本部分介绍网络防御能力搭建。同样的,部分内容一般企业不会涉及,作为参考,学习一下。
D 1.5 – Cyber Defence
从指挥控制和情报收集机制,到后勤系统、高精度武器、定位和信息系统,信息通信技术日渐融入到军事活动和产品的每个部分。随着信息通信技术在军事能力中日益融合,作为网络攻击的目标,它们越来越具有吸引力。
作为回应,各国需要在发展网络安全和网络防御领域的能力、韧性方面,进行全面且综合的加强。众所周知,比如,北约组织承认网络空间是与陆、海、空、航同等关键的第五大军事领域。
以下篇幅概述了该系列能力建设步骤,以指导各国政府和高级武装人员发展和实施国家网络防御能力。下框 1.5 概述了这些步骤,后续将对每一步骤进行详细描述。
制定有效网络防御能力的第一步是指定一个任务所有者,在国家一级领导网络防御战略的制定、协调与实施。根据现有的组织结构,这个任务所有者可能在军队内部或国防部门中。
在制定的初始阶段,任务所有者应作为国防部门中网络安全和网络防御的中心联络点和中心协调机构。即使当前没有中央集权的协调机构,在国家的军事和国防供应的不同领域也可能已经存在某种程度的网络防御活动。任务所有者的角色是理解和映射现有的条款,并将这些因素纳入,制定一致的国家网络防御战略。
在国家网络防御战略的初始制定过程中,进行风险评估是很重要的,风险评估可以帮助我们了解防御体系结构中的威胁场景和潜在的弱点。
网络防御领域的威胁场景是广泛的、复杂的、快速变化的,这是由于许多国家和非国家行为体容易获得复杂的信息和通信系统,以及技术发展的快速步伐。军事能力内的计算系统逐渐整合,外加互联网的日益开放,这导致了能够攻击和损害国家军队能力的敌人和种类越来越多。进行包括匹配以下两个方面的威胁场景分析,可能以国家军队为攻击目标的敌对势力范围(包括犯罪组织、外国情报服务,外国军事力量,非国家行为体,激进黑客分子等)和可能由敌对势力所使用的技术范围 (包括恶意软件,僵尸网络,逻辑炸弹和高级持续威胁(APTs))。
除初步威胁评估外,匹配和理解当前和未来防御系统中存在的特定漏洞都很重要。如上所述,多数防御能力越来越依赖于信息通信技术。应进行初步的弱点评估,以确定这些系统可能遭到危害的各种方式,并概括出具有针对性网络攻击的潜在影响。
通过对威胁场景理解与漏洞分析的结合,就有可能完成一次单一的风险评估,以识别网络防御需求并确定其竞争的优先级。反之,这也可以作为一种更具针对性、更实际的网络防御战略的基础,以平衡实用性、可用资源和风险。这种战略目的是确保在适当的情况下实施最低限度的保护措施,并特别强调网络防御中基于国家军队有效运作和部署方面最易受威胁、最脆弱和最重要的领域。
在初步风险评估的基础上,下一步是制定积极寻求减轻已识别风险影响的网络防御战略。这一战略可以作为文件独立提出,也可作为更广泛的国防战略的一部分。
能力 组织 协调
概述了所需要的网络防御能力,并详细介绍了对技术和操作要求。这可能包括以下几个领域:
被动网络防御 (Passive Cyber Defence),考虑到检测网络攻击、保护网络和计算机系统免遭攻击、监控内部数据流量以发现受损的系统,以及减轻成功网络攻击的影响所需的应对措施;
采购和供应链保障(Procurement and Supply Chain),其重点主要在于确保计算机设备和部件的供应链是安全的,其方式是不向个人主机或网络系统引入恶意元素;
应急响应(Incident Response),主要关注证书及其对网络攻击的响应能力,包括应对网络攻击预防和响应的所有要素;
主动防御(Active Cyber Defence),是指主动部署可操作的网络资产,积极预防攻击并确保防御设备全负荷运转;
攻击性网络作战(Offensive Cyber Operations),是指对敌方的信息和计算系统进行定位、攻击、干扰和瘫痪的能力;
网络情报(Cyber Intelligence),指威胁预测、敌人信息收集和进行网络反间谍(情报)分析的能力,其重点是攻击后的特定参与者识别与追责;
网络威慑(Cyber Deterrence),旨在通过清楚地告知对方攻击成功的可能性已被降低,并保证会采取适当的报复以增加攻击的潜在成本,从而降低被敌人攻击的可能性;
国内网络应急响应(Domestic Cyber Emergency Response),指的是军方在必要时支援民用网络安全的能力,特别是在大规模事件发生时,民用响应能力不足的情况下。
指可在现有防务组织内实施的一系列措施,以帮助提供上述网络防御能力。该类别所涵盖的范围包括:
专业技能(Professinal Skills),指的是招募、保留和培训技能熟练的网络安全专业人员;
设施(Facilities),是指建立和执行特定网络防御任务所需的物理基础设施,包括网络训练中心、网络研究实验室、网络测试设施和网络范围;
技术装备(Technical equipment),是指网络空间有效运作所需的技术能力,包括保护现有设备、网络攻击响应和开展攻击性网络作战;
内部结构(Internal structure),是指在军队的不同领域内,网络防御团队的细分和专业化,以及整体任务所有者提供的有效协调和核心方向。
指的是对公共和私营部门参与者的管理,他们参与国防领域并且介入国防部门对民用领域的管理。网络防御和网络安全本质上是跨部门、跨领域的。此外,军队、国家政府、私营企业和国际参与者在很多方面都相互依赖安全的信息通信技术。例如,防务组织通常依赖公共和私营部门基础设施,像电信系统和技术能力的获取,以有效地开展其工作。作为回报,防务组织可以向公共和私营部门的参与者提供有价值的服务,比如针对外国参与者的网络情报,并在民用能力和能力饱和时为平民紧急状况提供支援。国防、公共和私营部门也可以从跨部门的学习和发展机会中获益,并可以利用信息和资源的汇集来加强共同的网络技能和技术能力。
确保网络领域的有效关系、伙伴关系和协调是任何网络防御战略的一个重要方面。建立这些关系没有单一的方法,但可以使用下列通用方法来帮助促进有效协调:
鼓励公私合作(Encourage public-private partnerships),在联合研究项目、教育和技能发展项目等问题上开展非正式合作;
为不同的利益相关方提供安全交流平台;
明确划分不同部门与领域的角色和责任,特别是在可能存在重叠的领域,如民用网络情报和民用网络事件响应;
开发核心网络防御中心,如国家网络防御研究中心;
在信息和情报共享时,提供配套立法以确保信任和安全;
根据国家情况,与国际盟友及合作伙伴进行适当合作;
网络防御战略作为实施网络防御活动的框架,通常包括多个长期目标,在不同领域指派不同的任务所有者。
然而,在网络领域,仅仅根据典型的战略制定时间表来制定和审查战略是不够的,这些战略制定时间表通常是大约 5 年时间。网络安全和网络防御是动态环境,任何实施都必须足够的敏捷,以跟上并应对网络领域的变化。这包括识别新出现的威胁、开发新的能力以及根据网络生态系统的变化调整资金水平、组织结构和操作流程的能力。即使在先进的军事结构中,众所周知,在传统的军事环境中开发敏捷网络防御流程是很困难的,但是有很多机制可以实现来帮助促进和开发更具动态化的流程,包括:
引入评估当前网络防御条款和趋势的短频审查周期,并在战略审查周期之间提供短期建议;
支持网络防御领域的研发,例如,通过公共资助的研究机构、公私合作以及与学术界的合作;
随着网络防御在军队和防卫组织中成为一项更成熟的职能,可能需要更复杂的组织结构,以实现更紧密的整合和更深程度的专业化。维持一个首要任务的所有者很重要,但随着网络防御能力和运营规模的增长,引入额外的组织结构或附属团队来交付更专业的网络防御能力,可能会变得更加有效。核心任务所有者将专门关注协调、管理和战略制定,而附属团队将更关注运营能力或专业性支持角色。
网络防御作为军事领域在国家和国际层面上越来越被认可,2016 年北约承认网络空间是同陆地、海洋、天空和太空相同的作战领域证明了这一点。在传统军事领域,军事学说经过多年的发展和完善,为战术的发展和实施提供了基本原则。然而,在网络安全方面,这些基本原则还不太成熟,这在一定程度上可能是由于网络空间的相对新颖性、复杂性和变化速度及其在国防领域的应用。
网络防御理论一旦被开发出来,就可以用来提供一套一致的原则和规则,用于制定战术、技术、程序和训练。然而,这一原则的制定应该与特定国家的地方背景相一致,因为战争的概念因国家能力和部署这些能力的方式而不同。
在学术文献中已经建立了网络防御理论的基本框架,并确定了 5 个问题,如下图所示,这些问题在制定网络防御理论时应该加以考虑。
开发有效的网络防御能力的最后阶段是评估和之后的网络防御战略的再开发或改进。应以绩效审计的通用框架为基础,这种框架通常考虑战略的最初目标,并将这些目标与执行过程中所取得的活动、产出、结果和更广泛的结果进行比较。就网络防御战略而言,这可能包括使用度量来评估能力开发、熟练度和突发事件的应对能力,尽管很少有研究对具体的指标或其他绩效指标提供详细的指导。
觉得有用,各取所需。
*本文作者:宇宸,转载请注明来自FreeBuf.COM