美国网络国家任务部队指挥官揭秘“前出狩猎”行动
2023-6-21 17:31:38 Author: 奇安网情局(查看原文) 阅读量:27 收藏

Q

编者按

美国网络国家任务部队指挥官威廉·哈特曼近日接受媒体采访,谈论美国网络部队在乌克兰等国开展的“前出狩猎”行动。

关于“前出狩猎”行动的意义:美军网络团队通过在东道主国家开展防御性网络行动,可以观察对手活动情况,帮助伙伴国加强网络防御,收集恶意软件和其他失陷指标,并与美国政府合作伙伴和美国私营企业分享相关信息,有利于预防针对美国本土网络的攻击,符合美国的国家安全利益;美国不会对外宣传正在开展的“前出狩猎”行动,只会在东道国同意的情况下在事后对外公布情况。

关于美国网络国家任务部队和“前出狩猎”团队的日常工作:该部队由39支网络团队、约2000名军事和文职人员组成,分为6支联合特遣部队,包括4支专注于国家对手的特遣部队、1支专注于新兴威胁的特遣部队和1支专注于网络访问、武器和战术的特遣部队;“前出狩猎”团队人员日常开展的工作包括了解网络情况、识别包括恶意IP和恶意软件在内的异常情况、将数据或恶意软件样本发回到美国开展深入取证分析、发现漏洞和违规情况、与合作伙伴共享信息、提出补救措施建议等。

关于在乌克兰的“前出狩猎”行动:美国网络团队发现,俄罗斯在乌克兰开展了更具侵略性的攻击活动,例如大规模开展恶意擦除软件攻击;美国网络团队在到达乌克兰后立即调整了原先准备不充分的计划,争取了更多网络部队人员加入团队,同时延长了留驻时间;在美国网络团队开展防御性工作后,相关乌克兰网络得以免遭任何恶意擦除软件攻击;美国与乌克兰已经共享了6000多项失陷指标。

关于“前出狩猎”行动的发展:美国网络部队已开展大量“前出狩猎”行动,积累了丰富的经验,并形成了一套成型方案;美国网络部队改进了对团队负责人的培训,提高了经验水平,大大缩短了威胁狩猎的时间,并取得了有意义的任务成果。

关于俄乌网络冲突的经验教训:在战争期间执行动能和网络同步计划非常困难,美国不仅需要继续发展网络能力,还需确保网络作战能力与其他计划完全结合;确保网络在高威胁环境中正常运行的工作非常重要,例如将数据从本地转移到异地;如果正确实施网络防御措施,可以建立能够应对大量网络攻击威胁的弹性网络。

奇安网情局编译有关情况,供读者参考。

美国网络国家任务部队(CNMF)司令威廉·哈特曼近日接受媒体采访,讨论了在乌克兰开展的“前出狩猎”行动,以及美国在全球部署网络特工的活动。采访内容如下:

记者:美国网络国家任务部队(CNMF)“前出狩猎”团队在2020年大选前就在爱沙尼亚,他们在战前部署到乌克兰。为什么以这种方式部署网络特工符合美国的利益?

威廉·哈特曼:这符合我们的利益,因为我们发现,威胁我们的民族国家通常也会威胁他们的邻国。......他们有时会比我们在美国看到的更激进一些。因此,我们根据伙伴国家的邀请派遣团队到那些国家。我们被允许执行防御性狩猎行动,我们能够观察在这些外国活动的对手。我们能够帮助我们的合作伙伴修复他们的网络,同时确保我们收集恶意软件和其他失陷指标。我们在合作伙伴的许可下将该信息带回美国,并立即与其他美国政府合作伙伴以及美国私营企业共享。

因此,如果我们想从防御的角度讨论扩大规模,获取对外国恶意软件的访问权限,获取失陷指标,与一家在他们网上网络上可能有数百万个带有传感器的端点的美国私营网络安全公司共享该信息,这确实有利于捍卫我们在美国的关注事项。

记者:换句话说,如果你在那边抓住它,这是在它有机会过来这里之前。

威廉·哈特曼:当然。绝对地。

记者:你认为人们对“前出狩猎”行动不真正了解的是什么?

威廉·哈特曼:建立信任的最佳时机是在俄罗斯军事行动之前。乌克兰对我们来说是一项非常重要的任务——这是我们在那里的第四次任务。每个任务都变得更好了一点,但我真的相信那些以前的任务让我们能够快速行动并取得成功。

仅从权限的角度来看,我们拥有这种独特的“前出狩猎”权限,这使我们能够部署这些团队来执行防御性狩猎行动。我们相当频繁地执行此类行动,我们确实认为这使我们处于一个非常有利的位置,可以建立弹性并支持我们在世界各地的合作伙伴和盟友。

记者:所以公布的数字是39支网络团队,2000名军事和文职人员。这些数字是否准确?

威廉·哈特曼:这些数字是准确的。我们所做的是将我们的团队组织成联合人员特遣部队。因此,我们有6支特遣部队,真正专注于对抗主要的民族国家对手:伊朗、中国、俄罗斯、朝鲜。我们有1支真正关注新兴威胁的特遣部队,主要是对国家安全构成威胁的勒索软件。然后我们有1支真正专注于网络访问、武器和战术的特遣部队。

记者:你能为我介绍一个已部署的狩猎团队典型一天情况吗?

威廉·哈特曼:你知道,你真正要做的第一件事就是真正了解网络,获得基础,对吧?然后你要识别异常活动——异常活动可能是恶意的,可能是一些错误的配置,也可能是糟糕的用户卫生。

一群聪明的人员围坐在白板前,他们会说,“嘿,今天的头等大事是这个。”该团队进行了调查,并在一天结束时,他们将决定是否存在潜在的恶意IP,或者他们发现的恶意软件是良性是恶性。这是第一要求。我们发现了一个我们认为不应该出现在此处的软件。是良性是恶性?如果它是恶性的,我们如何找到更多?

操作通常就是这样。如果需要更深入的取证分析,我们将与任务伙伴合作。我们有能力将数据发回美国,或将恶意软件发回这里,并进行更深入的分析以提供更准确的信息。

但通常这就是团队运作的方式。他们会展开调查,他们会尝试结束调查,然后我们经常会在网络上发现仅仅是漏洞——并非因为有对手的活动。我们将与任务合作伙伴共享该信息。我们希望任务合作伙伴能够在团队还在的时候调解网络上的任何漏洞。

记者:所以基本上是一个补丁。

威廉·哈特曼:它可能是一个补丁。它可能是一个不应该打开的端口。它可能是一个从未更改过的管理员密码。可能是他们网络上的用户以不被允许的方式开展操作。我的意思是,有很多事情可能是错误的。再说一次,这不是对外国合作伙伴的批评,美国网络上肯定也发生过这种情况。

记者:那么大多数早晨会从一块白板开始吗?你的首要任务可能是,我们就说军事通信,然后操作人员会蜂拥而至吗?

威廉·哈特曼:所以通常我们会有不同的团队。如果可能的话,我们喜欢在美国组成机构和任务伙伴组成机构中组织一个团队的方式,该团队将调查一个案例。然后我们有主机分析师,我们有网络分析师,我们有恶意软件分析师,因此整个部队有不同的工作角色。

记者:向我解释一下情报是如何融入的。

威廉·哈特曼:情报融入我们的方式首先是我们坐在这里,在国家安全局(NSA)的园区里,我们与NSA的网络安全部门真正、非常密切地合作。我们可以访问网络安全主管所拥有的有关针对美国或盟友和合作伙伴的对手的信息。所以最终我们想要执行一项情报驱动的任务。因为我们有情报告诉我们,威胁我们的对手也在威胁这些合作伙伴之一。

但我们也与网络安全协作中心坐在一起,这是与数百个行业合作伙伴真正合作的NSA单位,以便交换信息。我们有一个名为“采纳建议”(Under Advisement)的组织。再者,美国私营企业在网络行业方面非常强大。因此,行业方面的信息也可以帮助我们,我们将这种情报交给任务合作伙伴。它确实帮助我们从对手的起点开始了解要寻找什么。

记者:所以,我们已经看到了这种行为,我们已经看到了这些恶意软件。我知道这是基本的,但你说的是那种东西吗?

威廉·哈特曼:当然。如果我们从互联网上发现针对美国盟友或合作伙伴的特定基础设施,当我们派遣一个团队到海外时,我的意思是,他们会寻找那些IP地址。如果他们发现尝试的导进连接,这就像是一个直接的触发器,嘿,他们可能会担心这一点。会有已经识别出的恶意软件。

如果它是像乌克兰这样的任务,并且以俄罗斯为重点,那么将会有一组签名将加载到团队的已知恶意软件套件中,我们预计对手将使用这些软件。你首先要寻找的是已知活动。这就是团队能够带来的。

其中一部分是因为与美国家安全局的合作。部分原因是与私营企业的合作。其中一部分是因为我们在世界各地都这样做,我们发现了恶意软件,我们确保我们不进行发现式学习。每次我们都在我们以前做过的事情的基础上做得更好。

记者:你们在乌克兰等地看到的技术与在美国看到的技术有何不同?乌克兰情况更加越界吗?俄罗斯人正在尝试更大规模、更大胆的事情吗?

威廉·哈特曼:总的来说,我们在乌克兰发现的情况是,在这种情况下,像俄罗斯这样的对手通常会比在美国时更具侵略性。因此,在2022年1月中旬,我们开始发现一系列破坏性的数据擦除软件攻击。这些攻击不会被忽视,最终会被溯源。当然,我们从未发现俄罗斯人在美国或我们的西方伙伴之一以这种方式开展操作。

记者:换句话说,他们试图隐藏自己的踪迹,而不是如此明目张胆。这是正确的理解方式吗?

威廉·哈特曼:我认为这是一个公平的评估。

记者:说到恶意擦除软件,这就是我们从乌克兰听说的,它有什么不同?

威廉·哈特曼:所以我认为它的不同之处在于它被使用的规模。因此,在2022年1月中旬,我们实际上看到了数十次擦除软件攻击。我们看到有人试图混淆它实际上是一个民族国家执行擦除软件攻击,方法是使其看起来像勒索软件攻击,无法支付任何类型的赎金或或不让数据加密。所以对我来说,这只是一次相当明目张胆的攻击,在这种情况下很容易归因于俄罗斯人。

记者:我们之前是否发现恶意擦除软件,只是数量不同,或者它有什么新东西吗?

威廉·哈特曼:所以我无法真正评论各种类别的恶意擦除软件。但这对于在乌克兰的行动来说似乎有些独特。但可以肯定的是,这种类型的恶意软件并不是什么新的或革命性的东西。

记者:你如何让对手脱离网络?伙伴会这样做吗?你帮助他们这样做吗?

威廉·哈特曼:我们带来了非密设备。当我们执行防御性狩猎行动时,我们会根据与该合作伙伴的协议将该设备安装在该合作伙伴的网络上。当我们在网络上发现恶意软件或某种类型的错误配置时,我们会指示合作伙伴,合作伙伴将在他们自己的网络上采取补救措施。

记者:所以你们会说,好吧,我们找到了X。我们已经隔离了X。我们建议你做Y,也许可以让它消失。或者也许他们有自己的系统来做到这一点?

威廉·哈特曼:一般来说,我们会向组织提出网络更改建议,以使其更加安全。这通常是基于我们的经验。它基于最佳业务实践。它基于行业标准。因此,归根结底,我们通常不会就什么是修复网络的最佳方法进行长时间的辩论。如果可能的话,我们最终要做的是向任务合作伙伴提供建议,告诉他们如何补救对手对他们网络的访问,使对手无法轻易重归。

记者:不同之处还在于,由于去年那些俄罗斯士兵聚集在边境,似乎出现了一种通常不会出现的时间压力。从指挥的角度来看,这是如何改变节奏的?

威廉·哈特曼:发生了根本性改变。我们在2021年12月初部署了一支团队来执行这些防御性狩猎行动中的一个真正非常标准的程序。我们部署了一支团队,由1名服役约12年的年轻军官领导。该团队开展部署,他们与任务合作伙伴联系,他们交换信息,获得网络图的副本,获得对某些数据的一些访问权限。然后一般来说,我们回到美国并制定深思熟虑的计划。我们会配置我们要使用的设备,然后我们会部署团队开展更慎重的防御性狩猎行动。

在这种情况下,该团队于2021年12月初部署。俄罗斯人在与乌克兰的边界集结了130000名士兵。当该团队到达那里时,团队负责人立即评估原计划可能不充分。因此,团队负责人没有执行正常计划,而是立即打电话要求部署团队的其他成员。我们立即开展了狩猎行动。

记者:这是否改变了团队的运作方式?

威廉·哈特曼:当然,这改变了动态。然后在任务的早期,我们发现了一系列破坏性的俄罗斯恶意擦除软件袭击,这从根本上改变了任务。现在,除了我们正在搜寻的网络外,我们还开始了第四项工作,以帮助任务合作伙伴分析恶意软件,并确保根据乌克兰人的批准,我们可以将恶意软件带回美国并与美国政府和私营部门合作伙伴广泛分享。

如果你还记得的话,当时的新闻中有很多报道称我们预计俄罗斯可能会对美国发动袭击。所以乌克兰方面有一种紧迫感,美国方面也有一种紧迫感。更复杂的是,该团队一直待到2月底。而且,如果我们还记得情报评估的话,人们普遍认为,一旦俄罗斯人发动军事行动,他们将在几天内到达基辅。我们以前从未执行过这样的“前出狩猎”行动。

记者:你有没有接到过电话,他们说“请先不要走”或者“请不要走”?

威廉·哈特曼:我从来没有接到乌克兰人的电话说“请不要走”。我想我可能接到了我团队的几个电话,说“请不要让我们走”。再一次,我们在这里不谈论任务的人性化方面,对吧?这支团队于2021年12月初部署。他们的亲人希望他们在10天后回家。亲人没想到他们会度过圣诞节和新年。所以团队留在那里。这支团队专注于任务,我们的联合特遣部队在那里与家人交谈,并尽可能解释发生了什么。但现实是,随着时间的临近,团队的愿望是继续留在那里并与乌克兰合作伙伴一起工作。这是一个相当情绪化的命令,“嘿,是时候让每个人都离开这个国家了”。我不能代表乌克兰人。但对于这支美国团队来说,他们至今仍感觉与乌克兰合作伙伴有联系,我希望他们会继续这样做。

记者:真正让我印象深刻的一件事是有多少年轻人打头阵。你们基本上有一个从婴儿床开始就具有数字素养的队列。这在组建网络力量方面发挥什么作用?

威廉·哈特曼:我认为他们具有数字素养这一事实很重要,但这里最重要的是领导力。我记得几年前作为一名旅长时有人问我,“嘿,你在网络部门寻求的第一件事是什么?”而且它仍然是领导力。当我们谈论在乌克兰执行任务的早期阶段发生的事情时,团队负责人应该得到所有的赞扬。你知道,我们派了一个团队领导去那里制定了一个计划。负责该任务的美国海军陆战队少校认为我们的计划确实不适合她在那里看到的环境和需求。他们做出了一系列正确的决定,但最终整个体系都支持领导者并支持他们。因此,我们拥有这些受过良好技术训练的年轻人,他们是伟大的领导者,我们将他们安置在这样的职位上,老实说,他们的专业知识是像我这样的领导者必须依赖的。这些狩猎任务只是他们所做工作的一个很好的例子。

记者:你认为防御性网络行动正处于拐点吗?你知道,攻击性网络行动一直是网络的性感部分。防御性网络狩猎团队是否正在改变防御只是“打地鼠”的观念?

威廉·哈特曼:所以我当然认为,如果你采访了大量的网络陆军人员、海军人员、空军人员、海军陆战队人员,并且你问他们做过的最有影响力的任务是什么,你越来越多地会得到的回答是,与美国声称对我们的国家安全至关重要的世界某个地区的任务伙伴开展“前出狩猎”。所以我认为这非常重要。

记者:你认为这是为什么?

威廉·哈特曼:嗯,我们都加入军方来做我们认为可以与保护美国密切相关的事情。我非常幸运地在许多地点参观过六七次“前出狩猎”任务。你走进一个房间,那个房间里有一半是来自网络国家任务部队的年轻美国人,而另一半的人通常来自任务合作伙伴中的类似军种。他们有能力共同努力对试图威胁他们的网络和我们的网络(这是一个非常强大的环境)的对手采取防御行动。我们的军人和参与的文职人员通常会从能够做到这一点中获得很多个人满足感。

记者:现在的“前出狩猎”行动与两年前有何不同?

威廉·哈特曼:我认为现在的不同之处在于我们已经做这些次数足够多了,所以我们有了一套方案。最棒的事情之一是我在出门前得到了一份任务简报并批准了所有这些事情。你知道,我会得到一张图表,上面会显示执行任务的单位成员。我总是问,嘿,以前有多少人执行过其中一项任务?通常约为50/50。所以我们正在利用以前的任务,但我们改进了为团队领导提供的培训。我们提高了经验水平。以前,如果我们进行为期60天的“前出狩猎”行动,我们可能会在大约第50天搞明白。现在,通常在行动的前几周内,我认为我们正在开展有意义的对话并正在为团队带来有意义的任务成果。

记者:那么你阻止过一次攻击吗?

威廉·哈特曼:我们知道我们阻止了很多事情,但我无法具体与你分享。

记者:大概情况呢?

威廉·哈特曼:我想一般来说我们之前已经谈过,在SolarWinds攻击期间,基于我们与国土安全部的良好合作关系,我们能够从美国政府机构获得SolarWinds服务器失陷副本。我们能够在我们持续培训环境中复制它。然后我们就能够训练和排练如何找到特定的恶意软件,因为我们是军队,而且我们做得很好。

然后我们收到了派遣一支团队到欧洲寻找可疑的俄罗斯对外情报局(SVR)入侵的请求。我们确切地知道要寻找什么。我们能够审查有问题的网络,我们能够:第一,找到俄罗斯的恶意活动。第二,我们能够就如何将对手从网络中驱逐出去向任务伙伴提供建议。第三,我们能够看到对手试图重新解释该网络但未成功。我们能够在对手不知道我们在那里的情况下做到这一点。

记者:你认为你们阻止了来自乌克兰的任何例子吗?

威廉·哈特曼:我们最初在乌克兰检测到了三个不同的网络。虽然我并没有因为那些没有受到攻击的网络而声称功劳,但我们所在的网络当然没有受到我们在2022年1月发现的任何恶意擦除软件攻击。

在团队离开乌克兰之前,我们能够获取乌克兰的大量恶意软件,这实际上是基于与乌克兰的合作关系。那就是我还没有谈到的那部分,这真的很重要,没有什么比身临其境更好的了。

所以团队实地位于乌克兰。乌克兰开始出现一系列破坏性攻击,我们开辟了第四项工作,但随后我们立即开始共享信息。即使团队离开了,我们仍然继续这样做。因此,在我们和乌克兰合作伙伴间,我认为我们已经分享了6000多项失陷指标。这就是我们能够从行业合作伙伴关系中看到的东西。这是他们能够从实地活动中看到的东西。而且这种关系一直持续到今天。

记者:所以很多人都说乌克兰是第一场混合战争。真正以一种我们以前从未真正见过的方式将动能和网络结合起来。你认为它就未来战争教会了我们什么?

威廉·哈特曼:所以我认为它强化了我们已经知道的东西。这真的很难。

我认为俄罗斯人的意图是执行一系列破坏性网络攻击以致瘫ViaSat,执行相当快的行动并夺取包括基辅在内的大片乌克兰领土。执行这样的同步计划确实比有意去做要难得多。所以对我们来说,我们不仅要继续发展网络能力,还要确保我们正在做的事情与我们所有其他计划完全结合。

对于我们来说,当然,我们每天都与联合部队总部-网络(JFHQ-C)密切合作,支持作战司令部,以确保我们要做的任何事情都是完全同步的。

记者:我认为在网络领域一直存在这样一种看法,即俄罗斯是“一只800磅重的大猩猩”。我们还这么想吗?

威廉·哈特曼:所以我认为在乌克兰。......看,防守者值得称道。因此,应该归功于乌克兰。

2014年并没有那么顺利。我们从2018年开始向那里派遣团队,乌克兰做出了很多决定。他们投入了资源,最终,2021年和2022年的乌克兰比我们之前看到的更有弹性。

所以我会告诉你,如果你回头看看微软的报告,看看历史,俄罗斯在乌克兰发动的网络攻击将比世界历史上任何一个国家在比较时期发动的攻击都多。但事实证明,乌克兰人非常有韧性。他们得到了很多支持。他们得到了我们的一些支持。他们得到了北约伙伴的一些支持。有些美国公司做得非常出色。将数据从本地转移到异地非常非常重要。

但这里的教训是,我们为确保我们的网络准备好在这种高威胁环境中运行所做的工作非常重要。但是防守者确实值得称道。如果防御者做正确的事情,即使面对数百次俄罗斯网络攻击,我们也可以建立有弹性的网络。

记者:现在“前出狩猎”行动在哪里开展?

威廉·哈特曼:我们不做的一件事就是谈论正在开展的狩猎行动。因此,在任何时候我们都可能有6到10支团队被部署和执行操作。但在任务完成前,我们通常不会告知这些团队在哪里。然后,只有在我们开展行动的国家区同意公开宣布的情况下,我们才会这样做。

记者:可以假设一些团队部署在靠近俄罗斯和乌克兰的地方吗?

威廉·哈特曼:所以我已经指挥了将近4年,可以肯定的是欧洲战区总是部署有团队。

网络国防知识库

产业发展前哨站

开源情报信息源

奇安网情局


文章来源: http://mp.weixin.qq.com/s?__biz=MzI4ODQzMzk3MA==&mid=2247487547&idx=1&sn=ecb447b893ee8676c70948ead7e6f7ec&chksm=ec3f2266db48ab700e37b92c4fde53b1dbdfdf191081072920ecb463e9de47de92bac9ec9d00#rd
如有侵权请联系:admin#unsafe.sh