网络攻击,特别是APT攻击对国家安全产生深远影响。国家间网络空间博弈日益需要一种有效方式,可以获取网络斗争的主动权和威慑力。现在网络归因得到越来越多国家的重视,在国家网络战略中屡屡被提及。
一、美国政府网络归因实力评估
近年来,网络归因成果常常被当做法律工具和政治工具使用,直接导致网络归因概念脱离了纯技术范畴,外延到了法律和政治领域,网络归因新增了两个需要回答的问题“谁发起的攻击?”和“谁该为攻击负责?”通过网络归因手段可以完成技术目标、法律目标和政治目标等不同目标。
美国政府的网络归因综合实力在全球范围内最强毫无争议,这得益于美国政府一直以来对网络归因的独特作用十分看重,得益于取得了远远领先他国的网络归因成果,得益于在技术、法律和政治多个维度产生了巨大的效益。
(一)美国政府历来重视网络归因
2018年,特朗普政府发布的《国家网络战略》立足于四大关键性支柱:保护政府网络与关键基础设施;发展创新与网络人力;通过提高美国归因能力以阻止恶意网络活动;向国外输出开放及自由的互联网价值主张。“支柱三——以实力维护和平”强调一种更具前瞻性的姿态,旨在促进建立“网络空间中负责任的国家行为框架”,并通过针对恶意活动实施“迅速、高成本且透明的制裁性措施”作为综合性战略,从而加强针对美国及其合作伙伴的恶意网络活动的归因与制止性努力。其中,将侧重于建立领先、客观的协作性情报收集工作,从而实现对网络空间内恶意行为的网络归因与阻止。
(二)美国政府网络归因成果丰硕
1、为施压他国谋取利益充当政治谈判筹码
斯诺登事件后,美国政府拥有世界上实力最强、规模最大的网络空间攻击队伍已成为不争事实。为扭转其在世界舆论场的不利局面,美国政府加大了对他国网络攻击活动的网络归因,将自己塑造成网络空间领域最大“无辜受害者”的形象,在博取国际舆论支持的同时,更将其作为政治筹码在国际争端中向他国施压,进而谋求超额利益。
2、为制裁组织指控个人提交关键法律依据
美国政府最常提到的首要动机是促进网络空间的威慑,特别是在给予网络攻击肇事者制裁惩罚方面不遗余力,此时,官方网络归因的结果往往被作为司法起诉的呈堂证供,发挥着关键证据的作用。
美国政府将网络归因是经济制裁或刑事起诉的先决条件,对外公开网络归因结果是美国政府惩罚行为人行为的初步和必要措施。根据不完全统计,美国政府通过网络归因制裁起诉国外组织个人的案件共有18项,主要涉及中国、俄罗斯、伊朗、朝鲜等民族国家,其中针对中国的司法起诉5项,针对俄罗斯的制裁和司法起诉6项,针对朝鲜的制裁和司法起诉4项,针对伊朗的司法起诉3项。
2021年2月17日,美国司法部起诉三名所谓朝鲜军事黑客在全球范围内实施网络攻击和金融犯罪,起诉书指控三名朝鲜计算机程序员参与广泛的犯罪阴谋进行一系列破坏性网络攻击,从金融机构和公司窃取和勒索超过13亿美元的资金和加密货币,以创建和部署多个恶意加密货币应用程序,以及开发和欺诈性营销区块链平台,列举了2018年详细攻击索尼影业和创建WannaCr勒索软件的案件。
2020年9月16日,两名伊朗国民在针对美国、欧洲和中东的计算机系统的网络盗窃活动中被指控,美国司法部指控两名伊朗国民参与协调网络入侵活动——有时是在伊朗伊斯兰共和国(伊朗)政府的要求下——针对新泽西州、美国其他地方、欧洲和中东的计算机,其中通常包括与国家安全、外交政策情报、非军事核信息、航空航天数据、人权活动家信息、受害者财务信息和个人身份信息有关的机密通信和知识产权,包括未发表的科学研究。在某些情况下,被告的黑客攻击是出于政治动机或在伊朗的要求下进行的,包括他们获取有关持不同政见者、人权活动家和反对派领导人的信息的情况。
3、为提升国家防护能力给出权威技术建议
比如,2021年4月15日,美国国家安全局(NSA)、网络安全和基础设施安全局(CISA)和联邦调查局(FBI)联合发布了网络安全公告,“俄罗斯SVR瞄准美国和盟国网络”,称俄罗斯对外情报单位(SVR)利用五个公开已知漏洞对美国及其盟友发动网络攻击。
此类网络安全公告的发布单位因为官方背景,具有很强的权威性,因此得到民营企业和国内民众的高度重视,报告中涉及的防御缓解措施实操性往往比较强,在实际环境中很容易得到落实。长期来看,官方网络安全公告对于提升美国国家的整体安全防护水平起到了积极推动作用。
4、为制定规则划定红线达成所谓国际共识
美国为维护其在国际社会中的霸权地位,往往会通过各种组织建立盟友圈子,抢夺国际话语权和规则制定权。在网络空间领域同样如此,斯诺登曝光的报告中,美国和五眼联盟国家很早就建立起全球网络空间监控网络,联合对全球进行情报监控。在网络归因方面,美国同盟友一道合作,在充实完善网络归因证据链条的同时,网络归因的规则评判及惩罚措施方面也制定了一系列有利于自身的规则共识,在没有国际公认的法律标准之前,企图将美国主导的网络归因的评判标准当作事实上的国际标准。
美国财政部与欧盟、英国、澳大利亚和加拿大合作,制裁了八名与俄罗斯在克里米亚持续占领和镇压有关的个人和实体,指控这些实体和个人在俄罗斯在乌克兰东部接触线、被占领的克里米亚和乌克兰边界沿线的单方面挑衅活动中,通过在互联网上发布煽动性言论和配合俄罗斯军事集结活动对乌克兰的网络攻击行动。
美国一直在网络归因国际规则的制定方面频频发声,微软公司提议建立“一个解决网络归因问题的公私论坛”,大西洋理事会(该组织被美国、北约成员国等25个国家政府资助)呼吁成立一个多边“针对上升到法律层面解决网络攻击“武装冲突”的归因和裁决委员会”;兰德公司则在一项研究中呼吁成立一个由非国家行为者组成的“全球网络归因联盟”。
美国政府一直不遗余力在资金、技术和标准上支持跨国组织开展网络归因工作,可以说主导了网络归因国际规则的话语权,谋求与盟友在网络归因方面取得共识,进而促使盟友在国际网络争端中与美国保持一致。
二、美国政府网络归因的主要优势
美国政府在网络归因领域起步较早,已经建立起和国家地位相匹配的优势地位,归纳起来其在五个方面的优势比较突出。
(一)政府主导的组织优势
FBI:2016年总统政策指令“美国网络事件协调”指定FBI作为“威胁响应”活动的领导,包括提供网络归因。ODNI通过网络威胁情报集成中心(CTIC)并由整个情报界提供分析,在提供情报支持方面处于领先地位。
国土安全部,特别是其下属的网络安全和基础设施安全局(CISA),主要提供证据或分析,帮助美国政府达成归因。
美国国家安全局(NSA)重点开展境外网络归因工作,同时利用其技术优势对其他部门提供技术支持。
美国财政部:作为第13694号行政命令的一部分,美国财政部通过外国资产管制办公室(OFAC)有权对恶意网络活动的实体进行定性和制裁。根据现有证据的类型、范围和重要性,归因结果可能在不同程度的分析置信度下得出。
美国司法部则主要根据网络归因结果配合进行司法诉讼。
(二)切实可行的标准优势
1、美国政府主导制定的官方标准规范。
《指南》认识到每一种网络操作——无论是否恶意——都会留下痕迹。我们的分析师使用这些信息,以及他们对先前事件的了解以及已知恶意行为者的工具和方法,以试图追踪这些操作回到它们的源头。分析师将新信息与现有知识进行比较,权衡为他们的判断确定置信水平的证据,并考虑替代假设和产生网络归因评估的模糊性。希望通过一种通用的归因方法有助于标准化与决策者的沟通网络归因并促进数据的及时共享和分析协作。
《指南》将网络归因视为国家应对网络攻击活动的第一步。
2、美国公私联合制定的行业标准规范
STIX(structuredThreatinforamtioneXpression,结构化威胁信息表达式)由MITRE(一个美国非营利性组织)联合DHS(美国国土安全部)发布,是用来交换威胁情报的一种语言和序列化格式。STIX是开源的、免费的,让哪些有兴趣的人做出贡献并由自由提问。使用STIX规范,开源通过对象书香和描述关系清晰地表示威胁情报中的多方面特征,包括威胁因素、威胁活动、威胁属性等。STIX信息开源直观地展示给分析师,或者以JSON形式存储以便快速地进行机器读取。
STIX的适用场景包括以下四种:
(三)价值很高的资源优势
实际上,美国作为全球网络空间技术的引领者,积累储备了大量网络安全资源,这些资源无论是数量规模还是质量价值都很高,如果用于网络归因将产生难以估量的价值。
1.网络漏洞库资源。
NVD最初创建于2000年(称为Internet-CategorizationofAttacksToolkit或ICAT),经过多次迭代和改进,并将继续这样做以提供其服务。NVD是NIST计算机安全部门信息技术实验室的产品,由网络安全和基础设施安全局赞助。
2.恶意样本库资源。
VirusTotal.com是一个免费的病毒、蠕虫、木马和各种恶意软件分析服务,可以针对可疑文件和网址进行快速检测。它与传统杀毒软件的不同之处是它通过多种杀毒引擎扫描文件。使用多种反病毒引擎可以令用户们通过各杀毒引擎的侦测结果,判断上传的文件是否为恶意软件。VirusTotal是Google的子公司,是一项免费的在线服务,可分析文件和URL,从而能够识别病毒、蠕虫、特洛伊木马和其他由防病毒引擎和网站扫描程序检测到的恶意内容。VirusTotal是地球上最丰富、最可行的众包威胁情报平台,过去一年半上传到VirusTotal服务的勒索软件样本数量就超过了8000万个。
3.威胁情报库资源。
4.网络测绘库资源。
Shodan是一种流行的网络安全搜索引擎,用于对联网设备进行安全研究。它允许搜索连接到互联网或暴露在互联网上的设备或计算机。在设备类型中,我们可以包括计算机、服务器、IP摄像头、网络设备、打印机、移动设备、路由器、交换机等。该工具已被全球数以千计的安全专家、研究人员、CERT、大型组织和其他人使用。
除了网页之外,它还可用于网络摄像头、物联网设备、冰箱、建筑物、智能电视、发电厂等。Shodan还为其他工具提供了一个公共API,以便访问Shodan的数据。它支持Nmap、Chrome、Firefox、FOCA、Maltego、Metasploit等的集成。
可以使用Shodan搜索引擎进行被动侦察。它提供诸如潜在漏洞、ISP、开放端口、主机名、国家/地区SSL证书信息、加密算法等信息。
5.开源代码库资源
GitHub是世界上最大的代码托管平台,是使用Git进行软件开发和版本控制的IInternet托管提供商。它提供了Git的分布式版本控制和源代码管理(SCM)功能,以及它自己的特性。它为每个项目提供访问控制和多种协作功能,例如错误跟踪、功能请求、任务管理、持续集成和wiki。总部位于加利福尼亚州,2018年被微软收购成为其子公司。
它通常用于托管开源项目。截至2021年11月,GitHub报告称拥有超过7300万开发人员和超过2亿个存储库(包括至少2800万个公共存储库),是全球最大的源代码托管地。
6.开源情报库资源
7.技术情报库资源
上游计划(Upstream)主要用于监听流经海底光缆及通信基础设施的信息。环球电讯公司与NSA签署了《网络安全协议》,这项协议中规定,环球电讯公司需要在美国本土建立一个“网络运行中心”,美国政府官员可以在发出警告后的半小时内进入查访。据悉,环球电讯公司的海底光缆覆盖全球4个大洲的27个国家和地区。Upstream”项目在承载互联网骨干通信内容的光缆上安装分光镜,复制其通信内容;“上游”项目,是从“海底光缆等基础设施收集数据”。
“棱镜”计划是通过谷歌、微软、Facebook等9家互联网企业挖掘数据。“棱镜”计划相当于“下游”项目,因为收集的是经过科技公司加工的数据。
国家安全局经由PRISM获得的数据包括电子邮件、视频和语音交谈、视频、照片、VoIP通话、文件传输、和社交网络上的详细资讯。其中98%的PRISM结果是基于来自雅虎、Google和微软提供的数据。2012年间的《总统每日简报》内共引用了1,477项来自PRISM的数据。
(四)拥有民间参与的规模优势
美国互联网技术的发源地,无论是政府还是私营部门都十分重视在网络空间安全领域布局发展。根据crunchbase网站统计,美国网络安全公司数量全球第一,为5,541个。根据美国商务部的技术工作跟踪数据库CyberSeek和贸易组织CompTIA的数据,截至2021年9月,美国网络安全从业人员总数1,053,468人。众多的网络安全公司和庞大的网络安全人才储备为美国政府开展网络归因提供充分的人才储备。
FireEye公司在网络攻击溯源分析中梳理出七条技术线索,分别包括:键盘布局(KeyboardLayout)、样本附加信息(MalwareMetadata)、内嵌字体(EmbeddedFonts)、DNS注册信息(DNSRegistration)、语言文字(Language)、远控工具管理配置(RATAdministrationToolConfiguration)、行为模式(Behavior)。
Crowdstrike公司通过基于SaaS模式在其云平台Falcon上为170多个国家的客户提供端点安全、威胁情报和事件响应服务。Falcon平台是基于大数据分析的终端防御平台,可监控企业数据流量,能够检测零日漏洞威胁,并防止针对性攻击对企业安全造成破坏。根据Crowdstrike高管的说法,这个大数据分析云平台帮助Crowdstrike跟踪了解世界各地的黑客团体的活动,使得Crowdstrike一般情况下可以定位出发起攻击的组织并将制止黑客攻击活动。
(五)拥有绝对领先的技术优势
1.国家级态势感知体系。
美国在2001年就开始规划建设了网络空间安全主动防御体系,将网络空间的威胁预警、入侵防御和安全响应能力相结合,创建跨领域的网络空间态势感知系统,为美国联邦政府和美国军队网络基础设施提供安全保障。该态势感知体系将美国境内(包含离岸)的网络空间中,其认为的敏感区域划分为两个部分(军事网络,联邦网络),分别交由国土安全部(DHS)和国家安全局(NSA)来分别实施细粒度监控,并通过国家标准化技术研究院(NIST)开发的一套威胁情报交换标准,将两家单位掌握的“网络空间威胁情报”进行高效互动,保证了其“网络空间态势感知体系”的效能最大化,输出网络空间威胁分析报告,辅助国家政治战略。
“态势感知体系”分为两个子系统:Einstein系统以及TUTELAGE系统,并分别交由国土安全部的国家网络通信整合中心以及国家安全局(也即网络战司令部)的威胁作战中心进行运行、管理。
“爱因斯坦”计划是美国联邦政府主导的一个网络空间安全自动监测项目,用于监测针对政府网络的入侵行为,保护政府网络系统安全。
TUTELAGE系统由美国国家安全局(也即网络战司令部)的威胁作战中心进行运行、管理,具有网络流量监控、主动防御与反击功能,用于保护美军网络基础设施网络安全,同时TAO等网络行动部队也可以在此系统中受到保护。
2.专业化威胁分析框架。
美国在应对网络空间威胁方面十分注重鼓励支持院校及民营企业开展体系化、框架化的威胁分析模型研究,并快速将这些研究成果转化应用,使其网络空间威胁分析能力,特别是攻击溯源能力得到极大提升。
TTP情报模型:
TTP情报模型主要包含战术(Tactics)、技术(Techniques)、攻击过程(Procedure)三部分内容。
钻石分析模型:
钻石模型(TheDiamondModel)是针对网络入侵攻击的分析框架模型,它提供了一个方法,如何将情报集成到分析平台中,基于攻击者的活动来进行事件的关联、分类,并进行预测,同时计划和实施威胁处置策略。
钻石模型是首次将科学原理应用于入侵分析的正式方法:可衡量、可测试和可重复——提供了一个对攻击活动进行记录、(信息)合成、关联的简单、正式和全面的方法。这种科学的方法和简单性可以改善分析的效率、效能和准确性。
钻石模型认为,不论何种入侵活动,其基本元素都是一个个的事件(Event),而每个事件都由以下四个核心特征组成:对手(adversary)、能力(capability)、基础设施(infrastructure)和受害者(victim)。四个核心特征间用连线表示相互间的基本关系,并按照菱形排列,从而形成类似“钻石”形状的结构,因此得名为“钻石模型”。模型还定义了社会-政治关系(对手和受害者之间的)和技术能力(用于确保能力和基础设施可操作性的)两个重要的扩展元特征。
杀伤链分析模型:
网络杀伤链(IntrusionKillChain)模型由洛克希德·马丁公司于2011年提出,杀伤链模型用于识别和预防网络入侵活动,其精髓在于将网络攻击模型化,有助于指导对网络攻击行动的识别和防御,模型明确提出网络攻防过程中攻防双方互有优势,攻击方必须专一持续,而防守方若能阻断/瓦解攻击方的进攻组织环节,即成功地挫败对手攻击企图。同时,其提供了一种纵深防御的概念,即在攻击最终造成损失的七步中,任何一步的察觉或者阻挡均能有效阻止和阻断。
杀伤链模型将网络空间攻击行为分为七个步骤。包括侦察阶段(Reconnaissance)、武器化阶段(Weaponization)、散布阶段(Delivery)、利用阶段(Exploitation)、安装并控制(Installation)、主动外联(Command&control)、目标达成(ActionsonObjectives)。
ATT&CK分析框架:
杀伤链模型将网络攻击模型化,有助于指导对网络攻击行动的识别和防御,但整体上粒度较粗,全面性不足,相应的应对措施也缺乏细节支撑。为解决上述问题,MITRE公司在KillChain的基础上,2013年提出了ATT&CK框架,ATT&CK的全称是AdversarialTactics,Techniques,andCommonKnowledge,顾名思义,这并不是一项技术,而是更加底层“知识库”的基础框架。它是一个站在攻击者的视角来描述攻击中各阶段用到的技术的模型,目标是创建网络攻击中使用的已知对抗战术和技术的详尽列表。
ATT&CK框架将入侵全生命周期期间可能发生的情况划分为12个阶段,分别为初始访问、执行、权限提升、防御逃避、凭证访问、发现、横向移动、收集、命令与控制、渗出和影响,每个阶段又细分了具体的攻击技术。ATT&CK提供了对每一项技术的细节描述、用于监测的方法及缓解措施,有助于安全人员更好地了解网络面临的风险并开展防御工作。
NSA/CSS网络威胁技术框架:
NSA和CSS参考各类现有框架,于2018年3月发布了《NSA/CSS技术网空威胁框架》(NSA/CSSTechnicalCyberThreatFramework)V1版本,该框架是一个基于国家情报总监(DNI)网络威胁框架开发的、与网空行为活动紧密结合的通用技术词典,NSA在整个情报体系内共享这一词典,实现对情报共享、产品研发和作战规划的支撑,促进情报体系各机构间更紧密地合作。
“NSA/CSS网络威胁技术框架v2”作为网络技术词典,提供了标准定义的基线,涵盖美国全情报社区的信息共享、产品开发、运营规划和知识驱动的操作等,有助于全社群间对公传播和开展合作,有助于组织检测对手活动,支持知识管理并实现分析工作。从流程上看,NSA将对手开展的网络威胁行动分为六个阶段,分别是行动管理、准备活动、接触目标与进攻突防、持久化驻留潜伏、效果影响、持续支持作业。
3.体系化主动追踪手段。
美军依托其主动防御体系,建立起一套有效的网络攻击快速反制机制,同时储备了大量零日漏洞,拥有针对多套网络设备等专业设备包含持久化驻留和隐蔽控制功能的网络武器库,这些主动进攻性网络攻击能力为开展网络归因溯源提供了有力支撑。
可以看到,美国政府,特别是美军早已具备较强的网络攻击反制能力,通过各种先进系统和核心技术突破,促使其能够掌握网络归因的主动权。
三、美国政府网络归因战略动向
美国政府在网络归因领域取得的“丰硕成果”坚定了其持续投入大量资金加快网络归因手段建设的信心,无论是特朗普时代的“美国优先”战略还是拜登时代的“战略竞争中胜出”的战略,巩固网络归因优势地位始终是重要内容,其决心始终是坚定不移的,其行动举措也是层出不穷的。
(一)发布法律法规政策准则,抢占网络归因话语权
美国政府历来十分注重网络归因手段建设,不断强化网络归因的政治正确性、法律合法性、规则合理性,谋求在网络归因领域的话语权主导,事实上也是如此,虽然目前全球公认的在网络归因方面的规则标准还没有出台,但在实际开展工作与合作过程中,大部分国家政府和民间机构使用的还是美国在网络归因方面的话语体系。
此外,美国政府会根据形势变化情况出台一系列战略、法规、政策,特别是在重大网络攻击事件后,政府为扭转不利局面加紧出台政策法规,加大网络归因方面的投入。比如俄罗斯通过社交媒体影响2016年美国大选的事件、2020年太阳风网络攻击事件以及2021年输油管道Colonial公司受到的勒索软件攻击事件后,美国政府趁势将网络归因提升到国家战略层面。
2018年特朗普政府《国家网络战略》关于网络归因的建议:
特朗普政府在2018年度的国家网络战略明确提出网络归因作为巩固美国实力保持威慑的一个主要支柱。在“支柱三:以实力维护和平”中提出“归因和威慑网络空间中网络攻击行为”,强调情报部门(IC)将继续引领世界使用全源网络情报来推动恶意软件的识别和归因威胁美国国家利益的网络活动。客观可行情报将在整个美国州政府和主要合作伙伴之间共享,识别敌对的外国国家以及非国家网络计划、意图、能力,研究和开发工作,战术和作战活动,通知整个政府对保护美国在国内外的利益。
2020年美国日光浴室(CSC)委员会《分层网络威慑战略》关于网络归因的建议:
2021年拜登政府在《临时国家安全战略指南》再次强调了网络归因的重要性必要性:
《指南》提到“我们将重申对网络问题国际参与的承诺,与我们的盟友和合作伙伴一起努力维护现有并塑造新的网络空间全球规范。我们将追究网络攻击者的破坏性责任,并且以其他方式阻止恶意网络活动,并通过网络和非网络手段迅速做出反应并。”
(二)强化国际同盟共享合作,提升网络归因公信力
美国政府十分注重与五眼联盟、北约、欧盟等传统盟友合作,一方面避免在网络归因领域成为“孤家寡人”,另一方面将联合盟友形成共识建立有利于自身的网络归因公信力。
1.通过五眼联盟发布公告。近年来,五眼联盟在网络攻击事件响应方面加强协同和情报共享,特别是在网络归因方面合作更加紧密,联合发布了多份将网络攻击归因于特定国家的网络归因公告,比如,将NotPetya勒索软件的爆发归咎于俄罗斯的军事情报机构GRU,将APT10网络攻击归咎于我国。
(三)理顺国内公私协作机制,扩展网络归因资源池
一直以来,美国政府和民间网络公司在网络归因方面各自发展,实质性合作交流较少,美国国防部一度还认为民间网络安全公司在网络归因方面质量不高且标准不统一。但随着民营网络安全公司在技术方面的进步以及积极参与美国政府重大工程项目建设,政府越来越认识到民间网络安全公司是网络归因领域一只不容忽视的力量。
美国政府在网络归因方面逐渐形成政府主导为主,民间私营部门参与,公私密切协同的态势,大力推动“正式的公私合作”、“非正式公私合作”、“私营部门之间的合作”和“政府部门间合作”等各种协作模式的落地实施,不断扩展网络归因资源池,提升网络归因的数量规模和质量标准。
1.开始采纳私营部门网络归因成果。
美国政府已经认识到在网络归因领域私营部门和政府部门各有优势。
2.借助私营部门资源共建“预警网络”。
在2020年CSC发布的《分层网络威慑战略》中,明确提出了“国家情报局长办公室(ODNI)应通过国土安全部和联邦调查局与私营部门合作,改进归因分析”建议。其中一项具体举措就是建立“联合协作环境”,这是一个基于云的公共环境,联邦政府的非机密和机密网络威胁信息、恶意软件取证、,监控计划中的网络数据尽可能广泛地用于查询和分析。初始阶段将集中于整个联邦政府计划的整合,以及与具有系统重要性的16个关键基础设施部门整合,而后续阶段的重点将是将此环境扩展到更大的关键基础设施用户群,包括ISAC。该计划将实现“政府整体”和公私合作的网络安全承诺,确保每个部门或机构以及私营部门的网络数据、网络威胁情报和恶意软件取证以机器速度进行全面检测和分析。
3.将私营部门纳入国家网络防御计划。
JCDC的联合网络规划办公室将由来自整个联邦政府的代表组成,包括国土安全部(DHS)、司法部(DOJ)、美国网络司令部(USCYBERCOM)、国家安全局(NSA)、联邦调查局(FBI)和国家情报总监办公室(ODNI)。此外,JCDC将与自愿合作伙伴协商,包括州、地方、部落和地区(SLTT)政府、信息共享和分析组织和中心(ISAO/ISAC),以及关键信息系统的所有者和运营商,以及其他私人实体。
参与JCDC的最初行业合作伙伴包括AmazonWebServices、AT&T、CrowdStrike、FireEyeMandiant、GoogleCloud、Lumen、Microsoft、PaloAltoNetworks和Verizon。
可以看到,联合防御协作组织的成立,某种意义上给予了私营部门“半官方”的身份地位,激发了私营部门参与网络归因工作的积极性,事实扩展和加强了参与网络归因工作的力量。
(四)加强新兴技术应用研发,提升网络归因置信度
美国政府十分注重新兴技术的创新应用,美国国防高级研究计划局(DARPA)负责提出创新性的课题计划进行前瞻性的研究。
在网络归因领域同样如此,DARPA研究人员正在识别和解决威胁全球稳定的关键网络漏洞和安全。以往网络空间中的恶意行为者事实上几乎不担心被抓获,在某些情况下甚至不可能将恶意行为归咎于特定个人的网络空间。网络归因困难的原因至少部分源于缺乏当前互联网基础设施中的端到端问责制。
TA1:活动跟踪和总结
DARPA解释说,“TA1执行者将开发用于网络行为和活动跟踪和汇总的技术”。
TA2:数据融合和活动预测
DARPA指出“TA2执行者将开发用于融合TA生成的数据以及对恶意网络运营商活动进行预测分析的技术。”,为网络领域开发多点融合和跟踪。
TA3:验证和浓缩
三个为期18个月的计划阶段
所有TA工作并行工作
经常使用各种数据集进行非正式评估
增强真实感/环境
能够在机会出现时在实际条件下进行按需测试,可能在项目早期开始
美国官方已然将网络归因作为重要战略威慑手段进行建设发展,美国官方主导民间企业参与的网络归因力量体系逐步建立,在巩固军方、政府网络归因能力的同时,不断加强针对民间私营部门关键基础设施领域的网络归因能力建设。可以看到,未来要想谋求网络空间斗争中的战略主动权,网络归因能力建设将是必不可少的关键一环。
(节选自《美国政府网络归因实力分析报告》,如需报告全文请联系。)