作者：SAM HAMILTON，DR. ROBERT GRAY

網(wǎng)絡(luò)攻擊已成為對(duì)手的首選武器，陸地、空中、海上和太空的軍事平臺(tái)是主要目標(biāo)。針對(duì)軍事、承包商和關(guān)鍵基礎(chǔ)設(shè)施的民族國(guó)家網(wǎng)絡(luò)攻擊每天都在發(fā)生，最近引人注目的公眾示威活動(dòng)包括對(duì)商用車(chē)和飛機(jī)的攻擊。美國(guó)國(guó)防部（DoD）正在對(duì)所有主要平臺(tái)進(jìn)行網(wǎng)絡(luò)安全審查，美國(guó)國(guó)防承包商正在開(kāi)發(fā)嵌入式能力，以確保美國(guó)軍事平臺(tái)以與物理導(dǎo)彈一樣巧妙地防御網(wǎng)絡(luò)導(dǎo)彈。

當(dāng)國(guó)防公司談?wù)撥娛缕脚_(tái)的網(wǎng)絡(luò)彈性時(shí)，它們到底意味著什么？該術(shù)語(yǔ)可能意味著許多不同的安全級(jí)別，無(wú)論是在談?wù)撜W(wǎng)絡(luò)還是平臺(tái)組件。不幸的是，目前還沒(méi)有一個(gè)標(biāo)準(zhǔn)的層次結(jié)構(gòu)，這使得甚至很難討論實(shí)際所需的安全級(jí)別。行業(yè)標(biāo)準(zhǔn)，即使是在高層次上，也將消除實(shí)現(xiàn)與現(xiàn)代威脅相稱的軍事網(wǎng)絡(luò)彈性的許多語(yǔ)義障礙。

讓我們假設(shè)一個(gè)三層網(wǎng)絡(luò)彈性層次結(jié)構(gòu)來(lái)描述可用于軍事平臺(tái)的廣泛級(jí)別的網(wǎng)絡(luò)彈性。層次結(jié)構(gòu)反映了網(wǎng)絡(luò)威脅的規(guī)模、當(dāng)前和新興的需求、整個(gè)國(guó)防社區(qū)的系統(tǒng)開(kāi)發(fā)實(shí)踐，以及現(xiàn)有的先進(jìn)能力和尖端研發(fā)。層次結(jié)構(gòu)可以作為評(píng)估適合不同要求和價(jià)位的網(wǎng)絡(luò)彈性的起點(diǎn)。

層次結(jié)構(gòu)中的每個(gè)層都建立在前一層的基礎(chǔ)上。防御能力從白銀增加到黃金，但成本，包括改造傳統(tǒng)平臺(tái)的難度，也在增加。選擇適當(dāng)?shù)膶右约霸搶又械慕鉀Q方案，可以平衡成本與特定于平臺(tái)的對(duì)手威脅。威脅分析不僅必須包括對(duì)手發(fā)動(dòng)特定類型攻擊的可能性，還必須包括這些攻擊對(duì)安全和任務(wù)結(jié)果的影響。解決方案可能自然屬于一個(gè)層，或者部分解決多個(gè)層的部分問(wèn)題。

基本層地址單個(gè)二進(jìn)制文件

初始層是銀色網(wǎng)絡(luò)彈性，專注于分析和保護(hù)嵌入在平臺(tái)中的單個(gè)二進(jìn)制文件。任何給定平臺(tái)上都可能有數(shù)百個(gè)二進(jìn)制文件，任何具有總線訪問(wèn)的二進(jìn)制文件中的漏洞都有危及總線上每個(gè)組件的風(fēng)險(xiǎn)。保護(hù)這些二進(jìn)制文件包括最佳實(shí)踐流程和技術(shù)，包括在性能和設(shè)計(jì)約束允許的情況下執(zhí)行防護(hù)和經(jīng)過(guò)身份驗(yàn)證的通信通道。

然而，為了獲得銀牌網(wǎng)絡(luò)彈性，平臺(tái)二進(jìn)制文件必須超越最佳實(shí)踐：每個(gè)二進(jìn)制文件的網(wǎng)絡(luò)安全屬性都根據(jù)內(nèi)部漏洞量表進(jìn)行評(píng)估，該量表從特定于嵌入式系統(tǒng)的任務(wù)要求、威脅參與者和網(wǎng)絡(luò)攻擊類型目錄中派生出要求和測(cè)試集。對(duì)于具有可用源代碼的組件，用戶可以求助于 HP Fortify 或 Coverity 等工具來(lái)幫助識(shí)別問(wèn)題。對(duì)于沒(méi)有源代碼交付的第三方二進(jìn)制文件，BAE系統(tǒng)公司的團(tuán)隊(duì)?wèi)?yīng)用了一套由自動(dòng)逆向工程（ARE）工具套件捆綁在一起的最佳二進(jìn)制分析工具。軟件開(kāi)發(fā)人員在正常開(kāi)發(fā)和測(cè)試/評(píng)估過(guò)程中優(yōu)先考慮并解決 ARE 識(shí)別的漏洞。

在后臺(tái)，ARE 靜態(tài)和動(dòng)態(tài)地分析目標(biāo)二進(jìn)制文件的控制和數(shù)據(jù)流，并自動(dòng)識(shí)別可從外部輸入訪問(wèn)的漏洞，包括內(nèi)存訪問(wèn)和算術(shù)錯(cuò)誤。ARE現(xiàn)在是關(guān)于美國(guó)海軍關(guān)鍵任務(wù)軟件網(wǎng)絡(luò)安全的試點(diǎn)研究的一部分。

黃金網(wǎng)絡(luò)彈性級(jí)別增加了前一個(gè)深度防御級(jí)別，其中每個(gè)防御層都建立在前一個(gè)防御層的基礎(chǔ)上，到整個(gè)嵌入式系統(tǒng)。選擇人上環(huán)響應(yīng)、人操作響應(yīng)或自主響應(yīng)取決于對(duì)手攻擊的直接影響與響應(yīng)攻擊和誤報(bào)的附帶影響之間的權(quán)衡。深度防御的關(guān)鍵是多層誤報(bào)抑制，它使用篩選器層次結(jié)構(gòu)來(lái)識(shí)別和刪除由異常但非攻擊活動(dòng)引起的誤報(bào)。準(zhǔn)確消除誤報(bào)可防止防御性響應(yīng)造成無(wú)用的附帶損害。這種整體方法可檢測(cè)基于不當(dāng)組件行為的看不見(jiàn)或零日攻擊;為操作員態(tài)勢(shì)感知提供根本原因分析;糾正或遏制網(wǎng)絡(luò)危害的行為;并為操作員提供直觀、可操作的信息，這些信息模仿現(xiàn)有故障診斷系統(tǒng)，有時(shí)集成到現(xiàn)有故障診斷系統(tǒng)中。通過(guò)采用這種方法，系統(tǒng)甚至可以檢測(cè)、遏制和恢復(fù)以前從未見(jiàn)過(guò)的針對(duì)運(yùn)行時(shí)組件的網(wǎng)絡(luò)攻擊。

添加縱深防御功能的一種方法是包括一個(gè)插入現(xiàn)有車(chē)輛總線的設(shè)備，監(jiān)控組件數(shù)據(jù)流的異常行為，并通過(guò)現(xiàn)有的故障診斷接口向車(chē)輛操作員發(fā)出警報(bào)。這種方法可以顯著提高傳統(tǒng)平臺(tái)的端到端網(wǎng)絡(luò)安全狀況，而無(wú)需改造現(xiàn)有組件。

在頂層

白金網(wǎng)絡(luò)彈性級(jí)別將組件級(jí)和縱深防御特征集成到一個(gè)全新的設(shè)計(jì)范例中，用于開(kāi)發(fā)固有安全的計(jì)算技術(shù)。這種方法利用正式方法確保解決方案可證明是安全的，可以抵御整個(gè)類別的安全漏洞。白金級(jí)網(wǎng)絡(luò)彈性利用硬件/軟件協(xié)同設(shè)計(jì)方法，例如 SAFE，該方法利用硬件支持實(shí)現(xiàn)內(nèi)存安全、動(dòng)態(tài)類型檢查和對(duì)動(dòng)態(tài)信息流控制的本機(jī)支持。鉑級(jí)的網(wǎng)絡(luò)阻力可以證明設(shè)計(jì)不受緩沖區(qū)溢出、跨站點(diǎn)腳本和代碼注入的影響，包括二進(jìn)制代碼注入、腳本代碼注入、SQL 注入和 ROP 代碼注入。

理想情況下，所有平臺(tái)都將具有涵蓋所有可能的網(wǎng)絡(luò)攻擊類別的白金網(wǎng)絡(luò)彈性。內(nèi)部紅隊(duì)演習(xí)實(shí)際上表明，平臺(tái)安全從每增加一層網(wǎng)絡(luò)彈性中受益匪淺。然而，實(shí)際上，每一層都涉及額外的成本;對(duì)成本、安全性和性能權(quán)衡進(jìn)行特定于平臺(tái)的分析至關(guān)重要。例如，銀牌網(wǎng)絡(luò)彈性既不需要更換傳統(tǒng)系統(tǒng)架構(gòu)（白金），也不需要普遍插入分層網(wǎng)絡(luò)防御（黃金），但可以提供針對(duì)常見(jiàn)威脅的有效防御，即使在改造傳統(tǒng)平臺(tái)時(shí)也成本低。

最終，網(wǎng)絡(luò)彈性層次結(jié)構(gòu)的級(jí)別指導(dǎo)討論什么是可行的和最適合新的和傳統(tǒng)的軍事平臺(tái)。

審核編輯：郭婷