台灣每年遭受惡意軟體攻擊次數與比例是全球平均值的兩倍,來自中國的網攻數量亦增加近二十倍。(圖片取自Unsplash)
行政院仿效美國國土安全部(Department of Homeland Security)的「網路風暴」(Cyber Storm)演習,將於今年十一月舉辦大規模網路聯合演練。此次演習有包含美國在內的十五國資安團隊與民間白帽駭客所扮演的紅軍參與,對我國金融關鍵設施發動攻擊,測試我方的資安防護能力。
儘管網路攻擊此類「灰色地帶」行徑尚未達到傳統戰爭門檻,卻具有為正式軍事行動作準備的可能性,讓平戰之間的界線漸趨模糊,對我國家安全的挑戰不下於傳統軍事手段。本文以美國網路安全演習的經驗來探討台版「網路風暴」演習的可能發展方向。
首先,由於關鍵基礎設施的「利害關係人」(stakeholders)牽連甚廣,強調責任共同承擔的「全社會參與途徑」(the-whole-community approach)近來成為因應關鍵基礎設施網路入侵的主流模式之一。以美國為例,國土安全部所主導的「網路風暴」演習,便是以涵蓋聯邦、州、地方各層級政府相關單位以及民間資安廠商等私部門為名。由美國海軍戰爭學院所主辦的「前進防禦: 關鍵基礎設施網路戰演習」(Defend Forward: Critical Infrastructure Cyber Wargame),除了軍方與相關政府文職單位(FBI、DHS…),亦廣邀學者以及民間關鍵基礎設施業者共同參演。
以筆者過去曾參與過與蘇黎世聯邦理工學院(ETH Zürich)合辦的網路兵推之經驗來看,由於網路攻防涉及到威脅層級的判斷、反擊與否的臨界點、反制手段的選擇等,隨著受網攻影響的利害關係人增加,不同的專業背景將影響其對威脅的認知,從而使整體決策過程更趨複雜。
簡言之,網路攻防並非只是資安技術人員與駭客之間的較量,當威脅升級時,是否反擊與如何反擊往往是政治決斷 因此,演習的設計可以嘗試跳脫純粹的技術攻防,將政策制定者與決策者納入參演過程。
其次,諸如水力、能源管線、電力傳輸和分配系統、鐵路和其他公共運輸系統等關鍵設施的運作核心為「工業控制系統/資料採集與監控系統」(Industrial Control Systems/ Supervisory Control And Data Acquisition,ICS/SCADA)。若要對關鍵基礎設施的網路攻防進行實兵演練,就必須先能夠模擬ICS/SCADA的運作。然而,除了此類自動化控制的程式語言架構,與一般軟體工程所使用的高階程式語言不相容,增加了模擬的困難度。ICS/SCADA係關鍵基礎設施的核心,對其進行實測則必須阻斷系統運作中的某個流程,可能產生連鎖效應,反而造成關鍵基礎設施運作的崩潰。
因此,現行對於關鍵基礎設施的網路攻防,多半只能以「沙盤推演」(tabletop exercise)的方式進行,而非實際對基礎設施的連線進行測試。為解決此問題,美國網路司令部 (USCYBERCOM)與桑迪亞國家實驗室(the Sandia National Lab)及太平洋西北國家實驗室(the Pacific Northwest National Lab)合作建立了一套複雜的ICS/SCADA模擬系統,以便演練真實狀況中可能面臨的壓力與行動要求。
去年(2018)的演訓首度進行對ICS/SCADA的演練測試,今年更直接聚焦於對重要港口設施的網路攻防,這代表美國網路司令部已建立對關鍵設施網路攻防進行實際演練的技術與能力,並將透過逐年演訓進一步提升。
除了與行政院共同舉辦此次跨國聯合演習,美國在台協會(AIT)處長酈英傑日前亦表示美國願意協助台灣加入國土安全部的網路威脅「自動指標分享系統」(Automated Indicator Sharing),代表美方在台美網路安全合作上的積極態度。我方可把握機會,探詢引進前述這套ICS/SCADA模擬系統的可行性。
最後,由於網路領域的特殊性,從核武互相保證毀滅所延伸而來的嚇阻概念有其適用上的侷限性,單靠被動的防禦無法遏制潛在入侵者發動攻勢。在網路空間,攻擊比防守具有相對優勢。這也是為何美國近年來開始轉向以先發制人的手段,反制網路攻勢。
川普政府於2018年公佈之《國家網路戰略》(National Cyber Strategy)揭示了美國最新的網路作戰概念:「持續接戰」(persistent engagement),即美國網路作戰單位應該在網路空間與對手保持持續對抗,甚至以先發制人的攻擊,讓對手疲於奔命,必須把資源用於防守美國的主動進攻,進而降低敵人發動網攻的可能性。
美國《2019年國防授權法》更明定,當美國遭受來自中國、俄羅斯、北韓或伊朗的「積極的、系統的和持續的」安全威脅,美國網路司令部可以採取「攻勢」扼制敵人的作為。2018年期中選舉期間針對俄羅斯網路研究局(Internet Research Agency, IRA)連外網路的阻斷攻擊,以及2019年6月底網路癱瘓伊朗的導彈發射系統,代表美國在網路空間的進攻態勢。
台灣每年遭受惡意軟體攻擊次數與比例是全球平均值的2倍,來自中國大陸的網攻數量亦增加近20倍。除了持續強化網路防護與設施復原能力,是否進行反擊甚或先發制止對關鍵設施的入侵是我方無法迴避的課題。由於這涉及到國家整體的網路戰略方向及網路作戰準則,可以透過一系列的網路演習與兵推進行驗證與調整。
以美國為例,自2009年成立網路司令部以來,參謀首長聯席會與各軍種出版了15份網路作戰相關戰略文件,包括2018年最新版的《網路作戰聯戰準則》,國土安全部甚至發布了自成立以來第一份《網路安全戰略》。這些成果除了來自實戰經驗的累積,網路司令部主辦的「網路旗」(Cyber Flag)與「網路衛士」(Cyber Guard)年度演習、國民警衛隊主導的「網路盾」(Cyber Shield),以及國土安全部的「網路風暴」演練,提供了一系列反覆驗證與確立戰略方針及作戰概念的機會,值得我方參考。
※作者為國防安全研究院助理研究員