查看原文
其他

美国何以称霸网空?美网络空间安全主动防御体系解析

安天研究院 网信军民融合 2019-06-02

本文刊登于《网信军民融合》杂志2018年2月刊


【编者按】为维护我国网络空间主权,保障网络空间安全,实现网络强国的战略目标,必须高度重视网络安全工作。知己知彼,才能百战不殆。美国的网络空间安全体系走在世界前列,本刊与安天研究院合作推出系列文章深入解析“美国网络空间攻击与主动防御能力”,希望通过层次化地揭示美国网络空间信息获取、进攻与防御能力,尽可能清晰地展现美国在网络空间安全领域的能力体系,为我国网络空间安全发展提供有益参考和借鉴。


上一期, 我们对美国的大型信号情报获取项目进行了介绍, 包括监听目标涵盖美国公民的“ 星风”(STELLARWIND)计划、网上行为监视和分析的关键得分(X-KEYSCORE)项目、针对全球网络安全厂商的“拱形”(CAMBERDADA)计划等,全面地展现了美国强大的信号情报获取能力。在本期中,我们将聚焦美国网络空间安全主动防御体系,呈现其全面的网络空间安全防御能力,以及美国将信号情报与主动防御相结合,全面拒止威胁的能力。


2008 年1 月8 日,时任美国总统布什签署了第54 号国家安全总统令/ 第23 号国土安全总统令,即《国家网络安全综合计划》(Comprehensive National Cybersecurity Initiative, CNCI)。该计划旨在从国家层面建设一个的综合的网络空间安全防御系统,抵御美国遭受到的网络攻击,保护美国的网络空间安全。CNCI 自签署以来,就以涉及国家安全的原因被列为高度机密,至2008年底仅公开了12 项计划的基本信息。


2010 年,为了体现“实现前所未有的政府开放性”的承诺,奥巴马政府公开了一份关于CNCI 的摘要,其中包括“部署一个由遍布整个联邦的感应器组成的入侵检测系统”和“寻求在整个联邦范围内部署入侵防御系统”,即“爱因斯坦2”(EINSTEIN 2)计划和“爱因斯坦3”(EINSTEIN 3)计划。


“爱因斯坦”计划是美国联邦政府主导的一个网络空间安全自动监测项目, 由国土安全部(Department of Homeland Security, DHS)下属的美国计算机应急响应小组(US-CERT)开发,用于监测针对政府网络的入侵行为,保护政府网络系统安全。美国政府启动了CNCI 后,爱因斯坦计划并入CNCI,并改名为国家网络空间安全保护系统(National Cybersecurity Protection System, NCPS),但依然被成为“爱因斯坦”计划。


“爱因斯坦”计划经历了三个阶段。“爱因斯坦1”自2003 年开始实施,监控联邦政府机构网络的进出流量,收集和分析网络流量记录,使得DHS 能够识别潜在的攻击活动,并在攻击事件发生后进行关键的取证分析。“爱因斯坦2”始于2007 年,在“爱因斯坦1”的基础上加入了入侵检测(Intrusion Detection)技术,基于特定已知特征识别联邦政府网络流量中的恶意或潜在的有害计算机网络活动。“爱因斯坦2 ”传感器产生大量关于潜在网络攻击的警报,DHS 安保人员会对这些警报进行评估,以确认警报是否具有威胁,以及是否需要进一步的补救,如果需要,DHS 会与受害者机构合作解决。“爱因斯坦2”是“爱因斯坦1”的增强,系统在原来对异常行为分析的基础上,增加了对恶意行为的分析能力,使得USCERT具备更好的态势感知能力。2010年,DHS 计划设计和开发入侵防御(Intrusion Prevention)来识别和阻止网络攻击,即“爱因斯坦3”。根据奥巴马政府公布的摘要,“爱因斯坦3”将利用商业科技和政府专业能力相结合的方式,实现实时的完整数据包检测,并能够基于威胁情况对进出联邦行政部门的网络流量进行决策,在危害发生前,对网络威胁自动检测并正确响应,形成一个支持动态保护的入侵防御系统。


TUTELAGE 运行环境


根据目前披露的资料,“爱因斯坦3”的入侵防御能力主要来自于美国国家安全局(National Security Agency, NSA)开发的一套名为TUTELAGE 的系统。TUTELAGE 是一套具有网络流量监控、主动防御与反击功能的系统,用于保护美军的网络安全,相关文件显示早至2009 年以前就已投入使用。传统基于日志的防御方法具有时效性差、通常在攻击成功实施后才能发现和应对的问题,而TUTELAGE 可以和信号情报(SIGINT)、商业防护工具一起,协作应对威胁。TUTELAGE 通过SIGINT提前发现对手的工具、意图并设计反制手段,在对手入侵之前拒止。即使对手成功入侵,也能通过阻断、修改C2 指令等方法,缓解威胁。


TUTELAGE 功能


系统通过部署在国防部(Department of Defense, DOD) 非保密因特网协议路由器网(Non-secure Internet Protocol Router Net work ,NIPRNet)与互联网连接的边界网关上的传感器发现恶意行为,并将这些行为报告给TUTELAGE。TUTELAGE使用深度包处理技术,通过内嵌的包处理器(in-line packet processor) 透明地干预对手的行动,对双向的包进行检测和替换等,从而实现对恶意流量的拦截、替换、重定向、阻断等功能。


通过商业科技和政府专业能力的深度融合,“爱因斯坦”系统允许国土安全部为联邦政府机构提供多种安全服务,包括:入侵检测、入侵防御、解析和信息共享等。这些服务是以一系列专业的工程能力为基础的,如全网的信号情报获取能力、高效的深度包检测能力、从全流量数据中快速抽取特定信息的能力等。这些基础的专业工程能力是区别在国际网络空间对抗中取得实战效果的项目与实验室中的原型系统的关键。我国也可以利用军民融合的优势,依靠大规模工程建立超前部署的先进的网络空间安全防御基础平台,为前沿技术创新和探索打下基础,在此基础上,不断建设,叠加演进,最终形成一套完备有效的、具备全天候全方位感知能力的网络空间安全防御体系。


美国的网络空间安全主动防御体系借助商用技术和能力,将网络空间的威胁预警、入侵防御和安全响应能力相结合,创建跨领域的网络空间态势感知系统,为联邦政府网络基础设施提供安全保障。在后续的文章中,我们将关注美国在网络空间攻击方面的能力,介绍美国的网络攻击支持体系和装备体系,敬请期待。



推荐阅读:

1、美国何以“监听一切”?美大型信号情报获取项目解析

2、美国网络空间攻击与主动防御能力解析(概述篇)




    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存