美軍2019年「網路旗」模擬演訓之觀察
2019.08.02
瀏覽數
83
壹、新聞重點
美國網路司令部(USCYBERCOM)主管演訓任務的海岸防衛隊少將John Mauger於2019年7月17日的專訪中透露,今年度代號「網路旗19-1」(Cyber Flag 19-1)的網路模擬演訓,有來自美國國防部、文職政府單位以及美國盟邦國家共650多名網路資安人員混編分組,在維吉尼亞州薩福克(Suffolk, VA),進行為期一週的分組對抗。期間由「紅隊」假想敵駭客,對海港等關鍵基礎設施發動網路攻擊,「藍隊」則予以反制並試圖獵捕入侵者,藉以測試各部隊與單位因應網路攻擊的戰備狀態。[1]
貳、安全意涵
一、以整合平台演練「持續接戰」的概念
川普政府於2018年公布之《國家網路戰略》(National Cyber Strategy)揭示了美國最新的網路作戰概念::「持續接戰」(persistent engagement),即美國網路作戰單位應該在網路空間與對手保持持續對抗,甚至以先發制人的攻擊,挫敗對美國網攻的企圖。並在不斷與敵人對抗中,讓對手認知到何種網路行徑將引來美方的報復,嚇阻進一步的網路入侵,從而建立起界限,降低衝突升級的可能性。[2]
此次演訓使用由美國陸軍負責開發與管理的「持續網路訓練環境」(Persistent Cyber Training Environment,PCTE)原型系統,扮演類似飛行模擬器或陸軍的合成化模擬系統的角色,允許美國網路司令部轄下各作戰部隊,依需求進行多次擬真的網路攻防演練,累積執行「持續接戰」概念的技術與經驗。
此外,PCTE係建立於雲端的平台,能整合美軍當前分散於各處的網路作戰演訓設施,允許美軍網路戰單位從不同地點登入,實際部署後可滿足四大軍種、海岸防衛隊,和美國網路司令部等進行大規模的網路攻防聯合演訓的需求。[3]
二、具備對關鍵基礎設施的網路攻防實兵演練之初始能力
諸如水力、石油天然氣管線、鐵路和其他公共運輸及輸電系統等關鍵基礎設施的運作核心為「工業控制系統/資料採集與監控系統」(Industrial Control Systems/ Supervisory Control And Data Acquisition,ICS/SCADA)。若要對關鍵基礎設施的網路攻防進行實兵演練,就必須先能夠模擬ICS/SCADA的運作。然而,此類自動化控制的程式語言架構,與一般軟體工程所使用的高階程式語言不相容,增加了模擬的困難度。ICS/SCADA係關鍵基礎設施的核心,對其進行實測則必須阻斷系統運作中的某個流程,此可能產生連鎖效應,反而造成關鍵基礎設施運作的崩潰。
因此,現行對於關鍵基礎設施的網路攻防,多半只能以「沙盤推演」(tabletop exercise)的方式進行,而非實際對關鍵基礎設施的連線進行測試。為了解決此問題,美國網路司令部與桑迪亞國家實驗室(the Sandia National Lab)及太平洋西北國家實驗室(the Pacific Northwest National Lab)合作建立了複雜的ICS/SCADA模擬系統,為演訓團隊提供擬真的環境與假想敵進行對抗,以便模擬現實狀況中可能面臨的狀況與技術要求。2018年的演訓首度進行對ICS/SCADA的演練測試,今年更直接聚焦於對重要港口設施的網路攻防,這代表美國網路司令部已建立對關鍵基礎設施的網路攻防進行實際演練的技術與能力,並將透過逐年演訓進一步提升。
參、趨勢研判
一、未來可能發展為網路作戰的紅旗或環太平洋軍演
從2011年展開首次「網路旗」軍演,美國網路司令部便不斷進行修正,試圖找出最有效的網路作戰演訓模式。近期除了採納「政府一體途徑」(a-whole-of-government approach),從過去軍方內部的演練,擴大納入文職相關單位,如國土安全部、聯邦調查局、能源部、眾議院等單位,2019年度皆派員參與。本次演訓甚至擴大至「五眼」情報聯盟(Five Eyes)所有成員:美、英、澳大利亞、紐西蘭與加拿大。在分組上亦採取美、盟混合編組的方式,例如美國陸戰隊與英國軍方代表組成團隊,並且首次由非美方人員規劃演習內容。由此可以看出,美國網路司令部賦予「網路旗」軍演的最新任務,在於增強現實世界中美國與盟友在網路領域的協同作戰能力,作為相較於競爭對手的關鍵戰略優勢。並從中測試大規模的跨國實兵聯合演訓,是否適用於網路作戰領域。倘若可行,則年度「網路旗」軍演有潛力發展為網路作戰的「紅旗」軍演(Red Flag)或「環太平洋軍演」(RIMPAC)。
二、藍軍演練科目或將更強調主動攻擊
除了2018年《國家網路戰略》所揭示的持續接戰概念,美國《2019年國防授權法》(FY 2019 National Defense Authorization Act)更明定,當美國遭受來自中國、俄羅斯、北韓或伊朗的「積極的、系統的和持續的」安全威脅,美國網路司令部可以採取「攻勢」以扼制敵人的作為。[4]2018年期中選舉期間針對俄羅斯網路研究局(Internet Research Agency, IRA)連外網路的阻斷攻擊,以及2019年6月底網路癱瘓伊朗的導彈發射系統,代表五角大廈對網路作戰的進攻態勢。今年的「網路旗19-1」演習也呼應了此種主動態勢,藍軍不再只是進行單純的防衛,而是被要求採取更主動積極的手段,獵捕網路攻擊者。因此,未來的年度「網路旗」演習不排除會把「攻擊」作為藍軍演練的科目之一。
* 作者感謝杜貞儀博士在釐清部分概念上的協助。
[1] Shannon Vavra, “U.S. Cyber Command simulated a seaport cyberattack to test digital readiness,” Cyber Scoop, July 17, 2017, https://www.cyberscoop.com/us-cyber-command-simulated-seaport-cyberattack-test-digital-readiness/
[2] Benjamin Jensen, “What a U.S. Operation in Russia Shows About the Limits of Coercion in Cyber Space,” War On The Rocks, June 20, 2019, https://warontherocks.com/2019/06/what-a-u-s-operation-in-russia-shows-about-the-limits-of-coercion-in-cyber-space/
[3] Mark Pomerleau, “What happened at the military’s biggest cyber training exercise to date,” Fifth Domain, July 24, 2019, https://www.fifthdomain.com/dod/2019/07/24/what-happened-at-the-militarys-biggest-cyber-training-exercise-to-date/; Joseph Marks, “CYBERCOM Seeks an Integrator for its Cyber Training Environment,” NextGov, October 18, 2018, https://tinyurl.com/y2x9byu4
[4] “National Defense Authorization Act for Fiscal Year 2019,” US Congress, August 13, 2018, https://www.congress.gov/115/bills/hr5515/BILLS-115hr5515enr.pdf