美國網絡安全態勢感知發展過程與建設階段

一、美國網絡安全基礎防御建設過程

1996年頒布了13010號總統令,初步規定了關鍵基礎設施的范圍,要求成立關鍵基礎設施保護機構,負責研究關鍵基礎設施安全的薄弱環節及威脅,為制定相關政策規劃提出建議。

1998年5月發布《保護美國關鍵基礎設施》PDD-63總統令,把保護國家關鍵基礎設施安全作為明確的國家目標,并確定了重要基礎設施保護相關部門。同年美國國家安全局(NSA)又制定了《信息保障技術框架》(IATF),提出了“深度防御策略”,確定了包括網絡與基礎設施防御、區域邊界防御、計算環境防御和支撐性基礎設施的深度防御戰略目標。

2000年1月發布了美國首個關鍵基礎設施保護的國家級計劃-《保護信息系統國家計劃》,詳細規定了威脅評估、公私信息共享、應急響應、人才培養、隱私保護等方面的行動措施,強化了政府和私營部門共擔網絡安全責任的意識。

2001年10月發布的《愛國者法案》重新界定了關鍵基礎設施的范疇,并提出建設關鍵基礎設施建模、仿真和分析系統。同期,小布什總統簽發了13228號總統令和13231號總統令,就關鍵基礎設施保護設立了總統網絡空間安全顧問,組建了總統關鍵基礎設施保護委員會。

2002年美國關鍵基礎設施保護委員會實施了一項名為項目矩陣的新計劃,旨在確定政府的關鍵性系統,并確定其面臨的威脅和抵抗這些威脅的能力。美國DISA開發了“本土防衛系統”,并推出應急通信計劃。

2002年公布《聯邦信息安全管理法案》(FISMA),定義了一個廣泛的框架來保護政府信息,操作和財產來免于自然以及人為的威脅。FISMA把責任分配到各種各樣的機構上來確保聯邦政府的數據安全。

2002年9月,小布什政府公布了《保護網絡安全國家戰略》草案,成為全面指導美國國家信息戰略規劃的綱領性文件。

2002年11月生效的《國土安全法案》中,美國新組建國土安全部(DHS),對關鍵基礎設施保護的組織機構、具體職能和目標任務等都做出了具體和詳細的規定。

2003年2月,小布什政府配套出臺《保護網絡安全國家戰略》和《關鍵基礎設施和重要資產物理保護的國家戰略》,前者確立了打擊恐怖分子、罪犯或敵對國家發起的網絡攻擊的初步框架,后者提出了“重要資產”的概念,明確了政府和私營機構在關鍵基礎設施保護方面的職責。

2003年12月,美國政府又頒布國家安全第7號總統令《關鍵基礎設施標識、優先級和保護》(HSPD-7),為政府部門和相關機構確定了保護關鍵基礎設施免受恐怖主義威脅的方向,明確了DHS及其他機構的任務和職責,修訂了各部門在關鍵基礎設施保護方面開展合作的內容。

2006年6月30日,DHS發布了《國家基礎設施保護計劃》,概述了國家基礎設施保護工作的任務和職責、風險評估策略、教育培訓等,為各級政府機構和私營部門如何管理國家重要基礎設施和關鍵資源提供了實施框架。

這一階段,美國國防部還開發了信息安全領域比較重要的彩虹系列文件,其中的橘皮書就是現在被廣泛應用的CC的前身(GB/T 18336),綜合這些計劃,美國的總體目標就是建立應對傳統信息安全威脅的技術和管理能力,這些基本能力為日后的態勢感知能力構建打下了深刻的基礎。

二、美國態勢感知基本能力建設過程

美國網絡安全態勢感知建設倡導在本土聯邦范圍內建立完備的數據截獲、分析能力,并建立國家級安全運營中心,將被動監控的數據進行實時分析、并展示。期間美國推出了號稱信息安全領域的曼哈頓計劃,目的是提高美國重要網絡設施的防御能力,旨在保護美國的網絡空間安全,防止美國遭受各種惡意或敵對的電子攻擊,打造和構建國家層面的網絡安全防御體系。

國家網絡安全綜合計劃(CNCI)共有十二項子計劃,與態勢感知關系最為密切的包括可信因特網連接計劃(TIC)以及廣為人知的愛因斯坦計劃,除此之外還對態勢感知信息共享、運營機制、情報對抗等內容。下面對主要的幾個子計劃進行簡單介紹。

2.1、可信因特網連接(TIC)計劃

本計劃強力推進聯邦網絡集體接入,要求“各機構,無論是作為TIC訪問服務供應商,或作為通過聯邦總務局管理的Networx合同的商業性托管可信IP服務(MTIPS)供應商”,一律參與TIC計劃。

該項目計劃建立一個所謂的TIC(可信互聯網連接)機構,然后讓各個聯邦機構都通過這個TIC連接到互聯網,從而取消各個聯邦機構自身的互聯網出口,降低安全威脅。根據TIC計劃,在2009年末美國聯邦政府機構的互聯網出口數量將從超過4300個下降到100個左右。

可信網絡連接活動由管理和預算辦公室(OMB)及國土安全部領導,涉及到對聯邦政府的外部訪問點(包括連接因特網的訪問點)進行整合。整合后將實施一套統一的安全解決方案。

2.2、愛因斯坦I計劃(Einstein-I)

根據《2002年國土安全法案》和聯邦信息安全管理法案(FISMA)于2003年12月17日發布的國土安全第7號總統令的要求,US-CERT開發了愛因斯坦入侵檢測系統。系統的第一個版本能夠監視美國政府部門和機構網絡關口的非正常流量,在2004年~2008年由聯邦政府機構自愿部署。

愛因斯坦1計劃采用了基于流量的分析技術,具體地說就是基于流數據(如NetFlow、sFlow、IPFIX等)的深度流檢測(DFI)技術。US-CERT通過采集各個聯邦政府機構的這些流信息,進行分析并獲悉網絡態勢。

2.3、愛因斯坦II計劃(Einstein-II)

美國政府于2007年啟動了愛因斯坦2計劃,愛因斯坦2計劃是愛因斯坦1計劃的增強,系統在原來對異常行為分析的基礎上,增加了對惡意行為的分析能力,使得US-CERT獲得更好的網絡態勢感知能力。

愛因斯坦2計劃的系統掃描所有互聯網流量及政府計算機(包括私人通信部分)的副本數據,檢查這些數據的內容和元數據,以發現可能用于獲取或傷害政府計算機系統的惡意計算機代碼的“已知特征”。

愛因斯坦2計劃實現惡意行為分析能力的技術是網絡入侵檢測技術,對TCP/IP通信的數據包進行DPI分析,發現惡意行為(攻擊和入侵)。愛因斯坦2計劃采用的IDS既有基于特征庫的檢測,也有基于異常的檢測,二者互為補充。愛因斯坦2計劃主要以商業的IDS技術為基礎進行開發,并采用了US-CERT精選特征庫。

2.4、愛因斯坦III計劃(Einstein-III)

2008年美國啟動CNCI中的一部分,就是DHS的愛因斯坦3計劃(DHS成為下一代愛因斯坦計劃)。愛因斯坦3計劃的系統將檢測惡意攻擊代理,在惡意代碼的威脅影響到政府計算機系統之前,采取實時措施進行阻斷操作,以防止其攻擊影響到政府網絡系統。

在愛因斯坦3計劃中,將綜合運用商業技術和美國NSA的技術對政府機構的互聯網出口的進出雙向流量進行實時的全包檢測(FPI),以及基于威脅的決策分析。借助在電信運營商處(ITCAP)部署傳感器,能夠在攻擊進入政府網絡之前就進行分析和阻斷。愛因斯坦3計劃的總體目標是識別并標記惡意網絡傳輸(尤其是惡意郵件),以增強網絡空間的安全分析、態勢感知和安全響應能力。系統將能夠自動地檢測網絡威脅并在危害發生之前做出適當的響應,即具備入侵防御系統的動態防御能力。

三、美國態勢感知協調運行機制

美國國家網絡安全綜合計劃(CNCI)中規定,由國土資源部(DHS)內的國家計算機安全中心(NCSC)通過協調和綜合來自六個中心的信息,提供橫跨六個中心的態勢感知與分析,并報告美國在情報、國防、國土安全、司法等方面的網絡和系統狀態,以促進合作與協調。

六個中心在態勢感知、公共-私有協調、國防、對外情報的某些方面具有優勢,六個小組之間通過通信、信息共享或通過聯絡員建立聯系,國家計算機安全中心(NCSC)從這六個中心中創建跨域的態勢感知系統。

六個中心分別是情報界-事件響應中心(IC-IRC)、威脅行動中心(NTOC)、US-CERT、聯合任務組-全球網絡行動中心(JTF-GNO)、網絡空間犯罪中心(DC3)、國家網絡空間調查聯合任務組(NCIJTF)。每個中心具體介紹如下:

3.1、國家計算機安全中心(NCSC)

國家計算機安全中心(NCSC)隸屬于DHS,涉及國土、情報、國防和司法四個領域。NCSC采用全天候(24h × 7)的工作模式,制定政策報告,基于已有威脅制定緩和措施,評估網絡空間狀態;協調和綜合其它六個中心的信息,提供橫跨部門的態勢感知與分析,并提供美國在情報、國土安全、國防和司法等方面的網絡和系統狀態。NCSC的核心競爭力主要體現在國防和態勢感知兩個方面。

3.2、情報界-事件響應中心(IC-IRC)

IC-IRC隸屬于ODNI,涉及情報領域。IC-IRC采用全天候(24h × 7)的工作模式,以信息的共享與收集,提供對外威脅分析,幫助獲得關于網絡空間攻擊的特征;管理和監控情報中心網絡,對網絡空間安全威脅進行分析,分析不同事件之間的關聯性,并給出報告。對網絡空間起到預警作用。IC-IRC還會定期對信息通信技術系統進行網絡空間演習,一便更好地為網絡空間安全服務。IC-IRC的核心競爭力主要體現在國防、態勢感知和對外情報三個方面。

3.3、威脅行動中心(NTOC)

NTOC隸屬于NSA,涉及情報和國防兩個領域。NTOC與NIST、US-CERT及JTF-GNO進行合作,協調組織負責信息系統安全響應事件;評估信息,以檢測出網絡空間的威脅和漏洞,制定相應的緩和措施;與DIA一起合作分析威脅信息源;出版安全配置指南,提供網絡空間安全演習基地。NTOC的核心競爭力主要體現在國防和對外情報兩個方面。

3.4、美國計算機應急準備小組(US-CERT)

US-CERT隸屬于DHS,涉及國土安全領域。US-CERT為聯邦、州和地方實體提供全天候(24h × 7)的服務支持,與私營部門就事件處理和分析進行合作,與國內外的CERT組織合作,為公共、各級政府和私營部門提供交流合作平臺;監控政府網絡中不同來源的網絡空間安全事件;收集和記錄與政府網絡有關的網絡空間事件或公共需求;建立TIC和愛因斯坦計劃,分析所有愛因斯坦計劃的數據,提供數據分析、惡意軟件分析和相關漏洞評估,分析政府網絡系統中異常和入侵行為,以保護和完善美國聯邦網絡。US-CERT的核心競爭力主要體現在態勢感知和公共-私有協調兩個方面。

3.5、聯合任務組-全球網絡行動中心(JTF-GNO)

JTF-GNO隸屬于DoD,涉及情報和國防兩個領域。JTF-GNO主要為全球信息柵格(GIG)系統運行制定政策框架;監控DoD網絡,檢測漏洞,識別新興技術和相關威脅,并分析DoD系統中的異常和入侵檢測行為;為所有的網絡作戰(NetOps)中心提供事件報告和可能的相應措施。JTF-GNO的核心競爭力主要體現在態勢感知和國防兩個方面。

3.6、網絡空間犯罪中心(DC3)

DC3隸屬于DoD,涉及情報、國防、司法/反情報三個領域。DC3主要為國防犯罪調查組織提供調查結果,國防計算機取證實驗室通過開展這些調查,獲取媒體的數字取證結果,進行數字取證情報工作,提供反情報分析和診斷服務;為國防網絡空間犯罪研究所提供關于計算機取證方面的公認標準、工藝、方法、研究工具和技術,以滿足DoD目前和未來的需求。DC3的核心競爭力主要體現在國防方面。

3.7、國家網絡空間調查聯合任務組(NCIJTF)

NCIJTF隸屬于FBI,涉及情報、司法/反情報兩個領域。NCIJTF采用全天候(24h × 7)的工作模式,主要制定信息戰的全球戰略,為已有機構的集中協調創建策略框架,制定新的措施;監控并分析所有的源數據,識別情報之間的不同;收集和綜合入侵相關活動的普通活動照片,找出危害國家安全的計算機網絡;針對一些與網絡空間安全相關的產品進行調查,進行反情報威脅的響應;對于網絡空間安全的威脅進行及時中斷連接和響應。NCIJTF的核心競爭力主要體現在態勢感知方面。

根據美國2010年發布的《國家網絡空間安全事件響應計劃》(NCIRP),為有效地了解網絡空間中的風險,要求各部門和局、各機構每日對識別的威脅、漏洞和潛在影響進行共享。DHS通過NCCIC負責集成和維護國家級的通用態勢圖(COP)。COP提供跨域的態勢感知信息,是一張不斷更新的全面的網絡威脅、漏洞和影響圖,包括即時事件的標識和預警。

態勢感知圖的信息來源較廣,包括聯邦部門和局、國家安全界和情報界、司法界(包括聯邦、州和地方司法部門)、各公司部門、公開信息源、網絡空間安全提供商。實時的態勢感知情況將會被提供給國家基礎設施協調中心(NICC)和國家行動中心(NOC)等。盡管態勢感知圖是網絡事件響應活動的基礎,但網絡空間中有效的網絡事件響應活動需要實時、準確的態勢感知協調。

四、美國態勢感知協調運行機制

美國網絡威懾與溯源反制能力建設階段跨越2011年~2018年,在這個階段美國的國家戰略逐漸從“積極防御”轉變為“攻擊威懾”。在這個階段,美國政府不但發布了多個網絡威懾相關戰略政策,同時也開展了一系列的相關具體行動項目。

4.1、網絡威懾與反制相關政策

2011年7月14日美國國防部發布首份《網絡空間行動戰略》。盡管國防部強調新戰略重在防御,即加強美軍及重要基礎設施的網絡安全保護,但從種種跡象來看,美軍已經將網絡空間的威懾和攻擊能力提升到更重要的位置。美國媒體認為,美軍在網絡空間的擴張可能導致網絡空間軍事化,并引發網絡軍備競賽。

2015年4月23日,美國公布了國防部新版網絡戰略。作為2011年7月首版《網絡行動戰略》的升級版,這份文件旨在劃定未來5年美軍網絡行動的新目標,而其中最值得關注的3個關鍵詞——威懾、進攻、同盟,則代表了美軍網絡力量的發展方向。新戰略聲稱,為阻止網絡攻擊,必須制定實施全面的網絡威懾戰略,“在網絡惡意行為發生前威懾此類行為”。為有效實施威懾,美應具備以下能力:一是通過政策宣示展現反擊態度;二是形成強大的防御能力,保護國防部和整個國家免受復雜網絡攻擊,實現“拒止”威懾;三是提高網絡系統的恢復能力,確保國防部網絡即使遭受攻擊后也能繼續運轉,以降低對手網絡攻擊的成功幾率。

2018年9月18日,美國國防部公布了《2018國防部網絡戰略》摘要。摘要由前言、戰略方針及結論三部分組成,其中戰略方針部分提出了建立更具殺傷力的力量、網絡空間競爭及威懾、強化聯盟和合作伙伴關系、改革國防部、以及培養人才等五條具體戰略方針。《2018國防部網絡戰略》指導國防部積極對抗和威懾美國的競爭對手,實現提前防御、塑造日常競爭、并準備作戰。綜合起來,這些相互促進的活動將使國防部能夠在網絡空間領域競爭、威懾并取勝。

4.2、溯源與反制主要行動

在網絡進攻方面,存在美國國家全局(NSA)和美國中央情報局(CIA)身影的Stuxnet工業病毒和WannaCry勒索病毒都對全球網絡造成了十分嚴重的危害;在溯源反制方面,推動洛克希德馬丁和Mitre開發KillChain和Att&CK模型,促進威脅情報標準Stix/Taxii等的落地,強化APT發現能力。并利用FireEye、Mandiant等機構曝光系列APT攻擊事件,形成網絡威懾。

2013年起,NSA負責建立和維護了世界最大的數據中心-猶他數據中心,收集和保存全世界所有的個人和組織的交流信息,包括個人電子郵件、手機通信記錄、谷歌搜索記錄和其他任何個人的跟蹤信息,如停車收據、旅游線路、購書記錄、電子消費開支記錄等。借助強大的大數據處理和分析能力,數據中心對所有金融信息、股票交易信息、商業信息、各國軍事、外交、法律文件和各中絕密的個人交流信息進行收集、處理,實施全球范圍內的網絡監控。

2013年,斯諾登向媒體提供機密文件曝光了包括“棱鏡”項目在內的美國項目政府多個秘密情報監視項目。通過該項目美國政府直接從包括Microsoft、Google、Yahoo、Facebook、PalTalk、AOL、Skype、YouTube及Apple在內的這九個公司服務器收集信息,甚至入侵其他國家網絡實施網絡監控。


關注作者公眾號,獲取更多內容:

發表評論