网络弹性产生的背景
随着数字时代的高速发展,各种业务越来越多地依赖数字信息系统运行。与此同时,网络攻击手段越来越复杂,形成的网络威胁越来越大,造成的损失和影响更是惊人。
2018年8月半导体龙头企业“台积电”遭到网络病毒攻击,导致生产线停摆,报废半导体晶圆数量超过上万片,形成数十亿的损失。2021年5月美国燃油管道公司Colonial Pipeline遭受黑客组织网络勒索攻击,一度致使美国东部沿海各州的关键供油管道被迫关闭。
由于网络安全风险的多样性、复杂性和不可预见性,要保证网络系统绝对的安全是不现实的。因此,网络安全的工作重点应该逐渐从阻止网络事故的发生转向缓解事故带来的危害,“网络弹性”(Cyber Resilience)的概念就出现了。美国国家标准和技术协会(NIST)指出:“对网络弹性领域的指引,来源于对威胁形势的理解,尤其是对APT的理解”。网络弹性是从网络攻防对抗的角度来考虑系统的特性,认为网络攻击是防不住的;在这种情况下,保护系统的重点应从对网络的防护转变为保障业务连续性。
网络弹性的概念
由于网络弹性是一个将信息安全、业务连续性和恢复能力等结合在一起的新概念,相应的规划和技术文件还比较少。目前,主要由一些美国公司和政府部门发布了和网络弹性相关的部分文件和报告:
♦ 2017年,MITRE发布《网络弹性设计原则》;
♦ 2018年,MITRE发布《网络弹性指标、有效性度量和评分》;
♦ 2018年,美国国防部在《国防部网络战略2018》中提出“提升美国关键基础设施弹性”的战略途径;
♦ 2018年,美国国土安全部和情报总监办公室发布《网络弹性和响应-2018分析交流计划》;
♦ 2019年11月,美国国家标准和技术协会正式发布SP800-160(卷2)《开发网络弹性系统:一种系统安全工程方法》;
♦ 2019年11月,美国国土安全部和国务院共同发布《关键基础设施安全和弹性指南》;
♦ 2020年,兰德公司发布报告《度量网络空间安全和网络弹性》。
根据网络弹性应用场景和美国国家标准和技术协会的相关内容,将网络弹性定义为:在网络被攻击时,使系统具有预防和适应变化的能力,抵御网络攻击的能力,以及在遭受攻击后能够迅速恢复业务的能力,这些能力能够最大程度减少损失,并保持业务正常运转。
从网络弹性的定义中,可以看出其具有以下四个特性:
1) 预防性:对潜在的威胁进行预测和准备,监视和识别系统的关键功能或部件是否处于被攻击状态;
2) 适应性:通过从之前的攻击中学习,针对可能出现的攻击事件和网络威胁,改变管理方法或调整响应策略;
3) 防御性:在遭受攻击的情况下,维持业务运行而不会导致性能下降或功能丧失;
4) 恢复性:当发生攻击后,恢复业务正常的运行、性能和功能。
在了解网络弹性概念时,需要理解它和网络安全(Cyber Security)之间的关系:
♦ 网络安全是保护网络及系统,防止潜在网络攻击造成威胁的能力;
♦ 网络弹性是系统或数据遭到攻击时,仍然保持业务运行的能力;
♦ 网络安全通过更新设备固件、安装防病毒/EDR软件、采用边界安防设备、更新软件补丁程序等手段,减少网络系统被成功攻击的可能;
♦ 网络弹性认为没有任何网络安全解决方案能够完全阻止网络威胁,要保证网络系统绝对的安全是不现实的;
♦ 网络安全策略是减少网络系统可能被成功攻击的一种手段;网络弹性策略能够减少攻击对业务造成的影响。因此,这两种策略对于网络系统而言都是至关重要,相辅相成的。
网络弹性的解决方案及实施
作为目前关于网络弹性较权威的技术文件,SP800-160(卷2)提出了网络弹性的解决方案,包括风险管理策略、目的、目标、设计原则、技术和方法等,如图所示。
网络弹性解决方案
在SP800-160(卷2)中,指明了网络弹性的目的是使系统具有预防、抵御网络攻击的能力,以及在遭受网络攻击后能够恢复和适应的能力;细化了理解、阻止/避免、准备、持续、限制、重构、转移、重新架构等8个具体目标,用于说明系统应该实现的功能;列举了14类技术、49种方法供系统工程师采用;提出了5条战略性设计准则,用于描述组织的风险管理策略,并进一步细化为14条结构化设计准则。SP 800-160(卷2)对以上内容作了详细的说明,并使技术、方法、设计准则、目的和目标等建立了对应关系,形成严密的技术体系。
网络弹性的实施应该是一个迭代的过程,可以按照以下过程进行:
01 梳理自身业务架构和IT资产,实时掌握网络业务环境中所有资产的动态变化、资产本身的安全风险与面临的内外部威胁;
02 对资产开展风险测评及整改,构建网络的纵深防御;
03 结合威胁情报和大数据智能分析等手段,进行常态化威胁监控,从海量事件中准确地发现网络威胁;
04 根据网络架构及业务系统特性,制定恢复计划;
05 积极开展攻防演练,检验业务系统在被攻击情况下的安全响应能力;当出现网络攻击事件后,按照响应流程进行快速应急响应。
网络弹性之旅
2021年5月17日,在RSAC 2021召开的首日,RSA首席执行官Rohit Ghai通过开幕演讲《弹性之旅》解释了本届会议的主题“弹性”,指明了未来网络建设和网络安全产业发展的战略方向就是网络弹性。在演讲中,Rohit Ghai阐述了提高网络弹性的框架方法:
01 通过预测网络威胁和安全格局、零信任和网络分段等方法,面对混乱无序的网络环境,进行安全性控制;
02 基于风险的优先级排序,保护系统最重要的部分,实现业务的快速恢复;
03 培育网络安全社区的包容性和多样性。
最后,Rohit Ghai指出,网络安全的弹性之路才刚刚开始,面对各种网络威胁时,必须学会如何跌倒得更少、更快站起来、更有弹性。
总结
随着数字化转型的加速,各行各业都依赖IT系统,这就使得系统需要具有更强的网络弹性。而RSA将“弹性”作为RSAC 2021的主题,表明网络弹性已得到网络安全行业的共同关注,未来必将对网络安全创新乃至信息化带来越来越重要的影响。
关注公众号“互联网安全内参”,后台回复“RSAC2021”即可下载大会PPT。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。