作者：SAM HAMILTON，DR. ROBERT GRAY

網(wǎng)絡(luò)攻擊已成為對手的首選武器，陸地、空中、海上和太空的軍事平臺是主要目標(biāo)。針對軍事、承包商和關(guān)鍵基礎(chǔ)設(shè)施的民族國家網(wǎng)絡(luò)攻擊每天都在發(fā)生，最近引人注目的公眾示威活動包括對商用車和飛機(jī)的攻擊。美國國防部（DoD）正在對所有主要平臺進(jìn)行網(wǎng)絡(luò)安全審查，美國國防承包商正在開發(fā)嵌入式能力，以確保美國軍事平臺以與物理導(dǎo)彈一樣巧妙地防御網(wǎng)絡(luò)導(dǎo)彈。

當(dāng)國防公司談?wù)撥娛缕脚_的網(wǎng)絡(luò)彈性時，它們到底意味著什么？該術(shù)語可能意味著許多不同的安全級別，無論是在談?wù)撜W(wǎng)絡(luò)還是平臺組件。不幸的是，目前還沒有一個標(biāo)準(zhǔn)的層次結(jié)構(gòu)，這使得甚至很難討論實(shí)際所需的安全級別。行業(yè)標(biāo)準(zhǔn)，即使是在高層次上，也將消除實(shí)現(xiàn)與現(xiàn)代威脅相稱的軍事網(wǎng)絡(luò)彈性的許多語義障礙。

讓我們假設(shè)一個三層網(wǎng)絡(luò)彈性層次結(jié)構(gòu)來描述可用于軍事平臺的廣泛級別的網(wǎng)絡(luò)彈性。層次結(jié)構(gòu)反映了網(wǎng)絡(luò)威脅的規(guī)模、當(dāng)前和新興的需求、整個國防社區(qū)的系統(tǒng)開發(fā)實(shí)踐，以及現(xiàn)有的先進(jìn)能力和尖端研發(fā)。層次結(jié)構(gòu)可以作為評估適合不同要求和價位的網(wǎng)絡(luò)彈性的起點(diǎn)。

層次結(jié)構(gòu)中的每個層都建立在前一層的基礎(chǔ)上。防御能力從白銀增加到黃金，但成本，包括改造傳統(tǒng)平臺的難度，也在增加。選擇適當(dāng)?shù)膶右约霸搶又械慕鉀Q方案，可以平衡成本與特定于平臺的對手威脅。威脅分析不僅必須包括對手發(fā)動特定類型攻擊的可能性，還必須包括這些攻擊對安全和任務(wù)結(jié)果的影響。解決方案可能自然屬于一個層，或者部分解決多個層的部分問題。

基本層地址單個二進(jìn)制文件

初始層是銀色網(wǎng)絡(luò)彈性，專注于分析和保護(hù)嵌入在平臺中的單個二進(jìn)制文件。任何給定平臺上都可能有數(shù)百個二進(jìn)制文件，任何具有總線訪問的二進(jìn)制文件中的漏洞都有危及總線上每個組件的風(fēng)險。保護(hù)這些二進(jìn)制文件包括最佳實(shí)踐流程和技術(shù)，包括在性能和設(shè)計約束允許的情況下執(zhí)行防護(hù)和經(jīng)過身份驗證的通信通道。

然而，為了獲得銀牌網(wǎng)絡(luò)彈性，平臺二進(jìn)制文件必須超越最佳實(shí)踐：每個二進(jìn)制文件的網(wǎng)絡(luò)安全屬性都根據(jù)內(nèi)部漏洞量表進(jìn)行評估，該量表從特定于嵌入式系統(tǒng)的任務(wù)要求、威脅參與者和網(wǎng)絡(luò)攻擊類型目錄中派生出要求和測試集。對于具有可用源代碼的組件，用戶可以求助于 HP Fortify 或 Coverity 等工具來幫助識別問題。對于沒有源代碼交付的第三方二進(jìn)制文件，BAE系統(tǒng)公司的團(tuán)隊?wèi)?yīng)用了一套由自動逆向工程（ARE）工具套件捆綁在一起的最佳二進(jìn)制分析工具。軟件開發(fā)人員在正常開發(fā)和測試/評估過程中優(yōu)先考慮并解決 ARE 識別的漏洞。

在后臺，ARE 靜態(tài)和動態(tài)地分析目標(biāo)二進(jìn)制文件的控制和數(shù)據(jù)流，并自動識別可從外部輸入訪問的漏洞，包括內(nèi)存訪問和算術(shù)錯誤。ARE現(xiàn)在是關(guān)于美國海軍關(guān)鍵任務(wù)軟件網(wǎng)絡(luò)安全的試點(diǎn)研究的一部分。

黃金網(wǎng)絡(luò)彈性級別增加了前一個深度防御級別，其中每個防御層都建立在前一個防御層的基礎(chǔ)上，到整個嵌入式系統(tǒng)。選擇人上環(huán)響應(yīng)、人操作響應(yīng)或自主響應(yīng)取決于對手攻擊的直接影響與響應(yīng)攻擊和誤報的附帶影響之間的權(quán)衡。深度防御的關(guān)鍵是多層誤報抑制，它使用篩選器層次結(jié)構(gòu)來識別和刪除由異常但非攻擊活動引起的誤報。準(zhǔn)確消除誤報可防止防御性響應(yīng)造成無用的附帶損害。這種整體方法可檢測基于不當(dāng)組件行為的看不見或零日攻擊;為操作員態(tài)勢感知提供根本原因分析;糾正或遏制網(wǎng)絡(luò)危害的行為;并為操作員提供直觀、可操作的信息，這些信息模仿現(xiàn)有故障診斷系統(tǒng)，有時集成到現(xiàn)有故障診斷系統(tǒng)中。通過采用這種方法，系統(tǒng)甚至可以檢測、遏制和恢復(fù)以前從未見過的針對運(yùn)行時組件的網(wǎng)絡(luò)攻擊。

添加縱深防御功能的一種方法是包括一個插入現(xiàn)有車輛總線的設(shè)備，監(jiān)控組件數(shù)據(jù)流的異常行為，并通過現(xiàn)有的故障診斷接口向車輛操作員發(fā)出警報。這種方法可以顯著提高傳統(tǒng)平臺的端到端網(wǎng)絡(luò)安全狀況，而無需改造現(xiàn)有組件。

在頂層

白金網(wǎng)絡(luò)彈性級別將組件級和縱深防御特征集成到一個全新的設(shè)計范例中，用于開發(fā)固有安全的計算技術(shù)。這種方法利用正式方法確保解決方案可證明是安全的，可以抵御整個類別的安全漏洞。白金級網(wǎng)絡(luò)彈性利用硬件/軟件協(xié)同設(shè)計方法，例如 SAFE，該方法利用硬件支持實(shí)現(xiàn)內(nèi)存安全、動態(tài)類型檢查和對動態(tài)信息流控制的本機(jī)支持。鉑級的網(wǎng)絡(luò)阻力可以證明設(shè)計不受緩沖區(qū)溢出、跨站點(diǎn)腳本和代碼注入的影響，包括二進(jìn)制代碼注入、腳本代碼注入、SQL 注入和 ROP 代碼注入。

理想情況下，所有平臺都將具有涵蓋所有可能的網(wǎng)絡(luò)攻擊類別的白金網(wǎng)絡(luò)彈性。內(nèi)部紅隊演習(xí)實(shí)際上表明，平臺安全從每增加一層網(wǎng)絡(luò)彈性中受益匪淺。然而，實(shí)際上，每一層都涉及額外的成本;對成本、安全性和性能權(quán)衡進(jìn)行特定于平臺的分析至關(guān)重要。例如，銀牌網(wǎng)絡(luò)彈性既不需要更換傳統(tǒng)系統(tǒng)架構(gòu)（白金），也不需要普遍插入分層網(wǎng)絡(luò)防御（黃金），但可以提供針對常見威脅的有效防御，即使在改造傳統(tǒng)平臺時也成本低。

最終，網(wǎng)絡(luò)彈性層次結(jié)構(gòu)的級別指導(dǎo)討論什么是可行的和最適合新的和傳統(tǒng)的軍事平臺。

審核編輯：郭婷