为了解决纵深防御体系中防御能力固化、灵活性不足等问题,从攻防对抗视角出发,提出一种网络安全主动防御体系。首先,基于情报收集、监测预警、防御指挥和防御行动等要素的详细描述,设计了用于规划主动防御系统的能力组成框架;其次,选择网络杀伤链、ATT&CK 知识库和 OODA 循环法则,设计了一个以攻助防的防御模型,并分析了引入博弈论进行防御算法设计的优势;最后,以实现为目标,构想了一个典型应用场景,以期为安全能力的体系化设计提供有益借鉴。
网络空间是全球化信息环境,在时空上与陆、海、空、天领域交汇重叠,被称为第五维疆域。在万物互联的当下,网络空间渗透到国家、社会和个人的方方面面,而网络安全正是网络空间赖以生存和发展的关键。如何感知时刻存在的网络威胁,应对层出不穷的网络攻击,是每个网络安全组织和从业者所面临的棘手问题。建 立 纵 深 防 御(Defence-in-Depth,DiD) 体 系是较为典型和传统的网络安全防御措施,但其在内外各信息流关卡处堆叠安全防护手段的思想,容易造成防御能力固化、防御策略欠缺灵活性的弊端,无法有效应对不断变化的网络攻击行为。纵观网络安全历史,攻防双方一直围绕着反检测与检测进行着持续对抗。攻击方最重要的法宝是“变”,通过变化来规避各种已知检测手段,而防守方必须去应对各种变化才能逐步提升防护能力。所幸的是,因为网络攻击手段类似、有章可循,所以网络防御手段亦可提前谋划、按图索骥,这也是本文提出基于攻防对抗思想、设计网络安全主动防御体系的价值所在。
本文以综合论述的方式,分析了典型网络攻击与防御的技术发展现状,并介绍了联合网络作战架构(Joint Cyber Warfighting Architecture,JCWA)和网络杀伤链模型等背景情况,阐述了如何在网络安全领域将传统静态防护能力转变为以攻防对抗为依据、以动态指挥为核心的主动防御能力,提出了一套可供参考的思维框架。
近年来,网络攻击事件频频发生,但黑客炫技攻击事件已越来越少,取而代之的是作战思维更加明确、趋利性更加明显的专业化网络攻击组织发起的攻击事件,涉及各种勒索软件团伙、地下黑产组织等。这种网络攻击作战化趋势,一方面来自网络攻击能力在人工智能、大数据技术加持下的不断提升,另一方面也受到了来自美国网络攻防体系研究成果的推动。
网络安全防御是网络作战能力的一个分支,美国非常重视其理论研究和技术实践。2019 年,美国国防部批准实施联合网络作战架构顶层设计方案,构建了覆盖网络空间作战全程全要素的架构体系,统一协调了作战任务规划、决策生成、指挥控制和力量投送等活动,并同步整合了国防部网络空间资源和能力,大幅提升了网络空间作战能力。2014 年,美国洛克希德·马丁公司发布了开创性的网络安全白皮书《情报驱动的计算机网络防御》,首次提出了网络杀伤链模型,力求实现对攻击者高级可持续威胁(Advanced Persistent Threat,APT) 活 动 的 感知能力。该模型将网络攻击划分为 7 个阶段:侦 察 跟 踪、 武 器 化 开 发、 载 荷 投 递、 漏 洞 利用、安装植入、命令和控制、目标达成。美国MITRE 公司的“对抗性战术,技术和公共知识库(Adversarial Tactics, Techniques and Common Knowledge,ATT&CK)”模型 是在网络杀伤链模型基础上,围绕对抗战术和对抗技术,提出的一套更细粒度、更易共享的知识模型和框架。
综上所述,美国军事机构和相关组织不遗余力地发展攻防对抗理论研究,不但发挥了“能力建设,理论先行”优势,更将作战化概念引入网络安全领域,势必对以纵深防御为主的传统网络安全思维产生深远影响。
在攻防对抗视角下,将攻防对抗思维引入网络安全防御领域,需要解决体系化设计问题。由于网络空间的攻防对抗是一个高度动态的过程,因此网络安全防御体系应涵盖完整性、规则性、时效性和演进性的设计特点。基于攻防对抗思维的网络安全主动防御体系设计。
该体系包含情报收集、监测预警、防御指挥和防御行动 4 个要素,具体说明如下。
(1)情报收集。情报收集是一种获取信息优势的“知己知彼”能力,使得主动防御有章可循。情报收集迭代能力是传统安全运维思维升级为攻防对抗思维的前提条件,要点包括:防御者建立与外界安全情报的共享机制,摸清被防御资产和网络环境,及时更新漏洞库,积极研习安全防御理论、案例和手段,进而建立防御基本规则;防御者积极跟踪典型黑客组织画像、攻击热点,攻击理论、案例和工具,维护攻击特征库,为网络安全态势研判和防御决策提供“以攻促防”的知识依据。
(2)监测预警。监测预警能力是防御体系的“千里眼”和“顺风耳”,力求时刻捕捉和洞察来自各方向、各维度的网络安全威胁。一方面,防御者应养成定期开展漏洞挖掘和安全基线巡查的习惯,及时发现防御方防护短板;另一方面,防御者针对重点防护目标(如主机、网络、系统等),以实时监测、数据采集 / 汇聚、日志审计为基础,开展威胁行为分析,发现或预判敌方攻击意图,及时发起威胁预警通报。针对预警通报,借鉴美国网络战能力设想,规划 5 类预警攻击类型,包括:欺骗、拒止、分离、降级、毁坏和恢复 ;受攻击程度包括:疑似、最小、警告、注意、严重、灾难。除此之外,防御者还可进行追踪溯源攻击行为、构建攻击者画像等工作,为对攻击者形成反制能力提供依据。
(3)防御指挥。防御指挥是网络安全主动防御体系的核心,是应对网络攻击而开展防御活动的决策“大脑”,可发挥体系能力“倍增器”作用 。机构 / 企业建立的防御指挥团队,不但需要以安全专家 / 运维人员为主体,还需要纳入网络管理人员、系统运维人员和业务决策人员,尽可能降低网络安全对日常业务运营的影响,并缩短遭受突发重大安全攻击时安全处置的授权时间。
防御指挥团队需要对安全防御能力建设进行筹备、组织和部署,并且应具备调整控制能力,以便有效应对不断变化的攻击者、对抗环境和对抗进程。构建防御指挥能力,需要重视3 方面工作:一是设计和实现防御模型。防御者通过引入攻防对抗理念,制定包含战术、技术 与 过 程(Tactics, Techniques and Procedures,TTPs)要点的防御方法,按需编制防御算法(如攻防博弈算法、安全免疫算法等),搭建具备云服务与大数据分析等技术特征 的防御框架,最终建立基于攻防对抗思维的网络主动防御模型,能以命令下达或系统联动等方式有效驱动各项防御行动。二是充分运用防御指挥核心能力。防御者应开展预案计划、态势感知与呈现、态势研判与预测、决策制定、处置监控、效能评估等日常指挥活动,并提供模拟演练条件,不断促进防御模型的能力优化和演进。三是设定防御流程规范来约束防御指挥活动。防御者要以感知、判断、决策和行动(Obervation,Orientation, Decision and Action,OODA)理论为基础 ,以评估(Assessment)为补充,时刻关注防御效果评估在 OODA 各环节发挥的作用,提升防御指挥能力在安全防御行动编排、引导和控制时发挥的整体效能。
(4)防御行动。接收到防御指挥命令,防御处置团队将开展具体、可及时生效的防御行动。一方面,在具备对各类安全设施直接管理的条件下,对安全防护措施进行规划、部署和开通,配置全局安全策略以便提升整体防御效果,并承担病毒查杀、漏洞修复等日常安全运维工作,此外,还可进一步为机构 / 企业信息化建设中的国产替代和自主可控过程提供参考建议;另一方面,当遭受突发安全攻击事件且正常业务受影响时,能够迅速开展应急响应、辅助联动和威胁反制等临机处置行动,力求达到攻击阻断、入侵容忍、自愈恢复、舆论声讨等防御效果。
