网络战基础：战术与战略

虽然网络战的具体工具发展迅速，但核心策略和技术却构成了这些攻击的结构。了解这些基本原理，可以为分析过去和未来潜在的网络攻击活动提供一个框架。

网络战杀伤链

与传统军事行动类似，网络战通常遵循以下阶段：

1. 侦察：绘制目标网络图，识别硬件、软件和人员系统中的漏洞（容易受到社会工程学攻击）。

2. 武器化：开发或获取漏洞利用程序。恶意软件可能针对零日漏洞（目前尚无补丁）进行定制，或专注于社会工程学。

3. 交付：将恶意负载送达目标。例如，钓鱼邮件、留在战略要地的受感染U盘、供应链入侵等等。

4. 利用：攻击触发，漏洞被利用，使攻击者在目标系统中立足。

5. 安装：通常，初始漏洞利用只是一个开始。之后会安装进一步的恶意软件，以实现网络内的持久性和横向移动。

6. 命令与控制 (C2)：攻击者可以远程控制受感染的系统，窃取数据或为下一阶段做准备。

7. 针对目标的行动：这是最终目标，包括破坏电网、窃取知识产权或部署宣传。

常见的网络战战术

• 零日漏洞：利用以前未知的软件缺陷，这些漏洞受到攻击者的高度重视，因为最初不太可能存在防御。

• 高级持续性威胁 (APT)：这类攻击通常由政府支持，是长期活动。攻击者悄悄潜伏在系统内部，持续窃取数据。

• 社会工程学：利用人类行为往往比单纯依靠技术手段更容易。网络钓鱼及其变体仍然是强大的工具。

• 分布式拒绝服务 (DDoS)：用大量流量淹没目标，导致网站不堪重负或关键服务无法访问。

• 虚假宣传活动：通过社交媒体、虚假网站传播，旨在削弱对机构的信任、影响选举等。

• 勒索软件敲诈勒索：一把双刃剑。勒索软件可能会破坏基础设施，有时还会被国家行为者用来非法筹集资金。

战略考虑

• 不对称性：网络战允许较小参与者对较大参与者造成不成比例的损害。这降低了此类冲突的门槛。

• 合理的否认：归因很难。攻击者可以伪装其来源，或通过第三方代理攻击，这使得报复变得复杂。

• 附带损害：系统的互联特性意味着网络攻击可能会产生连锁反应，对中立的民用基础设施造成意想不到的后果。

• 不断演变的形势：在快速的军备竞赛中，攻击技术、攻击者的复杂程度以及“网络武器”的本质不断演变。

纵深防御

应对网络战是整个国家共同的任务，而不仅仅是IT部门的任务。关键要素包括：

• 弹性基础设施：设计电网等时要考虑网络攻击，采用冗余和分区来限制损害。

• 强有力的事件响应：需要演练计划，让技术和非技术利益相关者都参与进来，以尽量减少攻击成功造成的损失。

• 情报和归因：在全球范围内共享威胁信息是关键，开发强大的能力来揭露攻击背后的行为者也同样重要。

• 进攻性网络能力：各国正在发展在数字领域对对手进行报复或先发制人行动的能力。

• 国际规范虽然困难，但制定一些网络战“交战规则”可能会减少最有害和最不稳定的攻击。