美国(军)态势感知体系能力分析

目录

一. 态势感知体系构成

二. 法律保障

三. 管理框架(DHS和NSA平行管理,情报共享)

四. 技术能力

五. 业务能力(安全预警、追溯)

六. 战略目标(“小技术”拨动“大战略”)

七. 几点认识

八. 附件

1. Einstein系统介绍(联邦政府网络态势感知系统)

2. Tuteage系统介绍(军方网络态势感知系统)

编者按:在大国博弈的时代背景下,“网络空间安全”作为非传统安全领域的代表,一再使我国政治陷入被动局面,掣肘我国发展。而究其本质原因之一,是其自2001年开始规划建设的一套“网络空间态势感知体系”。该态势感知体系将美国境内(包含离岸)的网络空间中,其认为的敏感区域划分为两个部分(军事网络,联邦网络),分别交由国土安全部(DHS)和国家安全局(NSA)来分别实施细粒度监控,并通过国家标准化技术研究院(NIST)开发的一套威胁情报交换标准,将两家单位掌握的“网络空间威胁情报”进行高效互动,保证了其“网络空间态势感知体系”的效能最大化,输出网络空间威胁分析报告,辅助国家政治战略。

一. 态势感知体系构成

目前,美国在情报、国防、国土安全和司法领域,形成了6大国家级监控中心,它们是:

1. 国土安全部的国家网络通信整合中心(NCCIC,NCSC前身,负责监视联邦网络,确保安全并对黑客攻击进行溯源);

2. 国家情报总监办公室的情报体系应急响应中心(IC-IRC);

3. 联邦调查局的网络调查联合任务组(NCUTF,负责国内网络欺诈等形式犯罪);‘

4. 美国国防部的国防网络犯罪中心(DC3,负责取证、分析);

5. 国土安全部的美国网络应急响应中心(US-CERT,负责对漏洞进行响应,缓解漏洞对敏感网络所带来的风险);

6. 美国国家安全局(也即网络战司令部)的国家威胁作战中心(NTOC,负责监视军事网络,确保安全并对黑客攻击进行溯源)。具体关系如下图所示:

由上图可以看出,6大国家级监控中心构成了美国的“大态势感知体系”,其内部的“态势感知体系”模块是本文的研究重点。由于密级不同,美国的“态势感知体系”的防护范围划分为两部分:联邦政府网络以及军事网络,所以自然地,“态势感知体系”也分为两个子系统:Einstein系统以及Tutage系统,并分别交由国土安全部的国家网络通信整合中心以及国家安全局(也即网络战司令部)的威胁作战中心进行运行、管理,为了保证两个领域的态势感知能力更加高效,美国国家标准化技术研究院开发了威胁情报交换标准(如STIX、TAXII等),保证了两个领域敏感数据交换的高效、实时。

二. 法律保障

“网络空间态势感知体系”的能力建设,势必涉及到网络空间各种隐私数据的采集,然而针对这些数据的采集行为的合法性必须要有相应法律的保障。美国利用9.11事件达成了这一目的,在事件发生仅仅一个月后,就迅速通过了《爱国者法案》,授予情报和执法部门在跟踪和拦截通信方面享有更大的自主权;2002年7月,美众议院通过《强化网络空间安全法》(Cyber Security Enhancement Act),强调在国家安全遭受威胁时候,可以未授权获取电话号码、IP地址、电子邮件标题等信息;2008年,美国国会又通过了《外国情报监督法》(FISA)修正案,授权私营公司与政府合作,扩大监视范围;2015年6月,奥巴马签署的《美国自由法案》在《爱国者法案》即将到期失效的情况下,为国家安全局等情报机构恢复部分监控能力。2013年6月斯诺登泄露的大部分监控项目都与9.11时期的美国政策调整直接相关。

三. 管理框架(DHS和NSA平行管理,情报共享)

美国网络空间态势感知体系的管理框架包含相互平行的两个部分:1. 联邦政府的国土安全部;2. 军方的国家安全局(也即网络战司令部)。目前尚未发现资料表明两者在态势感知体系领域的直接领导单位,猜测是国家情报办公室和国防部之间进行统一协调(如双方的威胁情报共享机制等)。

另一方面,讨论下“监控、保卫联邦网络空间安全”的职责为何指派给了2002年刚刚成立的国土安全部呢?本土网络空间的安全保卫职责,为何不直接指派给司法部下属的联邦调查局呢(我国目前也面临类似问题,公安体系对本土的网络安全保卫职责,某种程度上有些力不从心)?这是因为,2001年的9.11事件以来,美国将来自“恐怖主义”和“网络空间的威胁”调整为国家需要应对的主要威胁,然而“网络空间威胁”往往来自于境外,司法系统执法权限定为境内,更无法获得、使用境外的网络空间隐私数据。为了解开这个矛盾,才紧急成立国土安全部,突破了对海外网络空间隐私数据获取的法律限制。

DHS和NSA作为态势感知体系的责任单位,分别负责建设的两套体系,都是由于2001年的9.11事件推动而来的,由相关资料显示DHS开发的态势感知系统(Einstein)在2012年交付使用,NSA开发的态势感知系统(Tutelage)推测2011年2月之前交付使用。这里可以看出,美国从9.11事件触发,到部门架构调整、支撑法律完善,最后到系统建设完毕并投入使用,一共花费了将近10年的时间。

下面就国土安全部(DHS)和国家安全局(NSA,也即网络战司令部)分别开发、使用的态势感知体系的具体管理框架分别进行说明。

1. DHS推动的联邦政府网络态势感知体系组织架构

核心系统:Einstein(爱因斯坦)系统依托项目:CNCI(包括TIC、Einstein)、ECS、CDM等

时间跨度:2003年—2013年

预算经费:400亿美金以上(官方报道仅CNCI计划一项,经费开支就接近400亿美金)

Einstein计划是由DHS负责,国防部(DOD)和国家安全局(NSA)配合参与来推进的一项大型联邦政府网络入侵检测、防御系统。DHS下属的26个部门中得2个(STD和NPPD)具体承担了该项目的建设及运维。其中科学技术局(STD)偏重中长期的研究,NPPD则注重当前和短期的工程化项目执行。在Einstein项目中两者的分工是:STD归纳和定义主要的安全按问题(如安全需求定义、安全区域划分等);NPPD则以解决这些问题为目标,依靠其下属的网络安全部署处(NSD)对安全功能进行设计开发,由国家网络安全和通信集成中心(NCCIC)对交付的系统进行整体安全运营。具体参与建设单位组织结构如下图所示:

2. NSA推动的军队网络态势感知体系组织架构

核心系统:Tutelage系统依托项目:XKEYSCORE、Quantum、PRISM、CyberRequest等

时间跨度:不详(2005年—?)

预算经费:不详(年度军事情报项目经费160—270亿美金/财年,可以简单估算)

美国国家安全局(NSA)下属包括16个单位,其中参与军方网络(.MIL网络)态势感知能力建设的单位据本文作者分析应该包含3家,分别为:IAD(信息保障部,Information Assurance Directorate)、SID(信号情报部,Signal Intelligence Directorate)以及交叉功能单位(Cross-functional Unites),具体如下图示:

(NSA组织机构十分庞大,这里仅将相关单位列出,机构详细结构、功能会另作分析)

其中,态势感知系统(TUTELAGE)具体能力划分如下:

• 安全风险评估:IAD下属红队、蓝队;

• 特殊恶意代码特征分析、提取:SID下属S3;

• 威胁情报汇总:交叉功能单位下属NSOC;

• 整体运营:交叉功能单位下属NTOC。

四. 技术能力

从技术角度看,态势感知体系是一个庞大而复杂的多技术紧密耦合系统,包含的技术总体上可以分为两类:1. 微观分析类,如二进制分析、协议分析、漏洞研究、沙箱技术等,这类技术的特点是,往往都只能够微观的、从局部分析一些黑客攻击的特征,辅助确定黑客攻击技术的技术特性;2. 宏观分析类,如大数据分析、机器学习、人工智能、威胁建模、国际关系等,这类技术的特点是,往往能够根据对广泛微观分析事件的聚合、归并,对不同的黑客攻击事件进行“亲缘性”鉴定,最终辅助确定黑客的组织背景,甚至政治、经济意图等。

如果按微观、宏观技术来对上述的6个态势感知机构来归类的话,只有NCCIC和NTOC是执行宏观分析职能的单位,其他4家都是具体微观技术点得分析,为NCCIC何NTOC提供支撑。

1. DHS推动的态势感知体系技术能力

核心系统:Einstein(爱因斯坦)系统

关键技术:

1)公网接入点捆绑;

2)攻击流量特征分析、提取;

3)特征全网同步技术;

4)可机读数据共享技术;

5)海量日志智能分析技术;

技术指标:输出10万次攻击事件/年;

辅助技术:全球DNS数据库、Whois信息库、亲缘性分析技术等

2. NSA推动的态势感知体系技术能力

核心系统:Tutelage系统

辅助系统:Turmoil、Turbine等

关键技术:

1)截网信号情报获取,攻击特征分析;

2)特征提取技术;

3)特征全网同步技术;

4)可机读数据共享技术;

5)海量日志智能分析技术;

辅助技术:全球DNS数据库、Whois信息库、非法监控数据、亲缘性分析技术等

五. 业务能力(安全预警、追溯)

1 DHS推动的态势感知体系的业务目标

1) 实时监测联邦政府网络,保证最快安全响应;

2) 促进国家关键部门(非联邦网络,如大型企业、关键基础设施等)网络安全。

为达成上述目标,DHS对外充分开展政企合作(如,沙漠风暴演习、安全能力采购项目ECS等)、推动政企威胁情报数据共享(如,STIX、TAXII等数据交换标准)。

2NSA推动的态势感知体系的业务目标

1) 实时监测军队网络,保证最快安全响应;

2) 全球网络基础设施数据获取(如,TreasureMap项目等);

3) 全球网络社交数据获取(如,Prism项目等);

4) 全球网路作战地图绘制(如,X计划等);

5) 定点打击能力(如TAO下述DNT开发的针对骨干、移动网络的攻击工具)。

为达成上述目标,NSA开展大量保密项目,进行全球数据监听和全球定点打击能力的建设,这方面信息较为零散,这里不展开说明。

六. 战略目标(“小技术”拨动“大战略”)

9.11事件触发的美国网络空间隐私数据收集策略,我想主要是为了应对“恐怖主义”和“网络空间威胁”。但是,随着互联网的持续高速发展,已经逐渐成为独立于“陆、海、空、天”的第五空间,而“网络空间威胁”作为“非传统安全”领域的代表,也一度是我国外交、政治陷入困境。小小的网络空间技术,竟然能够成为左右大国博弈的砝码,下面来分析一二:

马斯洛将人的需求由低到高分为:生理、安全、社交、尊重、自我实现以及自我超越6个层次,国家作为超大规模的行为主体,其自身的利益诉求甚然,也可由低到高的分为:安全、经济、文化、政治(也即全球治理,本文作者提出,仅代表个人观点)4个层次。

我国通过8年(1937-1945年)的抗日战争和5年(1945-1949年)的解放战争,我们完成了对第一个层次(安全)的追求;通过37年(1978-2015年)的改革开放,我国更是取得了举世瞩目的成就,完成了对于第二个层次(经济)的追求。

可以想象,下一个阶段我国会展开对于更高层次(文化、政治)的追求,全球广泛开设的孔子学院和装备海军的“辽宁号”航母,已经宣誓了我国对全球文化、政治领域事务的参与热情。美国也公开对外宣称,中美已经进入“规则制定博弈”阶段。经济利益虽会产生博弈,但并非零和游戏,可以通过提高生产能力、释放需求等手段,使双方携手达成多赢或双赢局面。然而,在文化、政治领域,以美国为代表的守成一方由于建国时间较短,却始终陷于“修昔底德陷阱”,无法接受我国的持续发展对其文化、政治领域霸权的挤压。所以,美国注定会在文化、政治,尤其是政治领域,对我国执行残酷的制衡甚至是“绞杀”战略(目前,美国的“亚太再平衡战略”;东海、南海问题的持续“选边站”;TPP打造的经济包围圈等都展示了这种“绞杀”战略)。在具体的“绞杀”战略执行中,美国除了运用“传统安全”领域手段,更是运用了以网络空间安全的“非传统安全”领域的手段,具体如下图所示:

七. 几点认识

1 建立态势感知体系,法律为先导

建立态势感知体系,势必涉及到境内、境外、电信、互联网等隐私数据的监听,这必然需要法律层面的自我解禁。美国通过渲染9.11事件的恐怖主义威胁,在这一阶段通过了大量的隐私监控法案,如在事件发生仅仅一个月后,就迅速通过了《爱国者法案》,授予情报和执法部门在跟踪和拦截通信方面享有更大的自主权;2002年7月,美众议院通过《强化网络空间安全法》(Cyber Security Enhancement Act),强调在国家安全遭受威胁时候,可以未授权获取电话号码、IP地址、电子邮件标题等信息;2008年,美国会又通过了《外国情报监督法》(FISA)修正案,授权私营公司与政府合作,扩大监视范围。

2应对网络空间新问题,部门架构做必要调整

网络空间不同于传统的实体空间:一方面,网络犯罪案件的侦查需要大量诉诸于国际合作;另一方面,网络空间态势感知能力建设需要大量海外的网络空间隐私数据。然而,美国司法体系(如联邦调查局)的传统执法权限、范围、手段等,严重无法满足上述要求,军方(国家安全局)又不能公开插手联邦政府网络空间安全事件的调查,所以国土安全部快速成立。(在和我国公安部11局相关领导的交流中,也明确的感受到了这方面的制约,公安部无法获得海外情报支持,对本国的网络空间保卫方面,一旦面临国家级别敌人,往往力不从心)。

3体系化建设,顶层设计最重要

不论是从国家网络安全和通信集成中心运营的Einstein系统,还是国家威胁作战中心运营的TUTELAGE系统,我们都可以看出这是一个庞大而缜密的系统工程,会耗费相当巨大的人力、物力、财力和时间等。然而就其目前达成的战略效果看,还是应该钦佩美国同行的顶层设计能力。注意,这里的顶层设计包含四个方面:情报体系(包含网络战)等的法律层面、部门架构层面、业务架构层面以及技术架构层面的顶层设计。

4特殊能力,需要产业化培育

美国建设的网络空间安全态势感知体系,包含了一些并非民用的安全能力,这就要求美国针对性的进行产业培育。如2005年开始投资的大数据分析公司Palantir,在2013年的猎杀本拉登的行动中提供了重要线索;2009年投资的威胁情报分析公司FireEye,多次公开发布指责我国黑客行为的分析报告。

八. 附件

1. Einstein系统介绍(联邦政府网络态势感知系统)

部署进程

Einstein计划的部署和实施主要分为三个阶段:

第一阶段:Einstein-1(基础设施部署阶段)

介绍:本阶段主要是针对联邦政府网络广泛部署IDS、IPS,并实施基于流量的分析技术(DFI)

目标:异常行为检测和局部趋势分析

收益:

• 蠕虫检测,尤其是可以形成一副跨部门的区域性蠕虫感染趋势图

• 异常行为检测,这里的异常行为检测主要基于*Flow技术(E1核心功能)

• 配置管理建议,US-CERT可根据安全分析,对相关部门提供配置管理建议

• 趋势分析,可帮助联邦政府形成局部趋势图

第二阶段:Einstein-2(联网出口归并,恶意监测能力开发、部署阶段)

介绍:本阶段主要是进行TIC计划,并增加恶意行为分析能力

目标:恶意行为检测和总体趋势分析

收益:

• 联邦网络集中接入,将网络出口从4500+缩减到50个左右;

• 恶意行为检测,主要基于DPI技术

• 趋势分析,可帮助联邦政府形成总体趋势图

第三阶段:Einstein-3(落地使用Einsterin系统,并将监控能力扩展到民用网络)

介绍:本阶段主要是建立NCCIC(国家安全运营中心),进行Sensor前置到一些ISP(如Verisign,AT&T)并增加入侵防御技术

目标:恶意行为检测和总体趋势分析

收益:

• 流量更大规模截获,通过TICAP的概念,将Sensor前置到ISP,可以监听政府网络相关或关心的流量;

• 专业的安全运营,通过NCCIC的建立,将技术、流程和人(PPT)紧密结合起来

• 入侵实时防御,通过NSA开发的IPS技术,可直接地域恶意攻击行为

具体流程如下表所示:

关键技术

E1阶段关键技术要点

本阶段的本质是基于流量的分析技术(DFI)来进行异常行为分析检测和总体趋势分析,具体来说就是基于*Flow数据的DFI技术。这里的*Flow最典型的一种就是NetFlow,此外还有sFlow,jFlow,IPFIX等等。

DFI技术特点分析:

• 处理速度快,不进行解包操作,志旭与流量模型比较;

• 维护成本较低,因流量模型变化不大,无需考虑新应用的产生;

• 识别率较高但较粗糙,因只对流量模型进行识别,所以识别率很高,不过也比较粗。

NetFlow格式说明:

61.*.*.68|61.*.*.195|64917|Others|9|13|4528|

源地址|目的地址|源自治域|目的自治域|流入接口号|流出接口号|源端口 |目的端口|协议类型|包数量|字节数|流数量

NetFlow可检测到得异常流量:

DoS、DDoS、网络蠕虫病毒流量以及其他恶意流量(如扫描工具产生的大量TCP连接请求)

E2阶段关键技术要点

本阶段的本质是基于深度包解析(DPI)技术的恶意行为分析,即“对流量的源IP、目的IP、源端口、目的端口、协议类型、包数量、字节数、连接开始时间、连接持续时间、连接结束时间、传感器编号、数据流方向、初始标志位”等13类信息进行深度分析。

具体工作流程为:

• 部署在各个TICAP出口的传感器在本地进行DPI分析,通过特征检测技术(Signature)和异常检测技术(Behavior)发现恶意行为,并产生告警;

• 告警信息(Alert),以及相关数据包(Flow-Records),以及相关数据报文都被送到US-CERT,工安全分析师进行深入分析;

• US-CERT负责统一对传感器的特征库进行审计维护;

• 所有US-CERT收集到的信息保存3年。

DI技术特点分析:

• 处理速度较慢,由于要逐包进行拆包操作,并与后台特征库进行匹配;

• 维护成本较高,新应用的产生,必须要相应更新后台特征库;

• 识别率较低但较细致,因为一定会有新的应用不识别,然而识别的应用则会分析的很细致。

E3阶段关键技术要点

本阶段的本质是基于强两个阶段的异常流量检测技术(基于*Flow的DFI技术)和恶意行为检测技术(基于DPI技术),结合NSA多年网络攻防经验积累下来的特殊攻击特征(Signature),部署到前置的Sensor中,实现对恶意攻击行为的检测并阻断。

由于本阶段在2010年启动开始,NSA(国家安全局)和DoD(国防部)都明确加入其中,所以这个阶段的资料比较少。从斯诺登泄露资料可以了解到,这个阶段的输出物(代号为Tutelage)已经部署到军方的GIG网络的边界。

总体技术分析

Einstein系统十分庞大,不过总体上可以划分为2个部分:

• 前端部分,也即不论是通过TIC接入ISP,还是通过联邦总务局的Networx合同托管的IP服务,与互联网接口的Sensor部分;

• 后端部分,NCCIC负责运营的安全运营中心。

在前端主要应用基于*Flow的DFI技术和DPI技术,后端则可以应用SIEM技术。整个分布式的前端和集中化的后端整合在一起就构成了一个态势感知体系。而依然在逐步完善的Einstein系统可以说是真正大规模使用的态势感知系统。事实上,Einstein计划就是一个由政府主导的,商业厂商参与的很好的一个结合工程。

部署方式

分析Einstein计划,不仅要分析它采用的技术,还应该看的部署方式如何落地,部署十分重要,一旦部署不好,整个系统可能就无法获得必要的信息,而分析就成了无源之水。而说到Einstein系统的部署,就必须说到DHS 2008年(与E2同期)开展的TIC(可信互联网接入)计划,也是这一年正式开始实施CNCI计划,专注于联邦网络的互联网接入整合。从E2开始Sensor的部署痛TIC息息相关,而TIC计划又牵扯到了整个美国电子政务网络升级改造(以前很多都是通过联邦总务局的Networx合同进行托管服务,而非商业行为,通过TIC计划,实现了联邦政务网络的接入商业化)。

上图展示了TIC的概念模型。整个TIC包括模型包括三块:外部区域,TIC区域和内部区域。而爱因斯坦传感器或者IPS就部署在TIC区域和外部区域之间。注意,公共服务都部署在TIC区域,我们可以把TIC类比为一个DMZ区,但更加复杂。

上图展示了TIC的概念部署架构,这里根据颜色不同,将流量分为4种,也即将网络区域根据安全级别划分为多个级别:

• 接入Agency

• TICAP(接入供应商)

• 互联网

由于TIC计划推行的集中接入,造成了不同政府部门(D/A)可能会接入同一个TICAP,所以流量可以分为:

• 橘色:不同部门,统一TICAP之间的流量

• 蓝色:经过Sensor的流量

• 绿色:同一部门,不同TICAP之间的流量

• 黑色:TICAP之间的流量

2. Tuteage系统介绍(军方网络态势感知系统)

TUTELAGE系统工作流程

通过斯诺登泄露的名为《TUTELAGE》的绝密文档,我们可以看到TUTELAGE系统的工作流程分为7个步骤:

1. 信号情报采集;

2. 发现境外敌手攻击行为,并采集特征(依靠XKS、POPQUIZ等监听计划);

3. 特征和应对策略开发;

4. TUTELAGE系统的边界传感器部署相应特征,并和相关部门共享(.GOV);

5. 境外敌手发动攻击;

6. 探测,减弱攻击效果;

7. 支撑信号情报采集(例如,新的信号情报采集点发现)

TUTELAGE系统功能及作战效果

TUTELAGE系统功能包括:

1. 告警:边界传感器发现攻击流量后,直接产生告警;

2. 重定向:边界传感器发现攻击流量后,重定向会话到安全服务器;

3. 接管:边界传感器发现攻击流量后,接管会话;

4. 阻断:边界传感器发现攻击流量后,阻断会话;

5. 替换:边界传感器发现攻击流量后,清洗流量内恶意代码;

6. 延迟:边界传感器发现攻击流量后,降低通信速率,破坏攻击效果。

TUTELAGE系统战例

1. 针对DOD联合指挥官的钓鱼攻击防御

2. 针对“圣诞节礼物”的钓鱼攻击防御

文/DustinW

声明:本文来自网信防务,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。