清研智库:详解美国网络安全研究与发展战略的防御要素(下)

03防御要素:检测
检测旨在确保系统和网络所有者、用户对正在进行的(授权的和恶意的)活动有态势感知和理解,并朝着基本自动化的检测和警告能力迈进。

提供态势感知。系统和网络高度复杂,设备移动性增加了复杂性。为了保护网络和系统,当设备被添加或移除时,有必要确定系统的所有关键资产,以及与用户相关的属性和异常。实时变化检测是必不可少的,包括灵活适应动态网络条件并能够与已知良好系统状态进行比较的方案。

检测漏洞。系统配置的更改、新应用程序的安装或新技术的发现可能会降低系统的保护级别或创建新的漏洞。需要使用工具来实时地确定保护措施中的缺陷,以便能够纠正这种情况。

有效检测快速发展的恶意网络活动。操作是高度动态的,上下文是重要的;因此,当前的工具有许多误报和漏报,无法区分恶意网络活动和授权操作。许多识别恶意网络活动的技术在本质上也是可追溯的:这些工具寻找符合已知历史模式的恶意活动。当面对对手的创新时,这些工具变得毫无用处。为了保证检测技术能够可靠地检测到敌方的各种恶意网络活动,缩短检测时间,需要进行研发。特别是,需要能够检测恶意软件和具有可接受误报和漏报水平的创新操作序列的工具。与系统基线活动相比,行为入侵检测和启发式工具寻找异常,提供了一个有前途的研究途径。能够从非常大的数据集中提取有用信息,可扩展数学技术可以从网络日志等数据源中更有效地检测恶意网络活动。

04防御要素:回应
有效的防御包括适应、反击、恢复和适应恶意网络活动的能力。网络防御者必须迅速有效地应对对抗性活动,无论是针对性的还是全球性的。系统必须承受这些事件,以使其关键任务和操作功能仍然满足最低性能要求,并避免重大损坏。弹性系统将在此类活动期间和之后继续正确运行,并将从不利影响中恢复。为了保持弹性,系统还必须动态地适应不断变化的威胁。此外,有效的应对措施包括通过向对手施加额外成本来打击恶意网络活动。反击的目的是揭露、贬低、破坏或阻止恶意活动。

由于网络安全技术被集成到复杂的系统和系统体系中,响应往往具有不可预见的依赖性和耦合的交互作用。开发人员和用户需要了解和洞察这些系统行为,以及分析技术和响应路径,以保持清晰和信任,避免意外后果。

另一个挑战来自越来越多地使用自主系统,这些系统必须支持响应、恢复和调整,而与网络防御者很少或根本没有互动(甚至没有知识)。随着弹性设计原则和技术的进步,必须考虑自主性的影响。

多尺度风险治理对当前的网络防御活动提出了技术挑战。增加、减少或转移风险因素的决策是在多个层面和多个尺度上做出的。在一个层次上做出的决定会以复杂和难以理解的方式影响其他层次。需要技术方法来识别和理解风险相关性,并探索由此产生的决策空间。使这一过程复杂化的是,必须作出执行决定的时间继续缩短:网络威胁和恶意活动的检测、评估和缓解必须比对手利用系统的速度更快。在这个不断收紧的风险管理周期中,决策者之间的信息共享和协调变得越来越重要。

提高系统整体响应能力的三种方式

因此,为了提高系统的整体响应能力,研发活动应通过以下三种方式提高系统、企业和关键基础设施的适应、对抗、恢复和调整能力:

提供动态评估。测量系统组件的关键特性和属性,并在不断变化的威胁方法和系统需求中评估潜在损害,从而使响应和恢复到已知的良好状态。

      包括自适应响应。提供调整方法,以适应实际、新出现的和预期的中断,以便在将意外后果和对手投资回报降到最低的同时,继续满足任务和组织需求。这些方法将在短期内支持同质企业系统的风险权衡,并在中期支持集成异质网络物理系统的风险权衡。从长远来看,它们将使集成的弹性体系结构得以优化,以吸收冲击并将恢复速度提高到已知的安全可操作状态。研发是必要的,以防止对手利用自主功能及其基础的机器学习。

      多尺度协调。提供多种规模的风险管理方法(如组件、设备、系统、系统体系、企业或国际联盟),并对特定类型的恶意网络活动(如分布式攻击)做出全面和集体的响应。这些方法支持近期收集威胁情报,中期协调防御活动,长期协商协调集体防御。

清研智库李梓涵编译

(未完待续)

相关文章