美军发展网络安全自动化技术 确保网络空间安全

　　网络安全自动化简介

　　作者认为美国网络司令部成立刚刚一年多，但已经在防御、安全和改进国防部网络的行动中取得重大进展。在相对较短的时间内取得这些成绩离不开几个重要任务伙伴的帮助，如国家安全局、国防信息系统局等。鉴于国防部网络的复杂和多变性,加上网络有多个“拥有者”和“操作者”以及常常没有人积极防御各个网络组成部分的安全，这是一个巨大的挑战。由于对美国网络的可视性和态势感知状态或网络上的活动不清楚，美国的对手一直在利用当前这种局限性来窥看其网络，能够在美国的网络中来去自由。

　　网络空间与其他作战领域一样也是一个作战领域，也肩负这侦察、机动、发射的任务。网络空间又不同于其他领域，主要是因为网络的全球性、网络活动的网络速度和网络事件的数量庞大，以及对手的发展、计划和决策循环快速。美国必须紧缩自己的决策-行动循环。这就意味着需要更多的标准化和自动化。美国必须能自动对抗和减少对手对美国网络中的漏洞的利用。自动化将解放有限的防御部队，聚焦关键网络地带的重要威胁。

　　这也是现实使然。美国的财政压力要求提高效率、最大化利用可测量的企业级技术。这就需要在技术、标准化、战术、程序等方面取得进展。它只是解决大规模、复杂的作战问题。国防部现在需要解决优先问题。作者认为美国网络司令部的“希望的作战清单”是：

　　了解系统尽可能配置安全，聚焦与重要网络地带相关的系统。

　　迅速评估新发现的技术漏洞的风险（如，有多少这种系统，哪些配置可被利用），以便在决定作战风险时能与其他因素一起加以考虑。

　　迅速了解环境，发现系统有潜在对手活动的证据。

　　将发现成果应用到我们自己的作战和测试中（即，红队）发现和减少类似的脆弱系统。

　　迅速在整个企业系统中以计算机可处理的标准格式方法共享信息。

　　训练制定和实施全企业的政策，知道系统何时出错。

　　有效衡量应对措施的价值。

　　确保网络空间的分布式安全

　　国土安全部是联邦政府确保联邦民事行政部门计算机系统安全的主管部门，它与工业界合作保护私有和私营的重要基础设施，与州、地方、部落和领地政府合作确保他们的系统安全。2011年3月，国土安全部出版了一份白皮书，阐述一种未来网络生态系统的思想，它设想网络装置近乎实时地进行自我防御合作。网络生态系统是全球性的，包括美国政府和私营部门的信息基础设施；各种互动的人、程序、信息和通信技术；影响网络安全的条件。根据这一设想，未来，网络装置能够预测和阻止攻击，限制攻击扩散，使攻击后果最小化，恢复到可信赖状态。

　　为实现这一未来，必须在网络装置中建立安全能力，使得各种装置之间能够协调预防性和防御性的行动方案。近乎实时的协调的实现要将个人装置的内在能力与可信赖的信息交换和共享的可配置的政策相结合。

　　该白皮书建议分布式安全需要三个相互依存的组件：

　　身份认证——保证网络知道它是否能信任要求连接的请求；

　　自动化——保证对入侵和异常情况立即作出反应；

　　互通性——保证基于标准的装置能共享信息。

　　正确结合这三个组件能实现自动采取集体行动对恶意活动作出反应，包括金融诈骗、身份窃取以及非法访问获得知识产品和敏感信息的先进的持久的威胁。

　　去年出炉的《四年国土安全审查报告》认为保卫和保证网络空间的安全是国土安全部的5大核心安全任务之一。白皮书阐述了国土安全部实施之一任务的部分设想，作者认为它需要建立更安全的网络环境。为此，美国必须改变人员和装置一起工作的方式。

　　当前的网络生态系统

　　网络空间安全能力是自然分布的，私营部门和各级政府存在各种大量的专长。总之，这些安全能力是独立操作的。诸如漏洞扫描器、入侵检测系统和杀毒软件等安全产品并不交换数据，安全政策不一致。相互竞争的制造商开发这一技术，没有共享信息或确保协调性反应的动力。结果产生的环境就是安全产品保护的是单一团体、单一用户或者甚至单一用户的一个方面。相互防御几乎就是碰巧。

　　未来的网络生态系统

　　建立一个安全富有弹性的网络空间就必须利用企业界的专长，将网络空间分布式性质用于自我的防御。外部边界防御似乎不能担当此任。相反，基于标准的产品和服务可以用来加强局部和个人的能力，并将这些能力联合起来采取集体行动实现安全利益共享。

　　自动集体行动有许多潜在好处。如果网络装置以几乎实时的方式相互联系所发生的事件，采取协调的与定义的政策相一致的保护性措施，甚至能零时差攻击也包括进去。

　　决策会得到优化，自动防御在事件发生的最开始、成本最低阶段将会非常有效。自动行动方案是选择技术解决威胁的方法。

　　潜在的自动行动方案包括——

　　切断被感染的装置；

　　改变健康装置的配置，并加以硬化防御入侵；

　　封锁来袭的恶意软件；

　　过滤传输流量或重新分配路由；

　　隔离部分网络或部分应用系统；

　　改变访问层级。

　　一旦检测到事件发生，可以部署一个数字政策（即，机器指令）警告其他人，用一种能进行认证和自动反馈到其他团体网络装置的格式共享信息。

　　转换

　　向健康网络生态系统的转换应该是渐进式的。以下活动将加快转换：

　　制定国际标准

　　互通性和身份认证标准对不同装置集体履行一致的安全功能十分重要。政府和私营部门的利益攸关方必须与工业界和标准制定团体合作将现有标准成熟并制定新的标准。

　　许多安全和配置相关的数据规格已经存在。如，开放的漏洞和评估语言、通用漏洞披露标识、安全内容自动化协议。这些数据规格为开发未来国际标准奠定了良好的基础。

　　个人、装置和程序认证

　　健康的网络生态系统必须能正确认证用户身份、装置和程序。认证必须得安全的、廉价的、便于使用、可扩展、可互通。

　　生产值得信赖的硬件和软件

　　工业界生产的硬件和软件的安全性、保密行、弹性、可靠性、隐私性和可用性水平必须得到进一步提高。每个产品必须能感知、反应和交流其安全性或环境的变化，保持或增强生态系统的安全态势。此外，软件必须具有强大的前馈和反馈信号机制。

　　解决政策和治理问题

　　政府必须与私营部门合作集体开发识别和解决与自动集体防御相关的政治和法律问题框架。主要的政策问题包括——

　　哪些分布式行为是有效的，应该实现自动化？

　　授予机器作出哪些决定？

　　需要哪些信任要素？

　　发生了意料之外的后果后谁应负责？

　　国土安全部设想的健康网络生态系统有5个成熟度级别，其特点是信息共享、互动和决定权级别不断增加。白皮书阐述了这些成熟度级别，每级的参与都是自愿的。多个成熟级别考虑了生态系统中参与者的多样性，以确保所有系统和组织实现更好的基于风险的安全决策。

　　政府的作用

　　国土安全部有意想在发展健康的网络环境中担当领导作用，正与公共和私有部门的合作伙伴一道完成以下任务：

　　开发需求和使用案例

　　白皮书描述了安全内容自动化和交换可以转变的25项功能。白皮书将这些功能编为两个阶段：事件前检测和事件后检测。事件前检测阶段包括资产目录、配置指南分析、漏洞分析和威胁分析。事件后检测阶段包括入侵检测和事件管理，目前它比事件前检测阶段的标准要少。

　　识别早期采用者

　　安全自动化的早期事例是持续的监视。系统管理员利用许多软件产品自动检测和报告网络节点中的已知安全漏洞。在某些情况下，系统管理员进一步对系统进行配置自动补救检测到的（即，已知的）的安全缺陷。国土安全部正与伙伴合作选出其他早期采用者。

　　进行试点和示范

　　2012财年，国土安全部将实施几项自动化和互通性试点，包括——

　　持续监视“.gov”空间。

　　威胁信息共享。

　　软件保障。

　　试点工作可以成为演示装置如何协同工作、决定安全是否得到改进、识别差距和挑战、帮助提供减少弱点的方法建议的有效方法。试点工作还能帮助系统识别标准是否足够成熟，是否在各种装置得到正确实施。

　　国土安全部欢迎其他政府和私营部门的利益攸关方进行试点和示范合作。

　　推进公共讨论

　　国土安全部开始与利益攸关方举行会谈，讨论利用安全自动化、认知和互通性建立健康富有弹性（可恢复）的网络生态系统。这种对话有助于改进生态系统概念，发现试点近期能力的机会，帮助确定技术、标准和政策方面存在的差距。

　　为了扩大受众，国土安全部计划建立一个网络生态系统wiki（维基百科），鼓励对网络空间白皮书中的确保分布式安全发表评论。

　　此外，国土安全部希望出版后续的三份白皮书。第一份将总结对生态系统概念的反馈，提出协调的行动计划。第二份将提出有关装置认证详细设想和操作构想。第三份将报告试点工作的早期成果和行动计划的治理活动。最后，国土安全部即将出版《国土安全企业系统网络安全战略》。该战略旨在保护对美国十分重要的系统和资产，从而建立更强大的、弹性的信息和通信技术，确保政府、商业、个人的网上安全。国土安全部将在2011年出版这一战略，详细阐述确保分阶段实施的健康的网络生态系统所需的能力。

　　网络安全自动化研究：挑战与未来方向

　　复杂的配置对正常的用户和有经验的管理员都是沉重的负担。它的复杂性大大削减了网络的整体保障性。例如，战略与国际研究中心的一份报告称“美国空军网络的80%的漏洞是不当的或不正确的安全配置造成的。” Juniper 网络公司报告说：“人为错误应该对50-80%的网络故障负责。”近年来有关由于包括安全配置在内的系统管理的复杂性不断增加造成了系统管理成本呈指数增长的报道广为人知。该包括还称“一家公司10多亿元信息技术预算中40%以上用于人力和信息技术运作，占总预算的80-90%。”

　　安全配置复杂性的归因

　　安全配置管理的复杂性不断增加可以归于以下主要挑战——

　　 大规模但又是多样化——

　　一个典型的企业网由成千上万的服务器和安全装置组成，包括防火墙、互联网协议安全网关、入侵检测系统。每个装置又包含成百上千的配置参数，如规则或变数。例如，典型的企业防火墙可能包含10000多个规则。此外，在又多个销售商参与的环境中，同样的配置参数可能在语法规则上与不同的销售商的装置不相同。

　　分布式但又相互依存

　　有效的系统行为不仅取决于单个装置配置的正确性，而且还取决于网络中不同装置的全球配置的相互作用。系统中各种系统一般在功能和逻辑上是独立的。例如，传输流量在入侵检测系统检查之前应该是解密的（通过IPSec）。同样，防火墙封锁的某个传输不应当被不同路径（后门）上的另一个防火墙所允许。因此，网络设备必须进行一致的配置执行凝聚的安全政策。

　　语义差距— 考虑到这一复杂性，将高级的需求正确地转换为低级的配置一般不是很明显。同样，低级的配置参数价值之间存在巨大的差距，这些参数如规则和行为以及它们在全球网络中的意思是什么。

　　动态性 —系统的背景，如技术、漏洞、管理需求、商业关系都随着时间而变化，因此，配置必须不断改变以适应新的服务和能力，同时 考虑到威胁和风险相关的后果。普遍的移动服务的兴起是这种复杂性的另一个事例，它要求基于背景变化进行自适应配置。

　　多个利益攸关方——

　　大型企业网一般有多个管理员管理，他们有不同的权力、需求和技能。不同管理员缺乏系统的协调和行动解决方案增加了配置错误的可能性。不幸的是，随着技术向“智能”、“混合”、“开放”的网络基础设施演变，如网络——物理系统（即，远程医疗、智能电网等等）、云计算、虚拟和OpenFlow网络，这一复杂性可能会大幅增加。未来的互联网服务将是高度可配置的，提供敏捷性和灵活性。

　　由于系统配置参数之间的复杂的相互作用，违法安全和故障的诊断能力就会变得非常困难。我们没有自动的决策能力来检测和响应实时的网络攻击。此外，许多新的网络防御的改变游戏规则想法，如移动目标防御，需要强大的安全自动化支持。这些技术和操作性挑战要求更大的有效使用和成本效益的自动化，它们可以用于基于开放的行业标准的商用现成的产品中。

　　最新水平概要

　　已经进行了许多的研究和开发工作来解决这些挑战。建议用安全内容自动化协议（SCAP）来代表桌面配置的统一信息模式。它能使得软件瑕疵（通用的漏洞和暴露）和配置设置（通用配置列举）为每个软件和硬件组成所识别。它还能利用清单政策（扩展配置描述列表描述格式）对某个特别平台（通用平台列举）的每个配置得到测试（开放的漏洞和评估语言）和验证，进行基于认证和鉴定的评估。

　　SCAP为统一的安全自动化和分析提供了基本的组件，从而为信息技术安全管理提供了根本性的转变。此外，已经利用先进的正式方法，如ConfigChecker和ConfigAssure，开发了一些正式的配置分析工具， 为网络设备提供全球自动安全分析。例如，ConfigChecker的规则有成百上千万个，为上万台设备建立了模型检查器，用户可以定义并核实所有网络设备中的任意的逻辑和暂时的安全属性，包括防火墙、NAT、路由、IPSec、无线接入点灯。ConfigChecker支持对可达性、安全性、可靠性和基于风险的政策需求的认证和诊断。

　　未来方向

　　尽管取得这些进步，但要弥补在安全、保障型、可用性之间还有许多工作要做。还有许多技术难题需要基础性研究，从信息收集到信息一体化、从以桌面为中心到以网络为中心，从基于格式的遵守检查到自动的先发制人的网络防御分析。许多思想仍需要在标准、商用工具、业务程序、管理政策方面机制化。提供统一的配置代表和数据收集，SCAP能起到工具性作用，确保从桌面安全自动化到全球安全分析的转型。

　　架构接口

　　安全内容查询语言 (SCQL)

　　SCAP整合和分析配置信息提供了强大的基础。在众多的互联网创新（即，Web、端对端通信和社交网络）背后的一个重要措施不仅仅是信息的通达性，而且是逻辑接口和分析技巧（即，语义网、说蔑言、数据挖掘、图形搜索），它们能确保强大的可扩展的搜索和智能推理。为SCQL建立基于逻辑的接口能使得开发员和管理员建立各自高级的任意查询，调查不同设备的安全属性。用户和经销商能利用SCQL架构作为开发强大的自动安全工具的组件，用于智能安全内容整合和分析。 SCQL 应当包括内在关联性和相互关联性构想,用来定义任意系统不变量(永远真实的)和安全属性的配置的相互依存性。例如，你可以定义安全控制来限制主机之间的通达性，它不仅要基于漏洞的类似性，而且要基于可访问性的暴露（谁能与主机进行联系）。

　　整合网络与桌面电脑分析的整体安全自动化

　　综合的安全评估需要整合终端系统（即，操作系统）、网络设备（即，认证、授权、Web服务过滤）和应用的配置分析。尽管SCAP组件的开发主要是支持对联邦桌面电脑核心配置合规性检查，但这个工作可以延伸包括网络和应用的安全配置——如访问控制。这就可以创立强大的正式模型来定义和分析多个设备的安全控制以及确保建立新的自动安全分析工具。但这并不容易。建立过滤设备配置的抽象表现需要建立过滤语法和语义模型。

　　不同的销售商可能使用不同的数据包匹配控制机制。例如,多数防火墙使用基于规则排序的单出发匹配,而IPSec实施的是多触发循环安全转换,使得同样的传输能通过同样的IPSec网关进行多次转换。

　　SCAP开放平台

　　利用上述能力,SCAP能衍生服务,为运行多个销售商的安全自动化工具提供一个开放的平台。SCAP平台提供分析原语，这是多数自动化攻击进行询问、分析和报告所必须的。SCAP原语为开发高级的安全管理解决方案提供了基本的能力，如自动配置验证、评估、诊断、减缓、可视化、威胁分析等。这会减轻销售商建立接口、语言、语法分析器、编译器或实施通用分析技巧的负担，让他们集中提供专门的安全分析能力。

　　新奇的安全自动化能力

　　关闭安全自动化回路

　　安全自动化是收集、整合和分析来自不同来源和位置的各种安全内容，进行验证、诊断、纠正、监视、测量和改进安全控制的过程。安全自动化必须基于定义明确的标准以系统和正当的方式，通过正式方法证明来支持多样化技术和配置，这就构成了“自动化回路”。安全自动化工具应能提取系统配置（主机、网络和应用）和系统安全需求并建立模型。还应该能自动验证系统模型是否能满足需求。如果出现违法安全事件，自动化工具必须能诊断违法的根原因，制定识别最小成本配置改变的修补计划，恢复系统安全和操作完整性。

　　自动化安全架构设计

　　这一领域的多少研发工作集中在安全配置自动化，解决迫切的挑战和需要。但是，在安全架构的设计上同样面临根本性的挑战。安全架构定义网络防御态势，包括安全自治域，如网络中的非军事区、反击措施、防御边界、设备位置、深度防御设置等其他问题。尽管安全架构设计一般遵循著名的安全原则和通用做法，如，最小特权、隔离、深度防御、发生故障仍能安全运行的原则等等，但专家一般按照手册或以特别的方式进行设计。这就给安全架构的有效性和最优性带来了许多问题，特别是当设计程序需要在许多竞争性因素之间进行平衡的时候，如风险、成本和可用性。这方面一个大的挑战就是创建优化安全架构的自动化，在满足其他系统限制的同时利用安全原则使风险最小化。

　　配置神经系统 (CNS)

　　尽管安全配置参数相互高度依存，但常常是在局域进行修改。这很容易导致配置错误和违反安全事件出现。配置神经系统能建立虚拟的神经网络，能根据任务和系统要求不断连接相互依存的配置参数，协调全球的配置价值设置。配置神经系统还能使系统进行改变，向许多相关的系统组件传播自然信号进行全球协调和安全和防御作业的自动化。因此，改变部分的系统配置将自动导致按照系统的安全需求与系统其他部分完全一致。 配置神经系统还能使得大规模动态网络中能进行自动和防错改变管理程序。

　　支持移动目标防御的安全自动化

　　移动目标自动化能实现向先发制人网络防御的思维模式的转变，通过随机和持续的改变攻击表面参数，如系统配置来迷惑、 或欺骗对手。移动目标防御系统的一个事例就是可变网络（Mutable Network），它能使主机拥有可变的IP地址，并对反网络侦察和 攻击作出响应。但是，MTD代价太高，没有确保快速安全目标移动的安全自动化支持会造成破坏性后果。因此，安全自动化攻击，特别是为支持MTD和动态的积极系统定制的工具，是下一代防御系统所必须得。

　　重要智能基础设施的自动分析

　　未来重要的智能基础设施（即，智能电网）包含网络和物理系统。单一系统内混合组成部分的一体化大大提高了配置参数的相互依存性，不可避免地引入了新的威胁形式和对重要基础设施的攻击。

　　配置能淹没通信连接，造成拒绝服务攻击。然而，未来我们的经济依赖部署重要的智能基础设施。为了减少大规模攻击的风险或系统的故障，必须依赖严格的正式的分析，通过有效的虚拟分析帮助理解和建模系统的安全和保障的不变量。自动验证和持续监视是任何重要智能基础设施的自动安全系统的核心要求。知远/严美