機的大腦。
這些無人機控制單元認為它們實際上是在Berylia上空飛行的無人機的機身內。無人機應該跟蹤在Berylia中心的一條路線,但是如果紅隊黑客得到控制權,那么無人機將會飛離Berylia(糟糕),甚至進入國際空域(非常糟糕)。更糟糕的是,黑客也許能從無人機劫持監控視頻流,并用其它東西(比如漫畫,這也非常糟糕和令人尷尬)取而代之。
另一塊控制板板顯示一組20個可編程邏輯控制器,它們代表專供加油機起降的空軍基地中的系統。如果黑客可以入侵這個,他們可以打開閥門并將燃油噴灑到地面上,然后區區一個火花就能造成混亂。
網絡合作防御卓越中心的技術分部主管Raimo Peterson指出,這些不僅僅是為了表演。“他們可能看起來像模型或玩具,但是它們是從現場采集的真實系統。”
“如果你談論電網系統,那么是的,它是和能量傳輸相同的電網軟件和相同的電網系統,”他說,和世界各地軍事行動中使用的無人機系統相同。“這是我們正在擺弄的真正的設備。”
控制房間其余部分的是顯示當前狀態的一組屏幕,即團隊當前面臨的困境。
一個大屏幕顯示了從Crimsonia發動并向下循弧形殃及散布在Berylia的團隊的實時地圖,就像電子游戲《導彈阻擊戰》(Missile Command)的升級版本。它很漂亮,但它除了告訴你所有的團隊無時不刻地受到攻擊之外什么都說明不了。
在另一排屏幕上顯示的內容每隔一段時間就會發生變化,以便更好地顯示紅隊黑客如何破壞藍隊的好日子。
由Hakkaja管理的紅隊分為三大組。其中最大的一個被稱為高級持續威脅(advanced persistent threat,APT)小組——類似復雜的由國家支持的黑客。這意味著偷偷進入網絡并從內部進行進攻。
當他們行動時,和他們一起的是一個專門攻擊類似網站等東西的團隊,這是今年出現的使用勒索軟件對付團隊的一個更加煩人且顯著的方法。這意味著,這個團隊不僅僅是破壞或刪除網站,而是加密數據,并向藍隊發送贖金單,藍隊必須決定是否支付。
第三個團隊負責防火墻和團隊必須防御的特殊工業控制系統和無人機系統。
Hakkaja說:“如果你看一下大多數企業如何受到攻擊的模式,正是這種通過攻擊一臺計算機的APT風格的方法,甚至是一臺相當隨機的計算機,在一個給你充分行動手段的組織里。在很多情況下,甚至直到攻擊發生幾個月之后,事件才被注意到,所以如果你有時間潛入并保持自己不暴露,你可以滲透大量的數據,造成很大的傷害,直到你被抓住。”
“與演習的不同之處在于藍隊知道我們盯上了他們,所有的事情都得到了比平常更仔細的檢查,我們只有一個非常短的時間間隙來實現我們的目標,所以在我們被踢出之前我們必須盡快做我們要做的事。”
有時屏幕上會顯示藍隊的空軍基地及其系統的地圖:如果紅隊的黑客已經設法切斷了主要的電源,那么在備用電池耗盡前防御者只有幾分鐘的時間。
屏幕還可能顯示團隊必須保護的雷達系統——如果他們失去了控制則顯示入侵的飛機編隊——或者是團隊不得不牢牢掌控的無人機飛行路徑。
Jean-Francois Agneessens今年為白隊工作,但以前是北約隊的負責人,所以他知道受攻擊的那一端是什么樣的。
他說:“為期兩天的真槍實彈戰就像濃縮的一年,所以有很多事件同時發生,你的團隊能力有限,所以你需要各種各樣的技能。”
他補充道:“讓團隊明白他們無法一直保護一切是很重要的,這就是我認為使其逼真的東西,因為現實生活就是這樣——你就是不能完美地保護一切。”
Agneessens說:“可以說,這是徹底的疲憊,在演習結束時你真的很想慶祝這兩天你還活著,但是人們只是睡覺,你需要等待第二天才可以慶祝。”
團隊在自己的國家防御另一個虛構的國家的虛擬基礎設施并沒有對他所說的演習感覺產生太大的影響,主要因為這就是現代技術的運作方式——很少有電腦系統在物理上處在由團隊管理的同一個房間或甚至是同一個建筑物。
他說:“我們所面臨的攻擊是真實的,而且組織得很好,所以這不僅僅是一大堆腳本小子(script kiddie)的模擬,他們試圖進入你的網絡,你很容易就能發現他們。”
技術游戲之外的所有額外的層面為技術游戲創造了更多的情境,并使其對團隊更有意義。
這是一個提醒,他們不僅僅是為了保護一套服務器或個人電腦,而是試圖保護依靠在線服務的國家的生活方式。
但游戲的擴張也反映出網絡戰不僅僅是修復軟件代碼,它可以影響社會的方方面面。
這是愛沙尼亞已經知道的事情。今年的鎖盾特別重要,因為它正好與2007年4月在愛沙尼亞舉行的主要網絡攻擊十周年同時發生。這是一個國家首次遭受這樣的轟炸。
當時,愛沙尼亞當局宣布了搬遷蘇維埃戰爭紀念碑的計劃后,該國的銀行,政府機構和電信公司的網站遭到襲擊,很多人被迫下線。愛沙尼亞在1991年蘇聯解體期間重獲獨立,塔林距離圣彼得堡僅有200英里。
2007年的事件是電子攻擊如何能夠給一個發達經濟造成實際問題的第一個嚴肅的示范。北約的網絡智囊團于次年在塔林成立;該計劃早已有之,但是他們所知道的“青銅戰士”襲擊——伴隨著兩天的騷亂——肯定會加速這一進程。
人們廣泛認為俄羅斯支持的黑客應該對中斷的責任,盡管俄羅斯否認了任何責任。
這并不是說攻擊嚇得愛沙尼亞不敢使用技術,恰恰相反,該國是歐洲網絡連接最發達的國家之一,甚至擁有可以讓外國人在線設立歐盟企業愛沙尼亞“電子居民(e-residency)”。
二十年前,這個小國——自然資源很少,有大的可怕的鄰國,人口不過一百多萬人,決定優先使用技術。它于2005年引進網絡投票,并投資網絡安全,愛沙尼亞CERT和網絡合作防御卓越中心以及網絡防御聯盟(Cyber Defence League),該聯盟由來自該國IT公司、銀行和ISP的專家組成。
這不僅僅是愛沙尼亞的歷史威脅。今年早些時候,來自英國的800名士兵抵達該國,作為北約“增強前沿部署(enhanced forward presence)”運動的一部分,該運動旨在阻止任何俄羅斯的侵略。自從俄羅斯在2014年非法吞并克里米亞以來,東歐的緊張局勢一直在升溫。
根據主辦方的說法,在攻擊的周年紀念舉辦的鎖盾(這是每年的同一周發生的事情)純熟巧合,但這提醒了很多人,雖然這只是一場比賽,但它離現實并不遙遠。
一個很大的區別是,2007年的攻擊大多是拒絕服務攻擊(denial of service attack)——網站被淹沒在如此巨大的流量里,以至于他們無法應付。這是鎖盾中不允許的少數幾種擊之一,在此期間,紅隊使用更復雜的方法來轟炸其目標。
“10年前在愛沙尼亞,大多數情況下只有DDoS攻擊——使你的系統崩潰的攻擊,但是在這次演習中,DDoS是唯一不受規則約束的攻擊,它們試圖進入你的系統,攻擊你的系統,竊取你的數據,更改你的數據。這種事件在2007時還沒有發生,那時大部分只是DDoS攻擊。”愛沙尼亞藍隊的Magi如是說,在該國2007年受攻擊時,他是電訊公司的一個網絡系統管理員。
第二天下午,游戲達到高潮:紅隊從具體目標轉向攻擊任何可以通達的系統。藍隊被圍困,把一切都投入到防守之中,拼命地堅守陣地。
然后突然之間結束了。
一些啤酒從某處送來,還有一瓶白蘭地酒。控制室被解放,嚴肅的氣氛消失了,代之以閑聊,笑話和碰杯的聲音。人們聚集在大型顯示器上試圖搞清楚哪些團隊失去了哪些系統。甚至連紅隊的成員也傾巢而出,盡管現在他們還是比較嚴肅和拘謹。
隨后,總分算出來了,總分是從不同比賽元素累加的所有得分,捷克共和國贏得了勝利,Magi的愛沙尼亞隊獲得了第二名,北約的一支團隊排在第三。
北約也贏得了法律比賽,德國隊在法醫挑戰中奪冠,英國隊在通信游戲中得分最高。
但是像鎖盾這樣的戰爭游戲是不是沒有抓住要點呢?
雖然領導者擔心對關鍵基礎設施的全面網絡攻擊,就像鎖盾里的攻擊那樣,但最近造成損害的攻擊并不明顯,比如在美國總統選舉中對民主黨全國委員會(Democratic National Committee)的黑客攻擊,在法國大選之前,馬克龍大選的電子郵件遭到的攻擊和泄漏。至少現在,監視和泄漏對政治的影響似乎不亞于對電網的攻擊。
這些團隊是否在計劃一次可能永遠不會發生的攻擊,而忽視了更加難以防御實際造成更多傷害的攻擊?我問長著優雅胡須的網絡合作防御卓越中心的主任Sven Sakkov他們是否正在訓練如何正確地應對威脅。
他說:“任何一個單位都需要培訓,最好是在最現實的真槍實彈環境中。”他還指出烏克蘭西部的電力中斷事件是各國面臨的威脅的一個例子。
他說:“網絡安全問題往往是頭版頭條,所以我懷疑將來我們會看到更多,而不是更少,我希望因為在塔林提供給散布在歐洲的藍隊的集體培訓,將來我們有望避免一些災難。”
但是,盡管組織了一個活動來幫助團隊防御這些攻擊,但他也警告說不要將每一個事件視為網絡戰。
他指出:“如果你說有網絡戰的話,那么在國際法上就意味著兩國之間有武裝沖突,具有一切法律后果及其在自衛或集體自衛等方面所蘊含的內容。”
“如果我們一直謊報軍情,那么我們就真的會處于這樣一個情況,即網絡攻擊會導致人員死亡和東西被炸毀,那么你會稱之為什么呢?說穿了就是我們毀了這個術語。”
游戲結束后,一切被拋諸腦后;宴會廳再次成為宴會廳,Berylia結束并為下一年做準備。
團隊恢復正常生活,也許他們想知道下一個被要求保衛的國家是不是一個真實的國家。
京公網安備 11010502049343號