第五章 情报与红蓝攻防对抗

赛博空间的无人机系列

       近期推出的系列文章选自美国R.K. Nichols等撰写的“Unmanned Aircraft Systems in the Cyber Domain”（2nd Edition），New Prairie Press. 如需引用应注明原文出处。Copyright © 2019 R.K. Nichols, J.J.C.H. Ryan, H.C. Mumm, W.D. Lonstein, C. Carter, J.P. Hood ；A PDF version of this book is available at https://newprairiepress.org/ebooks/27/

本文要点

       本章介绍了情报方面的基本概念，如情报周期，情报数据的收集以及来源，情报评估等，并探讨利用情报创建攻击/防御方案进行攻防演习，以获取巨大的训练经验，从而应用到开发UAS攻防场景。

情报的基本概念

       Intellligence这个词在不同的语境下可以有几个含义：它可以是指一个人推理和思考能力的估计——智力；可以是指为推断目的、能力或意义而收集的数据——情报；还可以是指收集和处理信息的过程。在本章中，Intelligence是指收集、处理和分析情报数据的过程。

       存在一个情报过程的根本原因是要收集和评估信息，告知人员的操作环境。政府具有情报职能，可以做出更明智的决策，企业拥有情报功能可以提高效率和竞争力。这并不是什么新鲜事，情报功能和人类本身一样古老。正如预期的那样，随着产品和工艺技术的进步，它们变得更加复杂和强大。通过将这些技术纳入情报过程，大大提高了收集数据的及时性和规模。此外，信息处理技术与日常生活的结合，也大大增加了数据收集的机会。

情报周期

       与情报有关的职能分阶段进行，称为情报周期。简单地说，周期包括四个阶段：需求、收集、分析和报告。如图所示：

图：情报周期

       需求阶段是指定义/识别组织感兴趣的数据。例如，一个业务主管可以将竞争对手的定价策略确定为理想的数据，该高管将为商业情报职能部门创建一份需求说明，该部门有责任设法满足这一需求。同样，政府领导人可能想了解敌人的军事准备，该领导人将通过既定的程序，要求生成需求说明，并进入情报界的程序。需求陈述的汇总是情报过程的任务，并确定需要收集哪些数据。当一个需求产生时，它可以分为三种类型：重要性、短暂性和复杂性。这三个类别有助于优先分配资源以满足需求。显然，所需数据的重要性应该影响收集的优先级。关键的数据需求应该在低优先级的数据需求之前得到满足。数据的瞬时性也是一个主要因素。瞬时性指的是数据的可用时间。数据的性质可能是转瞬即逝的，就像放射性排放一样，或者只能在有限的时间内收集。最后，所需数据的复杂性影响到必须做多少规划才能确保成功的数据收集。

       一旦需求被优先排序，它们就会转移到收集功能。收集功能的工作就是收集数据。几种类型的数据可以用不同的方式收集。为了明确如何收集数据，需要确定适当的机制并分配给收集工作。也就是说，.必须考虑数据的来源和数据收集的方法。

       所收集的数据可能完全或部分地满足所述要求，也可能不满足。收集到的完全满足要求的数据是完整，不含糊的；仅部分满足要求的数据可能有一些含糊不清或缺少某些方面；不符合任何要求的数据被认为是无用的。在周期的分析阶段，要对收集的数据进行裁决。分析阶段有三个步骤：结构分析，内容分析，融合。结构分析主要包括数据描述，描述可以包含标识符，以及实际的描述性数据。结构分析对于管理（记录保存）和对汇总的数据进行的事后研究都很重要。内容分析是大多数人认为的分析，检查实际数据以获得意义和内涵。当多个类型或多种来源的数据被一起分析时，就会发生融合。融合的好处是，可以从数据中解析出更多的细微差别。

       一旦分析完成后，就要报告分析的结果。报告阶段包括几种类型的报告工作。首先，也是最明显的，是结果报告，即把分析数据交付给所需人员。结果报告可以包含比数据本身更多的内容，可以包括发现的与原始需求有关的辅助信息、对数据影响的评估以及与信息的估计可靠性有关的警告。第二类报告是反馈报告，反馈报告向周期的其他阶段提供信息。最后，可以根据对某一感兴趣领域相当一部分的许多不同成果报告的综合分析，生成战略情报报告。上图以图形形式显示了情报周期。

情报方面的常见问题

       情报分析员的座右铭应该是，在通过多个明显不同的来源进行核实之前，不要完全相信任何事情。收集和分析情报存在许多挑战，这些挑战超出了简单地获取信息的范围。一般来说，有三个主要问题必须考虑，即数据的质量、数据解释的偏见，以及循环报告。

       数据质量是情报过程中的一个明显问题。在评估收集数据的质量时，必须权衡数据的来源和数据所经历的任何方法。应该对数据来源的真实性和信息量进行评级，包括从仪器到人的各种来源。信息量是衡量信息来源为情报过程提供了多少附加值的标准。高信息量的数据源提供了显著的附加价值，而低信息量的数据源提供很少的附加值。信息量低的来源并不一定是坏事，有时收集大量低信息量的数据集在总体上可能有很大的启示作用。将真实性和信息量相结合提供了一种评价数据源的方法。对于科学仪器，这通常是以1型和2型错误率以及校准等术语来表述的。对于出版物来源，可以从媒体偏见、同行评议和影响因子等方面进行讨论。对于人力资源，可以使用可靠性和声誉等术语。

       偏见是人类和算法解释数据的一个挑战。为什么是算法？因为是人类在编写算法。有意识和无意识的偏见形式，所有这些都必须加以解决。个人对数据一致性的偏好可能导致分析师以不同的方式处理各种数据，无意中歪曲了结果。另一种偏见可能由于希望看到证实怀疑的数据而产生的。当看到这些数据时，它可能被视为比其他数据更重要。充分性带来了另一种类型的偏见，当分析师对数据的完整性感到满意数据时，他们可能会停止寻找，即使他们只有一小部分可用数据。另一种形式的偏见可能产生于分析师忽视微妙的线索，而选择了明显的数据。对单一来源信息的过度依赖也会导致解释上的偏差。所以，数据解释是一门微妙的艺术，必须谨慎对待。

       循环报告会以难以识别的方式潜入情报流程。循环报告的问题发生在由一个情报部门的一个组成部分收集和分析的数据被伪装成新的数据输入到另一个组成部分。对于不知情的人来说，这似乎是一个奇怪的问题，但这种情况在大型情报部门和新闻报道中都经常发生。请看一个假设的新闻报道。新闻机构A报道，7名平民在自杀式炸弹袭击中丧生。有线服务部门把这份报告捡起来并加以宣传。新闻服务B然后重新发布材料，但改变了一些措辞。通讯社接收了这一报道并将其公布。新闻服务机构A将该报告视为对其原始报告的确认，尽管它只不过是重新包装的原始报告。这一循环报告问题大大加剧了情报数据分析中的偏见问题，必须加以解决。

情报数据来源

       人工情报，即HUMINT，是由人工收集的情报数据。HUMINT包括可收集的信息：偷来的文件、截获的信件、偷听的谈话、观察和实物制品。HUMINT不需要由受过专门训练的特工收集，尽管这对他们来说是一个关键角色。HUMINT可以来自度假归来的旅行者，来自会议上的偶遇，或者来自聚会上的互动。由于人脑作为一般处理系统的力量，HUMINT可以成为一个惊人的重要信息来源。

       一些技术数据需要特殊的技术来收集。人类擅长在视觉光谱中观察信息，在正常的听觉范围内听到事物，但不擅长收集红外或编码的数字信号。对于这些类型的数据，需要特殊的来源。图像情报，或IMINT，使用成像能力收集数据。信号情报，或SIGINT，是不同情报来源的组合，SIGINT包括通信情报（COMINT）和电子情报(ELINT)。通信情报是通过各种渠道收集和分析通信，这包括通信的内容和外部路由信息，返回地址、预期收件人、传输的内容和时间等，有时被称为元数据，描述通信事实的数据。ELINT就像COMINT，它是电子传输信号的收集。

       随着信息技术的扩展和融入日常生活，已经发展出专门形式的情报数据收集和分析，以专注于特殊来源的材料上。其中一些是显而易见的，如金融和地理情报。但其他来源也有足够的专业性，其中包括测量和签名情报(MASINT)和网络情报。

       对抗这些极其专业的技术来源的是开放源码情报(OSINT)。OSINT利用互联网和其他公开的信息来源，对感兴趣的目标进行强有力的分析。开源数据可以从社交媒体、传统媒体、科学出版物、新闻稿、公开演讲、财务文件、法律文件、官方文件和行政文件中提取。由于当地图书馆有强大的数据集，利用开源情报是相当划算的。

       将不同来源的数据结合起来，可以帮助进行情报分析。一种用途是检测欺骗。另一个用途是建立一个更完整和复杂的能力知识。将静态图像、视频和信号数据结合起来，可以对智能弹药的控制和能力有一个结构化的理解。

情报的应用—攻防对抗演习

       收集信息和分析对手的能力和意图是一回事。使用情报来创建攻击/防御方案，并从攻击/防御演习中获得巨大的训练经验则是下一个层次。构建攻击/防御场景迫使确定一个人的知识库范围，潜在地识别最新的信息需求。演示攻击/防御场景可以揭示双方的优势和劣势，甚至可以导致战略的发展、战术的改进和组织的变革。

       这样的场景可以在不同的抽象层次上进行，也可以是真实世界的演习。模拟包括桌面游戏、模拟现实世界交互的计算机程序，或基于输入值生成结果的数学算法。对于攻击/防御练习，桌面演习是相当常见的，甚至有自己的缩写，TTX。桌面演习的一个好处是，需要人类决策的复杂场景可以在游戏的进行过程中讨论和得到解决。桌面演习的一个限制是，通常与现实世界的情况不相吻合。真实世界的演习是在冲突条件下使用实际设备进行的，有安全和安保方面的限制和约束。真实世界演习的好处是参与者大大提高了他们的知识和经验，其缺点是，它们往往非常昂贵，耗费资源，需要大量时间来计划，并需要广泛的安全和安保协议。

       攻击/防御场景可以看作是团队进行的一系列活动。红队充当对手，攻击对手的能力。蓝队充当防守者，检测和对抗红队活动。由于这些是演习，重要的是要有保障措施和严格划定的边界条件。例如，如果攻击/防御方案包括网络活动，一个典型的保障措施是确保没有互联网连接。这可以防止对手偷窥演习，但也可以防止意外发生，如无意中渗透到非参与方的网络中。虽然在一个管理良好的系统中，这种情况似乎永远不会发生，但事实是人类会犯错误。安全总比遗憾好。

红队

       红队充当对手。这意味着什么呢？其中一个含义是，红队需要在技术上知道如何对目标实施攻击。如果红队模仿的是一个特定的对手，红队的成员还必须了解实际对手的战略和战术，这可能包括攻击方法、活动发生方式的文化背景，以及指挥和控制方面的组织限制。

       在技术上执行对目标的攻击需要一系列活动。首先，必须确定目标，如果没有被指定，要做的第一件事就是进行侦查活动，以确定潜在的目标。根据目标的类型及其位置，可能需要不同类型的情报来源来收集信息。当潜在目标是移动的，如空中平台时，这一挑战尤其棘手。

       一旦确定了潜在的目标，就需要对其能力和弱点进行分类。这是通过探测和测试来完成的。例如，如果红队演习的目标是UAS上的计算机系统，那么通过分析连接到系统的尝试，有可能发现单向弱点。错误的消息也可能是有用的，因为它们可以揭示有关错误发生原因的信息。

      在对目标的能力和弱点进行编目后，就会制定一个攻击计划。该计划以优先顺序分配资源，以执行一项策略，实现特定的结果。资源包括人员操作和工具，如武器。如果红队模仿的是一个实际的对手，这个计划必须反映出对手的正常流程。如果不是，那么红队可以自由制定自己的计划。一旦计划到位，红队执行该计划，可能会根据条件的变化、新信息的发现、以及其他情况进行实时调整。

       红队演习的最重要成果是知识，它应该在演习的每一步都要收集。所有的活动都应该被记录下来。这可以通过拍摄，录音，仪器读数，或做笔记来完成。一般来说，最好有一个或多个观察员收集数据。演习结束后，实际的团队成员要立即进行一次热洗是非常重要的，实时回顾哪些是成功的，哪些是不成功的，以及学到的经验教训。他们的个人印象和观察对发展企业的知识和能力是极其宝贵的。

蓝队

       蓝队是防守队，他们的挑战和红队一样复杂，也许更复杂。为了防御目标，蓝队需要对目标有充分的了解，包括技术能力和弱点、漏洞和操作模式。应该有检测机制来提醒蓝队注意对手的行动。此外，蓝队需要注意隐蔽的或意外的敌对行动。最后，蓝队需要有能力阻止对手的行动并补救所造成的伤害。

       充分了解每个潜在的目标是一项艰巨的任务。显然，不是任何一个人能对一个复杂的系统有充分的了解，这就是团队组成变得重要的地方。团队必须具备各种能力，包括从技术知识到操作知识。进行许多演习有助于确定需要更多专门知识的领域，并扩大经验。在某些系统中，一个可能的问题是，对漏洞和补救措施可能极其敏感。蓝队可能有必要对知识区域进行划分：一套通用的、一套敏感的，和一套紧密的，这对于组成团队和管理团队成员的互动都是一个挑战。

       蓝队所依赖的检测机制应该无处不在，仅仅为了演习而有特殊的检测机制是没有用处的。蓝队需要尽可能接近真实的环境中演习。演习的进行和结果应是对计划中的系统改进的实质性投入，来自蓝队的反馈是其中的一个重要部分。

       蓝队需要在规划他们的防御措施时解决每一个检测挑战，包括检测意外或外来活动。蓝队不能简单地依赖检测能力，但必须对任何异常活动保持警惕，并准备在必要时作出反应。红队有动力克服蓝队的防守，蓝队需要时刻保持警惕。

       当蓝队检测到红队的活动时，他们需要有计划和程序来处理如何减轻这些行动，这意味着蓝队已经考虑并实践了对各种活动的反应。这种演习的一部分应包括指挥和控制行动。如果指挥系统中的某一环节失效或不可用，具有故障转移程序的清洁通信线路对于有效的团队行动至关重要。临时响应可能是必要的，特别是在意外的红队活动的情况下，但指挥和控制临时反应的执行与预先计划的活动执行一样重要。

       蓝队的经验和红队的经验对于知识发展一样重要。在演习过程中，所有的活动都应该记录下来。同样，这可以通过拍摄、录音、仪器读数或做笔记来完成。观察员应负责收集数据。蓝队也应该对他们的经验进行热洗。团队成员的个人印象和观察对于开发企业的知识和能力都是非常有价值的。

攻防演习的益处

       攻防演习不仅有助于建立专业知识，测试目标系统并改进其防御，还有助于开发新的战术和技术，开拓创新，以及建立更强的团队关系。