俄乌冲突:认知疑云中的多战合一网络攻防

引言

随着俄乌军事对立的持续进行,与军事战线关联紧密的网络战线成为另外一个关注焦点。但与军事战线的公开、直观等不同,网络战线似乎总有一层神秘“面纱”,以其隐蔽性和非中心化等特点,带来对社会认知体系的强烈冲击。纷扰的信息也影响着各界对涉网议题的判断,如:网络攻防与武装冲突是否强相关?冲突中的网络攻防有哪些特点?持续多发的网络攻防会带产生哪些影响、走势如何?等等。对此,我们基于团队的观测,做简析研究。

一、俄乌网络攻防表征特点

整体来看,双方网络对抗主要围绕三个目标展开:一是夺取重要系统预控制权;二是获取必要信息;三是控制舆论争夺认知阵地。而对于认知阵地的争夺,则对于军事热战产生了更加直接的影响。

1.1 战前:网络攻击先行

早在俄乌军事冲突爆发之前的一段时间以来,乌克兰方面就已遭受到多轮网络攻击。无论是从受攻击的对象来看、还是从攻击效果来看,均无法排除其为军事热战做准备的可能性。典型的网络攻击事件包括:乌克兰政府部门网站遭遇网络攻击致使部分内容被篡改;乌克兰政府机构和银行的网站遭遇大规模DDoS攻击;乌克兰国家机构遭受APT组织的鱼叉式钓鱼攻击等。

1.2 战时:攻防态势转换

在俄乌军事冲突正式爆发之后,从双方网络攻防的发展来看,针对俄罗斯的网络攻击数量增长迅速,乌克兰方面在网络领域的“进攻”特征显著。军事热战的爆发,为乌克兰赢得了部分国际黑客组织的声援,且乌政府方面在战事中的劣势,也在一定程度上促进了其在网络领域的反击。乌克兰方面不仅网络攻击队伍得到壮大,且攻击行动对俄网络、重要信息等领域也造成一定影响。代表事件包括:乌克兰国防部征集“IT志愿军”,以帮助乌克兰军方针对俄罗斯军队开展网络攻击行动;国际黑客组织“匿名者”宣布对俄罗斯发起“网络战”,并导致俄罗斯多个政府机构和媒体网站关闭;在乌克兰进行军事行动的12万名俄罗斯军人的个人信息遭到泄露,具体包括姓名、登记号、服役地点。

1.3 对舆论认知的争夺贯穿全程

此次网络对抗的最显著特点是注重对舆论认知主导权的争夺。通常而言,获取信息、争夺重要系统控制权是网络对抗的一般目的;但如果网络对抗发生在军事冲突的背景下,则如何影响舆论导向、干扰各有关方面的判断等,则会成为网络对抗的重要战术考量。在目前为止的俄乌网络对抗中,这一点体现的淋漓尽致。乌克兰方面多措并举,如:乌安全机构拆除了两个疑似与俄罗斯特工部门有关的僵尸网络,并控制了18000个社交网络账户;还借助Facebook限制整个欧盟对俄罗斯在乌克兰的官方媒体账户(RT和Sputnik)的访问等;而俄罗斯方面同样势在必得,如:俄媒体监管机构宣布封禁脸书、推特及一众西方媒体;且普京签署俄联邦刑法修正案,将严惩发布涉俄军假消息的媒体,导致包括CNN、BBC、彭博社在内的西方媒体随即宣布停止在俄业务等。

二、俄乌网络攻防要素分析

截至目前,冲突双方在网络领域互有攻守,且随着战局和舆论变化呈现不同的强弱态势转换。从网络对抗的四个要素,即攻击主体、攻击对象、攻击方式和攻击动机来看,双方具有某些共性、同时也呈现各自特点。

2.1 攻击主体多为民间黑客组织

一是发动网络攻击的主体多为黑客组织,从目前双方情况看尚无直接证据表明是政府主导。二是从黑客组织介入时间和影响程度来看,乌方阵营起步较晚,其主导的网络攻击主要发生在军事冲突发生后,但其阵容和影响方面后来居上。

2.2 攻击对象集中在关键设施领域

一是双方网络攻击的目标对象大多为政府部门、金融机构、新闻媒体等领域的网站和信息系统等关键信息基础设施。二是随着战事的推进,攻击目标对象范围有扩大的趋势,如近期针对俄罗斯的网络攻击就已波及铁路运输系统、能源控制系统等非军政领域的信息系统。三是双方攻击目标侧重点有所差别,乌方网络攻击的目标范围更广泛,部分俄罗斯的民用设施系统也成为其网络攻击目标,而俄方相对收敛一些。

2.3 攻击手段以常规手段为主

一是当前双方开展的网络攻击基本以借助常规网络攻击工具为主要手段,如勒索程序、钓鱼程序、恶意软件、僵尸网络等。从媒体报道和我们监测的情况来看,类似“永恒之蓝”等带有明显国家资源特征的专用网络武器在此次双方网络对抗中鲜见身影。二是攻击方式与攻击目的关联程度较高,一般在获取信息数据时主要采用APT方式,而在致瘫网络和系统时多采用反射型DDoS攻击等方式。三是还出现了专门提供目标情报、工具手段、攻击基础设施的网络攻击“中介”或“平台”,极大促进了网络对抗行动主体的多样化,对于网络攻击效果范围等都起到了推波助澜的作用。

2.4 攻击动机呈现多重目标

一是从动机的时间线来看,发生在军事冲突之前的网络攻击主要以收集情报信息和关键信息系统重要数据为主,而以直接破坏信息系统和网络设施为目的的则较少;但军事热战爆发后的网络攻击则主要是以破坏和摧毁系统、打击对方官方设施和有生力量为目标。二是从动机的属性来看,军事冲突爆发前的网络攻击不仅有为军事做准备的目的、也有通过窃取售卖信息数据获利的目的,且多以获取利益属性为主;而军事冲突爆发后的网络攻击则更多不是为了获取经济利益,而兼具心理攻击、网络致瘫、浑水诈骗等多种动机,尤其是随着参与网络攻击主体的日益复杂化,这一特点更加明显。

三、俄乌网络攻防趋势分析

从对当前各方面情况的综合分析来看,未来一个阶段俄乌两阵营之间的网络攻防或将呈现和延续以下三个趋势。

3.1 形式上的“多战合一”

本次俄乌冲突总体呈现出军事战为主,网络战、信息战和认知战等多战融合的特点,而网络战贯穿全程、对其他对抗形式发挥重要支撑,这一特点仍会持续。两阵营间的网络攻防虽主要以互联网信息系统为主要标的,但从其达成的效果来看,已经大大超出了互联网领域,并已实现了多种战略战术效果的结合。主要包括:一是认知战,即通过网络攻击实现控制和影响舆论导向的效果;二是信息战,即通过网络攻击达到获取对方重要系统数据和信息的目的;三是网络战,即通过网络攻击直接控制或摧毁对方重要信息系统和网络的目的;四是军事战,即通过网络攻击实现对常规武装战争的支撑和保障,干扰军事通信、摧毁军事设施系统等。

3.2 属性上的“军网融合”

网络攻防“亦军亦民”,将与物理世界的军事攻防加速融合。网络攻防具有“平战一体”、“军民结合”等显著特征,从网络攻防的要素看,都突出体现了“军网融合”的特点。一是攻击主体身份的一体化,即发动网络攻击的可以是任何组织、个人,而非特定军事人员。二是攻击目标边界模糊化,军事设施网络、民用信息基础设施都可以成为攻击目标。三是攻击工具的同一化,网络攻击的工具和手段不再有军用和非军事的区别。四是攻击时段分散化,网络攻击可以在任何时间点发起,而不必集中在军事进攻的特定阶段。五是攻击杀伤力均等化,即网络攻击可以起到与武装打击同等的打击效果、可直接摧毁敌方有生力量。

3.3 影响上的“持续扩散”

持续的俄乌军事冲突必然会成为使网络威胁扩散的催化剂。一方面,网络冲突波及的范围将进一步扩大。如围绕针对军事行动而起的制裁与反制、结盟与阵营立场选择等,都可能成为发起网络攻击的动因,进而向俄乌提供支持的相关方面、与俄乌有经济活动关联的企业、组织等等或均会成为潜在网络攻击对象。二是从网络威胁的类型或将进一步增加,尽管当前的网络威胁手段以常规为主,但若军事冲突局势得不到有效管控,则在网络对抗领域也不可避免出现烈度提升、突破常规网络攻击工具现状的可能性,而会出现危害性更大的网络攻击行为和破坏性网络攻击方式等。

四、俄乌网络对抗的启示与思考

对于俄乌之间与军事冲突紧密融合的网络对抗,我们需要保持清醒认识并宜“未雨绸缪”,在加强认知研判的基础上,进一步强化网络安全重点保障,以期全面应对。

4.1 健全网络安全认知和研判机制

通过网络战抢夺舆论认知主导权,是此次俄乌网络攻防的主阵地之一,双方各有斩获,并对各自争取战事主动权形成了强有力的支撑。而从影响来看,认知战不仅会干扰迷惑对方,更能左右第三方对整个战局的判断及响应。对此我们应见叶知秋,研究有效应对之策,尤其需重点关注三个方面:一是完善技术监测发现机制,构建以蜜罐、诱捕等技术为支撑的信息获取技术体系,加强对相关“一手”信息的自主获取和研判能力;二是加强互联网平台的保护,健全管理法规和安全手段、并积极探索战略替代方案,打造可持续的网络发声渠道;三是加强对关键信息情报和资产清单等的动态储备,逐步完善有效反制机制。

4.2 强化网络安全保障体系

4.2.1 固化网络防御意识

网络攻防“亦军亦民”的特点,要求我们必须树立和固化高度自觉的网络防御意识和行动体系。包括:“战前”树牢监测意识,密切关注APT等热点动向,并强化取证、反击手段储备;“战中”树牢关键基础设施和重要数据优先保护意识,并注重抗毁抗打击手段储备;“战后”树牢网络防护复盘意识,并注重构建网络安全基础支撑和应急手段储备。

4.2.2 强化网络感知能力

一方面,建立健全对区域性、国际性网络攻防态势的监测能力,保持对整体态势的清晰掌握,并加强对采集到的关键数据的复盘能力,如构建沙盘模拟对抗等,学习先进攻击机制和方法。另一方面,建立健全对先进网络技术的监测能力。了解重点国家的网络攻防技术动态,并开展持续的网络威胁狩猎行动,构筑主动防御机制。

4.2.3 筑牢网络防护能力

一是大力发展网络对抗能力。在遭受网络攻击时快速形成溯源和反制。这无论对于网络自身还是物理世界的运行都具有重要的战略战术意义。乌克兰在网络对抗能力上的不对等,也是其在军事对抗中快速陷落的重要原因之一;而反观俄罗斯在受到国际黑客组织“匿名者”攻击后,则仍未中断对外的信息披露,对于抢占战局的先机和优势发挥着重要作用。

二是加强重点领域保护。高度互联网化带来便利的同时,也极大增大了网络和系统的潜在受攻击面,每一个设备都可能成为网络入侵的接口。因此,迫切需要进一步加强各类关键信息基础设施网络安全保护,持续加强IoT等新兴网络设备的安全检测和安全合规性检查。

4.2.4 健全网络基础能力

一是健全网络安全法律法规体系,优化监管机制,探索加强相关法律法规效力与国际法、国际协议的衔接。

二是健全面向安全企业和主管部门的威胁情报双向共享机制。国际上如俄罗斯、美国等国家,安全公司与重要部门间多形成了深度协同,能够持续捕获敌对势力的攻击活动,并内部共享,对外交等场合也能提供有力支撑。

三是健全网络恢复和备份能力,在遭受到大规模的网络攻击后,应具有快速恢复网络和系统的能力与配套机制,确保及时止损并控制破坏性影响。

4.3 提高网信产业生态韧性

一是加强关键核心技术产品研发。对于专有类技术产品,强化战略储备与自主研发并举;对于开源类技术,强化战略联合和利益协同机制。

二是强化非对称和杀手锏技术产品的研发和部署,注重以技术和应用的先进性突出反制能力。

三是逐步提升在产业生态中的话语权,分阶段实现由依托相关生态平台向依托创新实力的转变,逐步提高产业生态中的先导影响。

四是加强替代战略研究和储备,以防在战时和非常时期,不排除采取“断网”等极端举措的可能性,确保重要网络和系统的正常运行。

总之,俄乌冲突中的网络攻防与军事热战既密切关联、又各具独立性,已无法单纯依靠常规认知标准加以评判。对此我们需动见观瞻、保持高度关注,更需未雨绸缪、谋划周全应对之策。

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author