軍事平臺的關(guān)鍵任務(wù)和生命網(wǎng)絡(luò)彈性

作者：SAM HAMILTON，DR. ROBERT GRAY

網(wǎng)絡(luò)攻擊已成為對手的首選武器，陸地、空中、海上和太空的軍事平臺是主要目標。針對軍事、承包商和關(guān)鍵基礎(chǔ)設(shè)施的民族國家網(wǎng)絡(luò)攻擊每天都在發(fā)生，最近引人注目的公眾示威活動包括對商用車和飛機的攻擊。美國國防部（DoD）正在對所有主要平臺進行網(wǎng)絡(luò)安全審查，美國國防承包商正在開發(fā)嵌入式能力，以確保美國軍事平臺以與物理導(dǎo)彈一樣巧妙地防御網(wǎng)絡(luò)導(dǎo)彈。

當國防公司談?wù)撥娛缕脚_的網(wǎng)絡(luò)彈性時，它們到底意味著什么？該術(shù)語可能意味著許多不同的安全級別，無論是在談?wù)撜W(wǎng)絡(luò)還是平臺組件。不幸的是，目前還沒有一個標準的層次結(jié)構(gòu)，這使得甚至很難討論實際所需的安全級別。行業(yè)標準，即使是在高層次上，也將消除實現(xiàn)與現(xiàn)代威脅相稱的軍事網(wǎng)絡(luò)彈性的許多語義障礙。

讓我們假設(shè)一個三層網(wǎng)絡(luò)彈性層次結(jié)構(gòu)來描述可用于軍事平臺的廣泛級別的網(wǎng)絡(luò)彈性。層次結(jié)構(gòu)反映了網(wǎng)絡(luò)威脅的規(guī)模、當前和新興的需求、整個國防社區(qū)的系統(tǒng)開發(fā)實踐，以及現(xiàn)有的先進能力和尖端研發(fā)。層次結(jié)構(gòu)可以作為評估適合不同要求和價位的網(wǎng)絡(luò)彈性的起點。

層次結(jié)構(gòu)中的每個層都建立在前一層的基礎(chǔ)上。防御能力從白銀增加到黃金，但成本，包括改造傳統(tǒng)平臺的難度，也在增加。選擇適當?shù)膶右约霸搶又械慕鉀Q方案，可以平衡成本與特定于平臺的對手威脅。威脅分析不僅必須包括對手發(fā)動特定類型攻擊的可能性，還必須包括這些攻擊對安全和任務(wù)結(jié)果的影響。解決方案可能自然屬于一個層，或者部分解決多個層的部分問題。

基本層地址單個二進制文件

初始層是銀色網(wǎng)絡(luò)彈性，專注于分析和保護嵌入在平臺中的單個二進制文件。任何給定平臺上都可能有數(shù)百個二進制文件，任何具有總線訪問的二進制文件中的漏洞都有危及總線上每個組件的風險。保護這些二進制文件包括最佳實踐流程和技術(shù)，包括在性能和設(shè)計約束允許的情況下執(zhí)行防護和經(jīng)過身份驗證的通信通道。

然而，為了獲得銀牌網(wǎng)絡(luò)彈性，平臺二進制文件必須超越最佳實踐：每個二進制文件的網(wǎng)絡(luò)安全屬性都根據(jù)內(nèi)部漏洞量表進行評估，該量表從特定于嵌入式系統(tǒng)的任務(wù)要求、威脅參與者和網(wǎng)絡(luò)攻擊類型目錄中派生出要求和測試集。對于具有可用源代碼的組件，用戶可以求助于 HP Fortify 或 Coverity 等工具來幫助識別問題。對于沒有源代碼交付的第三方二進制文件，BAE系統(tǒng)公司的團隊應(yīng)用了一套由自動逆向工程（ARE）工具套件捆綁在一起的最佳二進制分析工具。軟件開發(fā)人員在正常開發(fā)和測試/評估過程中優(yōu)先考慮并解決 ARE 識別的漏洞。

在后臺，ARE 靜態(tài)和動態(tài)地分析目標二進制文件的控制和數(shù)據(jù)流，并自動識別可從外部輸入訪問的漏洞，包括內(nèi)存訪問和算術(shù)錯誤。ARE現(xiàn)在是關(guān)于美國海軍關(guān)鍵任務(wù)軟件網(wǎng)絡(luò)安全的試點研究的一部分。

黃金網(wǎng)絡(luò)彈性級別增加了前一個深度防御級別，其中每個防御層都建立在前一個防御層的基礎(chǔ)上，到整個嵌入式系統(tǒng)。選擇人上環(huán)響應(yīng)、人操作響應(yīng)或自主響應(yīng)取決于對手攻擊的直接影響與響應(yīng)攻擊和誤報的附帶影響之間的權(quán)衡。深度防御的關(guān)鍵是多層誤報抑制，它使用篩選器層次結(jié)構(gòu)來識別和刪除由異常但非攻擊活動引起的誤報。準確消除誤報可防止防御性響應(yīng)造成無用的附帶損害。這種整體方法可檢測基于不當組件行為的看不見或零日攻擊;為操作員態(tài)勢感知提供根本原因分析;糾正或遏制網(wǎng)絡(luò)危害的行為;并為操作員提供直觀、可操作的信息，這些信息模仿現(xiàn)有故障診斷系統(tǒng)，有時集成到現(xiàn)有故障診斷系統(tǒng)中。通過采用這種方法，系統(tǒng)甚至可以檢測、遏制和恢復(fù)以前從未見過的針對運行時組件的網(wǎng)絡(luò)攻擊。

添加縱深防御功能的一種方法是包括一個插入現(xiàn)有車輛總線的設(shè)備，監(jiān)控組件數(shù)據(jù)流的異常行為，并通過現(xiàn)有的故障診斷接口向車輛操作員發(fā)出警報。這種方法可以顯著提高傳統(tǒng)平臺的端到端網(wǎng)絡(luò)安全狀況，而無需改造現(xiàn)有組件。

在頂層

白金網(wǎng)絡(luò)彈性級別將組件級和縱深防御特征集成到一個全新的設(shè)計范例中，用于開發(fā)固有安全的計算技術(shù)。這種方法利用正式方法確保解決方案可證明是安全的，可以抵御整個類別的安全漏洞。白金級網(wǎng)絡(luò)彈性利用硬件/軟件協(xié)同設(shè)計方法，例如 SAFE，該方法利用硬件支持實現(xiàn)內(nèi)存安全、動態(tài)類型檢查和對動態(tài)信息流控制的本機支持。鉑級的網(wǎng)絡(luò)阻力可以證明設(shè)計不受緩沖區(qū)溢出、跨站點腳本和代碼注入的影響，包括二進制代碼注入、腳本代碼注入、SQL 注入和 ROP 代碼注入。

理想情況下，所有平臺都將具有涵蓋所有可能的網(wǎng)絡(luò)攻擊類別的白金網(wǎng)絡(luò)彈性。內(nèi)部紅隊演習實際上表明，平臺安全從每增加一層網(wǎng)絡(luò)彈性中受益匪淺。然而，實際上，每一層都涉及額外的成本;對成本、安全性和性能權(quán)衡進行特定于平臺的分析至關(guān)重要。例如，銀牌網(wǎng)絡(luò)彈性既不需要更換傳統(tǒng)系統(tǒng)架構(gòu)（白金），也不需要普遍插入分層網(wǎng)絡(luò)防御（黃金），但可以提供針對常見威脅的有效防御，即使在改造傳統(tǒng)平臺時也成本低。

最終，網(wǎng)絡(luò)彈性層次結(jié)構(gòu)的級別指導(dǎo)討論什么是可行的和最適合新的和傳統(tǒng)的軍事平臺。

審核編輯：郭婷