网络安全滑动标尺模型对组织在威胁防御方面的措施、能力以及所做的资源投资进行分类,详细探讨了网络安全的方方面面。该模型可作为了解网络安全措施的框架。模型的标尺用途广泛,如向非技术人员解释安全技术事宜,对资源和各项技能投资进行优先级排序和追踪、评估安全态势以及确保事件根本原因分析准确无误。
作者:罗伯特 梅里尔.李(Robert M. Lee)
执行摘要
网络安全滑动标尺模型是针对网络安全活动和投资领域进行详细探讨的模型。该模型包含五大类别:架构安全、被动防御、主动防御、威胁情报和进攻。这五大类别构成连续性整体,让人一目了然:各阶段活动经精心设计,呈动态变化趋势。了解互相关联的这几大网络安全阶段后,组织和个人可更好地理解资源投资的目标和影响,构建安全计划成熟度模型,按阶段划分网络攻击从而进行根本原因分析,助力防御方的发展。弄明白各阶段含义后,组织和个人会发现该标尺左侧的类别用于奠定相应基础,使标尺中其他阶段的措施更易实现,可以使用较少资源发挥更大作用。组织和个人利用滑动标尺要达成的目标是从该标尺的左侧部分开始投入资源,解决上述问题,从而获得合理投资收益,然后将大量资源分配给其他类别。
该模型表明,若组织做了充分的防护准备,攻击者需付出更大代价才能成功。此外,利用该模型,防御方可确保安全措施与时俱进。[1]
网络安全滑动标尺模型
网络安全滑动标尺模型[2]对组织在威胁防御方面的措施、能力以及所做的资源投资进行分类,详细探讨了网络安全的方方面面。该模型可作为了解网络安全措施的框架。模型的标尺用途广泛,如向非技术人员解释安全技术事宜,对资源和各项技能投资进行优先级排序和追踪、评估安全态势以及确保事件根本原因分析准确无误。
如图1所示,该模型可划分为五大类别,即架构安全、被动防御、主动防御、威胁情报和进攻。本文将围绕这些类别展开介绍,着重分析各类别的差异以及内在联系。
图1 网络安全滑动标尺模型
各类别并非一成不变,且重要性也不均等
网络安全滑动标尺模型为组织和个人讨论网络安全的各类资源和技能投资提供了框架。该模型包含的五大类别——架构安全、被动防御、主动防御、威胁情报和进攻,各类别相互配合实现网络安全提升,但这些类别并不是一成不变的且其重要性也存在差异。
该模型使用了标尺,表明每个类别的某些措施与相邻类别密切相关。例如,修复软件漏洞属于架构安全范畴,而修复这一动作位于架构安全类别的右侧,要比构建系统更靠近被动防御类别。即便如此,架构安全涉及的措施也不能视为主动防御、情报或进攻相关活动。又如威胁情报活动,攻击者网络中开展的威胁情报活动更接近进攻活动,与搜集和分析开源信息相比,能够更快地转变为进攻活动。同样,收集和分析事件响应数据从而生成威胁情报更靠近主动防御类别,因为在此类别中,分析师会利用威胁情报达成防御目的。
滑动标尺的每个类别在安全方面的重要性并不均等。这一点可从本文在架构安全和进攻的对比中明显看出。若系统构建和实现过程考虑到了安全,则会显著提升这些系统的防御态势。要实现同样的安全目的,这些措施的投资收益远高于进攻。技术足够先进、目标极其坚定的攻击者总会找到办法绕过完善的架构。由此可见,投资不应仅对局限于架构本身。滑动标尺的每个类别都很重要,组织在考虑如何实现安全以及何时关注其他类别时应以预期投资收益为导向。比如,若组织对架构安全和被动防御缺乏维护会发现主动防御的价值不高,此类组织应首先修复基本问题再考虑威胁情报或进攻。
要实现网络安全目标,组织应构建安全根基和文化,并不断进行完善。这样,防御方在面对威胁和挑战时才能及时调整,更好地进行防御。由此可见,滑动标尺模型还能潜在促进组织的安全成熟进程。组织应首先将精力放在标尺左侧的类别,构筑相应基础,然后再对右侧的类别作出投资。组织在架构安全阶段进行合理投资会为其后有效实施被动防御打下了基础,能够获得更大收益。此外,主动防御若在具备完善架构安全和被动防御的环境中部署较易实现且更为有效。若缺乏该安全基础,开展网络安全监控或事件响应等主动防御活动则较为困难且开销较大。成本凸显的是各类别的投资收益,如图2所示。例如,要有效执行进攻行动,最起码要利用威胁情报,这需要组织充分了解其在主动防御、被动防御和架构安全阶段的安全措施,明确组织面临的威胁并进行应对。然而,进攻行动为组织带来的价值远不如合理构建和实施架构安全高。因此,我们强烈建议组织将主要精力放在滑动标尺左侧的阶段,从架构安全做起。
图2成本与安全价值
架构安全
架构安全:用安全思维规划、构建和维护系统。
安全的一个最重要方面是合理构建系统,使其与组织的任务、资金和人员配备相匹配。[3]架构安全指在用安全思维规划、构建和维护系统。安全的系统设计是基础,在此之上才能开展其他方面的网络安全建设。此外,根据组织的需求合理构建架构安全,可提升标尺的其他阶段的效率,降低开销。例如,若网络分段不合理且未安装软件补丁进行维护,则存在很多安全问题,防御方可能疲于应对,导致网络攻击者等真正需要识别的威胁淹没于各类安全问题、相关恶意软件以及由于架构不合理而导致的网络配置问题中。
架构安全通常从规划和设计系统以支撑组织需求开始。为此,组织应首先明确IT系统要支撑的业务目标,这可能因公司和行业而异。系统安全应为这些目标提供支撑。架构安全阶段的目的并非是防御攻击者,而是要满足正常运营环境和紧急运营环境的需求,包括偶发的恶意软件感染、误配置系统带来的网络流量峰值、以及系统仅仅因部署在同一网络而互相导致中断。所有这些情形在当今联网基础设施的正常环境中都非常常见,而且还不仅限于这些问题。在系统设计时考虑这些情况可以维持系统的保密性、可用性和完整性,从而为组织的业务要求提供支撑。
安全的系统构建、采购和实现是架构安全的另一关键要素。要确保质量控制措施落到实处,保护链条中各环节的安全很重要。这些措施与应用安全补丁等系统维护相结合,让系统更易于防护。软件和硬件补丁应用有时被误认为是一项防御措施[4],实际上,它们本身并非防御措施,但是会促进安全。与合理架构相关的各项举措还会降低攻击面,最大程度地减少攻击者进入系统的机会,万一攻击者进入系统,还可限制其行为。
下文将介绍几个样本模型,作为实现上述类别相关实践的参考。
样本架构模型
- 国家标准与技术研究院(NIST)的800系列特刊
NIST发布的800系列特刊提供有关安全的系统采购、设计、实现和加固的多个指南。[5]虽然系统架构由预期结果和系统需求驱动,这些特刊还是具有很好的指导意义。需特别关注的是800-137特刊“联邦信息系统与组织的信息安全持续监控”,该指南指出组织应持续主动监控网络,识别并及时修复安全违规和漏洞,以防止攻击者对其进行利用。
- 普渡企业参考体系结构
-The-普渡模型是工业控制系统网络的高层体系结构模型的一个范例。[6]。该模型旨在说明需按照功能对各网段进行划分和隔离。合理划分网络能显著提升其防护能力。
- 支付卡行业数据安全标准(PCI DSS)
-PCI DSS作为信息安全标准,面向的是处理特定类型信用卡及其相关数据的组织。其中,一些标准与防火墙实现等被动防御相关,而大部分标准旨在实现架构安全,例如,开发和维护安全的系统、数据加密、持卡人数据访问限制以及不使用厂商提供的默认密码等要求都有助于实现合理的架构安全。
被动防御
组织在通过投资该模型的架构安全类别构建了合理的安全基础后,就非常有必要投资构筑被动防御了。被动防御位于架构安全的上层,为系统提供攻击防护。攻击者或威胁若心怀叵测且有能力造成损害,一旦找到机会便会绕过架构,无论架构有多完善,因此被动防御非常必要。[7]在定义被动防御前,我们先了解一下该术语的历史。
防御在传统上可划分为被动防御和主动防御。上个世纪三十至八十年代(网络这一术语还未出现),围绕这两个术语的定义引发了众多纷争。[8]美国国防部对被动防御作了如下定义,结束了长期纷争:为降低恶意行为几率以及尽量减少恶意行为引发的损害而采取的措施,而非主动采取行动。[9]然而,该定义是否可用于网络安全领域一直是众多学者、安全从业者和军事专业人员争论的焦点。该定义可能看似容易理解,但将其应用到网络领域的正常运营环境就不会像字面解释这么简单了。
要实现从军事领域到网络领域的转换,需了解术语的真实含义,而非字面定义。在最初的争论中,被动防御指无需军事部门交互的情况下提供攻击防御。加固防御工事防止导弹轰炸便是一个例子。尽管这看起来类似于在系统中安装软件补丁,但与加固结构而非防护攻击更为接近。因此,它不属于防御,只是对系统所处典型环境的一种认知。安装补丁是一项维护措施。同样,为军事会议室构筑屏障,应对各种恶劣气候不是“对抗大风的被动防御”,而只是该环境所需的正常行为。加固屏障、设置诱饵、伪装以及针对会议室的其他二次措施才是被动防御。最后一点,现实世界还存在资源消耗情况。攻击者会消耗物理资源,如炸弹投放一个就少一个。在数字世界,攻击者并不以这种方式消耗资源。若攻击者使用了一种恶意软件,而未被发现或反击就会多次反复使用。在这种情况下,攻击者所需的是时间、相关资源及人力。消耗攻击者的资源,包括其策划和实现恶意目的所需的时间,对于防御者来说至关重要。被动防御可帮助您实现这一点。
被动防御:架构中添加的提供持续威胁防护和检测且无需经常人工互动的系统
了解被动防御术语的历史,我们或许会得出这样一个结论:可在结构中添加插件实现防护。防御攻击而未必增强系统自身能力这一理念可帮助我们得出被动防御的定义。在现实世界中,被动防御同样也不需要频繁的人工互动。因此,被动防御的定义为:架构中添加的提供持续威胁防护和洞察且无需经常人工互动的系统。架构中添加的样本系统,如防火墙、反恶意软件系统、入侵防御系统、防病毒系统、入侵检测系统和类似的传统安全系统,可提供资产防护、填补或缩小已知安全缺口,减少与威胁交互的机会,并提供威胁洞察分析。这些系统需定期维护、更换和保养,而不是需要时常人工互动才能运行。系统可能一直运行,但并非总是处于有效防护状态。目前,已有多个模型针对此类系统的部署提供建议。
建议被动防御模型
- 深度防御
深度防御是在系统架构上层实施被动防御的一个基础概念。[10]该模型是一个确保被动防御系统贯穿整个网络的概要方案。并且,该模型也与对手资源消耗这一概念直接关联,将防御划分为多个层级,致使攻击者投入更多时间和精力才能实现其目标。不过,这要求分级防御不仅仅是使用了相同的技术,还意味着在被绕过时,就无法耗费攻击者的时间。
- NIST的800系列特刊
NIST的800系列特刊提供了多个有关被动防御实施的文档。[11]800-41、800-83和800-94特刊介绍了防火墙、反恶意软件系统和入侵防御系统,值得特别关注。
- NIST网络安全框架
-NIST网络安全框架提出了帮助组织防御威胁的路线图,[12]涵盖架构安全、被动防御和主动防御,不过,该框架的主要贡献在于就如何正确实现和使用被动防御提供了建议。该框架是一个为组织提供指导性帮助的优秀参考模型。
主动防御
被动防御机制在面对目标坚定、资源丰富的对手时会最终落败。针对这类技术先进、一意孤行的对手,需要采取主动的安全措施,同时还要有训练有素的安全人员来对抗训练有素的攻击者。至关重要的是,要对这些安全人员进行授权,保证其在安全架构内操作,而这样的安全架构应受到妥善部署的被动防御措施的保护及监控。然而,谈到网络安全时,媒体和新闻机构往往会误用主动防御一词,且对其理解各执己见。由于该术语屡屡被误用,所以我们需要深入探讨它的历史背景。
20世纪70年代,美国陆军在谈到陆地战时使用了“主动防御”一词,引发激烈辩论。一级上将威廉·E·德普伊(William E. DePuy)是陆军训练与条令司令部(Army Training and Doctrine Command)的第一任司令,他在1974年的一篇关于1973年阿拉伯/以色列战争的文章中使用了该词。文中,他谈及了防御方的动态而非静态的战斗能力:“这意味着防御方必须要有行动能力,必须对作战区域进 行主动防御。”[13]之后,他进一步阐述了该术语的概念:“主动防御是指紧密联合的武装小组和特遣部队相互支持,在整个战斗区域从不同的位置展开战斗,连续不断地打击攻击者,最终拖垮攻击者。”[14]他在1976的《美国陆军野战手册》100-5“军事行动”中收录了该词。德普伊将军后来指出,“主动防御”一词之所以饱受质疑,是因为对《野战手册》中的术语存在误解,尽管该手册被认为是开创了越战后的陆军条令先例。他表示,“‘主动防御’一词仅在100-5中作为形容词顺便提及而已,在71-2中很少提及。然而,在71-1中,‘主动防御’成为了该系列手册中所规定的防御原则的官方描述符。但是,正如我们之后看到的那样,对该术语的含义没有达成共识。”[15]
军事领域对该术语莫衷一是,和当前在网络安全领域该术语使用的情形一致。但是,美国军方就军事行动方面(而非网络安全)的“主动防御”采用了官方定义。[16]对传统战争来说,“主动防御”指:采用有限的进攻行动和反击,将敌人赶出被争夺的区域或位置。这里使用了“反击”一词,在网络安全领域,人们将其错误地按字面理解为“黑回去”。然而,这并非该术语的本意。事实证明,简单地将术语从战争的物理领域复制到网络安全中并不能准确地体现这些术语的含义。“主动防御”一词始终围绕的是机动性以及结合军事情报和指标来识别攻击、在防御区域/被争夺区域内应对攻击或对抗能力的能力。此外,还包括从对战中学习的能力。这在1965年开始的一项兰德研究中被重点提及,出现在关于使用综合防空系统跟踪洲际弹道导弹(ICBM)并在其击中目标之前进行摧毁的讨论之中。[17]在谈及网络安全时需要注意的是,“反击”只发生在防御区内,且对抗的是能力,而不是对手。也就是说,网络安全中的“反击”在事件响应中可以得到更好的体现,因为事件响应涉及到人员通过遏制和补救威胁进行“反击”。事件响应者等人员不会在攻击者所在的网络或系统中对攻击者发动进攻,就像洲际弹道导弹的综合防空主动防御机制,这些机制只是摧毁导弹,而不是人或人所在的城市。
基于上述背景介绍以及理解,网络安全中的“主动防御”可被定义为:分析师监控、响应网络内部威胁、从中汲取经验并将知识应用其中的过程。这句话最后的“网络内部”很重要,进一步消除了“反击”即“黑回去”的误解。承担这一任务的分析师包括事件响应人、恶意软件逆向工程师、威胁分析师、网络安全监控分析师以及利用自己的环境探寻攻击者并进行响应的其他人员。
对分析师而不是工具的关注引入了一种主动的安全方法,突出了最初战略的意图:可操作性和适应性。系统本身无法提供主动防御,只能作为主动防守者的工具。同样,分析师仅坐在诸如系统信息和事件管理器之类的工具前面并不能让成为主动的防守者—这关乎行动和过程,就如人员的岗位安排和培训一样重要。使高级威胁持久且危险的是键盘背后的具有自适应能力和智慧的对手。打击这些对手需要同样灵活和聪明的防守者。
图3主动网络防御周期
主动防御建议模型:
- 主动网络防御周期
主动网络防御周期是本文作者创建的模型,是SANS ICS515—主动防御和事件响应课程的研究对象。
它由四个行动阶段构成,形成持续流程,以主动监控、响应攻击并从中汲取经验。这四个阶段是:威胁情报使用、资产识别与网络安全监控、事件响应以及威胁和环境操控,如图3所示。[18]
- 网络安全监控
网络安全监控(NSM)在20世纪80年代被托德·海伯林(Todd Heberlein)最终定义为一系列行动。当时,他开发了网络安全监控系统,用于检测网络入侵。[19]随后,其他分析师推广和扩展了NSM的概念。值得注意的是,理查德·贝杰利希(Richard Bejtlich)的作品拓展了这一领域,尤其是《网络安全监测之道》(The Tao of Network Security Monitoring)一书,让NSM引起了广泛关注。虽然NSM是主动网络防御周期的一个组成部分,但它本身就是一种模式,是一种主动防御方法。这种方法突出了分析师检测其环境内部对手的价值,可驱动对攻击事件而不是单一入侵的事件响应。
情报
情报:收集数据、利用数据获取信息并进行评估的过程,以填补之前所发现的知识鸿沟。
有效实现主动防御的秘诀之一是能够利用攻击者相关情报并通过情报推动环境中的安全变化、流程和行动。使用情报是主动防御的一部分,但输出情报属于情报类别。正是在这个阶段,分析师使用各种方法从各种来源收集了关于攻击者的数据、信息和情报。
情报是一个常用词,但其概念经常被误解。在美国国防部的术语定义中,该词出现了998次。[20]军事情报占据了研究领域的大半江山,并在很大程度上促进了对网络安全领域情报的理解。美国军方对情报的定义是:“收集、处理、整合、评估、分析和解释有关外国国民、敌对或潜在敌对势力或因素、或实际或潜在作战区域的现有信息的产物。该术语也适用于导致此产物出现的活动和参与此类活动的组织。”[21]简而言之,根据这个定义,情报既是产品,也是过程。在网络安全领域,情报定义为:收集数据、利用数据获取信息并进行评估的过程,以填补之前所发现的知识鸿沟。图4所示的情报过程已经过翔实论述,通常为连续周期,由收集数据、处理和利用这些数据获取信息以及分析和产生不同来源的信息以输出情报这些环节构成。
图4情报过程[22]
基于对数据、信息和情报之间关系的片面理解,网络安全领域出现了一些滥用情报的情况。[23]图5直观展示了对此过程的理解。许多安全厂商吹嘘自己的工具能输出情报,这又导致了另一个常被滥用的术语的出现:可操作情报。工具无法产生情报,只有分析师才能。工具和系统对于从运营环境(不管是某组织的网络还是攻击者的系统)中搜集数据很有用,处理数据并利用数据获取有用信息的工具和其他系统也值得投资。但是,分析、输出这种信息、其他来源的信息以及执行必要流程(如分析竞争性假设)只有人类分析师才能做到。这些人类分析师知道如何进行内部决策或行动,并会分析各种来源的信息,输出情报评估结果。这些评估结果在为内部决策和行动计划提供建议时可以用到。工具本身无法完成这一过程。
图5数据、信息和情报之间的关系[24]
网络安全领域的情报涉及各种活动。例如,访问对手网络以搜集和分析信息的团队会进行网络情报操作。还比如,对手偷走文件后,将文件放在自己的网络中,防护方通过这些文件传输回来的信息可以获知对手环境的真实位置。搜集到的信息对于国家决策者、军方等来说就是有用的情报,可帮助他们了解对手的研发能力和实施计划。同样,利用蜜罐来分析攻击的研究人员搜集并分析信息,以输出有关对手的情报,同时无需与对手正面交锋。最后,还有一个典型例子:分析师从被网络内外部攻击者所破坏的系统中搜集数据和信息,获取有关威胁情报。最后这个例子即网络安全从业人员所说的威胁情报。
威胁情报是一种特定类型的情报,为防护方提供攻击者、攻击者在防护方环境中的行为、攻击能力以及攻击策略、技术与过程(TTP)等的相关信息,[25]目的是了解攻击者,以便更准确地识别攻击者,更有效地响应攻击活动。威胁情报非常有用,但许多组织由于对情报领域缺乏了解,不仅没有充分利用威胁情报,反而对该术语冷嘲热讽。合理利用威胁情报需要做好至少三件事:
- 防守方必须知道哪些算是威胁(有机会、能力和意图进行破坏的攻击者);
- 防守方必须能够在自己的环境中用情报驱动行动;
- 防守方必须知晓输出情报和使用情报之间的区别。
目前,大多数组织并未准确了解其威胁形势。这意味着他们无法正确判断哪些攻击者和能力实际构成了对其的威胁,哪些不能。例如,如果对组织的架构和被动防御缺乏深入了解,就无法确定组织系统中是否存在已知漏洞,或者漏洞是否已经修复;因此,也无法准确描述风险。如果防护方不了解自己的业务流程、安全状态、网络拓扑和架构,就无法有效使用威胁情报。同样,许多防护人缺乏组织内部知识,未获得决策者授权,因而无法采取必要行动保护自己的环境。如果根本不使用情报,当然就没有情报失效的问题。最后,分析师、流程和工具在输出情报和使用情报时存在显著差异。输出情报通常需要大量的资源投入、广泛的数据搜集机会,还要专门获取了解目标所需的所有知识。但是,使用情报要求分析师熟悉威胁情报所适用的环境,了解可能受其影响的业务运营和技术,并能够将防护方的情报妥善利用。输出情报是一种情报行为,而使用情报则是主动防御中的一个角色。
简而言之,组织要合理使用威胁情报,必须了解自己,了解威胁,并授权人员使用这些信息进行防御。这一基本概念看似容易,实施起来却很难,因为它必须依赖于网络安全滑动标尺模型中的所有其他阶段。正是由于这个核心基础,威胁情报对防御者显得极为重要,若没有这一基础,会大大降低情报的价值。
建议情报模型
- 网络攻击链™
网络攻击链™最初出现在埃里克·M·哈钦斯(Eric M. Hutchins)、迈克尔·J·克劳帕特(Michael J. Cloppert)和罗汉·M·阿明(Rohan M. Amin)博士公开发表的《通过分析攻击活动与入侵攻击链实现情报驱动的计算机网络防御》[26]一文中。这个模型有效描述了攻击者对防护方系统进行的活动,并将这些活动分成各个阶段,易于识别。网络攻击链模型能够从与攻击者的交互中提取指标和信息,这些指标与信息与其他模型(如钻石模型)结合使用,可形成威胁情报。
- 入侵分析钻石模型
钻石模型最初出现在公开发表的《入侵分析钻石模型》[27]一文中。该文由塞尔吉奥·卡尔塔吉罗内(Sergio Caltagirone)、安德鲁·彭德加斯特(Andrew Pendergast)和克里斯托弗·贝茨(Christopher Betz)据其对美国国防部内部攻击活动的分析经验共同撰写。该模型阐明和分析了所有事件所共同具有的四个关键点:攻击者、基础设施、能力和受害者。理解模型中的这四点,发现与各点相关的信息,并了解攻击链中的事件发生位置,有助于了解对手并输出威胁情报。
- 情报生命周期
前文介绍的情报生命周期,即情报过程,是输出情报的典型方法。经验证,在网络安全领域使用这种方法并专注于威胁可有效输出威胁情报。使用现有模型(例如网络攻击链和钻石模型)来支持这一过程,防护方就能占据优势,积极应对威胁。
进攻(Offense)
凭借上文所述的网络安全滑动标尺模型中的基础要件,再加上对情报的慷慨投资,进攻可巩固网络安全。作为滑动标尺模型的最后阶段,进攻是对友方网络外对手采取的直接行动。采取进攻行动时,需要了解前面各阶段,具备相关技能,而且往往要求这些阶段中已进行了相应活动。例如,确定环境中的威胁通常在主动防御阶段完成。要正确执行主动防御,需要在被动防御和架构阶段打好基础。在之后的情报阶段需要厘清攻击者信息,积累行动所需的知识,建立成功标记。单看进攻这一行动,代价已经很高昂,若再加上成功所需的各项基础,进攻可以算是组织所采取的最昂贵的行动。
由于“进攻”含义更广,网络安全滑动标尺模型选择使用“进攻”而不是“网络攻击”这一术语。通常情况下,组织和新闻媒体对网络攻击定义各有不同,有的指网络入侵,有的指间谍活动。实际上,这些行为被称为敌对情报行动更为合适。美国国防部关于术语定义的联合条例未包含攻击性网络操作的定义,但给出了下列提法:攻击性网络操作是“在网络空间或通过网络空间用强力来树立权威。”[28]值得注意的是,“强力”一词的使用与国际上通行的该术语用法一致,用于描述战争之外的一系列非法行为。美国军方在非官方情况下通常使用“拒绝、破坏、欺骗、降级和破坏”等词来描述网络攻击行为。[29]
一国对他国树立权威的行为和组织为提升其网络安全所采取的行为不同,这两者需要区分开来。进攻性行为须作为提升网络安全的一个选项,但非军事组织这一选择的合法性却会受到高度质疑。国际法视为合法的国与国之间的进攻性行为也饱受质疑,迄今为止就这一主题讨论最完备的文件是塔林手册(Tallinn Manual)。[30]近期出现了一些值得关注的相关案例,如对朝鲜袭击民用公司索尼的指控。即使缺乏确凿证据,美国也可能有充分理由通过网络攻击进行反击,同时不负任何法律责任。[31]但这不属于本文讨论范围。
无论国家和国际法律如何发展,非军事或国家组织的进攻行动本质上必须是合法的,才能被视为网络安全行为,而不是侵略行为。进攻可以用于网络安全以外的目的,例如国家政策或冲突。但是,就网络安全而言,进攻性行为在此定义为:为自卫目的,针对友方系统之外的攻击者采取的法律对策和反击行动。笔者认为,非军事组织目前不能参与这种行动,需要遵循法律精神。虽然可能存在漏洞,但这是由于法律无法跟上技术行为,与有理有据的辩论和探讨无关,后者并不会导致此类行为。此外,基于对进攻行为的投资回报的理解,应该很容易判断,组织在发现进攻的安全价值之前,应该已经从其他种类的行为中获得了假定的最大投资回报。根据国际法,基于报复或报仇的理由都属于非法,绝不会视为自卫行为。
建议进攻模型
无;该主题在网络漫画《小鲍比》中被特别提及,如图6所示。
图6 小鲍比—第三周[32]
[1]Thomas Rid博士、Michael Assante、Lenny Zeltser和Tim Conway在本文编写过程中给予了笔者启发、提出了建设性意见,并对本文进行了补充,在此特表示感谢。
[2] 网络安全滑动标尺模型基于该作者在其未发布的博士论文中的研究。鉴于该论文在SANS研究院课程中均有涉及,因此很有必要编写一份白皮书对该模型进行介绍。本文是仅是一份实践指南,而不应视为对该模型在学术方面的防御论述。
[3] 需要注意的是,本文提及的“系统”不单单指独立系统,还涵盖多个系统(网络或独立硬件或软件组件)组成的系统,包括应用等软件以及广泛意义系统中的所有独立组件。
[4] 美国国防部在多个场合中称系统构建和补丁修复可发挥防御性作用,称其为防御性网络行动(DCO)。然而,系统构建和补丁修复是一项基本安全要求,该措施能够提升系统防御能力,其目的除应对攻击者场景外,还在于实现系统运维。
[5] NIST 800系列特刊
[6] 普渡研究基金会,计算机集成制造(CIM)参考模型。普渡研究基金会,1989。
[7] 心怀叵测且有能力和机会造成损害的攻击者被称为威胁。
[8] 对此众说纷纭的主要原因是由于远程轰炸机和洲际弹道导弹的出现。有关这些纷争的详情,请参考兰德机构的相关资料以及早期的美国陆军航空军相关出版物和战地手册。
[9] 联合条例(JP)1-02军事字典及相关术语,美国国防部,2015年3月.
[10] 深度防御.美国国防部,未注明出版日期。
[11] NIST 800系列特刊
[12] NIST网络安全框架,2013年2月。
[13] 威廉·E·德普伊将军,中东战争对美国陆军战术、原则与体系的影响.1974年
[14] Ibid
[15] 威廉·E·德普伊将军,重温FM100-5. 1980年11月
[16] 联合条例(JP)1-02军事字典及相关术语.美国国防部,2015年3月
[17] A. L.莱特(A. L. Latter)及E. A.马蒂内利(E. A.Martinelli),主动与被动防御. 兰德公司,1965年8月
SANS ICS515 – 主动防御与事件响应课程谈论了该模型,详见如下链接:www.sans.org/course/industrial-control-system-active-defense-and-incident-response
[19] 理查德·贝杰利希,网络安全监控历史.TaoSecurity,2007年4月11日
[20] JP 1-02, 2015年3月
[21] Ibid.
[22] Ibid.
[23] 关于数据、信息和情报之间的区别及其在当今安全市场上的应用,请访问:https://digital-forensics.sans.org/blog/2015/07/09/your-threat-feed-is-not-threat-intelligence
[24] Ibid.
[25] 欲了解网络威胁情报的更多信息,可加入SANS FOR578 – 网络威胁情报课程,深入学习迈克·克劳帕特(Mike Cloppert)、克里斯·斯帕里(Chris Sperry)及本文作者所提供的资料,链接如下:www.sans.org/course/cyber-threat-intelligence
[26] 埃里克·M·哈钦斯、迈克尔·J·克劳帕特及罗汉·M·阿明博士,通过分析攻击活动与入侵攻击链实现情报驱动的计算机网络防御,第6届国际信息战争与安全大会会刊. 2011年
[27] 塞尔吉奥·卡尔塔吉罗内(Sergio Caltagirone)、安德鲁·彭德加斯特及克里斯托弗·贝茨,入侵分析钻石模型,主动响应. 2013年7月
[28] 联合条例(JP)3-12 网络空间行动.美国国防部,2013年2月5日
[29] 空军网络司令部战略构想.美国空军,2008年
[30] 迈克尔·N·施密特(Michael N. Schmitt)教授,塔林手册. 北约协作网络防御卓越中心,2009年
[31] 该案例不在本文讨论范围。欲了解相关信息,参见迈克尔·施密特教授在Just Security上发布的博文,链接如下:http://justsecurity.org/18460/international-humanitarian-law-cyber-attacks-sony-v-north-korea/
[32] www.LittleBobbyComic.com
免责声明
本文原文来自于互联网的公共方式,由绿盟科技博客和“安全加”社区出于学习交流的目的进行翻译,而无任何商业利益的考虑和利用,“安全加”社区已经尽可能地对作者和来源进行了通告,但不保证能够穷尽,如您主张相关权利,请及时与“安全加”社区联系。
“安全加”社区不对翻译版本的准确性、可靠性作任何保证,也不为由翻译不准确所导致的直接或间接损失承担责任。在使用翻译版本中所包含的技术信息时,用户同意“安全加”社区对可能出现的翻译不完整、或不准确导致的全部或部分损失不承担任何责任。用户亦保证不用做商业用途,也不以任何方式修改本译文,基于上述问题产生侵权行为的,法律责任由用户自负。