2023年2月,兰德公司发布了一份报告《A Cost EstimatingFramework for U.S. Marine Corps Joint Cyber Weapons》,该报告通过评估海军陆战队进攻性网络作战武器采办生命周期,提出提高网络武器采办相关决策透明度的方法,以此来支持美海军陆战队系统司令部进行决策。报告提出的建议旨在提高对成本、进度、作战能力和风险的理解,以确保新的联合网络武器(JCW)计划能够更好地支持海军陆战队的网络需求。
该研究将运营能力、进度和风险方面的数据整合到一个成本估算框架中,框架包含五类输入和三类输出。该框架充分考虑了作战用户对网络武器的需求,网络武器的类型(利用漏洞、植入、有效载荷)、武器的目标环境(台式机或移动系统)、漏洞衰减率、对手防御能力、武器成本,以及各种采购如何随着时间的推移逐步进入和退出使用。该分析还试图量化脆弱性寿命,建立一个模拟成本估算框架,以提高透明度。
前文已介绍了报告的研究目的、研究方法、研究结论、研究建议以及整体文件的概要性介绍,详见前文链接。美海军陆战队联合网络武器成本估算框架——概述篇
美国海军陆战队联合网络武器的成本估算框架——工具篇
编译:学术plus高级观察员 临风
本文主要内容及关键词
为了估算各种网络武器的成本和预算,兰德公司详细描述了其设计的成本估算框架模型,并考虑到应与国防部的主流框架和流程具有兼容性,因此,在Microsoft Excel中开发了该工具。并根据下图进行详细地解释分析。
图S.1 JCW生命周期成本估算框架(注:CDF =累积分布函数;O&M =操作和维护)
内容主要整理自外文网站相关资料
仅供学习参考,欢迎交流指正!
文章观点不代表本机构立场
1 输入
1.1 需求
高层次的需求是第一个用户输入。模型的这一部分简单地为三种类型的网络武器元素提供了自由形式的需求计数输入。在这里,用户输入一段时间内每种元素类型的阈值和目标数量或操作需求。
作战需求有别于发展需求信号。作战需求是网络武器要素的需求或期望的客观数量。发展需求信号是根据模型输出确定的,并考虑了前面所述的不确定性。由此产生的开发需求信号量几乎总是大于作战需求目标,这是考虑了衰减或武器过时的结果。
该模型允许用户输入每月数量。尽管每月跟踪采购需求可能是不实际的,但可以肯定的是,网络武器的采购和开发速度比传统武器系统快得多。这是网络武器的不确定性和潜在的短暂寿命以及网络战的流动性和快节奏特性的结果。对于传统的武器系统,坦克、导弹和飞机等等,或者是其他类型的信息技术,如企业资源管理系统,更常见的是按季度或按年计划和跟踪开发成本。一个关键的区别就是,这些类型的武器系统和信息技术在投入使用后一般不太可能被淘汰,但网络武器却有这种可能性。
阈值需求计数代表满足任务目标所需的网络武器元素的最小数量,而客观需求计数代表网络武器元素的目标或期望数量。下图显示了成本模型需求输入工作表上输入的一个概念性例子。在本例中,在2024财年和2025财年,每月的漏洞利用阈值要求为三次。
值得注意的是,这些是累积计数,而不是增量计数。因此,对于利用,运营阈值是在2024财年和2025财年保持三次利用。该模型不会每月增加三个额外的漏洞。还要注意,需求输入工作表仅仅显示了利用、植入和有效载荷的数量。此工作表不提供关于这些元素特征的具体信息。而网络武器要素特征将记录在采购计划工作表上。
1.2 收购计划
采购计划是一份待开发的离散网络武器元素的运行列表。也就是说,每一行代表一个元素,并被计为一个需求。在采购计划工作表上有三个采购计划部分:需求特征、成本和阶段划分(或时间表)。下图显示了需求特征。需求特征输入部分的输入有助于影响成本和/或进度估计的数据组织和输入。
需求特征输入图
1.2.1 组织输入
组织输入包括项目编号和预算标识(ID)号。输入的项目编号是分配给每个网络武器要素要求的编号。它是成本模型中网络武器元素的运行列表,有助于跟踪模型中的项目数量,并在项目出现在模型中的其他工作表上时将其关联起来。第二个组织输入是分配给每个网络武器元素行项目的预算ID号。网络武器元素在不同的预算ID下分类,可以在模型中帮助用户查看特定预算ID的总成本。
1.2.2 网络武器要素
第一个成本驱动因素是网络武器要素。该模型允许用户在三个要素中进行选择:漏洞利用、植入和有效载荷。根据开发的元素不同,成本差异很大。植入的开发成本比漏洞利用和有效载荷要高得多。这部分是由于植入物相对于漏洞和有效载荷的可靠性要求。
1.2.3 目标环境
第二个成本动因是每个元素的目标环境。我们借鉴了Zero- dium组织方案,该方案区分了目标环境是台式机、服务器还是移动设备(Zerodium,未更新)。在这两大类别中,目标环境被细分为目标操作系统或硬件(如服务器、路由器)的类型。对于台式机,目标系统包括Windows、macOS和Linux。该模型还允许桌面目标,它可能与操作系统无关或不适用于任何操作系统。对于移动设备,目标系统包括Android或iOS,或者,与台式机一样,用户可以选择与操作系统无关的选项。其他类型的硬件也可能成为目标。
1.2.4 对手防御级别
给定网络武器元素的ADL是模型中的第三个驱动因素,对进度的影响更直接。当前的模型框架允许用户假设较低或较高的ADL。成本动因旨在捕捉对手防御网络武器的复杂程度。在该模型中,提出了一个衰减函数的斜率,该函数模拟了给定网络武器元素的使用寿命。当用户假设元件的ADL较低时,元件有用性的衰减速率将较慢(即,它将具有不太陡的曲线),从而延长武器的使用寿命。
1.2.5 复杂性
第四个成本动因旨在捕捉要素的复杂性。当前的框架将复杂性分为低、中、高三个等级。虽然大多数关于漏洞利用影响价格的公开信息都与在灰色市场上购买漏洞利用有关,但有一个合理的假设,即推高市场价格与利用漏洞所需的研发水平相关。迄今为止,还没有将复杂性因素作为其他潜在维度集的函数来实现。该模型是一个事实的抽象表示,并非所有的利用都是平等的。
1.2.6 成本风险
最后,成本模型允许用户获取网络武器要素的预期成本风险。成本风险可归因于多种不确定性:
不稳定的劳动力价格和劳动力专业知识的可用性,特别是在网络武器的开发方面,寻找合格的开发人员和具有所需安全许可的相关专家可能会变得非常困难。
在需求快速变化的背景下,需求定义的准确性。网络战的流动性会给网络武器的整个生命周期带来不确定性。
一件网络武器可能在短时间内变得不可用,而网络武器衰变的时间往往是不确定的。
1.2.7 要素成本
需求特性输入字段之后是网络武器要素成本部分。该字段包括每个项目的增强成本(即实际效果的开发)和每月的维持成本。增强成本包括点估计、平均值估计和估计的标准偏差。增强点估计是从常量选项卡上的一个查找表中提取的,它会捕获每个元素类型、目标环境和复杂性组合的平均点估计成本。点估计可以被认为是该元素最接近的成本。
每个行项目元素的下一个字段说明了成本风险输入的使用,并使用对数正态分布和西格玛值获取用于增强的平均成本估计,这是由成本风险或风险覆盖用户输入决定的。模型中使用的对数正态平均方程为:
其中μ为0,σ为对数空间中的标准偏差(或σ)。除对数正态均值外,对数正态标准差的计算公式如下:
下一组成本输入计算每个网络武器元素的维持成本。根据增强成本和维持成本因素每月计算维持费用。维持成本因素是用户在常数工作表上的输入。与增强成本一样,每月维持成本计算一个点估计值和对数正态平均值。维持方程是:
1.2.8 时间分段
采购计划工作表的最后一部分是分阶段输入。该部分自动计算几个时间分段(或时间表)输入,同时允许用户定义其他输入。阶段输入部分的第一个字段是每个元素的开发开始日期。这是用户直接输入到采购计划输入工作表中的月-年输入。剩余的时间分段字段在工作表上自动计算。定义开发开始日期后,将在下一个字段中确定开发持续时间。使用与成本点估计相同的方法来确定开发持续时间。
1.2.9 常数
常数工作表捕获最终的成本框架输入集。四组用户定义的输入最终会影响模型的输出:
增强点估计;
开发持续时间;
维持费用因数;
ADL衰减函数。
1.2.10 武器要素点估计
第一组用户定义的常数由点估计表组成。该表包括基于三种网络武器元素类型、12种目标环境和三种复杂程度的每种组合的108点估计。作为概念验证,我们的初始模型使用公开可用的成本数据来获取零日利用。Zerodium为零日漏洞的开发者提供了支付价格上限,模型使用这些价格上限来代表项目采购成本的起点。根据Zerodium数据的进一步突破(例如,不同的客户端软件、电子邮件服务器、信使服务类型、研究技术、web浏览器、web服务器和web应用程序),提出了低、中、高成本。此外,还有劳动力成本,以运作采购的开发。实施人力成本将包括集成、测试、文档编制和计划管理等活动。因此,在模型框架中,一次开发的总成本由下式表示:
为了估计操作成本,我们使用的数据表明,平均而言,58%的资源用于寻找漏洞,而42%的成本用于开发操作漏洞。假设总开发成本的58%用于获得开发权利,而剩余的42%用于实现开发。考虑到这些百分比和Zerodium采购成本,我们使用以下公式估算了实施一个漏洞的成本:
1.2.11 开发持续时间
第二组用户定义的常量由以月为单位的开发持续时间估计值组成。常数工作表上的这个表反映了点估计表,类似于点估计,开发持续时间是基于历史数据和领域专家(SME)的估计。
1.2.12 维持费用因数
常量工作表上第三个用户定义的输入是维持因子。该因子被定义为模型中的百分比,并被应用于每个效果的增强成本。因此,增强成本越高,假定的维持成本就越高。这在软件维护评估中很常见。目前的模型并没有改变支撑系数,而是将同一个系数应用于所有元素。维持系数基于SME输入。
1.2.13 对手防御水平衰减函数
最后的用户定义输入是发现漏洞后用于建模元素衰减的衰减函数的参数化。用户输入高低ADL的衰减函数参数。图2.4描述了一些有意义的衰减函数。该图显示了从发现之日起,元素的有用性是如何随时间而衰减的。
1.2.14 其他因素
剩余的一组因素不需要在短期内调整。例如,常量工作表上有一组增长率,将通货膨胀应用于基准年或本年度估计值。随着新的影响指数的发布,这些指数可能会每年发生变化。
2 输出
这一节将描述成本估算框架的输出,包括生产需求(或发展需求信号),JCW计划的成本,以及预算义务授权CDF。
2.1 生产
成本模型的生产部分总结了网络武器要素及其相关的高级进度表。计划输出提供了采购计划中列出的每个要素的每月状态。每个要素可以呈现三种月度状态之一:
(1)购置月份:该要素处于开发阶段且尚未投入使用的月份
(2)维持月:该要素投入使用并得到维护的月份
(3)既不在开发中,也不在运行中:一个元素开始开发前的一个月,或者一个效果不再运行后的一个月。
下图描述了十种网络武器元素的概念输出。
2.2 费用
模型框架的成本部分根据采购计划和常数工作表上的所有用户输入,为JCW项目提供各种成本输出汇总。在每个成本汇总中,成本按财政年度进行时间划分。财政年度时间阶段使用每个项目的采购开始日期、运行开始日期和运行结束日期,将采购和O&M成本分配到每个财政年度。
2.3 债务权限累积分布函数
费用框架的CDF部分提供了两项关键产出:以表格和图形形式说明费用估计数和当年(TY)成本费用的不确定性,即除基准年费用外增加的费用。正如工作表的标题所示,此输出对用户的义务权限预算最有用。债务授权预算总是以当年美元为单位,在某些情况下,预算的授权水平可以高于平均估计数,以考虑风险。
示例实现
为了了解MoM方法与更传统的蒙特卡洛方法相比如何估计不确定性,使用相同的假设创建并分析一个简单的示例。首先创建三个具有高度不确定性的5美元点值的行项目。这些项目是不相关的。下图显示了MoM方法的CDF与蒙特卡洛方法的对比。数值在0.5%以内一直保持一致,这表明MoM方法对于预算不确定性计算是可靠的。
比较矩量法和蒙特卡罗方法对比
债务授权CDF示例图
置信度输出图
参考链接:
https://www.rand.org/pubs/research_reports/RRA1124-1.html
声明:本文来自学术plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。