兰德公司对网络空间安全防御的建议
引子
爱尔兰共和军成员在布赖顿大酒店刺杀首相撒切尔夫人未遂之后发出警告:“今天我们是不幸的,但请记住,我们仅需要一次幸运,而你们必须要总是如此幸运”。这句话被网络战狂热分子和网络防御悲观主义者所推崇并引用。这种警告在网络空间比在物理世界更具有警示意义,攻防不对称特点更突出,安全防护的挑战和压力更大。
2011年,美国国土安全部(DHS)研究总结了DHS在履行保护国家网络安全职责时所面临的各项挑战,形成了报告 《安全网络的未来蓝图(Blueprint for a Secure Cyber Future)》。该报告指出网络安全的挑战主要来自敌方攻击、操作失误和软件设计错误,定义了加强国家网络安全的75个策略,其中25个是关键策略。
美国兰德公司(the RAND Corporation)受DHS财务总监项目分析和评估(PA&E)办公室资助,在其网络空间安全研究基础之上,调察了《安全网络的未来蓝图》提出的策略以及这些策略在保护网络安全中发挥的作用,并提出了用于评估网络安全防御行为的方法,最后形成报告《网络空间安全规划与预算架构》(A Framework for Programming and Budgeting for Cybersecurity)。
问题和挑战
网络安全防护工作通常需要覆盖很大的范围。众多网络安全防护控制策略中,单独每一项策略易于控制和执行,但没有一个单独的策略(或活动子集)能足以保证网络空间的安全性,不存在“一招灵”的解决方案。当一个组织机构防御网络攻击时,网络安全专业人士都要面临从庞大的网络安全防御策略中作出具体选择的困境,同时伴随成本支出的限制。参与这一选择过程困难非常大。此外,由于许多网络安全策略枚举成分项列表,但却很少有信息提示如何在策略列表中确定某一项。比如,NIST SP800-53 rev4有近500页、18个类别、240项控制策略,选择合理的策略是一件艰苦工作。
兰德公司的研究报告致力于解决这些困难,阐述了组织机构对抗网络攻击、协调防御行动优先级和评估效果的方法。
兰德公司的报告认为:DHS蓝图确定的网络安全防护策略集合都是以列表清单显示的,这导致了以下问题:
1. 缺失策略之间的关系:很难从DHS蓝图中判定哪两个策略可能会相互依赖相互影响。
2. 缺少优先顺序:除了简单地区分优先能力和非优先策略之外,DHS蓝图没有提供任何方法以便按照策略的重要性进行主次排序。
3. 缺失影响力:DHS蓝图试图展示全面的策略列表,但没有关注一些非策略活动的作用和所产生的影响。
核心理念
兰德公司的报告提出了100多个网络安全防护策略,但不是所有的策略都需要被采用,也不是所有策略都具有同样的重要性。任何管理计算系统安全的组织机构都必须要进行挑选。报告认为,选择过程必须考虑策略之间的相互关系。很难在孤立的情况下对防护策略进行评估,任何给定策略的执行将影响其他策略的实施效果,可以根据策略之间的依赖关系进行选择并区分优先级。传统的网络安全防护策略以顺序列表方式呈现,并不强调依赖性或成本效益。
报告通过层次结构分解(hierarchical decomposition)说明防护策略之间的关系。分解过程假定两个有直接关系的策略可以标注成有父子关系。连线代表“组成”或“递进”这两个父子关系类型之一。在组成关系中,父亲策略是两个或两个以上孩子策略的聚合。在递进关系中,一个或多个孩子策略必须在父亲策略发生之前完成。
层次结构分解方法采用旭日图(Sunburst Graph)方式展现,将首要目标放置在图的中心,并从中心依次衍生出各种其他目标。此外,旭日图展示整个分支不仅包括纵向关系(亲子),也包括分支之间的关系。旭日图是一个环状图。0环(图的中心)包含了主要目标:减少网络攻击的预期损失(Reduce the Expected Cost of Cyberattacks)。1环由支持0环的策略组成,类似的,N+1环支持N环。网络旭日图如图所示。
网络旭日图(The Cyber Sunburst Graph)
四个基本策略
报告提出四个基本策略支持降低网络攻击预期损失的目标,分别如下:
减少曝光(Minimize exposure)
解除攻击(Neutralize attacks)
增加弹性(Increase resilience)
加快恢复(Accelerate recovery)
图中所示的四个最顶层策略的角度,“解除攻击”分配了180度角,“加快恢复”分配了40度角,而“减少曝光”和“增加弹性”都分配了70度角。这些角度可以看为相对重要性或优先级的近似值而不是精确值(如“解除攻击”比“加快恢复”更重要)。
四个基本策略
四个基本策略的定义如下:
减少曝光:从其他人可以访问系统的角度讲,系统是脆弱的,系统中存在的数据可以被获取和破坏。该策略包含两个组成部分:减少系统和外界 的联系,减少访问该系统可获得的信息与计算过程。
解除攻击:防止尽可能多的攻击和尽可能减少这些攻击的影响。这种策略具有双重性,一部分是阻止入侵者获得控制权,另一部分是对获得控制权的入侵行为进行对抗。
增加弹性:弹性策略与系统恶化情况下继续执行功能的策略有关,通过冗余和系统放弃高级功能实现,倾向于短期内填补缺口。
加速恢复:恢复策略适用于被攻击的系统,而不是系统所支持的功能,可通过维修和替换实现,适用于有关可用性的攻击。
四个基本策略层次结构的局部示意图
方法基础和优势
兰德公司提出的方法基于二十世纪80年代末公司研究出来的战略到任务(strategy-to-task)分解的方法论。从战略分解到任务的框架提供了泛化目标(战略)与具体业务活动(任务)之间的联系。该框架可明确地将活动分解成具体功能的任务并成功执行战略,它强调的是任务之间的相互关系。此外,从战略到任务框架采用层次结构,使每个任务可以继续分解为子任务。
兰德公司在树结构中提出了一个网络防御策略的大型集合,经由旭日图呈现了所述的树结构。使用树结构便于评估策略的优先级,可以很清楚的表示上下级关系和同等关系。
结论
建立网络安全防御策略需要在诸多可能的策略中选取出具有良好防御效果的方案,策略所需要的开销随着防御效果的提高而非线性的提高,需要在有效性和性价比之间权衡并最终做出决断。充分认识各种策略之间的内在关系有助于策略选择,并为操作人员提供根据实际状况资源分配最优化的基础。
参考文献:
➡ RAND Corporation, Santa Monica, Calif., A Framework for Programming and Budgeting for Cybersecurity.
➡ The Department of Homeland Security, Blueprint for a Secure Cyber Future: The Cybersecurity Strategy for the Homeland Security Enterprise.
中国保密协会科学技术分会
请长按二维码识别,关注中国保密协会科学技术分会微信号。
往期精彩文章回顾