0
En medlem av det Gröna Laget varningar resten av hans kamrater.
Bild: NATO
Denna artikel publicerades ursprungligen på TechRepublic.
I dörren av en lågt i tak, rum med hårda lysrör, Klaid Magi tittar trött. Bakom honom, röra antyder att det inte har varit en vanlig dag på kontoret. Lådorna är överfyllda med tomma Koks burkar, skrivbord är täckt av mellanmål omslag, och rum nog luktade en hel del fräschare några timmar tidigare.
Magi team, en liten grupp om två dussin nu-trött experter på säkerhet, vandra mellan rader av Datorer och whiteboards klottrade med noter, gradvis återhämtar sig från en dag som den sista försvar av en liten nation mot en massiv cyberattack.
Ladda ner denna artikel som PDF (gratis registrering krävs).Magi vanliga jobb är att köra Estlands Computer Emergency Response Team, men idag har han varit ansvarig för att skydda den fiktiva landet Berylia från okända angripare.
Det team av försvarare, som drivs från en intetsägande höghus i en förort i den estniska huvudstaden Tallinn, är bara en av flera att ta del i en internationell cyberdefence övning som syftar till att förbereda dem för att ta itu med den verkliga sak.
Två dagars träning, som anordnas av en NATO-anslutna it-försvar tankesmedja, syftar till att testa de kunskaper och ett av dessa lag på att försvara en rad teknik-från pc-Datorer och servrar till flygtrafikledning.
“All den infrastruktur som vi har på något sätt under attack,” sade Magi.
“I verkliga livet som du aldrig kommer att se ett par tusen it-angrepp per dag, så är det uppenbart att det var en tuff dag,” tillade han.
Det är slutet av den första dagen av spelet (till skillnad från en riktig cyberkrig spelet är något mer civiliserade och håller sig till vanlig kontorstid) och det estniska laget, som anses vara en av de starkaste spelar, känner att det har ridit ut stormen så långt, vd för att skydda systemen i den fiktiva air base, de försvarar.
“Detta är vårt dagliga jobb och ingenting imponerar oss,” tre vise männen sade.
Men det finns mycket mer att komma på dag två.
*****
Över på andra sidan av Tallinn är skurkarna som orsakar alla problem för Magi team.
Det är inget personligt-de är också orsakar förödelse för de övriga 18 försvarande lag i kriget spelet känt som Låst Sköldar.
För de två dagar som spelet var igång, balsalen på ett hotell som fungerade som navet i arbetet, med middag jackor och fest klänningar ge vika för ett par dagar till experter på it-säkerhet i ljusa T-shirts och en och annan militär uniform.
Hör Steve Ranger förklara hur han skrev den här berättelsen om NATO är Låst Sköldar konkurrens.Det var också basen av angriparna–känd som Röda Laget-och det såg delen: en rymlig hall som domineras av en gigantisk skärm.
Rummet, full av röda T-shirted, mestadels manliga hackare, var lugn och saklig, vilket är något i strid med den skoningslösa bombningar denna lag är att dela ut.
Mehis Hakkaja var stern-söker chef för det Röda Laget. “Jag är en trevlig kille,” insisterade han med ett leende, men det var tydligt att han njöt utmaning av utövande.
Jag nämner besök i estlands Blå Laget. “De såg trötta?” frågade han. “De skulle vara bättre.”
*****
Låst Sköldar träningen har varit igång sedan 2010, och scenariot är vanligtvis baserad runt skydda landet Berylia, en fiktiv ny medlem av NATO flytande någonstans i nordatlanten, som har en svår relation med rivaliserande staten Crimsonia.
Riktigt var denna inblandning rival Crimsonia ligger faktiskt aldrig gjort helt klart i scenariot. Men ingen som arbetar med motion har mycket tvivel om att det ligger någonstans att de östra delarna av Europa.
Låst Sköldar drivs av NATO ‘ s Cooperative Cyber Defence Centre of Excellence (CCD COE) och räkningar sig som den största och mest komplexa internationella tekniska nätverk försvar motion och omfattar 900 deltagare från 25 nationer. Detta år fanns det 18 nationella lag, plus ett lag från NATO självt att spela spelet.
Övningar som denna har vuxit i omfattning under de senaste åren, har det blivit tydligt att cyberwarfare har flyttat från en stor del teoretiska till den oroväckande sannolikt.
Många regeringar nu spendera stora summor på att bygga upp sin kapacitet att kriga på digitala system, med USA, Ryssland och Kina ses som den mest avancerade i sin kapacitet. Händelser såsom 2015 hacka attack på elnätet i västra Ukraina, som fick en blackout lämnar hundratusentals utan ström, har visat effektiviteten av att använda digitala attacker mot viktig infrastruktur.
I år försvarar Blå Lagen hade att spela rollen av en snabb hantering av it-säkerhetsgruppen som har uteslutits för att skydda Berylia s viktigaste militära flygbas från it-angrepp.
Rasande takt av simulering efterliknar en verklig nödsituation.
Bild: NATO
Lagen har att försvara allt du kan hitta i ett vanligt kontor, inklusive Windows Pc, Mac, Linux, och e-post och servrar. De måste också skydda system som styr elnätet och plan för militär luftfart, inbegripet militär spaning drönare och programmable logic controllers kopplade till air base är bränslet. Syftet är att förstärka tanken att varje enskilt system inom eller utanför nätet skulle kunna vara en utgångspunkt för angripare.
Den tekniska spel, slåss av våg efter våg av it-angrepp, var den viktigaste punkten i utövandet, och var hur lagen fått de flesta av sina poäng.
Regn Ottis, chef för spelet-att organisera Vita Laget, förklarade: “Det är tekniskt, det är hands-on. De flesta av de spel vi har är riktiga datorer, inför realistiska hot, hantera realistisk motståndare. Det är levande eld. Vi har faktiskt en levande motståndare. De kommer faktiskt att ta kontroll över en server, kanske vanställa det eller göra vad målet säger att de har att göra.”
Under åren Låst Sköldar har utvidgats till att omfatta en kommunikation spel, där lagen har att svara på förfrågningar om intervjuer och uppdatera Berylian människor på deras svar på attacken, och en juridisk spel där lagen’ advokater har att arbeta ut om attacker bryta mot lagen och vad man ska göra åt det. På toppen av detta, det är en table-top strategi spel som försöker efterlikna rollen som ledande militär och civil beslutsfattare som har att räkna ut hur man ska bemöta attackerna–sätter in den i ett “större geopolitiska sammanhang”, enligt en av spelarna.
“På den tekniska nivå som du har att oroa dig för saker som malware, eller någon defacing din webbplats, eller” varför gjorde min makt systemet bara för att gå ner?’…frågor som den här. I den strategiska spel det finns frågor om detta hänt i verkliga livet skulle det betraktas som en användning av våld eller en väpnad attack,” sade Ottis. “Är det något som är värt att gå till krig om?”
För att lägga till komplexiteten, spelets kontroller är inte hantera bara en fiktiv Berylia men så många som 20 olika versioner staplade upp, eftersom medan varje lag står inför samma hot som de kan stöta på olika problem och olika delar av scenariot vid olika tidpunkter. Detta innebär att spelet utspelar sig separat och i olika takt för varje team, beroende på de beslut de tar. Det är ingen överraskning då att ett av de lag som kör spelet plockade tid-reser Tardis som deras inofficiell maskot.
Ladda ner denna artikel som PDF (gratis registrering krävs).
*****
Allt detta drivs från ballroom kontrollrummet, som TechRepublic fick omfattande tillgång under hela övningen.
Det lag som kör de olika delarna av spelet tilldelas sin egen färg T-shirts och banker för Datorer. Rött är anfallande laget; grönt för infrastrukturen team som håller spelet igång, och vitt är för kommunikation och juridiska team och andra som kör scenarier.
Det finns en annan lag, som ligger strax utanför kontrollrummet. Phishing-försök och ransomware kan bara lyckas om någon i organisationen är oklokt nog för att öppna ett dokument eller klicka på skumma länkar. Och vem skulle vara dum nog att klicka på ett slumpmässigt bifogad fil från ett udda e-postadress i mitten av en cyberwarfare spelet?
Lyckligtvis för angriparna, och tyvärr för försvararna, varje Blå Laget tilldelas en uppsättning av virtuella slutanvändare som är att lita på (eller dum) nog för att klicka på alla typer av virus-ridit bilagor och ge skurkarna med en av deras sätt. För att lägga till kaos dessa clueless virtuella användare kommer då att klaga till det Blå Laget att de inte kan komma åt sin e-post eller andra tjänster (eftersom de bara har fört ned dem genom att klicka på ransomware), vilket leder till ännu mer arbete och krångel för försvarande lag att rensa upp.
Det finns inte några blå T-shirts med tanke–försvarande lag är huvudsakligen baserad i sina hemländer. Dessa grupper kan variera i storlek från 20 till 60 medlemmar, de flesta, som Magi är estniska laget, är en blandning av civila och militära säkerhetsexperter. Vissa lag är fyllda med veteraner från tidigare Låst Sköldar, medan vissa är fullständiga nybörjare.
*****
Spelet startar på ett sätt som lagen kan inte förvänta sig-och inte med en aldrig-sett-innan datorn virus slita genom sina system, men med ett dokument med falska påståenden om att Berylians bygger förbjudna vapen. Medan team försöker att lista ut vad det är som händer, resten av bombningarna börjar.
Det är ett konstant surr i kontrollrummet när spelet är på, men det är också kontrolleras, det finns verkligen inget jubel när ett lag förlorar ett system.
Det är lätt att fastna i spelet, för att känna efter den lag som de förlorar en drönare eller kämpar för att hålla power grid från att stänga, samtidigt som man försöker avgöra vem som attackerar dem och vilka de rättsliga situationen är, även om lagen i sig kan vara hundratals eller tusentals miles bort.
Över toppen av alla de olika grupper vävstolar en jätte drone som gungar försiktigt i vinden av den stundtals hetsiga samtal från lag under den speglade undersidan av sin långa vingar speglar den ljusa skärmar under.
Detta drone är inte den enda påminnelse om det virtuella striden som rasar. Runt kanterna på rummet är några av de system som bidrar till att göra spelet mer verkligt för lagen, både anfallare och försvarare.
I ena hörnet finns en whiteboard fylld med en uppsättning av grå metall lådor om storleken av en housebrick–vanlig spara för lite grönt och rött blinkande ljus på undersidan. Dessa är drone hjärnor.
Dessa drönare kontrollenheter tror att de faktiskt inne i kroppen av en drönare som flyger runt i Berylian luftrum. Drönare är tänkt att spåra en rutt under mitten av Berylia, men om Röda Laget hackare ta kontroll, då drone kommer spiral av kurs över Berylia (dåliga) eller även in internationella luftrummet (mycket dålig). Ännu värre, hackare kan stjäla övervakning video stream från drone och ersätta det med något annat, till exempel tecknade serier, (mycket dåligt och pinsamt, också).
En annan styrelse visar en uppsättning av 20 programmerbara styrsystem, som representerar systemet på air base används för tankning av flygplan. Om hackare kan bryta sig in i detta, kan de öppna ventilen och spiller bränsle på marken, och efter det tar det bara en gnista för att skapa kaos.
Olika modeller används för att reagera till iscensatta händelser.
Bild: NATO
Raimo Peterson, CCD COE: s teknik gren huvud, påpekade att detta är inte bara för att visa. “De kan se ut som mock-ups eller leksaker, [men] de är verkliga system som tas från fältet.
“Om du talar om power grid system, så ja, det är samma power grid programvara och samma power grid system som används i energi-överföring,” sade han, och samma drone-system som används i militära operationer runt om i världen. “Det är riktig utrustning som vi spelar med.”
Dominerar resten av rummet är en uppsättning av skärmar som visar aktuell status–det är den nuvarande elände av lagen.
En stor skärm som visar en live-karta av den digitala attacker överslag över från Crimsonia och ner mot lag fördelade över kartan för Berylia som en uppdaterad version av den gamla tv-spelet Missile Command. Det är ganska, men inte riktigt säga mycket annat än att alla lag är under attack, hela tiden.
Vad som visas på andra stranden av skärmar förändringar varje så ofta, det är bättre att visa precis hur det Röda Laget hackare förstör det Blå Laget dag.
Det Röda Laget, som drivs av Hakkaja, är uppdelat i tre huvudsakliga grupper. Den största av dessa är känd som en advanced persistent threat (APT) – gruppen-som sofistikerade statligt stöd hackare. Detta innebär att smyga tyst i nätverk och attackerar inifrån.
Medan de kryper runt, vid sidan av dem finns ett team som specialiserat sig på att attackera saker som webbplatser–en mycket mer högljudd och tydlig strategi som i år innefattar användning av ransomware mot lagen. Detta innebär att i stället för att bara defacing eller ta bort webbplatser denna grupp kommer att kryptera data och skicka en gisslan anteckning till det Blå Laget, som har att besluta om att betala eller inte.
En tredje grupp tar på brandväggar och den speciella industriella styrsystem och drone system som lagen har att försvara.
“Om man tittar på mönster i hur de flesta företag är nedsatt, det är denna APT-stil strategi genom att äventyra en dator–även en ganska random dator–inom en organisation som ger dig så mycket inflytande att flytta runt. I många fall, dessa händelser är inte ens märkte förrän några månader efter den kompromiss som har hänt, så om du har tid att smyga runt och ligga lågt, kan du exfiltrate en hel del data och skapa en hel del skador tills du är fångad,” Hakkaja sagt.
“Skillnaden med motion är det Blå Laget(s) vet att vi är efter dem, och allt granskas mycket mer än vanligt och vi har en mycket kort tid fönstret för att uppnå vårt mål så måste vi agera väldigt snabbt att göra vad vi måste göra innan vi sparkas ut.”
Ibland skärmarna visa en karta över Blue air base och dess system: Om det Röda Laget är hackare har lyckats slå ut elnätet, försvarare har bara minuter innan deras backup-batteriet är urladdat.
Skärmen kan också visa radar system att laget har för att skydda–visar att invadera flottor av anden flygplan om de förlorar kontroll-eller stig av drönare lagen har att hålla under kontroll.
Jean-Francois Agneessens var att arbeta för de Vita Laget i år, men var tidigare chef för NATO-laget, så han vet vad det är att vara på den mottagande slutet av attacker.
“De två dagarna av eld är som en komprimerad år så det finns en hel del händelser som sker samtidigt och ditt lag är begränsat, så du kommer att behöva en mängd olika färdigheter,” sade han.
Det är viktigt för lagen att förstå att de inte kan skydda allt hela tiden, tillade han, “som jag tror gör det så realistiskt eftersom det i verkliga livet, det är sant-du kan bara inte kan skydda allt perfekt.”
Agneessens sade, “Det är helt utmattande kan jag berätta. Vid utövandet [end] du verkligen skulle vilja fira det faktum att du lever efter dessa två dagar, men människor bara går för att sova och du måste vänta till nästa dag så att du kan fira.”
Att lagen i sina egna länder som försvarar den virtuella infrastrukturen av en annan fiktiva landet inte göra alltför stor skillnad för känslan av den motion han sade, till stor del eftersom det är hur den moderna tekniken fungerar–sällan är ett datasystem som fysiskt befinner sig i samma rum, eller ens i samma byggnad som team hantera det.
“De attacker som vi står inför är realistiska, de är väl organiserade, så det är inte bara en simulering av en massa script kiddies som försöker komma in på ditt nätverk som du kommer att upptäcka enkelt,” sade han.
******
Alla de extra lager utöver det tekniska spelet skapa fler ramen för det tekniska spelet och göra det mer meningsfullt för lagen.
Det är en påminnelse om att de inte bara försöker skydda en uppsättning av servrar eller Datorer, men de försöker att skydda en livsstil för ett land som förlitar sig på online-tjänster.
Men utvidgningen av spelet återspeglar också att cyberwarfare handlar inte bara om fastställande av programkod, det är något som kan påverka alla delar av samhället.
Det är något som Estland redan känner väl till. Detta år Låsta Sköldar var särskilt betydelsefullt eftersom det sammanföll exakt med den tionde årsdagen av den stora it-angrepp-mot Estland i April 2007. Det var första gången som en stat kom under ett sådant bombardemang.
Då, efter den estniska myndigheterna meddelade planer på att flytta ett Sovjetiskt krigsmonument, webbplatser av landets banker, myndigheter, telekomföretag attackerades, och många tvingades offline. Estland återfick sin självständighet 1991 under kollapsen av Sovjetunionen; Tallinn ligger bara 200 meter från St. Petersburg.
2007 års händelser var det första stora demonstration av hur elektroniska attacker kan orsaka reella problem för en avancerad ekonomi. NATO: s cyber tankesmedja som grundades i Tallinn året efter, och det hade redan varit planerad, men “bronssoldaten” – attacker som de var kända-som var i sällskap med två dagar av upplopp–säkert påskyndat processen.
Låst Sköldar simulering spelar ut över flera skärmar.
Bild: NATO
Ryska-stödda hackare var allmänt ses som ansvarig för de störningar, även om Ryssland förnekade allt ansvar.
Inte för att attackerna rädd Estland bort från att använda teknik, tvärtom; landet är ett av de mest uppkopplade i Europa och har även estniska “e-residency”, som tillåter utlänningar att ställa upp i EU-baserade företag på nätet.
För två decennier sedan det lilla landet–med få naturtillgångar, stora läskiga grannar, och en befolkning på drygt en miljon–beslutat att prioritera användning av teknik. Det infördes en online-omröstning i 2005 och har investerat i it-säkerhet, den estniska CERT och CCD COE, liksom dess Cyber Defence League, som består av experter från landets IT-företag, banker och Leverantörer.
Och det är inte bara en historisk hot mot Estland. Tidigare i år 800 soldater från STORBRITANNIEN kom i land som en del av en NATO “enhanced fram närvaro” – kampanjen, som syftar till att avskräcka från någon rysk aggression. Spänningarna i Östeuropa har varit stigande ända sedan Ryssland är olagliga annektering av Krim 2014.
Medan staging Låst Sköldar på årsdagen av attentaten var en tillfällighet enligt organisatörerna (det händer samma vecka varje år) och det fungerade för många som en påminnelse om att även om detta var bara ett spel, verkligheten är inte alltför långt borta.
En stor skillnad är att 2007 års attacker var mestadels denial of service-attacker–översvämningar webbplatser med så mycket trafik som de inte kunde klara. Detta är en av få attacker inte är tillåtna i Låst Sköldar, under vilken det Röda Laget använder oerhört mycket mer sofistikerade metoder för att bombardera sina mål.
“För 10 år sedan i Estland, mestadels var det bara DDoS-attacker–attacker som marken ditt system ner. Men under denna övning, de DDoS är bara attackera de är inte tillåtna att göra av reglerna. De försöker komma in i ditt system, för att bryta sig in i ditt system, stjäl de dina uppgifter, ändra dina uppgifter. Denna typ av incident var inte runt i 2007, oftast var det bara DDoS-attacker,” sade Magi av den estniska Blå Laget, som var ett nätverk, systemadministratör på ett telekomföretag i landet vid tiden för 2007 attacker.
Ladda ner denna artikel som PDF (gratis registrering krävs).
*****
Under andra eftermiddagen, spelet når sitt klimax: Det Röda Laget går från specifika mål för att attackera system det kan nå. Den Blå Lag är belägrade, kasta allt i deras försvar, som desperat försöker att hålla linjen.
Och då plötsligt är allt över.
Några öl kommer från någonstans, och en flaska konjak. Kontrollrummet är släppt och plötsligt allvarlig luft är borta och ersatt med prat och skämt och klirrande glas. Människor samlas kring den stora skärmar för att räkna ut vilka lag som förlorade vad som system. Även medlemmar av det Röda Laget att börja visas från deras hem, även om nu de fortfarande är lite mer allvarlig och reserverad.
Senare, efter alla lägga upp är gjort, att föra samman alla poäng från de olika spel element, blir det klart att tjeckien vann, Magis estniska laget tog andra plats, och ett team från NATO kom på tredje plats.
NATO vann även den rättsliga spelet, Tyskland toppade kriminaltekniska utmaningar, medan laget från STORBRITANNIEN fått högsta i kommunikation spel.
Men är krig spel som Låst Sköldar missar poängen?
Låst Sköldar deltagare kontrollera status för industriella styrsystem.
Bild: NATO
Medan ledarna har orolig av alla it-angrepp på kritisk infrastruktur som de i Låst Sköldar, det är mindre uppenbart angrepp som har orsakat skador nyligen, som dataintrång angrepp på det Demokratiska partiets Nationella Kommitté i upptakten till det AMERIKANSKA presidentvalet och hacka och läckage av e-post från det Streck kampanj strax före det franska valet. Åtminstone just nu, spioneri och läckande verkar ha lika stor inverkan på politiken som en attack på en power grid.
Så är dessa grupper som planerar för en attack som kanske aldrig kommer och ignorerar det svårare att försvara attacker som faktiskt gör mer skada? Jag frågade CCD COE ‘ s elegant skäggiga direktör Sven Sakkov om de har utbildning för just hot.
“Varje enhet behöver utbildning och helst i de mest realistiska och utmanande levande eld miljön”, sade han, och pekade på händelser som strömavbrott i västra Ukraina som ett exempel på de hot som länderna står inför.
“Frågor om it-säkerhet är front page news, så jag misstänker att vi kommer se mer, inte mindre, i framtiden, och jag hoppas att på grund av den kollektiva utbildning som de har fått här i Tallinn för den Blå Lag fördelade över hela Europa som en del av de olyckor förhoppningsvis kan undvikas,” sade han.
Men trots att organisera ett event för att hjälpa team försvara sig mot dessa attacker, han har också varnat för att se varje händelse som cyberkrig.
“Om du säger att det är ett cyberkrig, sedan i internationell lagstiftning som innebär att det är en väpnad konflikt mellan två nationer med alla rättsliga konsekvenser och vad det innebär i termer av självförsvar eller kollektivt självförsvar”, sade han.
“Och om vi ropar varg hela tiden och då vi faktiskt är i en situation där it-angrepp skulle resultera i att människor blir dödade och saker sprängs, vad kallar du det då? I grunden är vi undergräva den terminologi.”
När spelet är färdigt, det var allt packat bort snabbt, ballroom blev en ballroom igen, och Berylia var packat upp för ytterligare ett år.
Och lagen återvände till sitt normala liv, kanske undrar om nästa gång de är kallade att försvara ett land som det kommer vara på riktigt.
Ladda ner denna artikel som PDF (gratis registrering krävs).
Se också:
Regeringar och stater är nu officiellt utbildning för cyberwarfare: En insida blick (TechRepublic)i det hemliga digital kapprustning: Inför hotet om en global cyberkrig (TechRepublic)Cyberkrig och Framtiden för It-säkerhet (ZDNet)It-säkerhet i ett sakernas internet och Mobila Världen (ZDNet)
0