序言
美国国土安全部(DHS)对国家非涉密(unclassified)网络的安全负有首要责任。国家经济和政府越来越依赖可靠和安全的网络,使这个任务越来越重要。
本研究考察了DHS报告《安全网络的未来蓝图》(Blueprint for a Secure
Cyber Future)中提到的能力,以及这些功能如何适用于网络安全活动。本文提出了一种评估网络安全防御行为的方法。
总结
在网络空间中,黑客攻击可以从许多选择,防御者必须应对所有可能的攻击。这些防御性准备和响应应涵盖了广泛的可能。每个活动当单独应用时,往往易于处理,也易于执行。但是,没有一项活动(或一部分活动)足以保证网络安全。因此,网络安全专业人士面临着从各种选择中选择一套适当的网络安全防御措施。
在私营和公共部门,包括美国国土安全部(DHS)都面临这个困境。
2011年,DHS领导层对其实施其章程所面临的挑战进行了全面审查,以确保国家的非分类网络安全。最终的报告《安全网络的未来蓝图》概述了敌对行为者、操作员的错误、软件设计的错误等所带来的挑战。
DHS蓝图确定了75项能力(其中25项是关键性的),这将提升国家网络的安全性。
使用DHS蓝图作为编程和预算框架的一个挑战是,功能被列为逐项列表。这导致了几个困难:
-
缺乏能力之间的关系:很难从DHS蓝图确定任何两种能力如何依赖或相互影响。
-
缺乏优先次序
-
缺少影响
在本报告中,我们的目标是解决这些困难,并帮助解释这些行动。我们提出了100多项可以作为网络防御战略要素的行动,我们通过确定活动之间的相互关系来支持选择过程。
我们通过层次分解来组织关系。这种分解过程假设任何直接相关的两个活动都可以被表征为具有父子关系。在我们的演示文稿中,父子链接表示两种类型的关系之一:组合(composition)或requisition。在组合关系中,父活动是两个或更多个子活动的组合(例如,meal由沙拉、开胃菜以及甜点活动组成)。在“requisition”关系中,在父活动可以进行之前,必须完成一个或多个子活动(例如,meal只能在买、烹饪等活动后进行)。
分层分解方法有许多表现形式。我们选择了阳光图,以便将总体目标放在图的中心,并且各种动作连续地从中心进一步分解。太阳图以环(ring)表示。环0(图表的中心)包含首要目标,降低网络攻击预期成本,环1由支持环0的策略组成,,环N
+ 1支持环N。网络日照图如图S.1所示。
应该指出,总而言之,所提出的行动对许多不同的社区是有价值的。CISO(首席信息安全官员)和其他行动与联邦政府内部的决策者都会关心。我们认为,本报告的内容对于参与制定政策和制定确保网络安全的战略的公共和私营部门的专业人士都将感兴趣。
(一)动机
爱尔兰共和军在布莱顿的大酒店暗杀总理撒切尔夫人失败后说:“今天我们不幸,但是记住我们只需要幸运一次,而你需要一直幸运。“这个警告不仅适用于网络安全,而且从防守者的角度来说,在网络环境中比在物理领域更为突出。网络空间及计算系统有几个特点,使得它们更容易受到物理对手的攻击。首先,计算系统是高度连接的,为攻击者提供了许多访问点。第二,计算系统非常复杂,许多访问点是其所有者未知的。第三个(也许最重要的是),计算系统是动态的,不断变化的,新的安装和应用程序升级使得连接性和复杂性变得复杂。网络安全专家永远不能休息。
考虑到2014年9月公布的针对Home
Depot的网络攻击,其中使用多个攻击点来获取恶意访问,包括窃取供应商凭据,利用Microsoft漏洞,攻击公司销售系统以及自动结帐系统。避免此类攻击所需的防御性工作和响应涵盖广泛的可能性,包括更新软件系统以最大限度地减少漏洞,安装拦截已知攻击类型的有效工具,鼓励员工、供应商使用适当的密码和进行安全培训避免社会工程,并记录日志以支持事后取证。
由于大多数(如果不是全部)组织以有限的资源运作,执行所有活动的前景是不切实际的,实际上许多首席信息安全官员(CISO)认为开展多重安全行动的成本上升非线性。网络安全专业人士面临着选择一套网络安全防御措施的挑战,必须基于实际性而不是最优性选择。
美国国土安全部(DHS)作为联邦机构负责维护国家非分类网络的安全,也面临着开发和选择网络防御战略的严峻挑战。鉴于DHS维护的网络在很大程度上由私人公司所有并经营,所以DHS的挑战尤其严重。
DHS没有授权来强制执行标准,因此它必须在很大程度上依赖于推荐,鼓励提供者符合安全标准和最实践。DHS拥有资源(2015年财政年度预算38.2亿美元),不断增强的研究和开发(R&D)计划,以及控制广泛使用的网络(.gov域)的网关服务。
2011年,DHS领导层对其实施其章程所面临的挑战进行了全面审查,以确保国家的非分类网络安全。最终的报告《安全网络的未来蓝图》概述了敌对行为者、操作员的错误、软件设计的错误等所带来的挑战。
DHS蓝图确定了75项能力(其中25项是关键性的),这将提升国家网络的安全性。
本报告的目的是提供一种组织可以用来解决这些困难的方法,并帮助解释为清单的行动。
(二)核心概念
在本报告中,我们提出了100多项可以作为网络防御战略要素的行动。如上所述,并不是所有活动都需要实施,也不是同样重要,由组织来具体选择。我们的方法提供了一个基础,安全人员可以根据活动之间的依赖关系分配和排序活动。
2.1 目标:降低网络攻击的预期成本
我们认为网络安全具有一个总体目标:降低网络攻击的预期成本。这个目标包含了几个假设。首先,我们用成本来表示影响,以准货币化的方式表达,在某些情况下,网络攻击导致涉及人员和/或计算资源的明确的货币成本,而在其他情况下,成本较不明显(例如,军事影响可能不一定会降低到美元和美分)。组织将损失的声誉也看成成本。可能会减少个人隐私或增加国家安全的风险。第二,我们使用“预期”成本来包括低可能性,高影响力的事件的风险,例如电网上的网络攻击或军事失败。这与日益增长的成本相反,是因为更常见的网络攻击,如网络犯罪。第三,即使是已经发生的网络攻击的许多费用是未知的。
2.2 环 1: 四个基本战略
四个基本战略,支持减少网络攻击的预期成本的目标,如图所示:
•减小暴露面。
•减小攻击影响(Neutralize attacks)
•增强恢复能力。
•加速恢复。
虽然这四个战略都是独特的,但在实践中有重叠。如图2.2中四个顶级策略的角度所示,“中和攻击”的角度为180度,“加速恢复”被分配为40度的角度,“减小暴露面”和“增加恢复力”是70度的角度。这些角度旨在作为相对重要性的近似值,而作为精确地分配资源的参考(即,“中和攻击”比“加速恢复”更重要),策略的缩略图定义如下:
•减小暴露面:系统的脆弱程度,与人员的访问程度有关。此操作有两个组成部分:减少系统与其他之间的联系(包括内部人员访问系统),并减少可访问的信息和计算过程(例如,软件程序和可执行文件)。在某些情况下,系统中的内部链路的切断可以限制攻击的破坏。
•减小攻击影响:防止发生攻击,并减少发生的攻击的影响。
•提高恢复能力。
•加速恢复。
2.3 方法论的基础
我们的方法是基于20世纪80年代后期在兰德开发的“战略-任务”分解方法。“战略-任务”框架提供目标(战略)和业务活动(任务)之间的联系。该框架明确地将活动分解为能够成功执行战略的功能性任务,并强调任务之间的相互关系。此外,“战略-任务”框架采用层次结构,以便每个任务随后可以分解成子任务。
“战略-任务”框架最初是为了美国空军而开发的。一个例子是通过保持强大的前沿军事的战略来阻止北韩攻击南韩。通过应用“战略-任务”框架,人们认识到,阻止北韩的目标包括两个支持目标:(1)保持强大的前沿军事存在,(2)外交孤立北韩。这些支持性目标可以通过层级结构进一步分解为下级活动。
本报告中“战略-任务”应用于网络安全领域,并通过利用日照图来改进可视化。
(三)环2
所有环1的动作又由更具体的环2动作支持。
3.1 环2:减小暴露面
我们可以通过考虑访问(攻击)物理和虚拟资产种类来组织减少不必要暴露策略:
•减少联网机器的数量。
•减少联网计算机上的网络接入点数量。
•减少网络计算机上的计算资源量。
•最小化联网计算机上的敏感数据量。
如下图所示。
3.2 环2: Neutralize Attacks
•减少网络攻击的次数。
•针对特定的已知威胁实施补救措施。
•阻止网络攻击
•确保网络中软件和硬件的质量。
•系统地降低网络固有的风险。
•提高系统管理的安全相关能力。
•测试系统抵御模拟的攻击。
•减少攻击中渗透的数量。
•增加分布式拒绝服务(DDOS)防御。
•增加内部威胁防御。
3.3 环2:增强康复能力
增加复原力涉及准备组织,以便在网络攻击成功的情况下受到最低限度的影响。 它得到以下更具体的操作的支持:
•采取(具体)康复步骤。
•符合康复指南。
•改进跨系统工程。
3.24 环2:加速恢复
虽然从网络攻击恢复的速度只有在攻击发生后才能知道,而且取决于在恢复阶段所做的努力,经验(特别是其他系统故障来源)表明,攻击之前采取的许多行动可以加速速度和降低成本。 因此,如果组织采取以下具体行动,可以促进加快恢复的总体行动:
•准备快速响应计划。
•提高响应能力。
•建立恢复系统的能力。
•安装系统以快速检测攻击。
•开发方法,以快速分离受感染系统。
•清除系统中的恶意软件。
(四)环3
以下内容不翻译,具体的内容参见https://www.rand.org/pubs/tools/TL186.html#download。
4.1 Ring 3: Resilience → Take Resilience Steps
增加冗余通道(Add channels):要注意到同时也增加了攻击面。
Develop procedures to prioritize communications:US军队有一种机制,在通讯线路有限的情况下,能使得优先级别高的信息先传递。
Create backup power sources:
Created uplicate assets where necessary:
Develop anduse un-erasable backups:
Make it easy to sever misperforming subsystems:
Document resilience steps:
4.2 Ring 3: Resilience → Conform to Resilience Guidelines
Write resilience standards
Educateengineers on resilience standards
Audit against resiliencestandards:
4.3 Ring 3: Resilience → Improve Cross-System Engineering
Minimize cascading system failures:
Avoid common-mode failure in software:
4.4 Ring 3: Recovery → Generate Rapid Response Plans
Draft rapidresponse plans
Develop partnerships for rapid recovery
Exercise rapid response plans:
4.5 Ring 3: Recovery → Increase Response Competence
Exercisecrisis response within sectors:
Exercisecrisis response across sectors:
Developbusiness continuity plans:
Train first responders
4.6 Ring 3: Recovery → Build the Ability to Restore Systems
创建重要数据计划( Create a priority data plan),重要数据计划将确定哪些数据(或数据流)对业务连续性至关重要,并采取措施确保能持续访问。
4.7 Ring 3: Exposure → Reduce the Number of Networked Machines
Reduce thenumber of externally addressable machines:
Determinewhich systems should be isolated:
Isolate systems as per this determination:
对隔离进行测试(Test isolation):Shodan(www.shodanhq.com)是一个测试工具。
– 用于测试隔离的工具:先决条件操作是获取和/或开发用于测试隔离的工具。 组织可以决定购买或不购买。
4.8 Ring 3: Neutralize Attack → Reduce the Number of Cyberattack Attempts
Reduce the number of hackers:
Reduce the incentive to hack:
Preempt attacks upon discovery:
4.9 Ring 3: Neutralize Attack → Counter the Insider Threat
Physically secure computing spaces:
Reduce attacks by employees:
Limit privileges of contractors:
4.10 Ring 3: Neutralize Attack → Develop Mitigations for Specific Known Threats
Develop ways to identify and characterize hackers
4.11 Ring 3: Neutralize Attack → Block Cyberattacks
Block cyberattacks on client computers:
Develop best client practices:
Vet employees likely to be unwitting conduits for attack:
Authenticate users securely:
Block cyberattacks passing from computers of affiliates:
Block harmful traffic at gateways:
Find and block infections after they have taken root onthe network:
Improve procedures for managing the network in a crisis:
Erect internal firewalls and/or filters:
4.12Ring 3: Neutralize Attack → Ensure the Quality of a System’s Hardware andSoftware
Develop processes and designs that can co-evolve withinnovation:
Adopt security-enabled hardware and software:
Develop acquisition processes to ensure delivery oftrustworthy components:
Improve the knowledge behind the engineering of softwareand hardware
Mitigate vulnerabilities in software:
Patch systems expeditiously
4.13 Ring 3: Neutralize Attack → Systematically Reduce Risks Inherent in the Network
Ensure performance standards for cyber risk managementare met
Develop sets of mitigation actions
Incorporate new technology when cost-effective:
4.14 Ring 3: Neutralize Attack → Improve the Security-Related Competence ofSystem Administrators
Improve the information that system administrators canaccess:
Improve the competence of system administrators:
Outsource system administration
4.15 Ring 3: Neutralize Attack → TestSystems Against Simulated Attacks
Deploy people to red-team systems
Acquire red-teaming tools:
Use the results to prioritize subsequent investments:
4.16 Ring 3: Neutralize Attack → Defend Against DDOS Attacks
Adopt counter-DDOS policies:
Adopt counter-DDOS mitigations
4.17Ring 3: Neutralize Attack → Reduce the Amount of Material Exfiltrated byAttacks
Reduce the quantity of exfiltrated data
Reduce the quality of exfiltrated data
(五)结论
制定网络防御战略需要从很多可能的行动中选择防御性和预防性活动。这个选择过程很困难,必须确定一个策略,注意有效性和实用性,特别是在有限资源的背景下。
我们认为,认识到行动之间的相互关系可以促进选择过程,可以根据他们之间的依赖关系来分配和确定行动的优先级。在这方面,我们根据他们的关系分级组织网络防范行动。如果两个行为直接相关,我们将关系描述为两种可能的关系类型之一:组合或请求。我们用一个阳光图展示了相关的动作。
这种方法旨在帮助CISO及其支持小组对组织的网络防御战略进行观察。由于资源在网络防御战略的不同组成部分之间移动,本文中提出的方法应能够以金钱,时间和其他方式透明地审查相关费用。通过将这种方法应用于一组组织(例如,在同一部门内,跨不同部门或不同的政府机构),可以了解最佳实践。
