靶场发展态势⑦持续网络训练环境(PCTE)1
随着美国对网络战的政策及顶层设计越来越清晰,美军继续构建网络任务部队(Cyber MissionForce, CMF)并将专业的网络军团制度化,美国开始着手进行网络(赛博)空间作战培训平台的规划建设工作。网络空间作战培训平台强调持续网络训练环境(PersistentTraining Environment,缩写PTE)的概念,虽然美国网络司令部每年都会举办大规模的演习,比如“网络卫士”和“网络夺旗”项目,但已无法满足美军网络任务部队的网络作战试验演训需求。根据美国国防部规划的内容,“持续网络训练环境(PCTE)将为国防部(DoD)网络任务部队提供标准化的培训能力,使他们能够访问现有的网络培训靶场(CTR)以及可用的培训资源和内容。当前环境没有能力维持持久性环境,并且主要用于大型演习(例如,Cyber Flag)。服务网络组件已经建立了自己的培训环境,但是没有标准化的功能或内容。2015年11月17日,PCTE系统方法与国防部负责采购、技术和物流的副部长办公室(OUSD AT&L)的输出以及由参谋长联席会议主席(CJCS)J6领导的“替代方案的网络靶场评估(EOA)”结果和议题文件审议”。计划、模拟、培训和仪器仪表执行办公室(PEO STRI)被指定为PCTE的国防部采购负责人。该计划由2016年《国防授权法》第1645条所指示。根据PCTE执行委员会制定的IOC定义、原型、集成和测试工作将在2019财年完成,以达到初始作战能力(IOC)所需的能力。”美国国防部于2016年邀请美国陆军负责领导网络持续训练环境(PersistentTraining Environment,PTE)的项目开发工作,以帮助在实时虚拟环境中培训来自美国网络司令部的网络任务部队(CMF)。这个项目就是至NCR项目之后美国国防部又一重量级的网络空间靶场建设项目--持续赛博训练环境(Persistent Cyber Training Environment,PCTE)。目前该项目由美陆军模拟、培训和仪器计划执行办公室(PEOSTRI)管理。
建立持续赛博训练环境(Persistent Cyber Training Environment,PCTE)的背景原因,主要和美国的网络作战力量-网络任务部队(CMF)的作战能力建设有关。要梳理清楚背后的逻辑关系及美军网络任务部分在现有网络靶场训练所面临的困境因而寻求建设新的网络空间作战靶场培训平台的意图,我们需要明晰美军网络任务(CMF)部队的发展历史及训练演变过程。
首先,美军于2009年6月23日由美国国防部正式成立网络(赛博)战司令部,以统一协调保障美军赛博安全和开展网络战等军事行动,应对日益严重的赛博安全威胁。此外,美各军种也成立了网络空间司令部和相关的网络战部队。这个时期的网络(赛博)战司令部及美各军种网络空间司令部的网络战部队主要建设思路是将分布在不同部门的情报、信息作战、网络运行、电子战和空间战等力量进行整合,以形成整体网络空间作战能力的过程。根据报道,广义上的美军网络战部队人数达到9万人之众。
其次,美军为了更进一步形成绝对的网络战核心能力,美军网络司令部自2012年始建构其直属战力—网络任务部队(CMF)。网络任务部队(CMF)是美国网络司令部的行动部门,由各小组执行指挥部的任务,指导、同步和协调网络空间行动。自2013年起,网络任务部队不断加强其能力建设和规模建。到2018年,美军网络司令部直属战力—网络任务部队(CMF)共有133支部队(包括陆军41支,海军40支,空军39支,海军陆战队13支),约6,200名人员。其中各部队之职掌为:网络防卫小组负责美国国防部信息网络(DOD InformationNetwork, 即美军军网)防护并在遭到入侵时进行应变;国家任务小组负责侦测对手活动、阻止对手对美国发起攻击并反击;战斗任务小组则是进行战斗网络攻击作战行动,以支援各作战司令部的优先任务;最后则是提供任务分析与计划支援的网络支援小组,依照其协助对象,又可再分为国家支援小组及战斗支援小组。各任务小组通常由多种不同专长技能的成员组成,以执行其所职掌之网络作战任务。一般而言,小组主体为网战官、网战专员及情报分析师。需进行攻击行动以及支援相关任务的国家任务小组、战斗任务小组和国家支援小组可能有随时在外候命的网络攻击执行技术军士,网络防卫小组则有专职防卫之网络防卫技术军士。各任务小组视需要亦可能配有语言专家协助提供语言环境针对目标国发起攻击。有些小组的任务与战斗指挥部保持一致,以支持作战指挥官的优先任务,同步网络空间与海陆空天四大领域的作战行动;还有些小组则与个别防御任务服务保持一致。其他各小组的任务直接由隶属于美国网络司令部、网络国家任务部队和国防部信息网络联合部队总部(JFHQ-DODIN)的指挥部门负责传达。
再次,在发展和建设网络任务部队的过程中,如之前靶场发展态势小节所述,美网络司令部将网络任务部队(CMF)形成战力的训练科目分为四个阶段,第一阶段为基本个人训练,此时由各兵种基于其训练标准进行初阶本职技能训练。第二至四阶段之训练标准由网络司令部订定,其中第二阶段之个人基础训练目前仍由网络司令部负责,由授权代理单位进行专长训练,如国家安全局、国防网络调查训练学院等。第三阶段则是共同训练,包括让部队层级单位取得专长签证之各项活动,如在职训练及演习等,通过第三阶段视为具备作战能力(FOC)。最后的第四阶段则是维持训练。网络司令部对「全作战能力」(FOC)的定义,包括作战概念验证,以及具备高比例的经受训合格且具有专长签证的人员两部分。专长测验即有相当部分是在特别设计的演训活动中,于模拟高压实战环境下达成任务。在这些特别设计的演训活动中,比较为众所周知的有「网络骑士」(Cyber Knight)、「网络守卫」(Cyber Guard)及「网络旗」(Cyber Flag),均是每年或定期举行。其中「网络骑士」提供网络任务部队进行针对国家级或较低层级之任务集(mission set)进行演练,而「网络守卫」及「网络旗」,则是提供一动态的联合网络演训环境,让所有网络任务部队均能参与。「网络守卫」针对国家级事件进行全国应变,除了网络任务部队外,参与单位亦包括美国政府相关部门,如国土安全部及联邦调查局等。「网络旗」则是涵盖「五眼联盟」(Five Eyes)成员的跨国共同演训活动。
最后,经过精心设计的网络任务部队能力建设和实地训练,美国网络司令部于2018年5月宣布现有133支网络任务部队已全数达成FOC的里程碑。然而,对于已经达成FOC里程碑的网络司令部,要维持网络作战部队的战力,以落实其作战概念,仍是一项需要不断尝试以及改进的挑战。因此,美国国防部需要一个持续训练环境对具备作战能力的网络任务部队保持战力训练,现有的网络空间靶场就稍显不足。主要体现在:
1、现有靶场无法满足要求:现有的网络空间靶场设计之初没有考虑到网络任务部队保持战力训练的一系列对于未来作战概念落实可能会面临的训练挑战的设计和环境,及如何在网络空间靶场里实现和传统军事战力保持一样的网络战战备及演训活动的高烈度支撑。因此在这一步尚需要现有网络空间靶场进行能力扩充和尝试摸索,并为网络任务部队的战备状态找出最佳的网络空间靶场训练解决方案。
2、现有训练体系无法满足要求:达成FOC后,网络司令部将由监督后续训练的责任,逐渐转移至各军种部队上。但首先各军种间训练内容必须整合,以作为专长技能训练签证之基础。因此,除了既有的NCR外以及各大演训活动,训练环境的提供仍需要更大弹性,才能满足分散各地、各军种网络作战部队的训练需求。
3、现有训练内容无法满足要求:达成FOC后,网络司令部的许多网络任务部队军官表表示对持续训练和培训的需求,因为目前的训练没有达到应有的水平。美军调查也认为,专注于以网络空间进行作战的网络任务部队应该像传统部队一样保持高强度的训练,目前的网络任务部队使用的现有靶场资源及演训资源及集体训练“严重不够”。目前的网络空间靶场训练方法需要太多时间来准备提供训练的环境,而且演训的内容都是通过预置进行事先规划好的,对于具备FOC的网络任务部队来说,不能满足要求。
因此,由美国国防部于2016年指定由陆军主导建设的持续网络训练环境(PCTE),即是建立一个基于混合式云端服务(Hybrid Cloud)的训练平台,透过平台将训练整合并集中化,PCTE不仅能协助网络司令部更有效的训练网络任务部队,改善现今各军种为达到FOC而各行其政的现况。还能为网络任务部队提供持久的场景事件管理、高质量的个人与集体训练和任务推演能力。
为了推进持续网络训练环境(PCTE),在2015年美国国防部特地为美国陆军设立了网络训练靶场的执行代理办公室。美国陆军网络训练靶场的执行代理和上述我们描述的其他美国海军、美国空军、海军陆战队等军兵种一样,这些军兵种很早就是美国国防部试验测试资源管理中心(TRMC)设立有网络空间靶场的执行代理办公室,用于统筹规划本军兵种的网络空间靶场资源建设与利用。在传统的网络空间靶场建设与利用中,美国海军、美国空军、海军陆战队等军兵种在网络空间靶场上比陆军相对积极,因此也建设了类似美海军的MCCR、美海军陆战队管辖的DECRE、空军管辖的JCOR等。美国国防部为美国陆军设立了网络训练靶场的执行代理办公室之后,即在项目预算审查中,专门为美国陆军提供了一些资源执行PTE计划,以领头提升整个国防部的网络任务部队能力。
为了充分利用现有靶场资源,持续网络训练环境(PCTE)项目将利用在佛罗里达州奥兰多的国家网络空间靶场(NCR)、弗吉尼亚州的赛博安全靶场(CSR)和位于维吉尼亚州萨福克联合参谋部J-7的联合信息作战靶场(JIOR)以及的C5评估部的C5AD和国防企业级网络空间靶场(赛博)环境(DECRE)。持续网络训练环境(PCTE)项目是一个网络空间作战培训平台,它允许网络任务部队使用当前的网络工具套件在模拟的网络环境中进行训练。除了通过跨多个类别的分布式封闭网络进行大规模练习和实验外,持续网络训练环境(PCTE)还支持个人和团队培训。平台的发展将主要集中在可用应用程序的集成上,实现更高的自动化程度,从而最终支持多个同时进行的培训活动。持续网络训练环境(PCTE)只是美国网络司令部进行的较大教育工作的一个组成部分,到成熟时,会与位于美国军事基地内或附近的训练场相结合,美国国防部(DoD)联合持续网络训练环境(PCTE)将成为联盟的、可互操作的通用培训能力的组成部分,从而实现从个人能力到团队、集体、小组和部队训练、演习、TTP的全方位培训发展和任务演练的网络空间训练靶场环境保障环境。
持续网络训练环境(PCTE)将为网络任务部队提供可比的现实环境,以使用与战场上相同的工具进行培训。开发持续网络训练环境(PCTE)的目的是提供一种精确复制真实战斗场景的网络战训练环境。除了真实性之外,网络团队还需要一个场地来持续训练以掌握结合了所有联合服务的最新技术和操作。利用环境来磨练自己的技能,网络任务部队将能够在模拟演习中互相对抗或与自动对立部队进行战斗。他们将担任进攻和防御角色,在团队中学习和制定虚拟战场的策略。这种环境不仅使网络任务部队可以在相距仅数分钟或数英里的地方一起训练,而且在使用相同工具学习相同策略的同时,也可以提供相同的感觉和强度。安全权限将决定系统的访问权限,因此,拥有顶级权限的用户将比拥有更少权限的用户能够看到更多的详细信息和不同的安全级别网络。
要实现持续的网络任务,需要进行实践培训,这意味着要适应每个网络任务部队成员的学习风格,满足每个服务部门的独特需求,并将网络战争转变为标准的军事实践。这种方法为作战指挥官提供了战术手册和大量知识,可在计划任务时借鉴。
在陆军的研究和发展预算文件中,该服务要求2019财年用于训练环境的资金为6,580万美元,到2023财年的需求为4.294亿美元。PCTE的投标申请书计划于2019财年发布,随后在2020财年授予合同。该合同在8年拟定了8亿美元的资金费用用于建设PCTE。
为了达成这项目标,美国陆军在持续网络训练环境(PCTE)项目采购中进行采取多项新的采购尝试,并未遵照一般政府采购程序来执行。因为没有蓝图,所以陆军让用户参与了原型设计工作和早期开发。首先是将整个采购交给以美泰科技(ManTech)为首的四家系统服务厂商共同合作,并由美泰科技整合其他三家提出的方案,让各厂商能专注其负责项目,而非直接交付给一家厂商完成整项计划。美泰科技(ManTech)是选择为PCTE计划的第一部分开发培训工具的四个一级供应商之一,其他供应商是Circadence,Metova和SimSpace。更在两年内透过由非营利组织国家安全科技加速器(National SecurityTechnology Accelerator, NSTXL)所管理的训练与战备加速器( Training andReadiness Accelerator, TReX),提出五次“网络创新挑战”(Cyber InnovationsChallenges, CIC)给得标的四家厂商参与,以评估将不同功能结合至PCTE 基础解决方案,在技术上是否可行。
此外,不同于现有的政府与民间网络作战训练平台,PCTE的设计并没有一个既定的课程或训练项目,而是一个互动式、动态的虚拟环境,同时能储存相关资料,以进行演习前规划、演习后分析检讨甚至是透过重演情境进行训练。既然PCTE是相当于“无剧本演习”的虚拟环境,在其开发过程中就非常需要与潜在使用者互动。故PCTE开发采取多次释出产品原型的快速原型法(rapid prototyping),让潜在使用者直接对产品原型进行测试,并将意见回馈给开发者进行修改。由陆军主办的Cyber Anvil以及海军主办的Cyber Forge,即是专门提供网络任务部队针对PCTE原型进行测试的演训。如此敏捷、递回的开发模式,是业界现行的最佳作法,但是针对政府采购层面上来说,这个实践也算是相当大胆。
持续网络培训环境(PCTE)的建设内容主要包括:
一、持续网络培训环境(PCTE)的事件管理
描述:为PCTE开发事件计划、分配和管理功能,以包括事件设计,计划和执行,并由标准化的培训评估工具和功能来支持。
2018年计划:
继续开发和管理PCTE的事件管理,以包括物理和逻辑基础结构
培训平台和核心培训环境,可以在个人和团队中进行自动化培训活动水平。它还将包括未分类、秘密和最高秘密分类级别的实例。活动管理是支持培训活动的多个应用程序的集成。这些功能包括主控制器、集中订单门户、事件设计、事件控制、自动对立部队、技术支持、评估和反馈、内容库和工具管理存储库以及虚拟教室。2017年包括事件管理应用程序原型的采购和评估。在2018年,这些事件管理应用程序将集成到PCTE平台中,并提供给服务网络组件。
2019年计划:
事件管理功能将通过引入新功能并继续完善基于网络任务部队(CMF)评估已整合的功能,在上一年的努力基础上继续发展。计划管理办公室将继续开发,集成和评估原型应用程序,这些应用程序将满足PCTE要求的差距。
二、持续网络培训环境(PCTE)的环境运营和管理
描述:用真实的场景开发PCTE,作为个人和集体培训系统(课程表)的一部分,其中包括认证和实际任务排练。
2018年计划:
提供创建健壮的云网络的能力,以连接参与的网络培训靶场和PCTE的能力;
在参与的网络培训靶场内利用资源和内容。这样就无需为每个PCTE实例复制那些环境。该环境包括蓝队、红队、绿队和灰队网络的仿真,以及复制工业控制系统(ICS)以及监督控制和数据采集(SCADA)环境的能力。2018年将提供与PCTE的虚拟连接,以便CMF受训人员在建立培训活动时选择机动环境。这还包括“消毒”功能。培训结束后,让下一个学生有一个中立的环境。这还将包括使用当前威胁信息和情报以确保环境保持最新和相关性的能力,从而提供切合实际的培训环境。
2019年计划:
2019年将继续利用参与的网络培训靶场构建仿真环境和混合云环境,以支持团队/小组以及部队水平的培训活动。仿真环境包括蓝队、红队、绿队、和灰队网络的仿真,以及复制工业控制系统(ICS)以及监督控制和数据采集的能力(SCADA)环境。这些环境为网络任务部队(CMF)提供了“机动”空间和训练场。
三、持续网络培训环境(PCTE)的物理和虚拟连接
描述:无论参与者位于何处,都可以按需进行可靠,安全的物理和虚拟全局访问。一个核心的网络演习网络和事件管理平台,可以访问国防部、服务及政府机构间,跨国公司和私人机构等分布式系统的全套套件。
2018年计划:
提供多个安全级别的连接以及计算和存储要求以支持处理PCTE和所需的数据。2018年将为PCTE初始功能文档中定义的网络靶场提供强大的连接性,以支持2016年NDAA的1645节新站点将支持云环境的建立,并提供从参与的网络培训靶场和服务网络组件访问资源和内容的权限。
2019年计划:
将继续在前几年建立的初始连接基础上进行完善和完善,包括建立一个强大的混合云环境,以及扩展以访问一个地理位置内的多个培训设施。将优化与CMF站点的当前连接,以减少现有持续主干传输带宽上的延迟和效率。这将包括在培训站点和网络靶场内提供直接支持PCTE的网络节点。
四、持续网络培训环境(PCTE)测试和评估
2018年计划:
持续网络培训环境(PCTE)是多个应用程序和环境的集成,以及与现有网络靶场的连接。2018来将用于进行重大测试并实现集成测试、现场评估和运营测试。
2019年计划:
继续完成对单个产品,集成功能和功能下降的评估和测试的多级。这包括集成测试,现场评估和操作测试。在释放功能降级之前执行正式的验证和验证事件,以确保功能按预期执行。
根据美泰科技(ManTech)等项目人员动态及资讯可知,在对PCTE需求文档进行编纂的同时,美泰科技(ManTech)等项目供应商也进行了一些简化的A版原型设计。从2016年6月Cyber Forge演训的公开讯息可知,目前PCTE 能让六个团队由四个不同地点登入以进行多项演训任务,并举行探索新型网络威胁情境的年度对抗训练。已知的测试地点有马里兰州劳雷尔(Laurel, Maryland)的应用物理实验室(Applied Physics Lab)、德州圣安东尼奥联合基地(Joint Base San Antonio,Texas)的空军教育训练司令部(Air ForceEducation and Training Command)、乔治亚州戈登堡(Fort Gordon,Georgia)的陆军网络军团以及网络卓越中心(Army Cyber Corpsand Cyber Center of Excellence)、以及夏威夷欧胡岛库尼亚(Kunia, Hawaii)的国家安全局夏威夷密码中心(HawaiiCryptologic Center)。这显示PCTE目前已经相当接近2018年揭露的阶段性目标,即让部队由六个不同地点同时登入进行演训。
B版原型设计:主要重点是建立基础架构和培训平台。在2019年的2月份,持续网络训练环境(PCTE)B版平台原型用于联合网络演习“Cyber Anvil”演习中。并同步在3月举行的“Cyber Valhalla”演习活动也使用了这套训练环境。在这两次活动中,B版平台原型从约翰·霍普金斯大学的一个指挥所进行并行、分布式的集体和个人级培训试验测试。训练演习的网络任务部队包括横跨海军、空军、陆军和海军陆战队以及空军国民警卫队和空军后备队的作战部队,在作战上能够支持多个战斗人员的指挥。来自马里兰州、佛罗里达、乔治亚州、德克萨斯州和夏威夷的多个地点的人员都与PCTE的平台原型相连,总体涵盖了五个时区和七个分布式站点的近100名参与者,测试了PCTE的平台原型的分布式接入测试培训与自动化训练效果。
C版原型设计:根据最新的资讯结果:PCTE的平台原型设计C版在2019年7月份交付。在C版原型设计中,不但验证人工智能、机器学习、游戏化等当前主流的技术集成到PCTE中,还会验证和测试“数字孪生”的解决方案。在A、B原型设计中,CMF培训方案已使用多种技术手动部署生成各种网络培训靶场资源,但是测试的结果这些技术还是缺乏保真度、互操作性、可重用性和扩展能力,无法满足预计的CMF需求。因此,在C版原型设计中,PCTE平台通过提供工具来快速创建“数字孪生”解决了这些差距。在PCTE平台中复制网络空间操作环境,以执行逼真的培训和任务演练。此外,PCTE的“数字孪生”解决方案还将解决的是接入工业控制系统(ICS)之类的现实世界物理安全资产的问题,为了应对这一挑战,PCTE平台后续正在进行以快速识别框架、用例和敏捷原型设计方案,以将PCTE与远程物理资产集成在一起,从而实现“数字孪生”环境的环境复制。
PCTE第一阶段四家供应商简述:
Circadence提供了许多与网络相关的产品和服务。为PCTE提供的核心产品之一是Ares项目,本人在2017年曾经对Ares项目做过内部调研,并在本人公众号发布了部分局部内容。Ares项目是一款“由人工智能驱动的游戏化、持续的网络培训环境。”Ares是希腊神话中的战争之神,Ares项目的名称和意义是十分明显的。Ares网络安全培训与评估平台模仿了实际的网络,使用实时威胁情报,并提供机器学习和游戏化来教育网络战士。
ManTech为PCTE提供计划的网络、培训和部署环境功能集成。该公司主要帮助美国陆军PCTE建立独特的物理和虚拟计算设备,并通过其开放式微服务企业框架提供基础架构和集成支持。此外,ManTech还将LMS以及部分功能分包给了其他供应商,比如分包商终极知识研究所(UKI)提供用于网络培训的EMF 360学习管理系统(LMS)。LMS支持面向全球学生的讲师指导或自定进度的在线课程。SimSpace为PCTE计划开发订单门户和内容存储库,这将使学生(网络使命部队(CMF)的成员)能够访问PCTE平台和相关的培训工具。Metova将支持通过网络靶场相关的技术和PCTE集成:包括基于Metova的SLAM-R的蓝色空间,其重点是建立网络关键地形;灰色空间,支持商业和国防部信息网络架构;基于Metova的SLAM-R技术的流量生成和威胁模拟以及基于WarfighterPlatforms的网络集成,最终要为PCTE集成的内容包括建模与仿真、电子战、情报和动力学等领域。