美军探索网络安全新范式!由合规清单转向自动化红队
8月19日消息,两年前,两位美国海军信息负责人决定对己方网络发动攻击。这可不是计划内的年度或半年度演习,而是更频繁、不做事前通知的突击式检查。如今,他们决定把这套方案推向海军其他部门乃至整个五角大楼。
实验表明,高频度的自动化红队攻击能够发现风险最高、也容易遭到恶意黑客利用的漏洞信息。美国海军首席信息官亚伦·韦斯(Aaron Weis)和海军研究生院的指挥信息官斯科特·比肖夫(Scott Bischoff)坦言,这也是发现此类信息的唯一方法。
而且,相较于美国国防部基于分步检查清单和已实施补丁的原有网络安全处理方案,这种方式的确要有效得多。
韦斯在接受美媒Defense One采访时表示,“(国防部的原有方案)是一种合规驱动型思路,其本质相当于审计……这样不对,网络安全并不是合规问题。”
用检查清单之类的方式处理网络安全工作,其实就是在用预先商定的绩效水平(比如是否履行了合同条款,或者达成了特定参数)来核定负责“网络安全”的官员、团队或公司,是否切实完成了本职工作。在韦斯看来,这种方法符合官僚机构的运作惯性,但距离有效保护网络安全则相去甚远。
他解释道,“我们掌握着……大概15到20年的合规记录,但实际效果真的不好,对吗?我们的对手仍然在网络空间内不断发起冲击。”
网络空间战备需要实网攻防检验
韦斯认为,五角大楼需要像衡量陆军、水兵、坦克和舰艇那样,衡量自身网络是否为战事做好了准备。 而这样,显然更符合备战水平的查验概念。
这种方法要求优先处理最重要的问题,次要或者更为复杂的问题则应纳入较慢的修复流程。
他强调,“总能听到人说‘为今晚的战斗做好准备!’但如果你管理的是一个航母战斗群,总共有三个月时间开展部署,那怎么样才算是做好了准备?这意味着战备工作将包含大量要素,需要逐日推进。这时我们就要问:有合适的人员吗?他们接受过训练吗?他们已经测试合格,还是仍有不足?设备部署到位了没有?”
在韦斯看来,网络空间中的“战备就绪”只能通过持续测试和深入探究才能证明,绝不可能单靠合规报表来保障。
因此,他需要一个安全空间,保证既能掌握战备情况,又不会将严重问题暴露给对手,或者导致重要的海军网络宕机。为此,他将实验场景选在了加利福尼亚州蒙特雷的海军研究生院。
海军研究生院的比肖夫表示,这里之所以适合开展实验,是因为该院接入的是加州研究和教育网络,而非海军网络。
他解释道,“我在这里拥有其他海军单位所不具备的权力,包括一块专门划拨来开展实验的区域,”可以用来测试新的网络安全概念。“我们会在这块小‘领地’上做点比较激进,甚至有风险的测试。这些都将成为我们研究生院的宝贵教学素材。研究内容非常密集,我们会把一切都集中在这里。”
自动化红队可有效发现最大薄弱点
为了此番实验,海军研究生院还与Rebellion公司达成合作研发协议。 Rebellion是一家专注于国防领域的软件初创公司,由前国防部数字服务负责人克里斯·林奇(Chris Lynch)创立。
Rebellion引入了一款名为Nova的工具,能够在网络上扮演自动化红队的角色。而且Nova能做的,还不只是按检查单条目逐一试探漏洞。
韦斯提到,“它能够识别系统,了解补丁修复水平,根据公开可用的信息对漏洞分类,之后按照掌握的情况自动实施漏洞利用。”
整个过程将揭示出更多信息,除了待修复的漏洞清单,Nova还能提供哪些漏洞最严重、最易受到攻击,哪些漏洞能让攻击者获得更广泛的网络访问权限等,这些都是恶意黑客实际攻击并制定后续行动计划时才能获得的结论。如此一来,Nova发现的漏洞就具备了传统检查清单无法实现的优先级排序。
韦斯指出,“我们以往的合规性方法,要求修复每一个安全漏洞……这些漏洞没有谁先谁后,我们只能简单把它们列举出来,然后逐一解决。但这种方式其实忽视了一个根本问题:我们忙着修复的这些漏洞,真会被利用吗?”
有些看似可怕的漏洞其实很难被实际利用,而某些看似轻微的漏洞却往往会引发严重后果,这些差异在检查清单上是体现不出来的。国防部网络部门的实际测试也证实了这方面结论:国防部并没能按照恶意黑客的真实攻击方式,理解并管理自身系统中的网络漏洞。
比肖夫还提到,由演习人员组织的红队测试确实效果不错,但每年只能进行一、两次。“所以这只能算是快照。但单有快照还不够,我们需要涵盖一整年的连续安全态势。”
韦斯正在据此设计新实验。
“我们正在……提名一组自愿先行参与新测试方法的海军项目。从去年假期前开始,我们就一直在进行领导层讨论。最初是跟海军上将一对一协商,之后再逐级提升。”
林奇表示,“韦斯正努力颠覆以往的安全实践,而且针对的不只是海军,未来还可能推广到整个军方。”
如果美国国防部要向高度网络化的联合全域指挥与控制(JADC2)愿景迈进,那安全转型将必不可少。网络、计算机、无人机、卫星之间的网络连接越庞大,传统的检查清单式方法就越满足不了需求。唯一的解决方案只能是假设我方强大的联网战争机器已经遭受了攻击,而且切入点正是其薄弱环节——这样才能反映现实,进而为军队提供防范依据。
