透视外军网络战隐秘性的变与不变
隐秘性是网络战的基本特征之一,与其他作战形式相比,网络战很难被发现,一旦被发现则意味着失败,攻守迅速转换。
近年来外军实践表明,随着网络态势感知、攻击溯源等技术的迅速发展,网络战保持隐秘性的难度在不断增大。
武器秘密开发没有变。由于网络武器的敏感性,很多国家和机构不愿公开承认,这种隐秘属性增加了探测、了解其武器开发的难度。由于信息技术的多用途性,国外从事网络武器研发的群体众多,同时此类研发与民事科研活动难以区分,仅根据对手公开研究活动来研判武器发展情况非常困难。网络武器开发、实验甚至作战,同传统作战样式不同,不需要具有明显特征和易于检测的大型设施、设备,如飞机、舰艇、导弹发射架等,一般侦察技术手段如间谍卫星等对其基本无效,导致收集敌手网络战能力和意图的情报比较困难。目前,针对网络武器开发、使用,国际上还没有详细具体的规则限制,因此秘密进行网络武器开发鲜有束缚。从近年来国际上一些网络战案例看,网络武器、攻击工具使用隐秘且难被探测。出于威慑目的,有些国家故意透露一些本国的网络战相关科研进展情况,但是绝不会暴露实际能力,更不会泄露高精尖网络武器装备,虚虚实实影响对手研判。
行动难以察觉没有变。从外军实践看,网络攻击者会利用各种技术手段渗透敌方网络,预置后门、木马长期潜伏,执行各种任务。他们通过窃取、购买、交换用户敏感信息如账号、密码等,以合法身份登录网络,进行各类合法操作,不易被发现,同时,数据也通过合法渠道传出,可以大概率规避数据防泄露检测,还避免了与防御者正面交锋。高级攻击者实施攻击,常常不按套路,采取任意手段组合,安排不同流程,跳过、添加或重复步骤,设计、使用非常复杂的攻击工具,绕过安全团队耗费多年精心打造的防御体系,长期隐蔽于网络内。为了规避或迷惑网络防御者,攻击者通常会使用技术手段清除痕迹,隐藏行踪。而一些跨国家组织参与其中,使得网络攻击行动更加隐秘、复杂。据资料介绍,2020年底的“日爆攻击”,持续隐蔽几个月之久,感染了全球18000多家顾客的“太阳风”软件。仅至今年1月初,超过250个机构和组织受到了该攻击的影响。
匿名攻击者暴露概率变大。网络空间是虚拟世界,其一大特性就是容易隐匿身份,早期为了方便网络联通和信息传输,网络设计忽略了安全性,网络协议地址与用户身份关联度并不大。网络战中,攻击者又通过使用暗网、虚拟专用网、僵尸网络等手段隐藏攻击源、隐匿身份,还会故意留下一些错误标识迷惑对方。但是,近年来一些国家不断加强网络监管,大力推进互联网新版协议,为解决身份溯源问题提供了一定技术支撑。从被攻击者角度来看,发现隐秘攻击并对其溯源并非易事,但一些网络强国可以通过政府内部相关机构、军队、企业界、学术界协作,动用各种技术力量与资源,借助多种情报渠道印证,很大程度上提高了确定攻击者的概率。此外,敌对状态客观上也降低了确定攻击者的难度。2020年以来,美国、以色列与伊朗网络对抗逐渐表面化,国家级网络互攻成为常态,网络攻防越来越普遍,各方对“不被溯源”的重视度有所降低。
保持隐秘性难度变大。随着外军网络攻防频繁互动、激烈博弈,各方在增强攻击能力的同时,都在竭力开发新技术提升安全态势感知等防御能力,尤其近几年人工智能、大数据等新一代信息技术加速发展应用,隐秘攻击难度不断增加。这一过程中,强国凭借着技术实力基础优势和增量优势保持甚至在拉大差距,弱对强的隐秘性攻击将更难实现。出乎众多专家意料,2020年以来伊朗并未因苏莱曼尼被刺杀而对美国展开高强度网络报复,隐秘性攻击难以展开也是重要原因。即使强者间较量,隐秘攻击难度也在增加,稍有不慎就可能被发现。比如,之前述及的“日爆攻击”,正是在高级攻击者窃取网络安全公司的相关工具时被发现,从而牵出了“惊天大案”。此外,一些大规模网络行动,常常是非常庞大的“工程”,需要攻击方内部密切配合,容不得半点差池,即使如此,也很难完全掩盖所有痕迹,总有蛛丝马迹可循。