易评估：北约《网络红队：军事背景下的组织、技术和法律影响》内容简介_风闻

北约**《网络红队：军事背景下的组织、技术和法律影响》内容简介**

远望智库净评估中心主任、首席专家 易评估

学习和认识的对象，包括敌我两方面，这两方面都应该看成研究的对象，只有我们的头脑（思想）才是研究的主体。有一种人，明于知己，暗于知彼，又有一种人，明于知彼，暗于知己，他们都是不能解决战争规律的学习和使用的问题的。

             ——毛泽东《中国革命战争的战略问题》

网络红色团队（简称“红队”），通常进行渗透测试，专注于来自网络世界中对手的威胁。他们模仿攻击者的思维和行为，以提高自己组织的安全性。

北约网络防御英才合作中心出版物《网络红队：军事背景下的组织、技术和法律影响》（简称《影响》），一如题目所言，仅就军事领域部署网络红队能力的组织、技术、政策和法律问题进行了总体概述，并没有就军事网络红队可能涉及的问题提出一个全面的清单，也没有就某些方面进行详细描述。虽然在文首部分就标明了此项研究成果可供北约内部、个人或教育使用，不一定反映该中心或北约的政策或意见，但是考虑到在数十份有关红队的文献资料中，绝大多数出自美国，而该文的来源地较为“稀缺”，再加之网络红队本身比较“前沿”，也算“新奇之物”，又或许读者诸君没有注意到它，那就太遗憾了，因此在这里针对研习者共同关注的两三个问题作一个简介。

《影响》篇幅不长，英文原作不过49页，内容不多，通共只有4章。鉴于网络空间安全与威胁、网络进攻与防御、网络战争和军事行动等有关网络的特定主题日益受到重视，真有需要知晓网络红队知识的话，可以直接研习英文材料或者原原本本地阅读译文，反正也花费不了多少时间精力。当然，有关网络红队的文献资料还有一些，并非仅此一份。

一、网络红队与军事组织

《影响》认为，从冷战开始，“红色团队”一词在军队中经常被用来描述一种跳出框框的思维方式，并能够预测和模拟对抗性行为。信息系统遍布全球，而且每天都面临着各种网络攻击，客观上任何信息系统都难以达到完全的安全状态，这就使得在某种意义上建立各自的网络安全态势成为一种生活方式。

较之其他领域而言，在网络空间的进攻行为比起防御行为更占上风，了解对手在网络空间的技术、战术和程序可能是成功的关键。在此情况下，对于红队和渗透测试提供服务的需求快速增长。事实上，一些国家已经、正在或考虑开发类似的资产，以测试其自身或应要求测试他人的安全水平。

军事组织规模庞大，高度依赖大量的信息系统，以至于失去对这种以计算机系统为支撑的基础设施的控制，就可能导致无法操纵和损害操作能力。与此同时，网络空间的军事化在过去十多年中迅速发展，军事基础设施在国家层面网络安全治理中的地位日益凸显，国家安全需要军事组织在保护网络空间方面发挥更大的作用。

二、网络红队定义及主要特征

在网络安全的词汇学中，“网络红队”“渗透测试”甚至“脆弱性评估”等术语缺乏明确性，与许多概念和方法一样，共同的和可操作的定义很难得到。由于它们在信息安全文献中的维度不够清楚，对于不同的作者往往造成概念重叠或互换使用的现象。

《影响》为了使主题更加清晰，通过一些理论文件和官方定义来探讨网络红队，以便能够识别共同的特征。其作者接受了英国国防部在2013年1月出版的《红队使用指南》给出的定义，即：红队是一个团队，其目标是对一个组织的计划、方案、想法和假设进行严格的分析和挑战；红队行为是在确定和评估该组织的假设、备选方案、脆弱性、局限性和风险等方面所做的工作；红队是一个工具集，使用它将为最终用户（指挥官、领导者或经理）提供更健壮的决策基线。网络红队“背后的想法”是它的可伸缩性及其包含和集成广泛的漏洞评估技术的能力。

根据业已确定的红队的共性，《影响》作者将网络红队定义为：在现实的威胁环境中并以对抗性的观点对特定的信息系统进行脆弱性评估的元素，以提高组织的安全水平。

不仅如此，作者还认为了解网络红队的特征更有利于理解其定义，或者说可以进一步从特征上加以定义。网络红队的主要特征大致在于五个方面：第一，网络红队作为一个元素，它可以是常设能力，也可以是由既定需求和优先事项决定的机构系统中更灵活和适应性更强的部分，可以由机构系统内部专用的元素进行，也可以外包给专业承包商。第二，网络红队活动主要由渗透测试技术组成，往往“沦为”脆弱性评估，包括渗透测试、道德黑客或其它信息安全审计等活动，也可能包括对物理设施的入侵测试和现实生活中的网络攻击。第三，网络红队工作在现实的威胁环境中具有对抗性，需要彻底的情报工作，提供对手的技术、心态和目标的知识，以便应用现实的攻击。第四，网络红队可以部署在指定的信息系统上，包括军事网络、政府网络或关键基础设施网络，其活动必须得到授权“正确”进行。第五，网络红队的主要目标是发现漏洞，这将通过测试组织的结构、程序和人员来提高组织的安全水平。也因此，其评估应提出建议、采取后续行动，并在可能时予以纠正。

三、网络红队行动的阶段划分

《影响》认为，驱动网络红队的主要思想是能够避免依赖现成的解决方案以及僵化和停滞的心态。必须将其行动视为一个全面的周期性进程，主要包括四个阶段。

其一，计划准备阶段。或规划和准备阶段。网络红队的基本原理将在此阶段定义。在开展任何活动之前，都需要评估某一具体组织的当前需求和将要采取行动的范围。在此阶段，必须确定期限、法律界限和禁止的行动等限制。这可以根据行为规则的形式进行汇编。

其二，信息收集阶段。或信息收集-侦察阶段。包括对目标信息系统的初步调查或研究，这些系统可以从网络研究、社会工程和通用技术到更复杂的操作，如具体的情报报告。这一阶段还可用于收集和开发访问目标系统所需的工具。

其三，执行阶段。当工具和诀窍被部署以发现漏洞时，这一阶段成为网络红队行为过程中最为活跃的部分，其操作可能包括端口扫描、访问权限升级和清除路径。

其四，事后分析阶段。在这一阶段，此前所采取的所有行动都已记录在案，并列出了结果，同时提出了意见建议。当然，还可以设想采取后续行动，并让网络红队参与其中。

今天的简介到此为止。至于网络红队的组织机构和政策考虑、组织活动的技术考虑和法律问题，等等，这里就不再赘述了，还请各位自行查阅。主要原因：一方面，对于读者来说，时间资源富贵、篇幅应当限制；另一方面，对于作者而言，理解消化不够、避免误传误导。