网络安全当前处于运营弹性(Operational Resilience)的阶段:组织机构的IT企业遭到破坏的情况下仍有能力继续运行。
卡内基梅隆大学计算机应急响应(CERT)部门的技术总监萨姆·福勒建议超越运营弹性,迈入主动弹性(Proactive Resilience)阶段。
福勒认为,遭遇攻击期间保持运作还不够,下一步是预测攻击,并在攻击发起之前做好准备。
什么是“主动弹性”?
福勒在博文中写到,主动弹性是具备环境意识、自我意识和改进能力的弹性。主动弹性不是在遭受破坏时能继续运作,而是预测破坏,并在破坏发生之前有所准备。
恶意或意外破坏均可以立即使服务器宕机。美国联邦通信委员会(FCC)近期遭遇一起事件:FCC撤销所谓的网络中立规则之后,HBO 脱口秀节目 Last Week Tonight 的主持人约翰·奥利弗(John Oliver)呼吁观众去FCC网站留言发表评论,FCC的服务器因不堪重负而崩溃。FCC将其称之为拒绝服务攻击。主动弹性架构或可以预测这种威胁,并重新配置服务器,保证在流量激增时继续运作。
主动弹性旨在利用新兴技术,例如人工智能、机器学习和自我恢复技术帮助网络近乎实时地予以响应。她认为这不需要花数年时间准备。
充分达到主动弹性状态可能需要十年之久,但一些商业网络安全产品正朝着这个方向发展。 Area 1 Security是前NSA员工创建的网络安全公司,该公司正在开发技术以扫描互联网上的内容。
Area 1 Security的首席技术官菲尔·塞姆表示,关于犯罪网站和恶意活动的不完全信息可能会提醒客户将要发生的情况,从而减少网络入侵问题。
超越弹性
弹性(Resilience)是风险管理的延伸,要求组织机构接受并做好准备应对无法消除的风险。当面临安全事件时,做好妥善准备的组织机构应能在将破坏降低到最小限度的情况下继续运作。卡内基梅隆CERT弹性管理模式提出最佳做法,以有效管理安全、业务连续性和信息技术运营。
福勒指出,主动弹性将此概念向前推动,促进组织机构更加了解弹性活动并预测,而不是简单地响应事件。从业人员利用物联网分布式传感能力能精确发现趋势,并预测威胁。机器学习技术能使网络在几毫秒内响应,在必要的情况下重新配置击退攻击,并隔离威胁。
福勒表示,卡内基梅隆大学、政府、行业和学术专家合作开发主动弹性的概念,首先会建立衡量标准衡量安全预算的分配,从而制定衡量投资回报率的标准。除此外,要将所有这些问题考虑到预算中:
预算是否按计划执行?
计划是否适合组织机构?
如何实现主动弹性必需的灵活性?
她补充称,建立此类模型需要时间。她还解释称,建立衡量标准可能要花上五年时间。
福勒表示,一旦建立了效率基准,开发人员可以设计并测试主动弹性架构,从而利用这些基准能力,但构建切实可行的架构大概需要5-10年。
对政府机构而言,实现主动弹性面临特殊挑战。仍在使用的许多遗留系统缺乏此类环境必需的适应能力。实现遗漏系统现代化是将主动弹性照进现实必不可少的第一步。
威胁预测
虽然卡内基隆大学在开发主动弹性架构,但行业运营商正在努力开发自己的主动弹性机制。通用动力信息计划的网络安全项目总监丹·万贝利格姆表示,关键因素在于过时的人类学习。
他表示,陷入危机时最不适合尝试学习应对威胁,因此不能在事件发生之后才采取相应的措施,组织机构需每月或每个季度训练网络小组做好应对准备,并为他们提供相关威胁场景,并制作“剧本”,以便他们了解如何对不同的威胁做出响应。
此外,海量威胁数据以及攻击发生的速度意味着人类无法跟上步伐。因此,机器学习对识别和预测风险至关重要。
Area 1 Security通过大规模的互联网扫描识别从事此类恶意活动的大量网站,例如获取凭证或托管漏洞利用工具。Area 1 Security与小型托管服务公司(没有自身的安全操作中心SOC)合作定位并预防攻击。
塞姆表示,一般来讲组织机构会关闭被攻陷的服务器,当这种情况发生时,恶意攻击者只会移动到一台不同的服务器上。Area 1 Security采取不同的方法:首先监控活动理解攻击的工作原理,之后加以阻止,避免向攻击者透露风声。机器学习可以提升这种能力。Area 1 Security集成客户的边缘设备,自动予以响应,并创建强有力的力量倍增器。考虑到基础信息比较强,因此这种措施可能相当奏效。
塞姆指出,自动化不是免费的,相当昂贵,并且难度较大。但每个企业必须定制自动化工具。
福勒表示,虽然开发主动弹性方法可能需要经历一个漫长的过程,但这并不意味着,政府组织机构或私有机构应坐等他人采取行动。
本文转自d1net(转载)
