2020年3月26日,兰德公司官网上发布了一则题为《Measuring Cybersecurity and Cyber Resiliency》的报告。该报告提出了可以用来衡量美国空军任务或系统在网络竞争环境中表现的指标框架和评分方法。这些度量标准的开发是为了在武器系统全生命周期阶段都能够随时提出并通知采办进行决策。报告主要提到了两种类型的网络指标:用于与对手网络行动进行对抗的工作级指标和用于捕获网络组织缺陷的制度级指标。这份报告以红蓝方兵棋推演的方式,为大家呈现了网络攻击中持续监测网络弹性的重要性。并通过决策、文化和人员来详细分析了正确使用这种衡量标准的方法。
文章仅供参考,观点不代表本机构立场。
图片来自网络。
兰德公司发布衡量网络安全和网络弹性报告
作者:学术plus评论员 临风
网络环境是动态和复杂的,威胁无处不在,而且也没有一套基本的“自然法则”支配控制着网络领域。在红方(攻击方)和蓝方(防守方)两方网络行动的背景下来定义网络指标将是一个卓有成效的方法。
为方便阅读,红方下文用R代表,蓝方下文用B代表。
R的战略和战术将由其对B采取的的方式和弱点的评估结果来决定。同样,B的选择的应对姿态也会受其对R威胁的预测所左右,两者都将不断发展。无论多么小心,B的任何先见之明都不足以预见到R在未来可能采取的所有行动。B需要使用基于已知最佳实践(网络安全)的“静态”对策,以及实时响应R的自适应(网络弹性)“动态”措施。网络指标的这两个维度都需要跨越实施计划的几乎整个范围,以捕获所有关注点。
为了衡量一个任务或系统在网络竞争环境中的生存能力和有效性,我们必须了解R网络行动的反击程度。因此,网络度量的重点必须是估计R的成功或失败,而不是B可能尝试的具体对策。当然,B的反制措施很重要,但它们的重要性是作为一种手段来达到阻止或挫败R的目的。专注于符合B候选对策列表的网络指标无法表明这些措施是否有效、适当实施或足够全面以阻止R。因此,遵约办法是不够的。此外,不存在满足这些需求的“仪表板”形式的简单度量集。(注:这里的“仪表板”可能用来形容形式比较单一固定的指标模式,欢迎大家留言沟通!)
该框架在一定程度上可以作出这种推论:一个领域的优势可能部分抵消另一个领域的劣势。更多的讨论集中在如何以有助于支持决策的方式对这些指标进行评分。这些指标旨在支持项目办公室和授权官员进行风险管理和定义需求,包括运营需求和合同中使用的更详细的系统设计需求,后者通常称为衍生需求。
工作级网络指标
鉴于其复杂性,需要非常广泛的网络指标来监控工作层面的活动。基于网络攻击路径的这些指标的框架,受两人博弈范式的推动,既提供了确保指标全面的方法,也提供了关于程度的度量方法。
(一)框架和指标
采用工作级网络指标框架,重点是阻止R的网络操作。R必须执行网络攻击路径才能成功的进行网络攻击。该攻击路径包括访问目标系统、获取目标信息以实施攻击、开发执行攻击所需能力,确定在执行和平或战时任务中起着重要作用的攻击目标。这四项活动不一定要按这个顺序进行,并且可能会在时间上有重叠。这四个活动可以进一步划分。例如,访问系统的需求可以通过供应链、进入系统的数据通道等来实现。每个方法又都可以进一步细分。例如,供应链可以渗透在设计、制造、运输和储存、维护和处置过程中。R攻击元素的完全分解描述了度量内容,即B反击每一个R攻击的能力。
B可以通过大量复杂的反制措施来回应R的行动,所以说,试图列出所有可能的反制措施是徒劳的。B采取的对策最好在技术知识所在的工作层面上制定。任何潜在的对策清单,如国家标准技术研究所建议的控制措施,都应作为补充工作层面的反R工作指导。通过专注于R行动来反击,可以提供一个天然的框架,确保工作层面的网络指标足够全面(即,是否涵盖所有潜在的R行动),并可判断多少是足够的。后者的一个例子是R攻击路径分解的布尔结构。
R需要拥有访问权限、知识、能力和效果。这四个部分通过布尔语句相互关联。打击四个中的任何一个都可以挫败R。通常,对于由布尔和语句关联的R部分,从B的角度来看,采取的总体对策需要达到针对所有部分都最优才可以。因为,R可以通过供应链、标准数据路径或内部人员来获取访问权限,而B必须阻止所有的这些才能成功。对于与布尔或语句关联的R部分,从B的角度来看,总体对策需要选择达到其中一个最优就可以了。例如,在攻击路径的知识部分,R必须获得必要的知识,并且该知识必须保持最新。B在阻止R获取所需知识方面,可以通过使该知识转瞬即逝(例如,通过改变系统配置)来部分抵消。
(二)评估方法
评估可以在三个层次进行:(1)自我评估,主要由项目办公室和业务部门进行;(2)外部各方评估,主要是项目执行官员、授权官员和测试团体对这些评估进行验证;(3)任务级评估,合并系统一级的评价。
最重要的产品是工作级别上的评估,它记录了为应对每一个R活动所做的工作。技术和操作细节就在这个层次上。这个级别必须做最详细的评估来记录B的对抗措施和效果。但是,领导需要看到的是工作级别报告评估的汇总。这种汇总对于获得更广泛的任务视图是必要的,而不需要审查在工作级别生成的所有工作。我们推荐的成熟度指数,如表所示。
序号 | 成熟度 | 特点 |
1. | 最高成熟度 | 测试、练习并发现与R行动向量相对应的解决方案是足够的。 |
2. | 成熟 | 通过持续的监测实现了对R行动向量的对抗。 |
3. | 中等级别 | 确定了反击R行动的方法。 |
4. | 不成熟 | 在所审查的系统或任务的上下文中,可以理解Red如何通过向量进行操作,并且定义了基线可信状态。 |
5. | 最不成熟 | 对红色如何对系统或任务采取行动的认识不足。此类访问示例包括对系统数据输入和输出的标准路径的不完全了解。 |
对每个R行动向量的成熟度指数进行评分时应谨慎。为了提高成熟度得分,每个成熟度级别的问题必须尽可能彻底地解决。B对抗R的一个弱点就是R会占上风。因此,即使已经确定、实施、测试并发现一些针对R的对策是充分的,但如果没有正确确定其他对策,对该R行动的反应仍然是不成熟的。例如,即便通过通信路径访问武器系统的反措施已经被全面识别、实施、测试并发现是充分的,但是所有R可能通过子系统访问的路径仍然有待识别,那么通过数据路径访问R的得分仍然是“最不成熟的”。
制度级网络指标
网络安全和网络弹性的总体状况不仅仅是所有单个部分评估的总和。它是从所有这些部分的相互作用中产生的。因此,即使有足够的工作级别衡量标准,制度层面的缺陷仍可能无法被发现。一些经过充分研究的案例表明,组织的制度缺陷可能在不能执行任务方面造成很大影响。从失败中得到的教训表明,在任务失败之前,组织中的某个地方通常都知道存在缺陷。但信息没有正确的传达给指挥者,也没有对风险进行适当评估。
大量文献表明,当组织状态波动超过其适应环境的能力时,即当波动超过组织的弹性时,就会发生重大的制度失灵。弹性边缘的逐渐侵蚀是一种称为漂移的现象。漂移的一个关键指标是,高层领导对业务发生方式的看法与业务实际的发生方式不同。成功避免灾难性故障的组织通过收集组织中所有成员的信息,对其进行分类、评估以创造意义,并将关键信息传递给正常指挥链之外的高级领导,从而减少了偏差。如表所述,可以通过机构层面问题的成熟度指数来评估这一过程。
序号 | 成熟度 | 特点 |
1. | 最高成熟度 | 记录并分发经验教训;定期审查流程以进行改进。 |
2. | 成熟 | 向相关决策者提出建议 |
3. | 中等级别 | 关注点由独立的主题专家进行评估,结论以建议的形式从评估报告中提取。 |
4. | 不成熟 | 存在捕捉航空安全报告系统关键要素(含保密性)的正式机制,以报告的形式对网络安全和网络弹性的重要性进行评估。 |
5. | 最不成熟 | 对于个人对网络安全和网络弹性的担忧,除了通过指挥系统进行正常报告外,没有任何机制存在。 |
实施存在的问题
网络指标的实施在工作层面和机构层面都面临挑战。在不同程度上,各级决策者都需要了解工作层面的网络指标。然而,需要指出的是,最高领导者必须把决策权下放到信息所在的地方。有关选择和评估B对策的技术信息主要集中在工作层面。高层领导必须把重点放在技术层面之上,在工作层面寻找系统性问题,在制度层面寻找缺陷。
所有决策者都必须努力应对网络指标中固有的不确定性。他们需要抵制为工作级别度量施加不适当的精度和稳定性的行为,还必须培育一种风险管理文化。这意味着,如果说在R行动威胁高、不对抗的后果也高的情况下,一些B对策成熟度指数也很高;而在R威胁低的情况下,B对策的成熟度指数也低,那么失败的后果也就不那么可怕了。也就是说当风险可以被接受时,一个领域弱势的表现就会被另一个领域较强表现所补偿。资源总是有限的,当管理(而不是消除)风险时,在选定的区域得分低是可以接受的。
最后,健全的指标需要良好的衡量标准。对于网络度量,企业的几乎每一个角落都扮演着一个角色,因此,度量范围是巨大的。除此之外,红蓝猫鼠网络行动是不固定的,需要深刻的反思和洞察力。因此,B人员是网络监控中最关键的资源。所有人员都需要参与,而且都需要一定程度的培训和技能。由于观察结果往往是定性的而不是定量的,因此人员也必须进行沟通,而不仅仅是报告。在许多方面,定义正确的网络指标是比较简单的第一步。接下来很难的是雇佣、培训、保留和保持现有的熟练劳动力来执行这些指标。明确规定的网络指标需要报告它们的人员也一样好。
声明:本文来自学术plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。