美國(guó)網(wǎng)絡(luò)空間安全態(tài)勢(shì)感知能力建設(shè)階段介紹

時(shí)間：2022-08-09 00:54:01 | 來(lái)源：網(wǎng)站運(yùn)營(yíng)

時(shí)間：2022-08-09 00:54:01 來(lái)源：網(wǎng)站運(yùn)營(yíng)

美國(guó)網(wǎng)絡(luò)空間安全態(tài)勢(shì)感知能力建設(shè)階段介紹

■ 文 | 李鵬飛

網(wǎng)絡(luò)空間安全能力不僅是簡(jiǎn)單的防護(hù)能力，而是綜合了防護(hù)、檢測(cè)和響應(yīng)能力，以及掌握網(wǎng)絡(luò)空間安全態(tài)勢(shì)以保障網(wǎng)絡(luò)在遭受攻擊時(shí)的能存能力。通過(guò)網(wǎng)絡(luò)安全態(tài)勢(shì)感知能力建設(shè)，可以更好地識(shí)別和響應(yīng)網(wǎng)絡(luò)威脅與攻擊，全方位提高網(wǎng)絡(luò)空間安全。

最近十幾年來(lái)，美國(guó)大幅提升對(duì)網(wǎng)絡(luò)空間安全態(tài)勢(shì)的感知和控制能力，從最初的在聯(lián)邦政府網(wǎng)絡(luò)部署入侵檢測(cè)系統(tǒng)，到前一篇文章《美國(guó)國(guó)家網(wǎng)絡(luò)空間安全態(tài)勢(shì)感知協(xié)調(diào)機(jī)制》中提到的統(tǒng)一協(xié)調(diào)六個(gè)中心進(jìn)行安全態(tài)勢(shì)感知，最終到利用大數(shù)據(jù)分析和處理能力實(shí)施大規(guī)模的全球網(wǎng)絡(luò)監(jiān)控，可以說(shuō)美國(guó)在網(wǎng)絡(luò)空間安全態(tài)勢(shì)感知領(lǐng)域的投入是極其巨大的。

那么，美國(guó)網(wǎng)絡(luò)空間安全態(tài)勢(shì)感知能力建設(shè)到底經(jīng)過(guò)幾個(gè)階段呢？本文將按照時(shí)間順序?qū)γ總€(gè)階段的重點(diǎn)進(jìn)行詳細(xì)說(shuō)明。

階段一：在部分聯(lián)邦政府機(jī)構(gòu)網(wǎng)絡(luò)部署愛(ài)因斯坦1系統(tǒng)，采用基于網(wǎng)絡(luò)流量的入侵檢測(cè)技術(shù)

根據(jù)《2002年國(guó)土安全法案》和聯(lián)邦信息安全管理法案（FISMA）于2003年12月17日發(fā)布的國(guó)土安全第7號(hào)總統(tǒng)令的要求，US-CERT開(kāi)發(fā)了愛(ài)因斯坦入侵檢測(cè)系統(tǒng)。系統(tǒng)的第一個(gè)版本能夠監(jiān)視美國(guó)政府部門(mén)和機(jī)構(gòu)網(wǎng)絡(luò)關(guān)口的非正常流量，在2004年～2008年由聯(lián)邦政府機(jī)構(gòu)自愿部署。

愛(ài)因斯坦1計(jì)劃采用了基于流量的分析技術(shù)，具體地說(shuō)就是基于流數(shù)據(jù)（如NetFlow、sFlow、IPFIX等）的深度流檢測(cè)（DFI）技術(shù)。US-CERT通過(guò)采集各個(gè)聯(lián)邦政府機(jī)構(gòu)的這些流信息，進(jìn)行分析并獲悉網(wǎng)絡(luò)態(tài)勢(shì)。

階段二：在所有聯(lián)邦政府機(jī)構(gòu)網(wǎng)絡(luò)部署愛(ài)因斯坦2系統(tǒng)，采用基于流量的深度包檢測(cè)（DPI）分析技術(shù)，能夠自動(dòng)發(fā)現(xiàn)惡意行為并報(bào)警

美國(guó)政府于2007年啟動(dòng)了愛(ài)因斯坦2計(jì)劃，愛(ài)因斯坦2計(jì)劃是愛(ài)因斯坦1計(jì)劃的增強(qiáng)，系統(tǒng)在原來(lái)對(duì)異常行為分析的基礎(chǔ)上，增加了對(duì)惡意行為的分析能力，使得US-CERT獲得更好的網(wǎng)絡(luò)態(tài)勢(shì)感知能力。

愛(ài)因斯坦2計(jì)劃的系統(tǒng)掃描所有互聯(lián)網(wǎng)流量及政府計(jì)算機(jī)（包括私人通信部分）的副本數(shù)據(jù)，檢查這些數(shù)據(jù)的內(nèi)容和元數(shù)據(jù)，以發(fā)現(xiàn)可能用于獲取或傷害政府計(jì)算機(jī)系統(tǒng)的惡意計(jì)算機(jī)代碼的“已知特征”。

愛(ài)因斯坦2計(jì)劃實(shí)現(xiàn)惡意行為分析能力的技術(shù)是網(wǎng)絡(luò)入侵檢測(cè)技術(shù)，對(duì)TCP/IP通信的數(shù)據(jù)包進(jìn)行DPI分析，發(fā)現(xiàn)惡意行為（攻擊和入侵）。愛(ài)因斯坦2計(jì)劃采用的IDS既有基于特征庫(kù)的檢測(cè)，也有基于異常的檢測(cè)，二者互為補(bǔ)充。愛(ài)因斯坦2計(jì)劃主要以商業(yè)的IDS技術(shù)為基礎(chǔ)進(jìn)行開(kāi)發(fā)，并采用了US-CERT精選特征庫(kù)。

階段三：在所有聯(lián)邦政府機(jī)構(gòu)網(wǎng)絡(luò)部署愛(ài)因斯坦3系統(tǒng)，采用基于對(duì)雙向流量的實(shí)時(shí)全包檢測(cè)分析技術(shù)和基于威脅的決策分析技術(shù)，自動(dòng)檢測(cè)并正確響應(yīng)網(wǎng)絡(luò)威脅

2008年美國(guó)啟動(dòng)CNCI中的一部分，就是DHS的愛(ài)因斯坦3計(jì)劃（DHS成為下一代愛(ài)因斯坦計(jì)劃）。愛(ài)因斯坦3計(jì)劃的系統(tǒng)將檢測(cè)惡意攻擊代理，在惡意代碼的威脅影響到政府計(jì)算機(jī)系統(tǒng)之前，采取實(shí)時(shí)措施進(jìn)行阻斷操作，以防止其攻擊影響到政府網(wǎng)絡(luò)系統(tǒng)。

作為實(shí)施愛(ài)因斯坦3計(jì)劃的一個(gè)重要步驟，DHS啟動(dòng)了一個(gè)“第三階段演練”項(xiàng)目，其中就有愛(ài)因斯坦3計(jì)劃的部分技術(shù)可行性分析與驗(yàn)證工作。愛(ài)因斯坦3計(jì)劃的主要技術(shù)支撐是入侵防御技術(shù)，而該入侵防御技術(shù)是由美國(guó)NSA主導(dǎo)開(kāi)發(fā)的一套識(shí)別特定攻擊的特征庫(kù)。

在愛(ài)因斯坦3計(jì)劃中，將綜合運(yùn)用商業(yè)技術(shù)和美國(guó)NSA的技術(shù)對(duì)政府機(jī)構(gòu)的互聯(lián)網(wǎng)出口的進(jìn)出雙向流量進(jìn)行實(shí)時(shí)的全包檢測(cè)（FPI），以及基于威脅的決策分析。借助在電信運(yùn)營(yíng)商處（ITCAP）部署傳感器，能夠在攻擊進(jìn)入政府網(wǎng)絡(luò)之前就進(jìn)行分析和阻斷。愛(ài)因斯坦3計(jì)劃的總體目標(biāo)是識(shí)別并標(biāo)記惡意網(wǎng)絡(luò)傳輸（尤其是惡意郵件），以增強(qiáng)網(wǎng)絡(luò)空間的安全分析、態(tài)勢(shì)感知和安全響應(yīng)能力。系統(tǒng)將能夠自動(dòng)地檢測(cè)網(wǎng)絡(luò)威脅并在危害發(fā)生之前做出適當(dāng)?shù)捻憫?yīng)，即具備入侵防御系統(tǒng)的動(dòng)態(tài)防御能力。

其關(guān)鍵創(chuàng)新之處在于在電信運(yùn)營(yíng)商處部署傳感器，并采用重定向技術(shù)；在分析端，加入了主動(dòng)響應(yīng)技術(shù)和實(shí)時(shí)全包分析技術(shù)，其中涉及更加精準(zhǔn)的特征庫(kù)、超高的傳感器處理性能和更多高級(jí)的威脅分析技術(shù)。

階段四：監(jiān)控美國(guó)在情報(bào)、國(guó)防、國(guó)土安全、司法等方面的網(wǎng)絡(luò)和系統(tǒng)狀態(tài)，創(chuàng)建跨領(lǐng)域的網(wǎng)絡(luò)空間態(tài)勢(shì)感知系統(tǒng)

按照2008年頒布的CNCI的要求，由DHS內(nèi)的NCSC協(xié)調(diào)和綜合來(lái)自事件響應(yīng)中心（IC-IRC）、威脅行動(dòng)中心（NTOC）、US-CERT、聯(lián)合任務(wù)組-全球網(wǎng)絡(luò)運(yùn)行中心（JTF-GNO）、DC3、國(guó)家網(wǎng)絡(luò)空間調(diào)查聯(lián)合任務(wù)組（NCIJTF）六個(gè)中心的信息，提供橫跨六個(gè)中心的態(tài)勢(shì)感知與分析，并報(bào)告美國(guó)在情報(bào)、國(guó)防、國(guó)土安全、司法等方面的網(wǎng)絡(luò)和系統(tǒng)狀態(tài)，以促進(jìn)合作與協(xié)調(diào)。通過(guò)建立橫跨六個(gè)行動(dòng)中心的通信和信息共享機(jī)制，創(chuàng)建跨領(lǐng)域的態(tài)勢(shì)感知系統(tǒng)。

階段五：借助大數(shù)據(jù)分析和處理能力，實(shí)施全球網(wǎng)絡(luò)監(jiān)控

2013年起，NSA負(fù)責(zé)建立和維護(hù)了世界最大的數(shù)據(jù)中心-猶他數(shù)據(jù)中心，收集和保存全世界所有的個(gè)人和組織的交流信息，包括個(gè)人電子郵件、手機(jī)通信記錄、谷歌搜索記錄和其他任何個(gè)人的跟蹤信息，如停車(chē)收據(jù)、旅游線(xiàn)路、購(gòu)書(shū)記錄、電子消費(fèi)開(kāi)支記錄等。借助強(qiáng)大的大數(shù)據(jù)處理和分析能力，數(shù)據(jù)中心對(duì)所有金融信息、股票交易信息、商業(yè)信息、各國(guó)軍事、外交、法律文件和各中絕密的個(gè)人交流信息進(jìn)行收集、處理，實(shí)施全球范圍內(nèi)的網(wǎng)絡(luò)監(jiān)控。

2013年，斯諾登向媒體提供機(jī)密文件曝光了包括“棱鏡”項(xiàng)目在內(nèi)的美國(guó)項(xiàng)目政府多個(gè)秘密情報(bào)監(jiān)視項(xiàng)目。通過(guò)該項(xiàng)目美國(guó)政府直接從包括Microsoft、Google、Yahoo、Facebook、PalTalk、AOL、Skype、YouTube及Apple在內(nèi)的這九個(gè)公司服務(wù)器收集信息，甚至入侵其他國(guó)家網(wǎng)絡(luò)實(shí)施網(wǎng)絡(luò)監(jiān)控。




如果覺(jué)得內(nèi)容不錯(cuò)，歡迎關(guān)注微信公共號(hào)（微信號(hào)ID：WeYanXY）獲得后續(xù)更新；如需閱讀以前文章，請(qǐng)?jiān)诠蔡?hào)后臺(tái)查看歷史消息。