|
2020年3月26日��,蘭德公司官網(wǎng)上發(fā)布了一則題為《Measuring Cybersecurity and Cyber Resiliency》的報告�。該報告提出了可以用來衡量美國空軍任務(wù)或系統(tǒng)在網(wǎng)絡(luò)競爭環(huán)境中表現(xiàn)的指標框架和評分方法。這些度量標準的開發(fā)是為了在武器系統(tǒng)全生命周期階段都能夠隨時提出并通知采辦進行決策����。報告主要提到了兩種類型的網(wǎng)絡(luò)指標:用于與對手網(wǎng)絡(luò)行動進行對抗的工作級指標和用于捕獲網(wǎng)絡(luò)組織缺陷的制度級指標。這份報告以紅藍方兵棋推演的方式���,為大家呈現(xiàn)了網(wǎng)絡(luò)攻擊中持續(xù)監(jiān)測網(wǎng)絡(luò)彈性的重要性�。并通過決策���、文化和人員來詳細分析了正確使用這種衡量標準的方法���。 
文章僅供參考,觀點不代表本機構(gòu)立場�。 圖片來自網(wǎng)絡(luò)。 蘭德公司發(fā)布 衡量網(wǎng)絡(luò)安全和網(wǎng)絡(luò)彈性報告 作者:學(xué)術(shù)plus評論員 臨風(fēng) 網(wǎng)絡(luò)環(huán)境是動態(tài)和復(fù)雜的�,威脅無處不在,而且也沒有一套基本的“自然法則”支配控制著網(wǎng)絡(luò)領(lǐng)域����。在紅方(攻擊方)和藍方(防守方)兩方網(wǎng)絡(luò)行動的背景下來定義網(wǎng)絡(luò)指標將是一個卓有成效的方法。 
為方便閱讀�����,紅方下文用R代表���,藍方下文用B代表�。 R的戰(zhàn)略和戰(zhàn)術(shù)將由其對B采取的的方式和弱點的評估結(jié)果來決定�。同樣��,B的選擇的應(yīng)對姿態(tài)也會受其對R威脅的預(yù)測所左右���,兩者都將不斷發(fā)展。無論多么小心�,B的任何先見之明都不足以預(yù)見到R在未來可能采取的所有行動。B需要使用基于已知最佳實踐(網(wǎng)絡(luò)安全)的“靜態(tài)”對策�,以及實時響應(yīng)R的自適應(yīng)(網(wǎng)絡(luò)彈性)“動態(tài)”措施。網(wǎng)絡(luò)指標的這兩個維度都需要跨越實施計劃的幾乎整個范圍�,以捕獲所有關(guān)注點。 為了衡量一個任務(wù)或系統(tǒng)在網(wǎng)絡(luò)競爭環(huán)境中的生存能力和有效性����,我們必須了解R網(wǎng)絡(luò)行動的反擊程度。因此�,網(wǎng)絡(luò)度量的重點必須是估計R的成功或失敗,而不是B可能嘗試的具體對策�。當然,B的反制措施很重要����,但它們的重要性是作為一種手段來達到阻止或挫敗R的目的。專注于符合B候選對策列表的網(wǎng)絡(luò)指標無法表明這些措施是否有效����、適當實施或足夠全面以阻止R����。因此��,遵約辦法是不夠的�。此外���,不存在滿足這些需求的“儀表板”形式的簡單度量集�����。(注:這里的“儀表板”可能用來形容形式比較單一固定的指標模式�,歡迎大家留言溝通?。?/p> 該框架在一定程度上可以作出這種推論:一個領(lǐng)域的優(yōu)勢可能部分抵消另一個領(lǐng)域的劣勢。更多的討論集中在如何以有助于支持決策的方式對這些指標進行評分���。這些指標旨在支持項目辦公室和授權(quán)官員進行風(fēng)險管理和定義需求��,包括運營需求和合同中使用的更詳細的系統(tǒng)設(shè)計需求���,后者通常稱為衍生需求。 鑒于其復(fù)雜性�����,需要非常廣泛的網(wǎng)絡(luò)指標來監(jiān)控工作層面的活動?�;诰W(wǎng)絡(luò)攻擊路徑的這些指標的框架�����,受兩人博弈范式的推動���,既提供了確保指標全面的方法�,也提供了關(guān)于程度的度量方法�����。 (一)框架和指標采用工作級網(wǎng)絡(luò)指標框架�,重點是阻止R的網(wǎng)絡(luò)操作。R必須執(zhí)行網(wǎng)絡(luò)攻擊路徑才能成功的進行網(wǎng)絡(luò)攻擊�����。該攻擊路徑包括訪問目標系統(tǒng)���、獲取目標信息以實施攻擊��、開發(fā)執(zhí)行攻擊所需能力����,確定在執(zhí)行和平或戰(zhàn)時任務(wù)中起著重要作用的攻擊目標。這四項活動不一定要按這個順序進行���,并且可能會在時間上有重疊�。這四個活動可以進一步劃分���。例如,訪問系統(tǒng)的需求可以通過供應(yīng)鏈��、進入系統(tǒng)的數(shù)據(jù)通道等來實現(xiàn)���。每個方法又都可以進一步細分���。例如,供應(yīng)鏈可以滲透在設(shè)計����、制造、運輸和儲存����、維護和處置過程中����。R攻擊元素的完全分解描述了度量內(nèi)容�����,即B反擊每一個R攻擊的能力�。 B可以通過大量復(fù)雜的反制措施來回應(yīng)R的行動,所以說�,試圖列出所有可能的反制措施是徒勞的。B采取的對策最好在技術(shù)知識所在的工作層面上制定��。任何潛在的對策清單�����,如國家標準技術(shù)研究所建議的控制措施�����,都應(yīng)作為補充工作層面的反R工作指導(dǎo)���。通過專注于R行動來反擊����,可以提供一個天然的框架,確保工作層面的網(wǎng)絡(luò)指標足夠全面(即��,是否涵蓋所有潛在的R行動)���,并可判斷多少是足夠的�����。后者的一個例子是R攻擊路徑分解的布爾結(jié)構(gòu)�����。 R需要擁有訪問權(quán)限、知識��、能力和效果����。這四個部分通過布爾語句相互關(guān)聯(lián)。打擊四個中的任何一個都可以挫敗R�����。通常,對于由布爾和語句關(guān)聯(lián)的R部分��,從B的角度來看�,采取的總體對策需要達到針對所有部分都最優(yōu)才可以。因為���,R可以通過供應(yīng)鏈���、標準數(shù)據(jù)路徑或內(nèi)部人員來獲取訪問權(quán)限,而B必須阻止所有的這些才能成功��。對于與布爾或語句關(guān)聯(lián)的R部分��,從B的角度來看����,總體對策需要選擇達到其中一個最優(yōu)就可以了。例如�,在攻擊路徑的知識部分,R必須獲得必要的知識�����,并且該知識必須保持最新。B在阻止R獲取所需知識方面����,可以通過使該知識轉(zhuǎn)瞬即逝(例如,通過改變系統(tǒng)配置)來部分抵消����。 (二)評估方法評估可以在三個層次進行:(1)自我評估,主要由項目辦公室和業(yè)務(wù)部門進行;(2)外部各方評估���,主要是項目執(zhí)行官員���、授權(quán)官員和測試團體對這些評估進行驗證;(3)任務(wù)級評估,合并系統(tǒng)一級的評價���。 最重要的產(chǎn)品是工作級別上的評估�,它記錄了為應(yīng)對每一個R活動所做的工作�����。技術(shù)和操作細節(jié)就在這個層次上���。這個級別必須做最詳細的評估來記錄B的對抗措施和效果�����。但是�,領(lǐng)導(dǎo)需要看到的是工作級別報告評估的匯總���。這種匯總對于獲得更廣泛的任務(wù)視圖是必要的�,而不需要審查在工作級別生成的所有工作�。我們推薦的成熟度指數(shù),如表所示�。 | | | | | 測試、練習(xí)并發(fā)現(xiàn)與R行動向量相對應(yīng)的解決方案是足夠的�。 | | | 通過持續(xù)的監(jiān)測實現(xiàn)了對R行動向量的對抗。 | | | | | | 在所審查的系統(tǒng)或任務(wù)的上下文中�,可以理解Red如何通過向量進行操作��,并且定義了基線可信狀態(tài)��。 | | | 對紅色如何對系統(tǒng)或任務(wù)采取行動的認識不足���。此類訪問示例包括對系統(tǒng)數(shù)據(jù)輸入和輸出的標準路徑的不完全了解���。 |
對每個R行動向量的成熟度指數(shù)進行評分時應(yīng)謹慎��。為了提高成熟度得分�����,每個成熟度級別的問題必須盡可能徹底地解決�����。B對抗R的一個弱點就是R會占上風(fēng)�。因此���,即使已經(jīng)確定�����、實施����、測試并發(fā)現(xiàn)一些針對R的對策是充分的����,但如果沒有正確確定其他對策,對該R行動的反應(yīng)仍然是不成熟的���。例如��,即便通過通信路徑訪問武器系統(tǒng)的反措施已經(jīng)被全面識別����、實施��、測試并發(fā)現(xiàn)是充分的����,但是所有R可能通過子系統(tǒng)訪問的路徑仍然有待識別,那么通過數(shù)據(jù)路徑訪問R的得分仍然是“最不成熟的”��。 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)彈性的總體狀況不僅僅是所有單個部分評估的總和�����。它是從所有這些部分的相互作用中產(chǎn)生的����。因此,即使有足夠的工作級別衡量標準���,制度層面的缺陷仍可能無法被發(fā)現(xiàn)�����。一些經(jīng)過充分研究的案例表明����,組織的制度缺陷可能在不能執(zhí)行任務(wù)方面造成很大影響。從失敗中得到的教訓(xùn)表明�����,在任務(wù)失敗之前�����,組織中的某個地方通常都知道存在缺陷����。但信息沒有正確的傳達給指揮者,也沒有對風(fēng)險進行適當評估�。 大量文獻表明,當組織狀態(tài)波動超過其適應(yīng)環(huán)境的能力時�����,即當波動超過組織的彈性時,就會發(fā)生重大的制度失靈�。彈性邊緣的逐漸侵蝕是一種稱為漂移的現(xiàn)象����。漂移的一個關(guān)鍵指標是,高層領(lǐng)導(dǎo)對業(yè)務(wù)發(fā)生方式的看法與業(yè)務(wù)實際的發(fā)生方式不同��。成功避免災(zāi)難性故障的組織通過收集組織中所有成員的信息��,對其進行分類����、評估以創(chuàng)造意義,并將關(guān)鍵信息傳遞給正常指揮鏈之外的高級領(lǐng)導(dǎo)���,從而減少了偏差�。如表所述�,可以通過機構(gòu)層面問題的成熟度指數(shù)來評估這一過程。 | | | | | 記錄并分發(fā)經(jīng)驗教訓(xùn)���;定期審查流程以進行改進���。 | | | | | | 關(guān)注點由獨立的主題專家進行評估����,結(jié)論以建議的形式從評估報告中提取��。 | | | 存在捕捉航空安全報告系統(tǒng)關(guān)鍵要素(含保密性)的正式機制�����,以報告的形式對網(wǎng)絡(luò)安全和網(wǎng)絡(luò)彈性的重要性進行評估���。 | | | 對于個人對網(wǎng)絡(luò)安全和網(wǎng)絡(luò)彈性的擔(dān)憂��,除了通過指揮系統(tǒng)進行正常報告外�,沒有任何機制存在����。 |
網(wǎng)絡(luò)指標的實施在工作層面和機構(gòu)層面都面臨挑戰(zhàn)。在不同程度上�����,各級決策者都需要了解工作層面的網(wǎng)絡(luò)指標�����。然而,需要指出的是�����,最高領(lǐng)導(dǎo)者必須把決策權(quán)下放到信息所在的地方����。有關(guān)選擇和評估B對策的技術(shù)信息主要集中在工作層面�����。高層領(lǐng)導(dǎo)必須把重點放在技術(shù)層面之上�,在工作層面尋找系統(tǒng)性問題,在制度層面尋找缺陷�����。 所有決策者都必須努力應(yīng)對網(wǎng)絡(luò)指標中固有的不確定性���。他們需要抵制為工作級別度量施加不適當?shù)木群头€(wěn)定性的行為���,還必須培育一種風(fēng)險管理文化。這意味著,如果說在R行動威脅高���、不對抗的后果也高的情況下��,一些B對策成熟度指數(shù)也很高��;而在R威脅低的情況下�����,B對策的成熟度指數(shù)也低���,那么失敗的后果也就不那么可怕了。也就是說當風(fēng)險可以被接受時��,一個領(lǐng)域弱勢的表現(xiàn)就會被另一個領(lǐng)域較強表現(xiàn)所補償���。資源總是有限的����,當管理(而不是消除)風(fēng)險時��,在選定的區(qū)域得分低是可以接受的�。 最后����,健全的指標需要良好的衡量標準�。對于網(wǎng)絡(luò)度量,企業(yè)的幾乎每一個角落都扮演著一個角色����,因此,度量范圍是巨大的���。除此之外,紅藍貓鼠網(wǎng)絡(luò)行動是不固定的��,需要深刻的反思和洞察力�。因此,B人員是網(wǎng)絡(luò)監(jiān)控中最關(guān)鍵的資源�����。所有人員都需要參與����,而且都需要一定程度的培訓(xùn)和技能。由于觀察結(jié)果往往是定性的而不是定量的�,因此人員也必須進行溝通����,而不僅僅是報告����。在許多方面,定義正確的網(wǎng)絡(luò)指標是比較簡單的第一步��。接下來很難的是雇傭���、培訓(xùn)��、保留和保持現(xiàn)有的熟練勞動力來執(zhí)行這些指標�����。明確規(guī)定的網(wǎng)絡(luò)指標需要報告它們的人員也一樣好�。 (全文完)
|
