主动防御(04)-案例学习|洋葱式信息安全观察

围观次数:311 views

楔子:”Are you eating your own dog food?”

当我们谈论主动网络防御(ACD,Active Cyber Defence)时,一定会想主动防御在真实背景下是否有实践可供参考?本文,让我们一些学习一下真实存在的ACD:英国主动网络防御计划。

本文的分析完全根据公开资料进行,接下来,让我们一起看看英国的主动网络防御计划的一些关键发现。

一、简述&背景

英国ACD于2016年在国家网络安全中心(NCSC,National Cyber Security Centre)的支持下展开,从公共事业群开始,目前已经推广到企业、组织和个人领域。NCSC官员表示网络空间安全对公共、人身安全,甚至是国家安全影响巨大,网络攻击与物理世界的交叉随时可能发生。NCSC 称自己在ACD计划中的角色主要是咨询,帮助组织部署 ACD,并提供技术本身,并且该计划是纯防御性的,并未暗示“反击”或其他可能导致升级或报复的行动。然而,其他资料显示英国表示拥有并愿意使用“进攻性”网络能力,这种能力包含在NOCP中( National Offensive Cyber Programme),开发“专门的网络空间反击能力”,不属于 ACD 计划的一部分。

未来,ACD可能会被英国以网络安全战略的名义采取“公共产品”的逻辑加以构建和发展。自ACD计划实施以来,一些英国公共组织和企业对ACD知识和经验的能力和最佳实践框架做出了贡献,评估报告称ACD计划对改善英国国家网络安全起到了重要作用。

二、主要活动构成

英国ACD 自动响应包括网络钓鱼在内的许多不同类型的攻击,以下是ACD四个主要活动:

  • 下线仿冒攻击(Take Down):要求托管服务提供商下线冒充英国政府和其他人的网站和内容;
  • 邮件来源检查: 利用邮件地址检查能力,使犯罪分子更难分发看似来自可信来源(例如政府机构)的电子邮件;
  • 网络健康检查: 帮助网站所有者检查常见的安全问题;
  • 阻止不良网站: 阻止用户访问不良网站,例如已知的分发恶意软件的网站。

据官方的报告: Takedown Service 将英国在全球网络钓鱼攻击中的份额减少了一半以上,降至 2.4%,移除了近 140,000 个英国托管的网络钓鱼站点,另外还有 14,000 多个冒充英国政府的网站; 每月平均阻止近 11,000 个恶意域,使其网络用户无法使用这些域; 网络健康检查确定了其用户数字资产中的 2,300 多个紧急问题,使其得以及时修复。数据还显示,用户对这些服务的接受度明显增强。

三、ACD五原则

英国ACD有五个基本原则:

‘eat your own dog food’(吃你自己的狗粮)原则:即NCSC需要将推行的建议进行实践化,起到典范作用;

自动化原则:将ACD 组件的日常操作尽可能多地自动化;(笔者按:其自动化的核心组件包括一个多区威胁情报中心)

直接干预原则:如果市场无法提供足够的网络安全解决方案,英国政府将采取直接行动;

透明报告原则:其公共咨询职能要求尽可能保持透明度,以提高网络安全意识和质量;通过开放 ACD 以接受“审查和挑战”,特别是来自互联网服务提供商 (ISP) 和关键基础设施所有者运营商的审查和挑战;

合作伙伴原则:向一系列合作伙伴提供数据,并接收来自私人供应商的威胁情报源。

四、技术层面

英国的ACD计划主要是为了解决“一般攻击”问题,即日常困扰网络、系统和用户的大量相对简单的恶意软件(malware),以及多种形式的凭据盗窃、帐户劫持等。“一般攻击”通常使用现成的工具和技术进行,并且这些工具和技术通常是网络防御者众所周知的,因此也更加容易进行自动化防御。由此可知,ACD计划主要用于减少足够的噪音,使防御者有足够时间和资源应对那些非常有针对性的攻击。

防火墙、入侵检测/保护系统、反病毒、反垃圾邮件和反网络钓鱼程序等构成了ACD的基础部分。然而,互联网随着时间的推移,一直在发生变化,因此,ACD 也需要随之改变。犯罪分子可能会使用人工智能 (AI) 和机器学习 (ML) 来克服反措施和防御,所以NCSC也在ACD计划中加强机器学习和人工智能的投入,包括:对机器学习算法生成的分类进行合理解释;针对训练数据投毒相关问题,以及数据密集型计算环境中可能出现的其他不良行为等。

五、写在最后

虽然英国通过部署ACD对防范网络犯罪和网络威胁起到很大作用,获得了明显可见的经济利益,为ACD的应用提供了实践参考依据。但是,众所周知,主动网络防御并不完美,它不是一个单一的实体,可以进行简单的一次性部署来获得,它有许多活动部分,未来的发展将需要更加敏捷化、智能化,以应对不断变化的社会和技术环境。

附录:英国2021 ACD计划执行数据摘录

  1. Comparative overall annual takedowns, 2019-2020
  • Top 10 most targeted brands of UK government-themed phishing attacks, 2020
  • Brand agnostic UK-hosted attacks by type, 2020

发表评论

邮箱地址不会被公开。 必填项已用*标注

广告赞助