清研智库:详解美国网络安全研究与发展战略的防御要素(下)
提供态势感知。系统和网络高度复杂,设备移动性增加了复杂性。为了保护网络和系统,当设备被添加或移除时,有必要确定系统的所有关键资产,以及与用户相关的属性和异常。实时变化检测是必不可少的,包括灵活适应动态网络条件并能够与已知良好系统状态进行比较的方案。
检测漏洞。系统配置的更改、新应用程序的安装或新技术的发现可能会降低系统的保护级别或创建新的漏洞。需要使用工具来实时地确定保护措施中的缺陷,以便能够纠正这种情况。
有效检测快速发展的恶意网络活动。操作是高度动态的,上下文是重要的;因此,当前的工具有许多误报和漏报,无法区分恶意网络活动和授权操作。许多识别恶意网络活动的技术在本质上也是可追溯的:这些工具寻找符合已知历史模式的恶意活动。当面对对手的创新时,这些工具变得毫无用处。为了保证检测技术能够可靠地检测到敌方的各种恶意网络活动,缩短检测时间,需要进行研发。特别是,需要能够检测恶意软件和具有可接受误报和漏报水平的创新操作序列的工具。与系统基线活动相比,行为入侵检测和启发式工具寻找异常,提供了一个有前途的研究途径。能够从非常大的数据集中提取有用信息,可扩展数学技术可以从网络日志等数据源中更有效地检测恶意网络活动。
由于网络安全技术被集成到复杂的系统和系统体系中,响应往往具有不可预见的依赖性和耦合的交互作用。开发人员和用户需要了解和洞察这些系统行为,以及分析技术和响应路径,以保持清晰和信任,避免意外后果。
另一个挑战来自越来越多地使用自主系统,这些系统必须支持响应、恢复和调整,而与网络防御者很少或根本没有互动(甚至没有知识)。随着弹性设计原则和技术的进步,必须考虑自主性的影响。
多尺度风险治理对当前的网络防御活动提出了技术挑战。增加、减少或转移风险因素的决策是在多个层面和多个尺度上做出的。在一个层次上做出的决定会以复杂和难以理解的方式影响其他层次。需要技术方法来识别和理解风险相关性,并探索由此产生的决策空间。使这一过程复杂化的是,必须作出执行决定的时间继续缩短:网络威胁和恶意活动的检测、评估和缓解必须比对手利用系统的速度更快。在这个不断收紧的风险管理周期中,决策者之间的信息共享和协调变得越来越重要。
因此,为了提高系统的整体响应能力,研发活动应通过以下三种方式提高系统、企业和关键基础设施的适应、对抗、恢复和调整能力:
提供动态评估。测量系统组件的关键特性和属性,并在不断变化的威胁方法和系统需求中评估潜在损害,从而使响应和恢复到已知的良好状态。
包括自适应响应。提供调整方法,以适应实际、新出现的和预期的中断,以便在将意外后果和对手投资回报降到最低的同时,继续满足任务和组织需求。这些方法将在短期内支持同质企业系统的风险权衡,并在中期支持集成异质网络物理系统的风险权衡。从长远来看,它们将使集成的弹性体系结构得以优化,以吸收冲击并将恢复速度提高到已知的安全可操作状态。研发是必要的,以防止对手利用自主功能及其基础的机器学习。
清研智库李梓涵编译
(未完待续)