清研智库:详解美国网络安全研究与发展战略的防御要素(上)

(接前篇)

计算机和网络创造的价值将继续被那些寻求非法收益的人所颠覆。应假定IT系统易受恶意网络活动的攻击,并且不可能实现完美的安全性。应将安全视为一个灵活、持续的自我评估过程,并在威胁演变时采取知情行动,调整和应对威胁。威慑、保护、检测和响应的网络安全框架解决了网络安全的所有需求,通过这样做,它为协调研究和关注共同目标提供了一个结构。本节描述了每一个防御要素。

01防御要素:阻止
保护系统免受网络威胁的最有效方法是在恶意网络活动危害系统或企业之前阻止它们。从本计划所使用的广义上讲,威慑需要增加敌方为实现其目标而必须作出的努力,并增加其行动可能给它们带来的负面后果。如果对手判断恶意活动的可能成本(包括起诉或制裁的风险)大于其预期收益,则他们更有可能被阻止尝试这些活动。成功的威慑需要增加所需的努力水平和对对手的负面影响。仅通过报复威胁(例如起诉和制裁)进行威慑,对大多数恶意网络活动并不有效,并且目前网络攻击的归属和跨法域起诉受到限制。
威慑需要有效、多管齐下的防御

威慑需要有效的、多管齐下的防御,以增加必须拥有的资源的数量和种类。成功的网络防御有许多方面,从适当的技术解决方案(如设计安全的软件、硬件和操作系统)、网络协议和访问控制,到人为因素,如用户的安全数据处理。通过这种方式,有效的威慑依赖于其他三个防御要素的保护、检测和应对,以增加恶意网络活动的成本。

威慑还需要成功地将网络攻击归因于特定的犯罪者,以劝阻他们不进行网络攻击。然而,确定网络空间中个人恶意行为的来源可能很困难,因为行为人往往在不同的管辖范围内,他们通过代理和其他匿名程序运作。改善归属将需要在有效收集和分享跨组织和管辖区的活动指标方面取得进展。一个相关的挑战是发展足够强大的技术,以保存证据,使其适合在法律诉讼中使用,同时也加强即时检测和网络分析能力。

应对挑战所需具备的功能

为了应对这些挑战,需要新技术来衡量和验证企业挫败对手的能力,并确保执法部门、政府机构、系统和网络所有者能够成功地将恶意活动归因于其来源。所需功能的示例如下:

为攻击者、防御者和用户建模。网络安全参与者的有效模型对于正确评估攻击者的风险、成本和能力至关重要。本计划的关键依赖项—-人的方面一节为这些模型提供了广泛的考虑因素。在威慑背景下,考虑到防御者和用户的特点和能力,关键因素是对攻击者(即金钱、时间或计算成本)、效率和风险进行建模。

提供有效和及时的归属。准确地将恶意网络活动归因于其来源,可以提供广泛的应对选择,如制裁或起诉。

支持强有力的调查。有效的执法调查工具为收集成功起诉网络对手所需的证据奠定了基础。

分享归属信息。必须建立分享归属信息的有效机制,并且必须支持跨国际或国内执法辖区的调查。

02防御要素:保护
第二个防御要素通过基于保证的工程实践,重点创建对恶意网络活动具有高度抵抗力的系统和网络,该工程实践将同时保护系统并提供支持其保证案例所需的可验证证据。
五种基本方法生成缺陷较少的软件、硬件或固件

需要五种基本方法来生成缺陷较少的软件、硬件或固件,这些缺陷会产生安全漏洞,如下所述:

安全设计。在许多情况下,系统中的安全漏洞从一开始就存在。为了避免系统安全漏洞,系统架构师必须从准确的威胁模型和对预期应用程序的可靠理解开始。此外,安全工具、策略和系统必须作为更大的社会技术系统的一部分运行。这就要求设计人员关注其他技术环境中的互操作性、可维护性和可演化性,以及这些工具如何被部署在其中的人员和组织环境所采用和调整。

建立安全。实现错误会破坏设计良好的组件的安全性。尽管大多数开发人员都很清楚缓冲区溢出和内存泄漏等常见漏洞,但它们仍然很难消除。现有的阻止开发人员创建特定类型安全漏洞的工具和实践是不完善和低效的。为了减少常见的产品漏洞,需要用于软件和硬件开发的工具和实践,以显著提高开发人员的生产力和操作系统性能。

验证安全性。即使产品是为安全性而设计的,并且是为健壮性而构建的,实现错误也可能在系统开发过程中悄悄地出现。除了进行功能测试之外,组件还应该在整个开发过程中进行严格的安全性分析。由于对手使用静态分析工具和模糊化工具来发现以前未知的(“零日”)软件漏洞,因此应在产品上市前使用这些工具的严格应用来识别和消除漏洞。

维护安全。不可避免的是,即使是设计精良、由知识渊博的开发人员使用良好的工具实现并经过全面安全测试的软件也会有缺陷。当发现错误时,必须更新软件。用于更新软件的机制可能会无意中引入漏洞,而不是消除它们。为更新软件或固件构建安全机制对于在产品的整个生命周期中保护产品是至关重要的。

验证真实性。上面列出的四种方法有可能极大地减少硬件和软件中的漏洞数量,但前提是用户必须部署真实的、未经更改的产品。供应链保证的客观措施需要提高组织确认产品来源的能力。为了实现这些目标,需要研究供应链保证的客观措施(例如,基于密码学的标记)。

执行安全原则的系统要求

在现行机制缺乏效力和效率的情况下,需要更好的技术来执行安全原则。以下是几个重要的系统要求:

对用户、设备和系统进行身份验证。用户身份验证是实施安全策略的传统构建块,但是部署较多因素身份验证系统仍然是一个挑战。物联网(IoT)和自主系统的普及,增加了对设备的强大和高效认证的需求。

控制访问。访问控制建立在身份验证的基础上,以支持安全策略和授权的实现。系统通常依赖于粗粒度的访问控制,即使有更健壮的机制(如基于角色的访问控制)可用。为了准确地实施安全策略,系统管理员需要提高访问控制效率。

使用加密机制保护数据。当标准保护机制失效,对手获得对IT系统的访问权,或者当数据在可能被窃听的网络中传输时,加密方法可以拒绝入侵者对明文数据的访问,并确保对手的修改不会漏掉通知。目前需要对数据进行解密以执行系统操作或修改,从而为对手创造机会;直接对加密数据进行操作的更有效技术将提供更高的安全性和隐私性。对于受限环境(例如,轻量级加密)和长期保密性(例如,抗量子加密),也需要加密工具和技术。

减轻脆弱性。当前系统继续包括许多遗留组件,这些组件具有未发现和未被觉察的漏洞。需要技术来消除遗留系统上的恶意网络活动。数据分析提供了新的机会,可以利用安全数据,在没有建立签名的情况下识别恶意活动。然而,数据分析策略可以提出自己的新的安全和隐私挑战,例如对抗性机器学习和隐私数据泄漏。

清研智库李梓涵编译

(未完待续)

相关文章