在带有刺眼条状灯光的低顶房间的门口,Klaid Magi一脸疲惫。在他的后面,这个混乱表明,这不像平常的办公日子。箱子里装满了可口可乐的罐头,书桌上装满了小吃包装盒,房间几个小时前就清新怡人。
Magi的团队是由二十多位此刻看起来很疲惫的安全专家的小队伍组成,他们在一排排写满笔记的电脑和白板之间徘徊,逐渐从一个小国家对大规模网络战的最后一次防御工作中恢复精力。
Magi往常的工作是管理爱沙尼亚的计算机应急小组,但是今天他一直负责保护虚构的Berylia国家免受侵略者的侵害。
这个在爱沙尼亚首都塔林(Tallinn)的郊区的一个不起眼的塔楼里运营的防御者团队,只是其中一个参加旨在帮助他们准备应对真正的国际网络防御演习的团队。
由北约组织的网络防御智囊团组织的为期两天的演习,旨在测试这些团队捍卫一系列技术的技能——从个人电脑和服务器到空中交通管制系统。
Magi说:“我们所有的基础设施都受到一定程度的攻击。
他补充说:“在现实生活中,你永远不会看到每日几千次的网络攻击,显然这是难熬的一天。”
这是第一天比赛的结束(不同于真正的网络战争,该游戏稍微更文明些,限于标准的营业时间),爱沙尼亚队被认为是最强的一个,他们已经感觉到自己已经渡过难关了,他们正在保护他们所保卫的虚构的空军基地的系统。
Magi说:“这是我们的日常工作,我们习以为常了。”
但是第二天还有更多的事要发生。
在塔林的另一边是给Magi的团队惹事儿的坏蛋。
这无关个人恩怨——他们也将给18个在战争游戏中被称为“锁盾(Locked Shields)”的防御团队造成破坏。
在游戏运行的两天中,市中心酒店的宴会厅作为演习的枢纽,这几天,晚餐夹克和派对连衣裙在穿闪亮T恤和临时军服的网络安全专家面前显得相形见绌。
这也是攻击者的基地——以红队著称——这看起来很搭:一个由巨型屏幕主导的海湾大厅。
在这个充满红色T恤的房间里,大多是男性黑客,房间很安静,有条不紊,这与这个团队发出的无情轰炸多少有些格格不入。
Mehis Hakkaja是外贸严肃的红队老大。他微笑着说:“我是个好人。”但很明显,他喜欢这个演习的挑战。
我提到我对爱沙尼亚蓝队的造访。他问“他们看起来很累吗?累就对了。”
锁盾演习自2010年以来一直在运作,而且这种情况往往是以保护Berylia为主,这是位于北大西洋某地的虚构的北约新成员,它与敌对国Crimsonia的关系很紧张。
这个场景中瞎折腾的敌人Crimsonia所在的地方并不完全清楚。但是,参与演习的人没有一个怀疑它位于欧洲某地以东。
锁盾由北约的网络合作防御卓越中心(Cooperative Cyber Defence Centre of Excellence,CCD COE)执行,锁盾号称是最大和最复杂的国际技术网络防御演习,它涉及来自25个国家的900名参赛者。今年有18支国家队,外加北约自身的团队。
这样的练习近年来一直在规模化增长,因为网络战在某种程度上已经从理论转变为令人担忧的可能性。
很多国家正在大规模投资以提高对数字系统发动战争的能力美国,俄罗斯和中国被认为是最有能力的。2015年乌克兰西部的电网遭到黑客攻击的事件中,停电造成数十万无电可用,这些事件显示出对关键基础设施采用数字攻击的有效性。
今年,防御方蓝队必须发挥快速反应的电脑安全团队的作用,该团队已经参与保护Berylia的主要军事空军基地以使其免遭网络攻击。
该团队必须防御你在标准办公室中可能找到一切(包括Windows PC,Mac,Linux以及电子邮件和文件服务器)。他们还必须保护控制电网的系统并规划空中军事行动,包括与空军基地燃料供应相关的军事监视无人机和可编程逻辑控制器(programmable logic controllers)。目的是加强这样一个观念,即网络内外每个单一系统都可能成为攻击者的出发点。
这个技术游戏,即击退一波又一波的网络攻击,是演习的主要目的,也是团队得分的主要方式。
组织比赛的白队负责人Rain Ottis解释说:“这是技术性的,这是亲身实践的,我们所体验的大多数比赛打法是在真实的电脑上,面对真实的威胁,应对真实的对手。它是真枪实弹的。我们实际上有一个活生生的对手,他们实际上控制着一个服务器,他们可能会破坏它或者做任何他们必须做的事情。”
多年来,锁盾已经扩展到包括一个通信游戏,团队必须响应访问请求和更新Berylia人对攻击的反应,以及一个法律游戏,球队的律师必须解决攻击是否违法以及怎么处理。除此之外,还有一个桌面战略比赛,它试图模仿高级军事和民事决策者的角色,而这些角色必须弄清楚如何应对这种攻击——根据其中一个参赛者的说法就是将其置于“更加宏大的地缘政治背景下”。
Ottis说:“在技术层面上,你必须担心恶意软件这样的东西,或者有人破坏你的网站,或者是‘为什么我的电力被关停了?’这样的问题。在战略游戏中有关于这样的问题,即如果在现实生活中发生了这样的问题是否考虑使用武力或武装攻击。有什么值得开战的吗?”
更为复杂的是,游戏的控制器不仅仅管理一个虚构的Berylia,而是多达20个独立的版本的堆叠,因为虽然每个团队都面临着同一组威胁,但他们可能会遇到不同的问题和不同时间的不同的场景的元素。这意味着每个团队的比赛会根据所做的决定以独立的,不同的速度呈现。参与比赛的球队之一选择了时间旅行的Tardis作为他们的非官方吉祥物就不足为奇了。
所有这一切都是在宴会厅的控制室运行的,整个演习向TechRepublic全程开放。
运行游戏不同元素的团队被分配了自己的彩色T恤和成排的个人电脑。红色代表攻击队伍;绿色代表保持游戏运行的基础设施团队;而白色代表通信和法务团队以及其他运行场景的人员。
另外还有一个坐在控制室外的小组。网络钓鱼攻击和勒索软件只有在组织中的人蠢到打开一个档或点击一个可疑的链接时才能成功。而在网路战比赛中,谁会愚蠢地点击一个奇怪的电子邮件地址的随机附件?
对攻击者而言是幸运的而对防御者而言是不幸的,每个蓝队都被分配一组虚拟终端用户,这些终端用户信任(或愚蠢的)到点击各种带毒的附件,并向坏人提供一种让他们进入的方式。更为混乱的是,这些一头雾水的虚拟用户将向蓝队投诉说他们无法访问电子邮件或其它服务(因为他们刚刚通过点击勒索软件而使其瘫痪),这给防御团队带来了更大的工作量和麻烦。
视线中没有任何蓝色的T恤衫——防御团队大部分都在自己的国家。这些团队的规模可以从20人到60人;大多数像Magi的爱沙尼亚队一样,是民用和军事安全专家的组合。某些团队的成员尽是以前的锁盾老手,有些团队则完全是新手。
比赛以参赛者可能不会期望的方式开始——不是通过一个从未见过的计算机病毒撕裂他们的系统,而是一个文档作出Berylians正在建造违禁武器的虚假声明。正当团队试图弄清楚发生了什么时,其余的轰炸就开始了。
当游戏开启时,控制室里嗡嗡声不断,但它也受到控制;当其中一个团队失去系统时肯定不会有欢呼声。
在游戏中很容易陷入困境,当有团队失去无人机或努力使电网免遭关闭时,很难不同情他们。始终判断是谁在攻击他们,法律情况如何,即使团队本身可能距离数百英里之远。
在所有不同的小组头上隐约出现一架巨大的无人机在微风中轻轻摇动,而来自下面的则是团队偶尔激烈的对话,它的长长的翅膀下面的镜面反射了下面的明亮的屏幕。
这个无人机并不是肆虐的虚拟战斗的唯一提醒。房间边缘的一些系统使比赛更真实,同时对于攻击者和防御者来说。
在一个角落是一个充满了一套灰色金属盒子的白板,大概像一块房砖那么大——除了底部的一些绿色和红色的闪光灯都是平的。这些是无人机的大脑。
这些无人机控制单元认为它们实际上是在Berylia上空飞行的无人机的机身内。无人机应该跟踪在Berylia中心的一条路线,但是如果红队黑客得到控制权,那么无人机将会飞离Berylia(糟糕),甚至进入国际空域(非常糟糕)。更糟糕的是,黑客也许能从无人机劫持监控视频流,并用其它东西(比如漫画,这也非常糟糕和令人尴尬)取而代之。
另一块控制板板显示一组20个可编程逻辑控制器,它们代表专供加油机起降的空军基地中的系统。如果黑客可以入侵这个,他们可以打开阀门并将燃油喷洒到地面上,然后区区一个火花就能造成混乱。
网络合作防御卓越中心的技术分部主管Raimo Peterson指出,这些不仅仅是为了表演。“他们可能看起来像模型或玩具,但是它们是从现场采集的真实系统。”
“如果你谈论电网系统,那么是的,它是和能量传输相同的电网软件和相同的电网系统,”他说,和世界各地军事行动中使用的无人机系统相同。“这是我们正在摆弄的真正的设备。”
控制房间其余部分的是显示当前状态的一组屏幕,即团队当前面临的困境。
一个大屏幕显示了从Crimsonia发动并向下循弧形殃及散布在Berylia的团队的实时地图,就像电子游戏《导弹阻击战》(Missile Command)的升级版本。它很漂亮,但它除了告诉你所有的团队无时不刻地受到攻击之外什么都说明不了。
在另一排屏幕上显示的内容每隔一段时间就会发生变化,以便更好地显示红队黑客如何破坏蓝队的好日子。
由Hakkaja管理的红队分为三大组。其中最大的一个被称为高级持续威胁(advanced persistent threat,APT)小组——类似复杂的由国家支持的黑客。这意味着偷偷进入网络并从内部进行进攻。
当他们行动时,和他们一起的是一个专门攻击类似网站等东西的团队,这是今年出现的使用勒索软件对付团队的一个更加烦人且显著的方法。这意味着,这个团队不仅仅是破坏或删除网站,而是加密数据,并向蓝队发送赎金单,蓝队必须决定是否支付。
第三个团队负责防火墙和团队必须防御的特殊工业控制系统和无人机系统。
Hakkaja说:“如果你看一下大多数企业如何受到攻击的模式,正是这种通过攻击一台计算机的APT风格的方法,甚至是一台相当随机的计算机,在一个给你充分行动手段的组织里。在很多情况下,甚至直到攻击发生几个月之后,事件才被注意到,所以如果你有时间潜入并保持自己不暴露,你可以渗透大量的数据,造成很大的伤害,直到你被抓住。”
“与演习的不同之处在于蓝队知道我们盯上了他们,所有的事情都得到了比平常更仔细的检查,我们只有一个非常短的时间间隙来实现我们的目标,所以在我们被踢出之前我们必须尽快做我们要做的事。”
有时屏幕上会显示蓝队的空军基地及其系统的地图:如果红队的黑客已经设法切断了主要的电源,那么在备用电池耗尽前防御者只有几分钟的时间。
屏幕还可能显示团队必须保护的雷达系统——如果他们失去了控制则显示入侵的飞机编队——或者是团队不得不牢牢掌控的无人机飞行路径。
Jean-Francois Agneessens今年为白队工作,但以前是北约队的负责人,所以他知道受攻击的那一端是什么样的。
他说:“为期两天的真枪实弹战就像浓缩的一年,所以有很多事件同时发生,你的团队能力有限,所以你需要各种各样的技能。”
他补充道:“让团队明白他们无法一直保护一切是很重要的,这就是我认为使其逼真的东西,因为现实生活就是这样——你就是不能完美地保护一切。”
Agneessens说:“可以说,这是彻底的疲惫,在演习结束时你真的很想庆祝这两天你还活着,但是人们只是睡觉,你需要等待第二天才可以庆祝。”
团队在自己的国家防御另一个虚构的国家的虚拟基础设施并没有对他所说的演习感觉产生太大的影响,主要因为这就是现代技术的运作方式——很少有电脑系统在物理上处在由团队管理的同一个房间或甚至是同一个建筑物。
他说:“我们所面临的攻击是真实的,而且组织得很好,所以这不仅仅是一大堆脚本小子(script kiddie)的模拟,他们试图进入你的网络,你很容易就能发现他们。”
技术游戏之外的所有额外的层面为技术游戏创造了更多的情境,并使其对团队更有意义。
这是一个提醒,他们不仅仅是为了保护一套服务器或个人电脑,而是试图保护依靠在线服务的国家的生活方式。
但游戏的扩张也反映出网络战不仅仅是修复软件代码,它可以影响社会的方方面面。
这是爱沙尼亚已经知道的事情。今年的锁盾特别重要,因为它正好与2007年4月在爱沙尼亚举行的主要网络攻击十周年同时发生。这是一个国家首次遭受这样的轰炸。
当时,爱沙尼亚当局宣布了搬迁苏维埃战争纪念碑的计划后,该国的银行,政府机构和电信公司的网站遭到袭击,很多人被迫下线。爱沙尼亚在1991年苏联解体期间重获独立,塔林距离圣彼得堡仅有200英里。
2007年的事件是电子攻击如何能够给一个发达经济造成实际问题的第一个严肃的示范。北约的网络智囊团于次年在塔林成立;该计划早已有之,但是他们所知道的“青铜战士”袭击——伴随着两天的骚乱——肯定会加速这一进程。
人们广泛认为俄罗斯支持的黑客应该对中断的责任,尽管俄罗斯否认了任何责任。
这并不是说攻击吓得爱沙尼亚不敢使用技术,恰恰相反,该国是欧洲网络连接最发达的国家之一,甚至拥有可以让外国人在线设立欧盟企业爱沙尼亚“电子居民(e-residency)”。
二十年前,这个小国——自然资源很少,有大的可怕的邻国,人口不过一百多万人,决定优先使用技术。它于2005年引进网络投票,并投资网络安全,爱沙尼亚CERT和网络合作防御卓越中心以及网络防御联盟(Cyber Defence League),该联盟由来自该国IT公司、银行和ISP的专家组成。
这不仅仅是爱沙尼亚的历史威胁。今年早些时候,来自英国的800名士兵抵达该国,作为北约“增强前沿部署(enhanced forward presence)”运动的一部分,该运动旨在阻止任何俄罗斯的侵略。自从俄罗斯在2014年非法吞并克里米亚以来,东欧的紧张局势一直在升温。
根据主办方的说法,在攻击的周年纪念举办的锁盾(这是每年的同一周发生的事情)纯熟巧合,但这提醒了很多人,虽然这只是一场比赛,但它离现实并不遥远。
一个很大的区别是,2007年的攻击大多是拒绝服务攻击(denial of service attack)——网站被淹没在如此巨大的流量里,以至于他们无法应付。这是锁盾中不允许的少数几种击之一,在此期间,红队使用更复杂的方法来轰炸其目标。
“10年前在爱沙尼亚,大多数情况下只有DDoS攻击——使你的系统崩溃的攻击,但是在这次演习中,DDoS是唯一不受规则约束的攻击,它们试图进入你的系统,攻击你的系统,窃取你的数据,更改你的数据。这种事件在2007时还没有发生,那时大部分只是DDoS攻击。”爱沙尼亚蓝队的Magi如是说,在该国2007年受攻击时,他是电讯公司的一个网络系统管理员。
第二天下午,游戏达到高潮:红队从具体目标转向攻击任何可以通达的系统。蓝队被围困,把一切都投入到防守之中,拼命地坚守阵地。
然后突然之间结束了。
一些啤酒从某处送来,还有一瓶白兰地酒。控制室被解放,严肃的气氛消失了,代之以闲聊,笑话和碰杯的声音。人们聚集在大型显示器上试图搞清楚哪些团队失去了哪些系统。甚至连红队的成员也倾巢而出,尽管现在他们还是比较严肃和拘谨。
随后,总分算出来了,总分是从不同比赛元素累加的所有得分,捷克共和国赢得了胜利,Magi的爱沙尼亚队获得了第二名,北约的一支团队排在第三。
北约也赢得了法律比赛,德国队在法医挑战中夺冠,英国队在通信游戏中得分最高。
但是像锁盾这样的战争游戏是不是没有抓住要点呢?
虽然领导者担心对关键基础设施的全面网络攻击,就像锁盾里的攻击那样,但最近造成损害的攻击并不明显,比如在美国总统选举中对民主党全国委员会(Democratic National Committee)的黑客攻击,在法国大选之前,马克龙大选的电子邮件遭到的攻击和泄漏。至少现在,监视和泄漏对政治的影响似乎不亚于对电网的攻击。
这些团队是否在计划一次可能永远不会发生的攻击,而忽视了更加难以防御实际造成更多伤害的攻击?我问长着优雅胡须的网络合作防御卓越中心的主任Sven Sakkov他们是否正在训练如何正确地应对威胁。
他说:“任何一个单位都需要培训,最好是在最现实的真枪实弹环境中。”他还指出乌克兰西部的电力中断事件是各国面临的威胁的一个例子。
他说:“网络安全问题往往是头版头条,所以我怀疑将来我们会看到更多,而不是更少,我希望因为在塔林提供给散布在欧洲的蓝队的集体培训,将来我们有望避免一些灾难。”
但是,尽管组织了一个活动来帮助团队防御这些攻击,但他也警告说不要将每一个事件视为网络战。
他指出:“如果你说有网络战的话,那么在国际法上就意味着两国之间有武装冲突,具有一切法律后果及其在自卫或集体自卫等方面所蕴含的内容。”
“如果我们一直谎报军情,那么我们就真的会处于这样一个情况,即网络攻击会导致人员死亡和东西被炸毁,那么你会称之为什么呢?说穿了就是我们毁了这个术语。”
游戏结束后,一切被抛诸脑后;宴会厅再次成为宴会厅,Berylia结束并为下一年做准备。
团队恢复正常生活,也许他们想知道下一个被要求保卫的国家是不是一个真实的国家。
京公网安备 11010502049343号