2022年5月起,“竹子笔第二季”正式开播。回顾第一届赛事,在坚持总原则、总框架和主要规则的基础上,我们优化了赛制,特别是奖项设置和颁奖方式。 13位专家和作者组成第一批“笔友”,设计自己的月度主题,在竹子云知识星球进行与主题相关的每日签到,每月完成一篇原创文章。除了一起拿下10万元的高额奖金,更要引起甲方的重视,探索最佳实践,弘扬分享精神,名利双收。本期发表的文章是珠字笔的月度主题投稿之一。
浅谈以色列的网络攻防能力
文字 |陈升
陈胜
中通快递安全专家
您知道以色列价值 820 亿美元的网络安全产业中心吗?据统计,以色列是少数几个每月在其政府网站和数据系统上面临数百次网络攻击的国家之一;几年前,以色列国防军发表新闻文章称,以色列国防军(IDF)第8200部队成功阻止了ISIS对一个西方国家的空袭。因此,在网络安全领域,以色列可以说是超级大国。
在过去几年中,网络威胁的规模和种类呈爆炸式增长。为了提高他们在网络空间的发言权,世界各国政府都增加了对人力和财力资源的投资。一些具有明确的政治立场,而另一些则直接成为网络威胁。从勒索软件到网络级攻击的攻击层出不穷,对国家乃至部分地区造成了非常恶劣的影响。
想象一下,国家的关键基础设施因网络攻击而瘫痪或崩溃,将直接影响到人们的生命安全。因此,无论是发展中国家还是发达国家,都逐渐更加重视发展自己的网络安全。从网络战略的角度来看,需要专门的政府部门来应对网络威胁。但是,大多数国家只是建立在自己的网络安全基础设施上,甚至是借鉴其他国家的经验,所以自己的网络发展与西方类似。不过差距还是很大的。
我们看到,日本、新加坡、韩国等周边国家都建立了自己的网络攻防队伍,有的是国家背景的,有的是企业的,更多的是由非政府组织或大学组成的在该层面投入大量预算和资源。相比之下,同属亚洲的以色列则成功发挥了“小”优势——决策迅速、路线灵活快速、集中国家力量相对轻松,在网络安全和网络攻击方面取得了非常可观的成绩。和防御。经验教训。
以色列人口不足1000万,面积2.5万平方公里,相当于北京和天津的总和。人口不到上海,不到北京的一半。以色列国防军利用大数据制胜,其竞争力被公认为世界领先。通过研究发现,以色列一直注重组织流程和网络安全战略的建设,这将为其他国家提供值得借鉴的经验和教训。
那么,小国如何处理国家网络安全?它如何引领世界?本文运用以色列先进成功的网络攻防演练和发展方法论,分析以色列这个拥有4000年悠久发展历史的国家,在网络安全方面关注的主要因素是什么?可以给我用……
在过去几年中,以色列建立了全方位的网络能力——全面的网络安全战略、新的国家和政府组织、网络安全运营能力以及远远超过其相对全球规模的网络安全领导产业(仅第二仅适用于美国),已成为坚不可摧的网络防御力量。在此过程中,以色列制定了一套综合体系,并通过多项政府决议和法案予以实施,从而进一步巩固了这一具有强烈国家愿景的战略结构体系。
为了构建一个充满活力和可持续发展的网络防御生态系统,以色列相关决策者的六大网络安全战略目标如下:
1) 国家级领导在行动;
2)在国家一级设立专门的网络管理机构;
3)联合多部门、跨部门协作,促进国家网络安全发展;
4)建立跨行业、跨学科(学科)、人力资源整合协同的网络生态系统;
5)建立能解决技术运营问题的网络精英团队;
6) 重新评估如何快速响应攻击者的攻击,而不仅仅是针对网络攻击。
有效结合这六个方面,通过实战将网络安全的理论与实践相结合。
第一(政策):国家主导的对网络攻击和攻击者的响应,作为整体国家网络战略的一部分
运营的基本概念旨在与技术和对手无关,并明确强调政府与私营部门之间的角色匹配。第一层是国家层面的一般网络威胁,减少国家层面的攻击和整体风险。从政府的角度来看,它主要是通过促进基本的网络安全保护和指导企业部门采取的措施来执行的。对关键基础设施的网络安全采取适当的激励措施、法律法规和强制性标准,提高全国的网络安全意识和意识。
第二层是事件驱动的,旨在解决特定的网络威胁事件,它定义并实施了系统快速恢复影响和及时共享信息的能力的国家标准。这部分涉及直接与面临风险的私营公司或具有安全能力的组织合作。
前两层侧重于减轻攻击的影响,而第三层侧重于通过防御能力消除网络攻击背后的人为因素(攻击者)。也就是说,这一层涉及使用所有国家资源(包括传统资源和其他资源)来管理针对国家级网络对手的防御活动,例如情报、跟踪威慑、网络安全执法等。
第二(政策):国家网络防御中央网络行动局
以色列的第二步是建立一个中央网络机构(现为以色列国家网络机构的一部分),具有特定的运营能力和相关职责,负责保卫国家网络领域和领导国家网络安全工作。
它的作用是系统地提高整个私营部门的网络安全能力,并继续领导和组织国家层面来对抗来自外部网络层面的攻击。主要是通过国家应急计划和具有独特分析能力的团队的参与,在需要时减轻民用部门面临的来自内部和外部网络的高风险威胁。
最后,中央网络作战机构领导网络攻防演练,并与警方、情报机构等相关信息和网络安全组织合作,应对可能的网络攻击。
三(政策):进一步增强国家网络安全屏障的稳定性和安全性
高级别的系统安全保护可防止大多数常见攻击造成的潜在损害。这些要求普遍提高了国家和企业抵御网络攻击的门槛。另一方面,它们也使网络攻击者在国家层面渗透关键基础设施和网络的成本更高。随着攻击者在每个攻击步骤中所需投入的增加,攻击的总次数相对减少。
以色列国家网络局 (INCD) 选择了多种途径来解决这个问题。最著名的是以色列监管关键基础设施 (CI) 的方法。 CI 由 INCD 以独特的方式直接管理。每个 CI(关基地)在 INCD(互联网局)内都有一名经过培训和授权的认证官员,负责提供网络安全方面的专业指导。此外,在面对整个私人市场时,INCD 使用了整个监管工具箱,例如指挥和控制、标准制定、披露义务和披露监管、激励措施、推动解决方案、提高目标受众的意识等。
第四(能力建设):构建产学研人力资源网络生态系统
以色列国家网络局率先建立国家网络生态系统,以加强其在网络领域的网络安全创新和创新进程,确保以色列具有长期可持续的网络安全能力。为此,以色列政府通过 INCD 的领导,支持在大学建立研究中心并与领先的网络行业合作;资助高风险行业的创新;投入预算和努力提高国家在网络方面的人力资本;并培育一个相互丰富的生态系统。
比较著名的例子是贝尔谢巴独特的 CyberSpark 项目,这是一个由以色列初创公司、全球公司、学术界以及民用和军用网络安全中心组成的集中且独特的网络安全生态系统,所有这些都在步行距离之内彼此...
第五(行动):网络突击队:组建精锐小分队,解决棘手的技术作战问题
工作组必须足够小才能发挥作用。在他的名著中,诺斯科特帕金森将“效率因素”定义为委员会或其他决策机构变得完全无效率的程度。这句话的真相是,当一个国家想要解决最具挑战性的网络攻防问题时,这个概念变得尤为重要。核心团队必须足够熟练、规模小、敏捷,能够对不断变化的对手进行持续搜索和溯源,并且手头应该有顶级专家。关键是要有一个由各自网络安全领域的顶级分析师组成的工作组,致力于创新技术操作以解决难题,例如识别和跟踪高级持续威胁 (APT) 活动。作为一个小国,以色列已经习惯了小型高技能团队聚集在一个小房间里的逻辑。当然,它在严峻的网络防御挑战领域也采用了这种思维。
第六(操作):对付攻击者,而不仅仅是攻击
网络威胁的一个关键因素是存在具有恶意的犯罪分子(高度智能的犯罪)。因此,上述以色列作战行动的第三层包括防御维度,即通过国家的作战防御能力关注网络攻击背后的人为因素,从而破坏网络攻击的能力。这些努力包括两个主要方面:第一个重点是通过国家和国际执法机制打击犯罪实体,主要是警察部队和司法系统;而第二个则侧重于寻求损害国家利益的国家级对手,无论是恐怖组织还是其他国家。
以色列作为主要的网络强国和该领域的全球领导者,有时会在其处理国家安全问题时设置障碍:
2019年5月,在与哈马斯的数日激战中,以色列国防军战机摧毁了哈马斯网络部队总部大楼。这种对网络攻击的前所未有的动态反应是以色列应对网络攻击的整体方法的首次展示。这种做法在最近的“城墙卫士”行动中得到了进一步证明,以色列空军在这次行动中攻击并摧毁了多个网络目标(存储设施、藏身处和少量网络恐怖分子),从而有助于威慑的平衡哈马斯和以色列之间。
对美国和以色列的标杆可以学到什么?
上述六个主要步骤可以分为三个部分,并作为潜在的经验教训进行分析。这些是公共政策决策(三层框架和国家网络防御中央机构)、能力建设步骤(增强国家网络安全稳定性和支持网络生态系统)和运营相关步骤(组建精英团队和应对攻击者) )。
第一组,公共政策决策(三层和运营网络机构),在这一点上不得不提到美国。就在十年前,只有少数几个国家制定了网络战略和专门的政府网络部门。不过,近年来,各国在这方面发展迅速,相继公布了各自的国家网络战略。尽管美国是最早部署的国家之一,但直到 2018 年才在专门的非军事和国家运营的网络机构方面向前迈出了重要一步:成立了美国网络安全和基础设施安全局 (CISA)。这是前国家保护和规划局 (NPPD) 的继任者,该局重组了 NPPD 的任务,将其扩展为一个新机构,并将其作为联邦领导人在网络和物理基础设施安全方面的优先事项。这样,美国在组建专门负责国家网络防御的作战机构方面迈出了重要的一步。我国网络安全布局起步较晚。 2016年,《网络安全法》颁布,我国进入网络安全时代。面对严峻的外部网络安全形势,我国也在加快发展自主可控的网络安全产业。未来,移动、大数据、云计算、物联网、工业互联网安全将成为网络安全发展的主要领域。
第二组是能力建设步骤(生态系统和市场稳健性)。从战略和连贯的角度来看,对规模的反应是好的。在大多数国家面临的挑战中,规模自然有利于美国,因为在这些领域,规模越大越强大。原则上,更大的规模使更多机构能够制定专门的标准,并迫使它们以更大的预算和更多的操作选择渗透和渗透所有网络安全研究议程。以色列拥有先进而强大的监管框架,这归功于其安全文化,私营部门同意政府的具体措施。一个很好的例子是受过网络培训的认证官员的概念,他们被分配到每个关键基础设施并受到 INCD(国家网络局)的密切监控。然而以色列国防军利用大数据制胜,这些经验在美国几乎不可能应用,但不是因为规模的原因。相反,联邦政府与私营部门之间的关系截然不同,更具对抗性或脱节;生态系统必须应对截然不同的安全文化和政治哲学。
最后,第三组操作步骤(精英团队和面向攻击者的响应)与美国在将以色列视为试点国家时可能吸取的教训更为相关。这是因为网络中的操作方面通常需要灵活性、创造性思维和快速反应,因此更容易在小型环境和个人中实施。以色列创建的小型精英团队在处理异常困难的技术运营问题方面的成功案例为美国国家网络安全的成功提供了特别有用的经验。我们可以看到,这样的精英狩猎团队也在全球网络行业中诞生,例如:网络安全公司将各自的精英团队聚集在一起,处理重大威胁情报工作;卡巴斯基实验室的全球研究和分析团队 (GReAT)、微软威胁情报中心 (MSTIC)、谷歌的威胁分析小组 (TAG) 等。另一个经典例子是谷歌的零日项目,这是一个由顶级安全分析师组成的团队,负责寻找零日漏洞。尽管分析师人数相对较少,但所有这些团队都在重要任务中取得了巨大的成就,而这种成功并非偶然,他们多年来不断发表相关文献就证明了这一点。
美国拥有网络司令部 (USCYBERCOM) 或国家安全局 (NSA),可以在现有团队之外建立更多精英团队,以解决在追捕和跟踪 APT 对手时发现的最棘手的技术操作问题。这些精英团队应该保持小规模,以确保他们的质量和敏捷性。最重要的是,以色列的经验为这些精英团队提供了一个“屏蔽室”,让他们能够完全专注于任务和挑战,不受不必要的组织和行政干扰。
同样,我们可以借鉴以色列的经验来破坏和阻止网络攻击者。在针对哈马斯的行动中,我们第一次看到了网络战略的新思维,它以数字时代历史上独一无二且前所未有的方式应对网络攻击者。
打击攻击者,而不仅仅是攻击,对于全面应对网络威胁至关重要。 2019年和2021年,以色列对哈马斯的动态反应显示出其在应对袭击者方面的整体努力和思考,及时结合行动、战术和法律,应对袭击者,进一步加强威慑。美国需要更清楚地吸取这一教训,在公开场合,美国目前主要通过起诉和制裁来应对网络攻击者。我们建议中国应认真考虑采用更先进、更全面的方法来打击网络对手。
以色列在网络空间的成功很大程度上归功于它能够将预算相对较少和资源较少的劣势转化为网络战略和流程优势,从而为其他国家的公共政策决策、能力建设流程和运营提供信息能力经验因此,结合其独特的地缘战略地位,以色列开发了几种独特的网络安全方法,为我国提供了一些经验教训。
以色列围绕其网络战略和新的作战组织开展了大量工作,以应对其国家面临的网络威胁,以及建立网络安全的能力。近年来,国内网络安全产业蓬勃发展。习近平总书记指出,没有网络安全就没有国家安全,就没有经济社会稳定运行,就难以保障广大人民群众的利益。党的十八大以来,在习近平总书记网络强国重要思想特别是关于网络安全工作“四个坚持”的重要指示指导下,我国网络安全工作进入快车道车道,国家网络安全保障体系日益完善。网络安全防护能力显着提升,网络安全工作成效显着。在网络攻防方面,对中国而言,以色列与我国国情不同,其发展经验无法完全复制。总的来说,以色列的网络安全建设给笔者带来了三个启示:
首先,以色列国防军系统为网络安全行业提供的人力资本具有一定的参考意义。我国可以自觉培养具备相关素质的军人,在退伍后给予一定的政策支持。
第二,整合军、政、学、产,打造相应的生态系统,打破部分军民技术壁垒,让部分国防投资转化为有竞争力的市场产品。
p>
第三,避免路径依赖。新技术出现后,应衡量它们与现有战略之间的关系。尝试将新技术整合到旧框架中并不总是可能的。保守的政策可能会在一定程度上阻碍创新。
具体而言,在国家层面发展小型精锐(非军事)网络专家团队(“网络突击队”),使我国在打击高端技术打击网络攻击方面处于领先地位,并公开采取更全面、一种更具威慑力的方式应对网络攻击,形成网络威慑。
套用毛主席的话:“一拳打,百拳避。”
