文/谭晓生
美国是世界上网络安全综合能力最强的国家,美军、美国政府和美国安全产业共同支撑起国家网络防御体系,即联邦政府和网络安全企业主导防御已知特征的网络威胁,美军主导防御未知特征的网络攻击,并通过联邦政府向美国社会输出这种高级防御能力。本文从工程角度分析美军和美国政府的网络防御体系建设。
一、美军的网络防御思想
美军采取情报驱动的主动防御和商业驱动的标准化防御相结合的网络防御思想建设网络防御体系。
美军的网络防御视野分为两个维度,一个维度是从技术层面防御未知特征的零日漏洞等技术复杂性高的网络威胁,另一个维度是从情报驱动层面防御国家级的网络攻击。这两个维度构成一个网络防御战略坐标平面,在这个坐标系下,美军综合运用自身的网络情报能力、技术研发能力以及国家网络安全产业能力建设主动防御体系(如图所示)。
这张出自美国国家安全局(NSA)泄露文件的图,就是美军网络防御战略思想的体现,也说明其网络情报系统、网络主动防御系统、商业网络安全系统在网络防御方面的定位。
可以从这张防御系统图看出,横坐标是网络威胁复杂性维度,近端是钓鱼邮件威胁,远端是零日漏洞威胁;纵坐标是网络威胁可发现性维度,近端是脚本小子威胁,远端是国外情报机构威胁。
分析图片上不同颜色的区域可以发现,防御平面右上的红色区域是最难发现的网络攻击区域,由信号情报系统覆盖;防御平面中间的蓝色区域是商业系统无能为力的未知特征网络攻击区域,由主动防御系统覆盖;防御平面左下的黄色区域是已知特征的网络威胁,由商业产品化的防御系统覆盖。这三个系统之间的关系是,信号情报系统负责截取高级网络攻击的技术情报,通知主动防御系统,主动防御系统开发攻击特征指纹和反制手段并部署在边界防御上进行防御,这个过程就是主动防御,商业防御系统防御已知特征的常规网络攻击,以达到各个水平层次网络攻击的全面防御。
二、美军的网络防御体系
从网络防御纵深角度看,美军的网络防御体系分为四层,即由内部子网边界防御系统、互联网边界防御系统、集成防御系统和前线防御系统构成。
(一)内部子网边界防御系统
内部子网边界防御系统对应网络防御战略平面图左下角黄色区域,是对已知特征网络攻击的防御,部署在美军骨干网络的端点处,包括美军各级别前线阵地,即基地(Base)、哨所(Post)、营房(Camp)和工作站(Station),以及计算中心和数据中心等军用IT 基础设施的子网接入处,对所有进出子网的流量进行检测和防御。
这是一套标准化的网络安全防护功能集,采用层次化的安全防护思想,在通信的每个层次上都设计了安全控制点,由一系列商业网络安全产品组成,包括防火墙、入侵检测和入侵防护、数据采集和态势感知等功能的软硬件设备。
系统的标准化和商业化特点,决定了这个系统的定位是一种列装设备,由美军网络部队配置和维护,相比之下,美军的互联网边界防御系统是由美国国家安全局自己配置和维护。
(二)互联网边界防御系统
互联网边界防御系统对应网络防御战略平面图中间的蓝色区域,针对未知特征的网络攻击进行防御,这是一套基于主动防御思想开发的网络防御系统,在美军的非保密互联网协议路由网络(Non-classified Internet Protocol Router Network,NIPRNet)边界上部署,其网络位置相当于军网和互联网之间网关所处的位置。美军解决未知特征网络攻击的方法,一是依靠信号情报系统的支撑,二是依靠自身对网络协议零日漏洞和应用系统零日漏洞的挖掘、搜集和积累,然后把这些技术情报开发成特征指纹,进而开发出反制技术手段,部署在互联网边界的主动防御系统上。
1.信号情报系统
从二战开始,美军经营信号情报系统几十年。这是一个功能庞大的系统,和主动防御相关的是其中的数据采集和情报分析系统。美军拥有遍布全球的数据采集系统,分别在本土和海外进行数据采集作业。在本土,美军采集光缆等通信设施的数据和互联网公司的数据,美国是全球通信的骨干节点,通信路由成本全球最低,使全球很多通信路由途经美国,美国的互联网公司面向全世界提供服务,拥有全球的用户数据,这些原因使美军针对本土的数据采集具备非常高的全球情报价值;在海外,在海外,美军和情报联盟国家、北约成员国等合作部署大量的光缆、微波、卫星通信数据采集设备被动搜集情报数据,同时,美军在全球植入了数量巨大的隐蔽性极强的木马主动搜集数据。这些数量庞大的数据回传NSA以后,进入美军成体系的情报分析系统,针对敌人恶意代码和网络攻击的设计、开发、部署和实施阶段分析提取技术情报,发送给主动防御系统使用。
2.主动防御系统
主动防御系统的工作流程首先是开发反制措施,根据情报分析系统发来的敌人网络攻击技术情报开发攻击特征指纹和反制措施;其次是部署反制措施,在互联网边界防御系统上部署新的特征指纹和反制措施;最后进行防御反制,实时探测敌人发起的网络攻击,并进行反制,这些反制措施包括阻断、拦截替换和重定向等。
(三)集成防御系统
集成防御系统对应网络防御战略平面图中间的蓝色和右上的红色区域。美军网络情报、网络防御和网络攻击系统是密切配合协调工作的,综合集成这些能力构建防御就是集成防御,集成防御系统在网络纵深防御架构中定位在互联网边界防御的外侧,因为集成了传感器等外围设备。
集成防御体系的根本思想是有机整合美军已经实战部署的网络情报、攻击和防御系统,通过这三类主要的网络安全系统能力的组合、叠加和升华,从量变到质变,构建能力更强、手段更多的集成网络防御系统。
开源情报中,关于集成防御系统的资料不多,但是,已有情报表明,美军集成防御思想和方法的存在,确定无疑。美军的网络攻击系统中,存在一个依托传感器和互联网协议漏洞的旁路攻击平台,边界防御系统和旁路攻击平台配合,即可形成防御反击能力。在敌人进行网络攻击时,防御系统探测到攻击行为,实时通知旁路攻击平台进行旁路攻击劫持目标的网络通信,致使目标在没有察觉的情况下遭到网络伏击,被反向植入木马。这种集成防御的案例足以启发我们的网络攻防建设思路。
(四)前线防御系统
前线防御系统的目的是实时探测和消除目标的网络威胁,尽可能靠近目标。前线防御系统也是对集成防御思想的再次强化和升华,是为了有效防御前线目标而对部分集成防御系统的重构。
旁路攻击平台的攻击条件是要求传感器和攻击平台的联动时延要小于目标的网络通信时延,防御设施离目标越近,时延越小,成功率越高。
集成防御系统在海外阵地探测到网络威胁时,要跨越大西洋或者太平洋海底光缆把网络威胁预警传回NSA的旁路攻击平台进行网络攻击。美军实测跨洋传输的攻击链条网络时延在300毫秒以上,造成防御反制成功率低下。为了改变这种不利局面,NSA重构了前线防御系统,把旁路攻击的决策和代码注入能力都部署在前线阵地,前线防御系统可以直接阻击目标的网络攻击,不必再跨洋联动防御。
三、美军向美国政府和社会各级组织输出网络防御能力
美国的国家网络防御体系,由联邦政府国土安全部负责规划和建设,国土安全部一方面采购美国安全企业的网络安全产品构建标准化的防御体系,另一方面引入美军的网络防御核心能力,构建高级网络攻击防御能力。
(一)美军向联邦政府输出网络防御能力
美国国土安全部投入巨资建设了多个网络安全防御项目,包括续诊断与缓解计划 (Continuous Diagnostics and Mitigation,CDM)、可信互联网接入系统(Trusted Internet Connections,TIC)和爱因斯坦计划(EINSTEIN)等,为美国联邦政府的网络安全打下了良好基础。这些系统网络防御分工各有不同,但是,除了爱因斯坦计划三期以外都有一个共同点,就是采用商业网络安全产品构建,都是对已知特征的网络攻击防御。为了补全网络防御覆盖面,美国国土安全部从爱因斯坦计划三期开始,引入美军的主动防御系统技术和网络威胁情报,应对联邦政府面临的未知特征的高级网络攻击。
(二)美国联邦政府向各级社会组织输出网络防御能力
爱因斯坦计划三期集成了美军的威胁情报和主动防御技术,美国国土安全部结合自身的网络防御能力并依托美军网络防御资源通过增强网络安全服务计划(Enhanced Cybersecurity Services,ECS),向美国公有和私营机构提供网络入侵防御能力。国土安全部以向ECS提供商认证的方式,通过商业机构,提供ECS服务。截至目前,美国三个电信运营商AT&T、CenturyLink和Verizon通过了ECS服务认证。国土安全部把最新发现的网络威胁和防御措施第一时间部署到这三个电信运营商的ECS设施上,购买ECS服务的互联网用户可以实时检测和阻止网络攻击。
总之,美军向国土安全部输出防御能力和威胁情报,国土安全部在用于防御联邦政府网络的同时,又通过电信运营商向美国社会各级各类组织输出防御能力和威胁情报,加之美国网络安全产业的标准化产品构建的各级网络防御系统,全面覆盖了网络攻击的各个角度,构成了美国的整体协同防御体系。
(本文刊登于《中国信息安全》杂志2018年第12期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。