基于2020年发布的技术挑战问题集和当前持续的作战需求,美国网络司令部5月9日发布非机密更新文件《美国网络司令部挑战问题集》,旨在促进与更广泛的合作伙伴和科技界的对接,共同努力寻找针对复杂问题的新颖解决方案。网络司令部希望利用相关挑战问题来确定和共享重新发布和更新指令的要求,以支持网络司令部的行动、工作和总体任务。相较2020年版技术挑战问题集,新版文件保持了原有的六大领域,但各领域挑战问题由41项缩减至26项,具体的内容也有较大调整。
一是漏洞与利用。该重点领域的挑战问题包括先于对手发现可利用的漏洞、减少防御性补丁的时间、实施防御措施以及检测并将特定的利用归因于对手,涉及逆向工程、恶意软件指纹和签名检测、归因、二进制多样性、攻击机会和防御性补丁。重点挑战问题包括:以自动化或加速的方式修补新发现的漏洞;快速发现软硬件漏洞;快速准确地发现网络上的异常活动和其他恶意入侵迹象;实时识别多态恶意软件;加强SCADA和ICS网络的安全。
二是网络安全、监控和可视化。该领域的挑战问题涉及网络拓扑和连接、社区和影响者的映射,其解决方案涉及大规模图论/图分析和网络可视化。重点挑战问题包括:自动网络映射;深度网络知识和感知;通过用户活动监控检测内部威胁攻击或未经授权的活动;通过重新设计网络架构建立可防御的网络。
三是建模和预测性分析。该领域的挑战问题涉及通过基于规则的、数学的、统计的或物理的建模捕获物理的、虚拟的或基于行为的观察,以及通过预测性分析预测可能的未来状态,解决方案涉及数学或统计建模、时间序列分析或其他有助于预测或自动检测和响应的机制。重点挑战问题包括:理解、建模和预测信息环境;识别攻击性和防御性网络操作环境中的异常行为;利用自动化解决方案发现系统中漏洞并应用防御措施;通过识别并描述对手的行为和潜在的攻击向量支持攻防行动;通过预测性漏洞分析确保解决方案能够达成预期目的;创建可用于网络部队模拟演练和技能测试的合成和威胁代表性环境。
四是角色和身份。该领域挑战涉及通过用户身份验证和基于行为的归因来应对欺骗、凭证滥用和身份伪造等对应的攻击活动。重点挑战问题包括:识别对手使用伪装技术和在线角色的方法及其躲避检测的机制;了解多重身份验证的漏洞;打击区块链和加密货币的敌对使用和利用;通过区块链和加密货币链接来追溯对手;识别并追溯恶意虚假角色和消息。
五是跨领域的渗透性和敏捷性。该领域挑战涉及解决保护机密来源和方法与利用外部知识、数据和未知合作伙伴的态势感知间的权衡。重点挑战问题包括:在共享、安全和不安全的环境中与其他政府、行业和学术实体协作;通过自动化或半自动化系统确保与外部合作伙伴的共享与协作以及机密来源和方法的保护;大规模使用网络能力来支持未来作战环境中的动能作战。
六是基础设施和传输。该领域挑战涉及美国网络司令部的网络监控、全球任务管理、风险管理、全球态势感知以及指挥控制操作。重点挑战问题包括:动态的、任务可配置的、匿名的数据收集和传输;网络知识存储系统;识别关键资产的自动化解决方案、工具和能力。
奇安网情局编译有关情况,供读者参考。
美国网络司令部5月9日发布了该司令部2023年挑战问题集的非机密更新文件。
相关挑战问题的更新反映了美国网络司令部作为网络空间领域领导者对创新和透明度的持续承诺。
美国网络司令部的使命是在网络域中和通过网络域打击恶意网络行为者来维护国家利益。美国网络司令部通过指导、同步和协调网络空间规划和操作,以及确保采用协作和创新的方法与机构间、行业、国际和学术合作伙伴密切合作,来实现这一目标。
美国网络司令部司令保罗·中曾根表示,“我们很高兴发布更新的网络司令部挑战问。在我们努力保护国家免遭当今一些最具挑战性的威胁时,我们期待着利用它们来加强我们与业界、学术界和外国合作伙伴的对话与合作。”
美国网络司令部打算利用挑战问题作为与更广泛的合作伙伴和科技界的对话开端,共同努力寻找针对复杂问题的新颖解决方案。
挑战问题分为六类。每个类别都包含特定的专业知识和技能组合,以与外部商业和学术研究、开发和产品组合保持一致。
美国网络司令部挑战问题类别包括:
1. 漏洞和利用
2. 网络安全、监控和可视化
3. 建模和预测性分析
4. 角色和识别活动
5. 跨领域的渗透性和敏捷性
6. 基础设施和传输
2023年更新文件是美国网络司令部为加强和促进与更广泛的合作伙伴加强合作和创新所做的广泛努力的结晶。
美国网络司令部旨在利用这些挑战问题来确定和共享重新发布和更新指令的要求,以支持网络司令部的行动、努力和总体任务。
基于《2020年技术挑战问题(TCP)》和当前持续的作战需求,美国网络司令部制定了2023年挑战问题并将继续更新以推进在动态网络领域的使命。
美国网络司令部挑战问题集
作为国家的网络战士,美国网络司令部每天都在网络空间中与有能力的对手作战,其中一些现在是该领域中势均力敌的竞争对手。我们的部队必须灵活,我们的伙伴关系必须有效,我们的行动必须持续。政策、条令和流程应跟上网络空间事件的发展速度,以保持决定性优势。卓越的战略效果取决于行动、能力和流程的一致性,以及情报与行动的无缝集成。
鉴于我们的任务和平台的速度和复杂性,有效的解决方案必须无缝集成、快速扩展并提供允许接口每一侧独立发展的接口。分段标准接口以及自动化和自主性是任何解决方案的关键要素。
如果外部组织对挑战问题感兴趣,至少,美国网络司令部将想知道谁在解决这个问题,并随时了解他们在完成全部或部分挑战方面取得的进展。随着解决方案开始具体化,美国网络司令部向开发人员提供更详细的指导可能会有所帮助。成功解决具有挑战性的问题不会直接带来资金,但这样做会增加采用适当的采购和/或过渡流程的机会。
01
漏洞与利用
网络协议、基于Web的服务、这些协议和服务的软件实现、主机上的应用程序以及机器硬件本身都存在漏洞。大量漏洞每天都会被发布,而其他漏洞则被发现并作为零日攻击的载体被保密。并非所有漏洞都适合利用,但那些适合利用的漏洞会带来防御挑战和攻击机会。
该重点领域的挑战问题包括先于对手发现可利用的漏洞、减少防御性补丁的时间、实施防御措施以及检测并将特定的利用归因于对手。此类别包括逆向工程、恶意软件指纹和签名检测、归因、二进制多样性、攻击机会和防御性补丁。
关键词:漏洞、利用、通用漏洞披露(CVE)、恶意软件、签名检测、零日、二进制多样性、逆向工程、工业控制系统(ICS)、监控和数据采集(SCADA)、物联网(IoT)、归因、补丁、可利用性、渗透指标(IOC)、二进制签名、二进制指纹
美国网络司令部寻求针对以下挑战问题的新颖和创新的解决方案:
1. 快速生成防御能力
快速生成防御能力,快速修补新发现的漏洞,即机制以自动化或加速的方式可靠地部署补丁,以减少甚至消除人工操作人员干预的需要。
2. 漏洞发现
可以快速分析软件及其功能以识别感兴趣软硬件中漏洞的分析方法。
3. 对敌对利用的整体见解
快速准确地发现网络上的异常活动和其他恶意入侵迹象。分析相关元数据或数据抓包(PCAP)文件的创新方法,例如采用信息基本元素的自动提取和PCAP文件的自动摘要,以实现更高效和更快的分类。可以即插即用到基线框架中的敏捷功能。
4. 多态恶意软件/对抗敌对签名多样性
使防御者能够在网络边界或当恶意软件渗透边界安全时实时识别多态恶意软件。增强即时恶意软件识别的新想法。
5. 加强SCADA和ICS网络的安全
确定在对运营影响最小的情况下分析和强化遗留ICS/SCADA系统的方法。
02
网络安全、监控和可视化
保护美国防部基础设施和击败敌对入侵是美国网络司令部的核心职责。检测入侵者、跟踪其行动、评估整个网络的风险、应用防御对策以及评估损害和信息泄露都存在技术挑战。先进的网络行动需要了解美国国防部网络地形和对手发起攻击的全球网络地形。
该领域的挑战问题涉及网络拓扑和连接、社区和影响者的映射,其解决方案涉及大规模图论/图分析和网络可视化。一些问题可能涉及漏洞和恶意软件,以及它们如何在网络中传播;然而,这一类的问题主要集中在节点到节点的交互上。最后,术语“网络”(network)在本文件中用作简称,用于描述传统网络,以及我们专注于保护数据和访问数据的转型工作。
关键词:网络、监控、可视化、图论、图分析、风险估计、入侵检测、横向移动、损害评估、流量重定向、网络地形、零信任、态势感知
美国网络司令部寻求针对以下挑战问题的新颖和创新的解决方案:
1. 自动网络映射
生成集成多个数据源并包括实时分析的物理、逻辑和功能网络图的自动化工具。网络在深度和广度上都很复杂,这给实现我们预期的网络效果带来了挑战。叠加这些网络图并理解关系和行为的能力至关重要。
2. 深度网络知识和感知
我们需要工具来描述复杂网络(包括设备、软件/固件版本和补丁级别)并近乎实时地覆盖命令和控制逻辑、数据流、协议和物理位置。观察聚合网络并选择适当点的能力使我们能够抓住打入我们内部的对手。
用例:需要最新的交互式文档和可重复的方法来保护我们的网络。
3. 用户活动监控
设计、实施或增强用户活动监控(UAM)解决方案,以检测内部威胁攻击或未经授权的活动。UAM解决方案应采用对多个数据源的高级实时分析,其中考虑了预测监控、无配置功能和不依赖于基于策略(例如允许/拒绝)的监控功能。
4. 建立可防御的网络
我们需要新颖的方法来保卫我们网络的边界和内部,同时牢记在国防部网络中实施零信任的要求。
用例:当我们重新设计我们的网络架构以专注于将保护数据作为网络空间防御活动的新边界时,我们需要方法来增强这些快速和可扩展方式的实施,以帮助减少我们的攻击面并帮助我们更加敏捷和反应灵敏。
03
建模和预测性分析
建模可以捕获物理的、虚拟的或基于行为的观察,并且可以是基于规则的、数学的、统计的或物理的。预测性分析使得用户和决策者能够预测可能的未来状态,无论是不采取行动还是寻求各种替代方案。建模涵盖基于主机和基于网络的问题。这里的关键是有一些数学或统计建模、时间序列分析或其他有助于预测或自动检测和响应的机制的概念。
关键词:建模、预测分析、异常检测、探索性分析、时间序列、数据科学、历史基线、敌对活动、机器学习、统计、人工智能、模拟、仿真、故事生成算法、决策支持、自主、自动化、因果学习
美国网络司令部寻求针对以下挑战问题的新颖和创新的解决方案:
1. 预测信息环境
理解、建模和预测信息环境的方法,包括公众情绪和信息消费(例如热门话题)、引导这种情绪的敌对尝试及其成功能力。美国网络司令部需要一些方法来区分试图影响信息空间的恶意行为者和造成无害但病毒式响应的无害贡献者。不同的挑战涉及观点的营销、虚假内容的检测以及将内容归于行为者。
用例:预测恶意活动的机制,世界和当前事件如何为这些活动提供机会,以及与这些活动相关的早期迹象和警告。
2. 自动异常检测
识别攻击性和防御性网络操作环境中的异常行为。能够准确有效地确定、测量和表征网络的基线状态,并系统地指定什么构成与“正常”活动的偏差。根据防御者可以快速感知和实施的情况推荐行动的能力。
3. 自动威胁发现
自动化解决方案,用于检测可能渗透指标的重复性数据密集型任务,让分析人员意识到这些问题,并在适当的时候应用缓解措施或对策来弥补人类响应时间短的问题。利用自动化解决方案发现系统中的漏洞,然后将更强大的防御措施集成到这些系统中。
4. 预测性网络建模
识别并描述对手的行为和潜在的攻击向量,以实现进攻性和防御性行动。使用部分知识自动化网络建模,以便为操作演练创建多个场景。生成建议或对敌对攻击行为进行评估,以减少美国网络司令部的响应时间。
5. 预测性漏洞分析
用于预测哪些策略、技术和程序(TTP)最有可能成功访问网络的多目标分析确保美国网络司令部提供的解决方案可以及时用于其预期目的。
6. 合成和威胁代表性环境
出于各种目的模拟网络运行条件,包括网络部队TTP教育和培训以及网络任务的演练。生成具有威胁代表性的环境以开展模拟防御性网络作战(DCO)或追捕演习。以可定制和可复用的方式创建合成威胁,测量和记录DCO操作人员的表现和技能水平,并根据用户设置或被测量操作人员技能水平增加模拟威胁的复杂性。创建可以以可定制和可复用的方式使用的合成用户和网络活动。
用例:整个美国网络司令部和更大的美国防部使用的当前系统缺乏模拟高保真现实世界网络所需的细节。理想的系统将收集真实世界的网络和主机数据并将其匿名化,以便在模拟环境中重复使用。
用例:模拟网络入侵者以及使用真实的TTP进行监视和侦察的网络对手。该解决方案将促进实验以确定DCO最佳实践和执行有效追捕操作所需的数据。
04
角色和身份
网络空间中的许多问题都取决于角色和身份智能,以及类似的相关主题。用户身份验证和基于行为的归因属于这一类,欺骗、凭证滥用和身份伪造等对应的攻击活动也是如此。
近年来,这些攻击性活动变得越来越复杂。例如,身份伪造已经从人为生成的网络钓鱼攻击转变为使用人工智能伪造角色,包括来自对抗网络的“深度造假”。角色问题可能与网络社区检测或影响者识别的各个方面相交集。
角色和身份与恶意软件签名和归因有一定的类比;但是,此类别主要是关于人和网络行为者。预计在此领域会与其他挑战问题进行一些交互。
关键词:角色、身份、身份验证、基于行为的归因、欺骗、凭证滥用、身份伪造、深度造假、网络行为者、网络钓鱼、加密货币、社交媒体、恶意影响
美国网络司令部寻求针对以下挑战问题的新颖和创新的解决方案:
1. 虚假陈述
了解对手如何使用伪装技术和在线角色,以及这些技术如何避免识别和检测。
2. 多重身份验证漏洞
了解多重身份验证的漏洞。
用例:了解常见应用程序使用的各种多因素方法并确定其安全级别。分析这些方法使用的通信渠道,例如电子邮件或短信(如果有)。哪些应用程序依赖于生物识别或同步令牌生成?它们可以被规避吗?存在哪些弱点?
3. 加密货币
阻止对手使用加密货币对美国利益采取行动的能力。打击区块链和加密货币的敌对使用和利用,区块链和加密货币保护了其身份和从属关系。在全球范围内防止加密货币的敌对挖掘。在美国商业或云基础设施上检测和打击加密货币的敌对挖掘。跟踪区块链实体并永久链接感兴趣的角色,以更好地了解正在发挥作用的网络效应。
4. 通过区块链来归因对手
可以通过区块链和/或基于区块链的加密货币链接敌对实体的分析技术。
用例:通过将这些技术应用于实体来区分民族国家对手的活动可能会提供改变游戏规则的见解。
5. 恶意影响
识别并归因恶意虚假角色和消息的使用。辨别这些实体在发展和部署方面的缺陷。
05
跨领域的渗透性和敏捷性
解决保护机密来源和方法与利用外部知识、数据和未知合作伙伴的态势感知间的权衡。这些合作伙伴包括执法部门、业界、学术界、外国政府和军事利益相关者。由于需要保护信息技术资产免受网络威胁并阻止威胁触及这些资产,机密和非机密环境间的共享变得更加复杂。
跨域挑战问题包括高级网络解决方案的敏捷性和上市速度,或由于保密、可共享性或公平问题而导致的高级网络解决方案缺乏,以及阻碍跨越各种边界流动性的基础设施和安全实践。
关键词:来源和方法、合作伙伴、保护、外部数据、跨域开发、可共享性、安全实践、快速原型制作、沙箱、独立网络、飞地、权益、信息共享
美国网络司令部寻求针对以下挑战问题的新颖和创新的解决方案:
1. 协作能力和分析开发环境
能够在共享、安全和不安全的环境中与其他政府、行业和学术实体协作。
用例:快速构建解决方案原型,使用独特的硬件或仅在线服务进行测试和实验,构建和共享相关的标记数据集,以及随着任务需求和数据特征的发展管理和更新分析模型。
2. 与外部合作伙伴的共享与协作
联邦、州和地方执法部门以及其他合作伙伴共享大量数据的技术解决方案,同时清理可能包含机密内容或以其他方式暴露受保护来源和方法的数据。创建一个自动化或半自动化系统,该系统可以识别机密内容,或者可以以极高的精度引导人工审阅者查看机密内容,并且无需进行彻底的人工审查。
3. 与动能作战的集成
确定具有创新性和前瞻性的TTP,以大规模使用网络能力来支持未来作战环境中的动能作战。
06
基础设施和传输
美国防部网络地形的巨大规模,以及涉及的各军种和机构的数量,给美国网络司令部带来在需要的地方获取数据、传感器、计算、人员、工具和分析资源并有效地即时管理这些资源带来了挑战。美国网络司令部基础设施资产必须覆盖全球网络。除网络监控外,此类别的挑战涉及美国网络司令部更多的全球任务管理、风险管理、全球态势感知以及指挥控制操作。
在任务管理/态势感知领域,存在通过非机密链接移动大量数据以向网络保护部队和领导者提供适当见解从而根据可靠信息进行风险评估的挑战。这方面的问题涉及大规模数据存储、传输和共享。此类别主要是关于硬件平台、数据移动和跟踪以及这些操作的安全性和风险。
关键词:基础设施、资源管理、任务管理、风险管理、指挥控制操作、数据存储、数据传输、硬件、ISR(情报、监视和侦察)
美国网络司令部寻求针对以下挑战问题的新颖和创新的解决方案:
1. 数据采集与传输
动态的、任务可配置的、匿名的数据收集和传输。一种可以加快PB级到EB级存储和传输解决方案的工具。
用例:通过不安全和非传统数据链接移动大量数据对于使防御者和领导者能够感知和可视化他们在域中的责任区域至关重要。他们需要能够看到他们负责的区域,分享见解,并从更大的环境中获取见解。
2. 网络知识存储系统
长期数据存储解决方案的新方法,能够共享和快速检索相关信息,同时考虑到成本、安全性、兼容性和可扩展性。
3. 关键资产的识别
自动化解决方案、工具和能力,从而:轻松分解任务以识别任务关键资产(TCA);确定并绘制支持第一级TCA的网络空间任务相关地形(MRT-C);识别和维护第一级TCA及其相关MRT-C的态势感知和可视化;保护MRT-C免遭恶意网络空间活动的侵害。
声明:本文来自网络空间安全军民融合创新中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
