CSS, NSA och Cyber ​​​​Command: Strukturella förändringar i cyberstrategin över Atlanten

NSA ska skapa ett nytt direktorat för cybersäkerhet

La National Security Agency tillkännagav planer på att skapa ett direktorat för cybersäkerhet under 2019 som en del av ett bredare initiativ för att slå samman dess offensiva (LIO) och defensiva (LID) cyberverksamheter.

NSA har under flera år varit föremål för omorganisationer, vars omfattning har breddats under ledning av general Paul Nakasone – nuvarande chef för Central Security Service (CSS) – eftersom byrån så småningom tappade fokus på cybersäkerhet. Den sistnämnda har därför precis tillkännagett skapandet av ett direktorat för cybersäkerhet och utsett Anne Neuberger att leda det efter nästan 10 år inom NSA.

Anne Neuberger, som för närvarande sitter i NSA:s styrelse, var den första Chief Risk Officer och var en del av teamet som hjälpte till att etablera USA:s cyberkommando 2009. Senast övervakade hon NSA:s valsäkerhetsinsatser före och under valet 2018 som skulle ha sett NSA och USCYBERCOM intensifiera sina ansträngningar mot rysk inblandning och förbättra informationsutbytet med byråer som FBI och DHS, som ansvarar för den rättsliga aspekten.

Det nya direktoratet för cybersäkerhet kommer att ersätta NSA:s nuvarande direktorat för informationssäkring. Detta tillkännagivande kommer i ett sammanhang där fler och fler röster höjs för att bekräfta behovet av en separation av NSA och USCYBERCOM. Dessa två enheter skiljer sig åt genom sina uppdrag, men framför allt genom sin juridiska auktoritet.

Skapat i november 1952 National Security Agency/Central Security Service (NSA/CSS) ansvarar – för den amerikanska regeringen – för ämnen som rör kryptologi, som omfattar både elektronisk intelligens (SIGINT) och cybersäkerhet, vilket möjliggör utnyttjande av datornätverk (CNO) vilket ger en fördel för beslutsfattande.

Under lång tid landets enda kompetenscentrum, NSA har kunnat utveckla en stor mängd kunnande kopplat till cyberrymden. Det var inte förrän 2008 som USA inventerade riskerna kopplade till cyberrymden. Okunskap i bästa fall, känsla av osårbarhet i värsta fall, Operation Buckshot Yankee kommer att avslöja vad många kommer att kalla det största nationella säkerhetshot som landet någonsin har känt.

Medan en ny skadlig programvara dök upp på radarn hos cybersäkerhetsforskare och specialiserade företag, upptäcktes en särskilt virulent version på vissa maskiner av NATO:s militära kommando i juni 2008. Smeknamnet "Agent.btz" av företaget F-Secure kommer att leda till ett djupgående ifrågasättande av USA:s förmåga att säkerställa säkerheten för sina datornätverk.

Operation Buckshot Yankee

Nästan fyra månader senare, i oktober 2008, upptäckte NSA-analytiker samma skadliga program i de mycket kritiska systemen. Hemligt Internet Protocol Router Network, nätverket genom vilket den mest känsliga informationen från utrikes- och försvarsdepartementen, såväl som inom Gemensam Worldwide Intelligence Communication System, nätverket som tillåter amerikanska myndigheter att överföra känslig information till sina allierade.

nsa datacenter Försvarsanalyser | Kommunikations- och försvarsnätverk | Spionerar
"Elfenbenstornen", även om de är bortkopplade från det globala nätverket, har visat sin sårbarhet för avancerade attacker

Vad som är förvånande vid första anblicken är att dessa nätverk är separerade från Internet och inte har – i princip – något gränssnitt med World Wide Web, vilket bildar ett "Air Gap": en fysisk separation, förmenta hermetisk. Men skadlig programvara "Agent.btz" fanns redan inom dessa nätverk och kommunicerade extremt känslig information till omvärlden. Denna teknik, som ska helt skydda ett nätverk från utsidan, är inte felfri och, som ofta är fallet, hittas "mellan datorn och stolen".

Liksom Stuxnet introducerades denna skadliga programvara, medvetet eller inte, på det skyddade nätverket via en tidigare infekterad USB-nyckel. När den väl har trängt in i målsystemet sprids den skadliga programvaran genom kapillärverkan och infekterar alla flyttbara enheter som kommer att anslutas till maskinen.

Men för att driva Agent.btz var han tvungen att kommunicera med sin externa sponsor. Dessa signaler, påtagliga bevis på skadlig aktivitet, upptäcktes av en teamanalytiker Avancerad nätverksoperation (ANO) från NSA som ansvarar för övervakning av telekommunikation (SIGNIT) av fiender till Förenta staterna utomlands (i teorin bara för att Edward Snowdens avslöjanden faktiskt till stor del har stött fall av övervakning av amerikanska medborgare på nationellt territorium).

Efter flera dagars undersökningar kom ANO-operatörerna till slutsatsen att säkerhetsöverträdelsen var tillräckligt allvarlig för att hänvisa den till den högsta nivån av den amerikanska säkerhetsapparaten. Den 24 oktober 2008 deltog Richard C. Schaeffer Jr., då NSA:s chefschef för datanätverkssäkerhet, och general Keith Alexander, byråns direktör, i en säkerhetsgenomgång under vilken de informerade dåtidens president, George W. Bush – sedan på väg att lämna sitt uppdrag – stabschefen, biträdande utrikesministern samt kongressens ledare.

Under de följande veckorna implementerades alla medel från National Security Agency för att innehålla, om inte eliminera, Agent.btz utan att skada infrastrukturen för landets säkra nätverk: c är starten på operationen Buckshot Yankee strängt talat.

Förutom att "städa" systemen gick underrättelsetjänstoperatörerna så långt att de fysiskt kopplade bort infekterade maskiner från nätverket för att ersätta dem helt eller direkt byta hårddiskar.

Förutom ANO, kallade NSA på en annan av dess komponenter, som senare skulle bli känd, den Skräddarsydda åtkomstoperationer (TAO). Denna hemliga enhet, mycket specialiserad på offensiva handlingar, har utvecklat expertis i utnyttjande av data från datorspionage sedan början av 1990-talet. Denna expertis kommer till stor del att bidra till upptäckten av malware-varianter och kommer att bidra till utvecklingen av den nya "aktiva" nätverksskyddsdoktrinen: cyberförsvar.

Enligt vissa amerikanska tjänstemän har typen av svaret på Agent.btz varit föremål för en lång debatt inom den amerikanska verkställande och militära apparaten. TAO skulle ha föreslagit åtgärder för att neutralisera civila nätverk som identifierats som reläer för sponsorn och dess lednings- och kontrollsystem (C2 eller C&C). Beslutet kommer att tas för att kvalificera skadlig programvara (som hela operationen) som en "klassisk" spionagehandling och inte som en riktig attack, som därför inte motiverade ett väpnat svar och ännu mindre kinetisk från USA.

I slutändan kommer användningen av USB-nycklar och alla flyttbara diskar att tillfälligt förbjudas från kritiska system, men ”patient noll” – källan till säkerhetsintrånget – kommer aldrig formellt att fastställas, även om starka misstankar har vägt Ryssland.

Genom att analysera koden för alla varianter av Agent.btz kommer ANO och TAO fortfarande att kunna spåra den tillbaka till system kopplade till säkra nätverk från Afghanistan och Irak. Skadlig programvara kommer att förbli aktiv fram till början av 2009 innan den slutligen förklaras inaktiv och har utrotats från alla komprometterade nätverk.

En avgörande insikt

Buckshot Yankee kommer i alla fall att ha väckt verklig medvetenhet om sårbarheten hos kritiska militära nätverk. Men ur en bredare synvinkel är det tillvägagångssättet för att skydda det senare som har satts på prov och som har bevisat sin ineffektivitet inför ett återkommande, precist och tekniskt sofistikerat hot. Passivt skydd, "muren", med andra ord cybersäkerhet, har bevisat sin oförmåga att möta alla hot. Allmänheten och virtualiteten i detta nya konfliktutrymme innebär att effekten och överraskningen alltid kommer att vara på angriparens sida.

Den operation som NSA genomfört kommer därför att ha fått till följd att dess säkerhetsstrategi i cyberrymden radikalt förändrats. Skyddet får nu inte längre bara vara passivt (cybersäkerhet) utan också aktivt (cyberförsvar) eller till och med proaktivt.

Agent.btz, vars framgång återstår att demonstrera för dess initiativtagare, kommer att ha varit en utmärkt "katalys" för utvecklingen av mentaliteterna hos den amerikanska säkerhetsapparaten. Behovet av aktivt skydd av kritiska nätverk, såväl som strategisk infrastruktur utom Atlanten, kommer nu att bli föremål för särskild uppmärksamhet.

Försvarscyberanalysrum | Kommunikations- och försvarsnätverk | Spionerar
US CYBERCOM ansvarar för att skydda integriteten och hållbarheten hos alla amerikanska väpnade styrkors nätverk och information.

Med en budget på 155 miljoner dollar och 750 anställda skapades en ny organisation den 31 oktober 2010: US Cyber ​​​​Command eller USCYBERCOM. Denna är "ansvarig för att planera, samordna, integrera, synkronisera och genomföra aktiviteter för att styra operationer och försvar av försvarsdepartementets informationsnätverk, förbereda för genomförande av fullspektrum militära operationer i cyberrymden för att möjliggöra åtgärder inom alla domäner, säkerställa handlingsfrihet för USA och dess allierade i cyberrymden och förnekar det för sina motståndare.”

Skapandet av Cyber ​​​​Command gav dock inte alla svar.

Flera grundläggande frågor kommer i gott skick leda till den strukturomvandling vi bevittnar i dag. Styrningen av amerikanska operationer i cyberrymden har varit föremål för debatt mellan civila och militära myndigheter i flera år. Vem är den myndighet som ansvarar för offensiv verksamhet? Är att genomföra en operation för att neutralisera en angripares nätverk en del av cyberförsvar eller offensiv cyberkrigföring?

Faktum är att NSA och USCYBERCOM var grupperade inom CSS (Central Security Service) och leddes av en soldat. Inledningsvis var denna "dubbla hatt" vettig på grund av en grundläggande likhet mellan de tekniska aspekterna av militära operationer i cyberrymden (Cyber ​​​​Command-domän) och underrättelserelaterade datornätverksoperationer (NSA-domän). General Michael Hayden, förste chef för CSS, påpekade att offensiva operationer i cyberrymden och signalunderrättelser är tekniskt omöjliga att skilja från varandra.

Det är från denna observation som idén föddes att förena befälet för de två organisationer som ansvarar för vart och ett av dessa områden. Det absolut nödvändiga behovet av att etablera en solid kapacitet för militära operationer i cyberrymden motiverade slutligen beslutet att länka samman de två enheterna och att utveckla teknologier och tekniker i nära samarbete.

"NSA har kapacitet att utföra sådana handlingar, USCYBERCOM har auktoriteten" General Michael Hayden.

Operation Gladiator Phoenix

Från sommaren 2009 började Pentagon utveckla en uppsättning regler för engagemang, och mer allmänt en doktrin för användningen av cyberverktyg.

Ur denna reflektion föddes en "exekutiv order" enligt vilken endast USSTRATCOM och USCYBERCOM kunde styra operationer och försvar av militära nätverk över hela världen. Till en början gällde detta viktiga privata datorsystem i USA.

Direktivet anger ett visst antal ytterligare villkor som måste uppfyllas för att utlösa ett militariserat svar:

  • Det måste vara en fientlig handling riktad mot USA, dess kritiska infrastruktur och/eller dess medborgare;
  • Det måste involvera den sannolika förestående döden, allvarlig skada eller skada som skulle hota USA:s nationella eller ekonomiska säkerhet;
  • Insatsen ska samordnas med berörda statliga myndigheter och stridsförband;
  • Åtgärderna måste begränsas till det nödvändiga spektrum som syftar till att avbryta attacken, samtidigt som man minimerar sidoeffekterna på civila mål.

Men den fortsatta ansträngningen att nå enighet om reglerna för engagemang och om den myndighet som ansvarar för att leda dessa cyberförsvar och offensiv datorkrigföring (LIO) misslyckades. Pressad av ett flertal underrättelsetjänster – ledda av CIA – och departementen för inrikes säkerhet och rättvisa, offrades försöket till kompromiss på altaret för gräl mellan myndigheterna.

Debatten har fastnat på USCYBERCOMs roll och hur långt den ska kunna gå för att fullfölja sitt uppdrag. Frågan är desto mer kritisk när det gäller servrar som finns på nationellt territorium.

I februari 2011,verkställande order är undertecknad. Detta, till stor del reviderat sedan den första versionen, begränsar armén till att försvara sina egna nätverk och kan endast avvika från denna regel med uttryckligt godkännande av presidenten.

Ineffektivitet hos systemet med "dubbel hatt".

Som en direkt följd av förhållandet mellan NSA och Cyber ​​​​Command, vars kommandon anförtros en enda individ (chefen för CSS), var den initiala motivationen för denna organisation – som skulle vara tillfällig – att tillåta den begynnande cybern. Befalla att dra nytta av expertis, kapacitet och erfarenhet från NSA för att uppnå sin fulla operativa kapacitet.

I praktiken tillåter relationen en enda person att väga de ofta konkurrerande intressena hos två organisationer vars ansvarsområden inom cyberrymden ofta överlappar varandra och till och med kannibaliserar varandra. Detta delade kommando har kontinuerligt granskats av presidentens administrationer sedan starten, och experter har framfört motstridiga argument för att upplösa och fortsätta arrangemanget.

Även om de flesta argument för att avsluta detta system fokuserar på framgången med USCYBERCOM:s etablering, eller risken för NSA:s operationer och kapacitet, har relativt lite uppmärksamhet ägnats åt hur organisatorisk överlappning med NSA påverkar det fortsatta genomförandet av militära operationer i cyberrymden.

enligt en officiel av Cyber ​​​​Command, "har det ömsesidiga beroendet mellan de två organisationerna gjort det möjligt för den att vänja sig vid praktiskt taget oavbruten operativ och logistisk support från NSA-kontor. Detta djupt rotade organisatoriska beroende av NSA-tekniker och -processer har i grunden format hur kommandot närmar sig cyberrymdens operationer. Specifikt, genom att dra nytta av NSA:s rutiner och kultur, har USCYBERCOM blivit allt mer riskvilligt […] granskning och godkännandeprocesser måste byta paradigm.”

Om Central Security Service genom att idag sammanföra NSA och USCYBERCOM har man kunnat utveckla kapacitet och teknisk expertis som är unik i världen, detta är till stor del tack vare det nära samarbetet mellan tekniker på mycket hög nivå. NSA har cirka 30 000 militär och civil personal och har mer än 800 doktorander inom områdena matematik, fysik och ingenjörsvetenskap. Grupperade tillsammans på Fort Meade-platsen i Maryland, har NSA och USCYBERCOM utvecklats symbiotiskt under ett decennium och det är denna organisation som sedan dess har gjort USA:s framgång i genomförandet av sina militära operationer och underrättelsetjänster (Olympic Games, Flame, DuQu och Gauss i synnerhet).

Detta väger nu på kontinuiteten i denna utveckling, även på USA:s ledande ställning i cyberrymden. Arbetet som påbörjats med Operation Gladiator Phoenix kommer att behöva återupptas för att fastställa tydliga regler för styrning mellan NSA och USCYBERCOM, med skiljedom som i slutändan förblir den verkställande ledningens ansvar.

Ur denna debatt bör en ny doktrin uppstå över Atlanten för genomförandet av operationer i cyberrymden. Om Frankrike har valt att separera cyberförsvar (ComCyber), cybersäkerhet (ANSSI) och underrättelseverksamhet (DRM, DGSI och DGSE); den offensiva datorstriden (LIO) är fortfarande premiärministerns ansvar och förlitar sig på DGSE:s (DT-DGSE) militära kapacitet och tekniska ledning. Bristen på information gör det inte möjligt att dra slutsatser om effektiviteten av detta samarbete. Det återstår att överlappningen mellan de olika dimensionerna av verksamheten i cyberrymden utgör en verklig utmaning när det gäller samarbete mellan de olika intressenterna. Genom att anta en modell som liknar Förenta staternas, har Frankrike hittills kunnat bespara sig eländet, i synnerhet genom att förlita sig på människor. Kom ihåg att den första direktören för National Agency for Information Systems Security (ANSSI) sedan 1 mars 2014 har varit teknisk chef för DGSE.

Allt som återstår är att hoppas att "Titi" har lärt sig att vara diskret.


Jean Lebougre
Cyberkrigsspecialist

För vidare

SOCIALA NÄTVERK

Senaste artiklarna