美国土安全部：加强互联网应对自动化、分布式僵尸网络的弹性

（一）概述

本报告草案是为落实2017年5月11日“关于加强联邦网络和关键基础设施网络安全”的行政命令。该命令要求“抵御僵尸网络和其他自动化的、分布式威胁”，指示商务部和国土安全部 “制定公开和透明的流程，以确定和促进利益相关者的行动”，目标是“大大减少由自动和分布式攻击（例如僵尸网络）威胁“。

商务部和国土安全部通过三种方式联合开展这项工作 - 举办研讨会、发表征求意见、并通过国家安全电信咨询委员会（NSTAC）进行调查，旨在广泛收集来自专家和利益相关者，包括私营部门、学术界和民间社会的建议。

商务部和国土安全部将与国防部、司法部和国务院，联邦调查局，各联邦机构，联邦通信委员会和联邦贸易委员会以及其他有关机构进行磋商。

本报告提出，在大幅度减少自动化、分布式攻击威胁方面所面临的机遇和挑战可归纳为六大主题。

1. 自动化/分布式攻击是一个全球性的问题。近期僵尸网络中的大多数受感染设备都位于美国以外的地理位置。增强互联网和通信生态系统的弹性，抵御这些威胁，需要与国际合作伙伴采取协调一致的行动。

2.存在有效的工具，但没有被广泛使用。可以显着增强互联网和通信生态系统的弹性所需的工具、流程和做法，虽然不完美，可以广泛使用，并且在特定的市场领域经常使用。然而，由于各种原因，包括缺乏意识、成本原因、技术专业知识不足以及缺乏市场激励，这些产品在其他领域的产品开发和部署中并不常见。

3.产品在生命周期的各个阶段应是安全的。在部署时易受攻击的设备、无法打补丁或在供应商支持结束后还继续运行的设施，这些使得自动、分布式威胁的得逞很容易。

4.需要教育和意识。家庭和企业客户、产品开发商、制造商和基础设施运营商之间的知识差距阻碍了部署工具、流程和实践。

5.市场激励机制错位。市场激励与“大大减少自动化和分布式攻击所带来的威胁”的目标不一致。市场激励激励产品开发商、制造商和供应商将成本和上市时间降到最低，而不是关心建立安全或提供有效的安全更新。在开发产品时，安全性和便利性之间必须有一个更好的平衡。

6.自动、分布式攻击是生态系统范围的挑战。没有一个单独的利益相关方可以单独解决这个问题。

本报告明确了五个互补的相互支持的目标，将大大减少自动分布式攻击的威胁，并提高生态系统的弹性。

五大目标是：

目标1：明确一个通往适应性强、可持续性和安全技术市场的明确途径

目标2：促进基础设施创新，以适应不断变化的威胁

目标3：促进网络边缘的创新，防止、检测和缓解不良行为

目标4：在国内和世界各地的安全、基础设施和运营技术社区之间建立联盟

目标5：提高整个生态系统的认识和教育

没有任何一项投资或活动能够减轻所有的危害，但是有组织的讨论以及利益相关方的反馈将使我们能够根据其预期的投资回报和对生态系统弹性产生显着影响的能力，进一步评估和确定这些活动的优先顺序。在公布这个报告草案以征询公众意见时，我们期待利益相关方帮助我们改进。

（二）目标和行动

目标1：明确一个通往适应性强、可持续性和安全技术市场的明确途径

行动1.1 为家庭和行业应用中的物联网设备建立广泛接受的基线安全轮廓（ security profiles），并通过双边协议以及使用国际标准促进国际间采用。 联邦政府应通过在美国政府环境中采用物联网设备的基线安全轮廓来加速这一进程。

行动1.2 业界必须广泛的采用软件开发工具和流程，大幅降低商业软件中安全漏洞的发生率。联邦政府应与业界合作，鼓励进一步加强和应用这些做法，并改善市场的接纳度和问责制。

行动1.3 行业应加快开发和部署用于预防和减轻分布式威胁的创新技术。在适用的情况下，政府应优先考虑应用研发（R＆D）资金和技术转型，以支持DDoS防范，以及防止僵尸网络创建的基础技术。

行动1.4 政府和行业应该合作确保与IoT相关的现有最佳做法、框架和指导方针以及确保透明度的程序在生态系统中得到更广泛的应用。

目标2：促进基础设施创新，以适应不断变化的威胁

行动2.1互联网服务提供商及其对等合作伙伴应当扩大当前的信息共享，以便在国内和国际上更及时和有效地共享可知道行动的威胁信息。

行动2.2 在咨询NIST后，利益相关者和主题专家将领导制定企业DDoS预防和缓解CSF配置文件。

行动2.3 联邦政府应该以身作则，展示技术的实用性，为早期采用者创造市场激励机制。

行动2.4 行业和政府应与全方位的利益相关方合作，继续加强和规范信息共享协议。

行动2.5 联邦政府应该与美国和全球的基础设施提供商合作，在整个生态系统中推广网络流量管理的最佳实践。

目标3：促进网络边界的技术创新，防止、检测和缓解不良行为

行动3.1 网络行业应扩大当前的产品开发和标准化工作，以便在家庭和企业环境中实现有效和安全的流量管理。

行动3.2 家庭IT和物联网产品的用户接口应设计为最大限度地提高安全性，同时减少或消除对管理者的安全知识要求。

行动3.3  企业应优化网络架构，以便检测、中断和减轻自动分布式威胁。

行动3.4 联邦政府应该调研，广泛的IPv6部署对攻击和防御的经济性产生了什么影响。

目标4：在国内和世界各地的安全、基础设施和运营技术社区之间建立联盟。

行动4.1 互联网服务提供商和大型企业应该增加与执法部门的信息共享，以提供有关自动化，分布式威胁的更及时和行动性的信息。

行动4.2 联邦政府应通过双边和多边国际交流努力，促进国际上采用最佳做法和相关工具。

行动4.3  监管机构应与行业合作，以确保非欺骗性营销，以及推出适当的部门特定的安全要求。

行动4.4  社区应采取具体措施限制快速flux hosting。（是指自动快速修改主机的IP地址）

行动4.5  网络安全社区应继续与运营技术社区进行接触，以提高认识并加速网络安全技术转让。

目标5：提高整个生态系统的认识和教育

行动5.1  私营部门应建立和管理家庭物联网设备的自愿信息工具，并辅以消费者信任和理解的可扩展的和具有成本效益的评估流程。

行动5.2  私营部门应建立行业物联网应用的自愿标记计划，并在可扩展的和具有成本效益的评估过程的支持下，为关键基础设施的物联网应用提供充分的保证。

行动5.3  政府应鼓励学术界和培训界将安全编码实践全面纳入计算机科学及相关计划。

行动5.4  学术部门应与国家网络安全教育合作，将网络安全作为所有工程学科的基本要求。

行动5.5  联邦政府应建立公众意识宣传活动，以支持家庭物联网设备安全轮廓和品牌的认可和采用。

文件全文下载： Draft Report on Enhancing Resilience Against Botnets

声明：本文来自向日葵生活分享，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。