易評估：北約《網絡紅隊：軍事背景下的組織、技術和法律影響》內容簡介_風聞

北約**《網絡紅隊：軍事背景下的組織、技術和法律影響》內容簡介**

遠望智庫淨評估中心主任、首席專家 易評估

學習和認識的對象，包括敵我兩方面，這兩方面都應該看成研究的對象，只有我們的頭腦（思想）才是研究的主體。有一種人，明於知己，暗於知彼，又有一種人，明於知彼，暗於知己，他們都是不能解決戰爭規律的學習和使用的問題的。

             ——毛澤東《中國革命戰爭的戰略問題》

網絡紅色團隊（簡稱“紅隊”），通常進行滲透測試，專注於來自網絡世界中對手的威脅。他們模仿攻擊者的思維和行為，以提高自己組織的安全性。

北約網絡防禦英才合作中心出版物《網絡紅隊：軍事背景下的組織、技術和法律影響》（簡稱《影響》），一如題目所言，僅就軍事領域部署網絡紅隊能力的組織、技術、政策和法律問題進行了總體概述，並沒有就軍事網絡紅隊可能涉及的問題提出一個全面的清單，也沒有就某些方面進行詳細描述。雖然在文首部分就標明瞭此項研究成果可供北約內部、個人或教育使用，不一定反映該中心或北約的政策或意見，但是考慮到在數十份有關紅隊的文獻資料中，絕大多數出自美國，而該文的來源地較為“稀缺”，再加之網絡紅隊本身比較“前沿”，也算“新奇之物”，又或許讀者諸君沒有注意到它，那就太遺憾了，因此在這裏針對研習者共同關注的兩三個問題作一個簡介。

《影響》篇幅不長，英文原作不過49頁，內容不多，通共只有4章。鑑於網絡空間安全與威脅、網絡進攻與防禦、網絡戰爭和軍事行動等有關網絡的特定主題日益受到重視，真有需要知曉網絡紅隊知識的話，可以直接研習英文材料或者原原本本地閲讀譯文，反正也花費不了多少時間精力。當然，有關網絡紅隊的文獻資料還有一些，並非僅此一份。

一、網絡紅隊與軍事組織

《影響》認為，從冷戰開始，“紅色團隊”一詞在軍隊中經常被用來描述一種跳出框框的思維方式，並能夠預測和模擬對抗性行為。信息系統遍佈全球，而且每天都面臨着各種網絡攻擊，客觀上任何信息系統都難以達到完全的安全狀態，這就使得在某種意義上建立各自的網絡安全態勢成為一種生活方式。

較之其他領域而言，在網絡空間的進攻行為比起防禦行為更佔上風，瞭解對手在網絡空間的技術、戰術和程序可能是成功的關鍵。在此情況下，對於紅隊和滲透測試提供服務的需求快速增長。事實上，一些國家已經、正在或考慮開發類似的資產，以測試其自身或應要求測試他人的安全水平。

軍事組織規模龐大，高度依賴大量的信息系統，以至於失去對這種以計算機系統為支撐的基礎設施的控制，就可能導致無法操縱和損害操作能力。與此同時，網絡空間的軍事化在過去十多年中迅速發展，軍事基礎設施在國家層面網絡安全治理中的地位日益凸顯，國家安全需要軍事組織在保護網絡空間方面發揮更大的作用。

二、網絡紅隊定義及主要特徵

在網絡安全的詞彙學中，“網絡紅隊”“滲透測試”甚至“脆弱性評估”等術語缺乏明確性，與許多概念和方法一樣，共同的和可操作的定義很難得到。由於它們在信息安全文獻中的維度不夠清楚，對於不同的作者往往造成概念重疊或互換使用的現象。

《影響》為了使主題更加清晰，通過一些理論文件和官方定義來探討網絡紅隊，以便能夠識別共同的特徵。其作者接受了英國國防部在2013年1月出版的《紅隊使用指南》給出的定義，即：紅隊是一個團隊，其目標是對一個組織的計劃、方案、想法和假設進行嚴格的分析和挑戰；紅隊行為是在確定和評估該組織的假設、備選方案、脆弱性、侷限性和風險等方面所做的工作；紅隊是一個工具集，使用它將為最終用户（指揮官、領導者或經理）提供更健壯的決策基線。網絡紅隊“背後的想法”是它的可伸縮性及其包含和集成廣泛的漏洞評估技術的能力。

根據業已確定的紅隊的共性，《影響》作者將網絡紅隊定義為：在現實的威脅環境中並以對抗性的觀點對特定的信息系統進行脆弱性評估的元素，以提高組織的安全水平。

不僅如此，作者還認為了解網絡紅隊的特徵更有利於理解其定義，或者説可以進一步從特徵上加以定義。網絡紅隊的主要特徵大致在於五個方面：第一，網絡紅隊作為一個元素，它可以是常設能力，也可以是由既定需求和優先事項決定的機構系統中更靈活和適應性更強的部分，可以由機構系統內部專用的元素進行，也可以外包給專業承包商。第二，網絡紅隊活動主要由滲透測試技術組成，往往“淪為”脆弱性評估，包括滲透測試、道德黑客或其它信息安全審計等活動，也可能包括對物理設施的入侵測試和現實生活中的網絡攻擊。第三，網絡紅隊工作在現實的威脅環境中具有對抗性，需要徹底的情報工作，提供對手的技術、心態和目標的知識，以便應用現實的攻擊。第四，網絡紅隊可以部署在指定的信息系統上，包括軍事網絡、政府網絡或關鍵基礎設施網絡，其活動必須得到授權“正確”進行。第五，網絡紅隊的主要目標是發現漏洞，這將通過測試組織的結構、程序和人員來提高組織的安全水平。也因此，其評估應提出建議、採取後續行動，並在可能時予以糾正。

三、網絡紅隊行動的階段劃分

《影響》認為，驅動網絡紅隊的主要思想是能夠避免依賴現成的解決方案以及僵化和停滯的心態。必須將其行動視為一個全面的週期性進程，主要包括四個階段。

其一，計劃準備階段。或規劃和準備階段。網絡紅隊的基本原理將在此階段定義。在開展任何活動之前，都需要評估某一具體組織的當前需求和將要採取行動的範圍。在此階段，必須確定期限、法律界限和禁止的行動等限制。這可以根據行為規則的形式進行彙編。

其二，信息收集階段。或信息收集-偵察階段。包括對目標信息系統的初步調查或研究，這些系統可以從網絡研究、社會工程和通用技術到更復雜的操作，如具體的情報報告。這一階段還可用於收集和開發訪問目標系統所需的工具。

其三，執行階段。當工具和訣竅被部署以發現漏洞時，這一階段成為網絡紅隊行為過程中最為活躍的部分，其操作可能包括端口掃描、訪問權限升級和清除路徑。

其四，事後分析階段。在這一階段，此前所採取的所有行動都已記錄在案，並列出了結果，同時提出了意見建議。當然，還可以設想採取後續行動，並讓網絡紅隊參與其中。

今天的簡介到此為止。至於網絡紅隊的組織機構和政策考慮、組織活動的技術考慮和法律問題，等等，這裏就不再贅述了，還請各位自行查閲。主要原因：一方面，對於讀者來説，時間資源富貴、篇幅應當限制；另一方面，對於作者而言，理解消化不夠、避免誤傳誤導。