網路戰前夜：NSA聯手西點軍校搞摸底考試

E安全5月12日訊 美國已經成為數字化戰爭新時代下網路攻擊的首要目標，而軍方正在為可能出現的各類挑戰做好準備。近日，美西點軍校學員與國安局(簡稱NSA)團隊開展了網路戰爭模擬演習。

在這場無聲的對抗中，士兵們最重要的補給物資就是……提神功能飲料。

儘管喝下了大量提神功能飲料，但二十多名來自美國西點軍校的學員仍然表現出令人驚訝的冷靜與沉著。

此次他們的任務是建立一台伺服器，同時確保其在一周之內免受NSA網路攻擊團隊的入侵。

相信很多朋友和E安全小編一樣，都受到《速度與激情8》等眾多網路戰爭題材影視作品的影響。但在這場真實的對抗中，沒有人會跑來跑去同時嘴裡大喊著「網路核彈」之類的字眼。這看起來更像是個正常的辦公室，甚至跟我自己的辦公室幾乎毫無區別，甚至連監控攝像頭都沒一個。

然而，四組軍校學員正端坐在自己的筆記本電腦面前。他們劃分成2個角色：

一、Web服務團隊負責確保自己的網站始終在線並正常運行;

二、Web與監控團隊充當警衛角色，突擊團隊則對網路入侵加以打擊。

在此之後，NSA方面下達了第一項指令，要求在接下來的兩個小時之內創建一項密碼限制政策。工作速度明顯加快，但辦公室內的氣氛仍然保持鎮定，我們也絕看不到屏幕上流過一行行令人眼花的綠色代碼。

攻擊中最值得關注的是什麼？

很簡單，pooploopery.com或者canadabrokeit.com這樣的URL。

儘管這些URL的名稱聽起來很傻，但軍方確實在以認真的態度對待其網路防禦能力。這項每年在西點軍校定期舉辦的演習標誌著軍事院校正日益重視網路安全人才的培訓，並將此作為未來網路攻擊防禦能力構建中的重要一環。

畢竟網路戰爭在軍事層面正日益受到關注，美國也已經開始考量未來可能出現哪些威脅類型。

2016年美國總統大選已經確認受到俄羅斯黑客的嚴重影響，而有國家支持型黑客則自2015年起從美國政府資料庫中竊取到2200萬條社保號碼，在此之前曹縣對索尼影業施以大規模入侵。考慮到專家們預計大規模分布式拒絕服務（簡稱DDoS）攻擊活動未來還將持續泛濫，培訓人才以實現網路保護已經成為一項核心要務。

西點軍校軍事學院助理教授邁克爾·佩圖洛（Michael Petullo）上校表示 ，「這已經引發廣泛關注。我們看到美國陸軍之內已經建立起網路分支機構，而未來個人隱私與自由保障都將仰仗於當下我們在網路保護層面作出的努力。」

這種觀念絕不僅限於美國陸軍。就在上個月，美國空軍向世界各地的安全專家發出「Hack the Air Force」挑戰邀請，表示任何有能力侵入其公開網站的技術人士都將獲得巨額獎勵。此次挑戰賽顯然是「Hack
the Army」與「Hack the
Pentagon」，即入侵陸軍與入侵五角大樓等活動的後續，而在五角大樓入侵挑戰賽中找到漏洞的bug賞金獵人最終獲得了75000美元獎金。值得一提的是，安全專家們只用了5分鐘就首次成功突破美國陸軍的網路體系。

相關閱讀：

孤獨求敗：美國海軍邀黑客「黑掉軍艦」

五角大樓邀請白帽黑客參與「入侵空軍」漏洞獎勵項目

模擬演習走入網路世界

自2000年以來，美國NSA一直在對軍事院校的學員進行訓練，具體方式始終為以一周為期限對其教室中的伺服器進行「入侵」。

今年4月，海軍學院、海岸警衛隊學院、海軍陸戰隊學院、陸軍學院以及加拿大皇家軍事學院一同加入了此次網路防禦演習，旨在了解哪方能夠更好地抵禦NSA的網路攻擊。

作為挑戰賽中的一部分，NSA黑客會組織起「Red
Cell（即紅細胞）」團隊，共同對抗由各學院建立的多支「Blue
Cells（藍細胞）」團隊。NSA會隨時發起攻擊，而網路防禦團隊方面則只能在晚10點到早9點之間執行操作。為了進一步提升挑戰難度，NSA方面還擁有一支「灰細胞（Gray
Cell）」團隊，即由機器人模擬黑客入侵粗心的普通用戶。

本文系E安全官網獨家編譯報道

在灰細胞挑戰場景中，一位重要的政治家將會攜帶筆記本電腦進入陸軍基地，而該筆記本很可能對內部網路造成病毒侵害。因此，學員們必須想辦法在灰細胞被接入伺服器之前清理設備並消除一切惡意軟體。

您可能覺得這樣的場景設置太過牽強？

美國副總裁邁克·彭斯（Mike Pence）與柯林頓競選團隊負責人約翰·波德斯塔的行為證明這一切並非杞人憂天。

NSA紅細胞團隊負責人柯提斯·威廉姆斯（Curtis Williams）指出，「這類威脅真實存在且複雜程度正日益提升。其正在快速演進。」

爭分奪秒的對抗

學員們必須防止NSA竊取到其密碼令牌，同時確保自己的伺服器不被關閉且將入侵者阻擋在門外。事實上，NSA的突破將不可避免，因此競賽的勝出指標就看哪支團隊能夠堅持的時間最長。美國陸軍藍細胞團隊負責人米奇·德里德（Mitch
DeRider）解釋稱，「』敵方』最終總能成功入侵，且每支隊伍都無法倖免。隨著時間的推移，他們開始步步緊逼。」

在德里德為成員們分配了NSA挑戰賽中的具體職責後，辦公室再次安靜下來。NSA方面開始不斷發起攻勢，但由於其使用的URL擁有非常鮮明（且愚蠢）的名稱，因此防禦方能夠輕鬆將其發現。

學員們需要監控這些名稱，並及時加以阻止。然而，有時候相關URL並不像pooploopery這麼明顯。

舉例來說，其中一條ping來自lyft.com，這是一個高人氣應用程序破解共享網站。

陸軍服務團隊的康納·維斯曼（Conner Wissman）指出，「他們希望我們出現輸入錯誤等問題，以此打破我們的防禦節奏，讓我們無法跟上其攻擊速度。」

團隊成員們在眨眼之間就將面臨數十條接入伺服器的URL，儘管無聊但卻是一項非常重要的任務。面對這樣的情況，維斯曼表示他們別無他法，只能坐在屏幕前對接入URL進行一一排查。

而暫時無事可做的網路與論壇團隊、伺服器配備團隊學員，在這個時候只能以摺紙船、折一頂帽子打發時間。

本文系E安全官網獨家編譯報道

美國陸軍學員正在網路防禦演習中努力工作。

圖中還有之前提到的紙船，您找到了嗎？

演習結果

到上周末，海軍已經確定在演習中勝出，但西點軍校的學員則以另一種方式獲得了成功。他們研究了相關損失，並從中了解哪些操作存在失誤，進而考慮如何在國家網路安全受到威脅時加以改進。

對於未來的演習，NSA方面希望能夠同各學院繼續保持合作。預計其還會增加額外的挑戰項目，包括保護其它聯網設備，例如智能家居與智能燈泡。學員們也已經深刻體會到這些挑戰的價值所在。

德里德總結稱，「網路已經成為國家安全威脅中的一大關鍵。訓練有素的NSA專家們對我們施以攻擊，而這一演習也幫助我們在面對未來的網路攻擊活動時做好準備。」

E安全註：本文系E安全官網獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。