CSS, NSA og Cyber ​​​​Command: Strukturelle ændringer i cybertilgangen på tværs af Atlanten

- Annonce -

NSA skal oprette et nyt cybersikkerhedsdirektorat

La National Security Agency annonceret planer om at oprette et cybersikkerhedsdirektorat i løbet af 2019 som en del af et bredere initiativ til at fusionere dets offensive (LIO) og defensive (LID) cyberoperationer.

NSA har i flere år været genstand for reorganiseringer, hvis omfang er blevet udvidet under ledelse af general Paul Nakasone – nuværende leder af Central sikkerhedstjeneste (CSS) – da agenturet til sidst mistede sit fokus på cybersikkerhed. Sidstnævnte har derfor netop annonceret oprettelsen af ​​et cybersikkerhedsdirektorat og udpeget Anne Neuberger til at lede det efter næsten 10 år i NSA.

Anne Neuberger, som i øjeblikket sidder i NSA's bestyrelse, var den første Chief Risk Officer og var en del af det team, der hjalp med at etablere amerikansk cyberkommando i 2009. Senest overvågede hun NSA's valgsikkerhedsindsats før og under valget i 2018, som ville have set NSA og USCYBERCOM intensivere deres indsats mod russisk indblanding og forbedre informationsdelingen med agenturer som FBI og DHS, der har ansvaret for det retlige aspekt.

- Annonce -

Det nye cybersikkerhedsdirektorat vil erstatte NSA's nuværende informationssikkerhedsdirektorat. Denne meddelelse kommer i en kontekst, hvor flere og flere stemmer bliver rejst for at bekræfte behovet for en adskillelse af NSA og USCYBERCOM. Disse to enheder er adskilte ved deres missioner, men frem for alt af deres juridiske autoritet.

Oprettet i november 1952 National Security Agency/Central sikkerhedstjeneste (NSA/CSS) er ansvarlig – for den amerikanske regering – for emner relateret til kryptologi, der omfatter både elektronisk efterretning (SIGINT) og cybersikkerhed, hvilket muliggør udnyttelse af computernetværk (CNO), hvilket giver en beslutningsfordel.

I lang tid landets eneste kompetencecenter, NSA har været i stand til at udvikle en stor mængde knowhow knyttet til cyberspace. Det var først i 2008, at USA gjorde status over de risici, der er forbundet med cyberspace. Uvidenhed i bedste fald, følelse af usårlighed i værste fald, Operation Buckshot Yankee vil afsløre, hvad mange vil kalde den største nationale sikkerhedstrussel, landet nogensinde har kendt.

- Annonce -

Mens en ny malware dukkede op på radarerne af cybersikkerhedsforskere og specialiserede virksomheder, blev en særlig virulent version opdaget på visse maskiner af NATOs militærkommando i juni 2008. Med tilnavnet "Agent.btz" af firmaet F-Secure vil det føre til et dybtgående spørgsmålstegn ved USA's evner til at sikre sikkerheden af ​​dets computernetværk.

Operation Buckshot Yankee

Næsten fire måneder senere, i oktober 2008, opdagede NSA-analytikere den samme malware i de meget kritiske systemer. Secret Internet Protocol Router Network, netværket, hvorigennem de mest følsomme oplysninger fra stats- og forsvarsministeriet samt inden for Fælles Verdensomspændende efterretningskommunikationssystem, netværket, der giver amerikanske myndigheder mulighed for at overføre følsomme oplysninger til deres allierede.

nsa datacenter Forsvarsanalyser | Kommunikations- og forsvarsnetværk | Spionage
"Elfenbenstårnene", selvom de er afbrudt fra det globale netværk, har vist deres sårbarhed over for avancerede angreb

Hvad der er overraskende ved første øjekast er, at disse netværk er adskilt fra internettet og i princippet ikke har nogen grænseflade med World Wide Web, der danner et "Air Gap": en fysisk adskillelse, angiveligt hermetisk. Men malwaren "Agent.btz" var allerede inden for disse netværk og kommunikerede ekstremt følsom information til omverdenen. Denne teknik, der skal fuldstændigt beskytte et netværk udefra, er ikke fejlfri og findes, som det ofte er tilfældet, "mellem computeren og stolen".

- Annonce -

Ligesom Stuxnet blev denne malware introduceret, bevidst eller ej, på det beskyttede netværk via en tidligere inficeret USB-nøgle. Når den først er trængt ind i målsystemet, spredes malwaren ved kapillærvirkning og inficerer alle aftagelige enheder, der vil være forbundet til maskinen.

Men for at kunne betjene Agent.btz var han nødt til at kommunikere med sin eksterne sponsor. Disse signaler, håndgribelige beviser på ondsindet aktivitet, blev opdaget af en teamanalytiker Avancerede netværksoperationer (ANO) fra NSA med ansvar for overvågning af telekommunikation (SIGNIT) af fjender fra USA i udlandet (i teorien kun fordi afsløringerne af Edward Snowden i høj grad har understøttet tilfælde af overvågning af amerikanske borgere på nationalt territorium).

Efter flere dages undersøgelser kom ANO-operatørerne til den konklusion, at sikkerhedsbruddet var alvorligt nok til at henvise det til det højeste niveau af det amerikanske sikkerhedsapparat. Den 24. oktober 2008 deltog Richard C. Schaeffer Jr., dengang NSA's chef for computernetværkssikkerhedsofficer, og general Keith Alexander, agenturets direktør, i en sikkerhedsbriefing, hvorunder de informerede datidens præsident, George W. Bush – så ved at forlade embedet – stabschefen, viceudenrigsministeren samt kongressens ledere.

I løbet af de følgende uger blev alle det nationale sikkerhedsagenturs midler implementeret for at indeholde, hvis ikke fjerne, Agent.btz uden at forårsage skade på infrastrukturen af ​​landets sikre netværk: c er starten på operationen Buckshot Yankee strengt taget.

Ud over at "rense" systemerne gik efterretningstjenesteoperatører så langt som fysisk at afbryde inficerede maskiner fra netværket for at erstatte dem helt eller direkte ændre harddiskene.

Ud over ANO opfordrede NSA til en anden af ​​dens komponenter, som efterfølgende ville blive berømt, nemlig Skræddersyede adgangsoperationer (TAO). Denne hemmelige enhed, højt specialiseret i offensive handlinger, har udviklet ekspertise i udnyttelse af data fra computerspionage siden begyndelsen af ​​1990'erne. Denne ekspertise vil i høj grad bidrage til opdagelsen af ​​malware-varianter og vil bidrage til udviklingen af ​​den nye doktrin om "aktiv" netværksbeskyttelse: cyberforsvar.

Ifølge nogle amerikanske embedsmænd har karakteren af ​​svaret til Agent.btz været genstand for en lang debat i det amerikanske udøvende og militære apparat. KFB ville have foreslået tiltag for at neutralisere civile netværk, der er identificeret som relæer for sponsoren og dens kommando- og kontrolsystem (C2 eller C&C). Beslutningen vil blive taget for at kvalificere malwaren (som hele operationen) som en "klassisk" spionagehandling og ikke som et ordentligt angreb, som derfor ikke retfærdiggjorde en væbnet reaktion og endnu mindre kinetisk fra USA.

I sidste ende vil brugen af ​​USB-nøgler og alle flytbare diske blive midlertidigt forbudt fra kritiske systemer, men "patient nul" - kilden til sikkerhedsbruddet - vil aldrig blive formelt etableret, selvom stærke mistanker har tynget Rusland.

Ved at analysere koden for alle varianter af Agent.btz, vil ANO og TAO stadig være i stand til at spore den tilbage til systemer forbundet til sikre netværk fra Afghanistan og Irak. Malwaren vil forblive aktiv indtil begyndelsen af ​​2009, før den endelig bliver erklæret inaktiv og er blevet udryddet fra alle kompromitterede netværk.

En afgørende erkendelse

Buckshot Yankee vil under alle omstændigheder have skabt reel bevidsthed om kritiske militære netværks sårbarhed. Men fra et bredere perspektiv er det tilgangen til at beskytte sidstnævnte, der er blevet sat på prøve, og som har bevist sin ineffektivitet over for en tilbagevendende, præcis og teknisk sofistikeret trussel. Passiv beskyttelse, "muren", med andre ord cybersikkerhed, har bevist sin manglende evne til at imødegå alle trusler. Allestedsnærværelsen og virtualiteten af ​​dette nye konfliktrum betyder, at effekten og overraskelsen altid vil være på aggressorens side.

Operationen udført af NSA vil derfor have haft den effekt, at dens sikkerhedstilgang i cyberspace har ændret sig radikalt. Beskyttelsen skal nu ikke længere kun være passiv (cybersikkerhed), men også aktiv (cyberforsvar) eller endda proaktiv.

Agent.btz, hvis succes mangler at blive demonstreret for dets initiativtager, vil have været en fremragende "katalyse" for udviklingen af ​​mentaliteterne i det amerikanske sikkerhedsapparat. Behovet for aktiv beskyttelse af kritiske netværk såvel som strategiske infrastrukturer oversøiske Atlanterhavet, vil nu være genstand for særlig opmærksomhed.

Forsvars Cyber ​​​​Analyserum | Kommunikations- og forsvarsnetværk | Spionage
US CYBERCOM er ansvarlig for at beskytte integriteten og bæredygtigheden af ​​alle amerikanske væbnede styrkers netværk og information.

Med et budget på 155 millioner dollars og 750 medarbejdere blev en ny organisation oprettet den 31. oktober 2010: US Cyber ​​​​Command eller USCYBERCOM. Denne er "ansvarlig for planlægning, koordinering, integration, synkronisering og udførelse af aktiviteter for at lede operationerne og forsvaret af Forsvarsministeriets informationsnetværk, forberede fuldspektret cyberspace militære operationer for at muliggøre handlinger på alle domæner, sikre handlefrihed for USA og dets allierede i cyberspace og nægter det til deres modstandere.”

Oprettelsen af ​​Cyber ​​​​Command gav dog ikke alle svarene.

Flere grundlæggende spørgsmål vil i orden føre til den strukturelle omlægning, vi er vidne til i dag. Styringen af ​​amerikanske operationer i cyberspace har været genstand for debat mellem civile og militære myndigheder i flere år. Hvem er den myndighed, der har ansvaret for offensive operationer? Er udførelse af en operation for at neutralisere en angribers netværk en del af cyberforsvar eller offensiv cyberkrigsførelse?

Faktisk var NSA og USCYBERCOM grupperet i CSS (Central Security Service) og ledet af en soldat. Oprindeligt gav denne "dobbelte hat" mening på grund af en grundlæggende lighed mellem de tekniske aspekter af militære operationer i cyberspace (Cyber ​​​​Command-domæne) og efterretningsrelaterede computernetværksoperationer (NSA-domæne). General Michael Hayden, første direktør for CSS, påpegede, at offensive operationer i cyberspace og signalefterretninger teknisk set ikke kan skelnes fra hinanden.

Det er fra denne observation, at ideen blev født om at forene kommandoen fra de to organisationer, der er ansvarlige for hvert af disse områder. Det tvingende behov for at etablere en solid kapacitet til militære operationer i cyberspace motiverede i sidste ende beslutningen om at forbinde de to enheder og udvikle teknologier og teknikker i tæt samarbejde.

"NSA har kapaciteten til at udføre sådanne handlinger, USCYBERCOM har autoriteten" General Michael Hayden.

Operation Gladiator Phoenix

Fra sommeren 2009 begyndte Pentagon at udvikle et sæt af regler for engagement, og mere bredt en doktrin for brugen af ​​cyberværktøjer.

Ud fra denne refleksion blev der født en "eksekutiv ordre", hvorefter kun USSTRATCOM og USCYBERCOM kunne styre operationerne og forsvaret af militære netværk over hele verden. I første omgang gjaldt dette væsentlige private computersystemer i USA.

Direktivet opstiller et vist antal yderligere betingelser, der skal være opfyldt for at udløse en militariseret reaktion:

  • Det skal være en fjendtlig handling rettet mod USA, dets kritiske infrastruktur og/eller dets borgere;
  • Det skal involvere den sandsynlige overhængende død, alvorlig personskade eller skade, der ville true USAs nationale eller økonomiske sikkerhed;
  • Indgrebet skal koordineres med de berørte regeringsorganer og kampenheder;
  • Handlingen skal begrænses til det nødvendige spektrum, der sigter mod at afbryde angrebet, samtidig med at den sideløbende indvirkning på civile mål minimeres.

Men den fortsatte indsats for at nå til enighed om reglerne for engagement og om den myndighed, der har ansvaret for at lede disse cyberforsvar og offensive computerkrigsoperationer (LIO) mislykkedes. Presset af adskillige efterretningstjenester - CIA i spidsen - og Department of Homeland Security and Justice, blev forsøget på kompromis ofret på alteret for skænderier mellem agenturer.

Debatten er gået fast på USCYBERCOM's rolle og hvor langt den skal kunne gå i at forfølge sin mission. Spørgsmålet er så meget desto mere kritisk, når det kommer til servere placeret på nationalt territorium.

I februar 2011 blevudøvende ordre er underskrevet. Dette, der stort set er revideret siden dens første version, begrænser hæren til at forsvare sine egne netværk og kan kun afvige fra denne regel med præsidentens udtrykkelige samtykke.

Ineffektivitet af "dobbelt hat"-systemet

Som en direkte konsekvens af forholdet mellem NSA og Cyber ​​​​Command, hvis kommandoer er betroet til en enkelt person (direktøren for CSS), var den oprindelige motivation for denne organisation – der skulle være midlertidig – at tillade den begyndende Cyber Befaling om at drage fordel af NSA's ekspertise, kapacitet og erfaring for at opnå sin fulde operationelle kapacitet.

I praksis tillader forholdet en enkelt person at afveje de ofte konkurrerende interesser hos to organisationer, hvis ansvar i cyberspace-domænet ofte overlapper og endda kannibaliserer hinanden. Denne fælles kommando er løbende blevet gennemgået af præsidentens administrationer siden dens begyndelse, og eksperter har fremsat modstridende argumenter for at opløse og fortsætte arrangementet.

Selvom de fleste argumenter for at afslutte dette system fokuserer på succesen med USCYBERCOMs etablering eller risikoen for NSA-operationer og -kapaciteter, er der relativt lidt opmærksomhed på, hvordan organisatorisk overlapning med NSA påvirker den fortsatte gennemførelse af militære operationer i cyberspace.

ifølge en officiel af Cyber ​​​​Command, "har den indbyrdes afhængighed mellem de to organisationer gjort det muligt at vænne sig til praktisk talt uafbrudt operationel og logistisk støtte fra NSA-kontorer. Denne dybt rodfæstede organisatoriske afhængighed af NSA-teknikker og -processer har fundamentalt formet, hvordan kommandoen nærmer sig cyberspace-operationer. Specifikt, ved at trække på NSA-procedurer og -kultur, er USCYBERCOM blevet mere og mere risikovillig […] gennemgang og godkendelsesprocesser skal skifte paradigme."

Hvis Central sikkerhedstjeneste ved at samle i dag NSA og USCYBERCOM har været i stand til at udvikle kapaciteter og teknisk ekspertise, der er unikke i verden, dette er i høj grad takket være det tætte samarbejde mellem meget højtstående teknikere. NSA har cirka 30 militært og civilt personale og har mere end 000 ph.d.-studerende inden for matematik, fysiske videnskaber og teknik. Grupperet sammen på Fort Meade-stedet i Maryland, udviklede NSA og USCYBERCOM sig symbiotisk i et årti, og det er denne organisation, der siden har gjort USA's succes i udførelsen af ​​dets militære operationer og efterretninger (Olympic Games, Flame, DuQu og Gauss i særdeleshed).

Dette tynger nu kontinuiteten af ​​denne udvikling, selv på USA's førende position i cyberspace. Det arbejde, der blev påbegyndt med Operation Gladiator Phoenix, skal genoptages for at etablere klare regler for styring mellem NSA og USCYBERCOM, hvor voldgift i sidste ende forbliver den udøvende magts ansvar.

Ud fra denne debat skulle der på tværs af Atlanten opstå en ny doktrin for udførelsen af ​​operationer i cyberspace. Hvis Frankrig har valgt at adskille cyberforsvar (ComCyber), cybersikkerhed (ANSSI) og efterretningsaktiviteter (DRM, DGSI og DGSE); den offensive computerkamp (LIO) er fortsat premierministerens ansvar, idet den er afhængig af de militære kapaciteter og den tekniske ledelse af DGSE (DT-DGSE). Manglen på information gør det ikke muligt at drage konklusioner om effektiviteten af ​​dette samarbejde. Det er fortsat, at overlapningen mellem de forskellige dimensioner af operationer i cyberspace repræsenterer en reel udfordring med hensyn til samarbejde mellem de forskellige interessenter. Ved at tage en model tæt på USAs, har Frankrig hidtil kunnet spare sig selv for elendigheden, især ved at stole på mennesker. Husk, at den første direktør for National Agency for Information Systems Security (ANSSI) siden 1. marts 2014 har været teknisk direktør for DGSE.

Tilbage er kun at håbe, at "Titi" har lært at være diskret.


Jean Lebougre
Cyberwarfare Specialist

- Annonce -

For yderligere

SOCIALE NETVÆRK

Sidste artikler