对信息安全专家来说,使用洛克希德-马丁公司的网络杀伤链(Kill Chain,也称网络攻击生命周期)和MITRE ATT&CK来识别和防止入侵是最常用方法。杀伤链概念出自于美空军前参谋长罗纳德·福格尔曼将军之口,分为发现(find)、定位(fix)、跟踪(track)、瞄准(target)、交战(engage)和评估(assess)6个阶段,即F2T2EA的杀伤链作战体系。 目前在作战领域,最热门的作战概念是马赛克作战(Mosaic Warfare),它是美国顶级军事理论家群体基于美国未来将遇到的主要假想敌和新的战场环境挑战提出的一整套军事理论策略。本文章通过了解马赛克作战思想对于网络安全体系建设提供一些借鉴思路。 马赛克作战,用通俗的语言来说是后信息化时代的小、快、灵的军队作战体系建设和作战行动指导思想。用一系列分布式、易于组织、开发迭代迅速的较小的军事执行单元构建形态多变、易于隐蔽、难于预测的战役战术力量以获取战略优势的军事思想。在二战中,英军侦察机飞跃英吉利海峡拍摄照片(观察),位于伦敦的军事情报和参谋部门根据照片研判分析德军军事和战略目标情报得到这些目标的方位和价值(判断),根据战术战役需要下达打击命令(决策),轰炸机执行命令轰炸目标 (行动)。在这个例子中,我们注意到整个过程以今天的视角来看是非常慢的,可能从拍到目标到最后目标被摧毁的整个过程长达几天到几周。整个过程的效率取决于:侦察机的观察能力、情报人员的判断能力、军事指挥单位的决策能力和行动能力。现代的精准武器及信息化技术的发展已经使得OODA整个过程的速度、效率、成功率大大提升。OODA是个过程,往往是分工进行的,马赛克作战思想认为人类在军事史上的杀伤链组织形态经历了4个阶段:将先进兵器变小,能力打散。一个集成了感知、决策、打击模块一体并且还要能在复杂高烈度战场生存的兵器是非常昂贵的。而如果兵器变小,仅具备OODA过程中的一部分能力,其造价就会降低,研发迭代过程就会加快。武器系统越复杂,模块越多,研发和测试周期就越长。作战组织必须有高度的可塑性,这种作战组织必须有能力让敌人无法预测、感到惊讶。美军当前把作战网络组织方式暴露在敌人面前。这一状况必须有所改变,以敌人想象不到的方式组织出全新的作战组织。指挥前移、自组织,灵活的作战组织和高烈度战争中,战场态势瞬息万变,中心化的指挥无法跟上这种变化,了解战场真正面貌的只有前线指挥官。必须让前线指挥官群体拥有能力基于可用军事资源快速组织快速打击快速完成OODA过程,这种组织对域外能力的依赖越小越好。马赛克作战或其他任何的作战形式,都依赖对战场态势的正确感知和分析进行。干扰敌方认知优势,包括延缓敌方认知速度、降低敌方认知质量等,主要考虑从物理空间和赛博空间进行反制。在物理空间,发展分布式作战装备、设置隐蔽伪装设施,并据此对敌方基于视觉的智能探测手段进行欺骗,增加战场迷雾,降低敌方认知的全面性。提高我方认知效能,主要指加强对马赛克作战下分布式作战兵力战场态势的深度理解认知。发展基于人类认知的智能认知增强技术、基于多模态数据的群体意图识别技术以及面向分布式兵力的作战样式识别技术,提高对战场分布式目标的类型识别、意图识别和行动样式综合识别等能力,为指挥员正确定下作战决心奠定有利基础。增加我方战场复杂度,采用“以彼之道,还施彼身”方法,主要考虑拓展作战空间和作战兵力决策空间,降低对手的决策质量和速度。马赛克作战的出发点就是使得体系变得不可预测,提高杀伤网被破坏的难度。然而这并不意味着杀伤网不可破坏。通过感知和决策优势依然有可能快速寻找作战体系的脆弱点并予以破坏。作战和网络安全对抗非常相似,在军事研发中,研发攻击手段比研发防御手段容易得多。在网络安全对抗中同样是研制攻击手段比防御手段容易得多。借鉴马赛克作战的思路,应对措施有:通过开放体系架构,集成多种防护能力组成一个整体体系。
马赛克作战思路中,将兵器变小,每个兵器具备OODA过程中的一部分能力,其造价就会降低,研发迭代过程就会加快。同时又能够将一个一个具备单一或者少量功能的马赛克碎片灵活的组合为一个整体,来完成复杂的作战任务。在网络安全领域,这个思想同样适用,网络安全防御的体系研发的速度变快才能和网络攻击进行对抗。网络安全的设施主要是软件部分,软件开发领域能够将软件进行轻量化的技术就是容器技术,以及容器编排技术。同时通过提供PASS平台,将一些通用的软件基础功能统一提供,也能够使得软件变得轻量化。
虚拟机属于虚拟化技术。而Docker这样的容器技术,也是虚拟化技术,属于轻量级的虚拟化。开发人员编写代码,在自己本地环境测试完成后,将代码部署到测试或生产环境中,经常会遇到各种各样的问题。容器化技术正好解决了这一关键问题,它将软件程序和运行的基础环境分开。开发人员编码完成后将程序打包到一个容器镜像中,镜像中详细列出了所依赖的环境,在不同的容器中运行标准化的镜像,从根本上解决了环境不一致的问题。虚拟机虽然可以隔离出很多“子电脑”,但占用空间更大,启动更慢。而容器技术恰好没有这些缺点。它不需要虚拟出整个操作系统,只需要虚拟一个小规模的环境(类似“沙箱”)。它启动时间很快,几秒钟就能完成。而且,它对资源的利用率很高(一台主机可以同时运行几千个Docker容器)。此外,它占的空间很小,虚拟机一般要几GB到几十GB的空间,而容器只需要MB级甚至KB级。k8s全称kubernetes,是为容器服务而生的一个可移植容器的编排管理工具,从架构设计层面,我们关注的可用性,伸缩性都可以结合k8s得到很好的解决,再从部署运维层面,服务部署,服务监控,应用扩容和故障处理,k8s都提供了很好的解决方案。使用k8s和容器作为技术来开发、部署网络安全应用,这样网络安全能力就如同马赛克碎片一样进行灵活的部署,编排。基于k8s可以搭建网络安全PASS平台,PASS平台进一步提供中间件和存储服务、应用管理服务、运维管理服务,DevOps工具,测试工具。通过PASS平台一方面安全应用的开发可以利用现有的PASS平台能力,包括各种中间件和数据库的使用,同时专注于安全功能的开发,由PASS平台提供基础的运维功能和应用部署功能。另一方面通过配套的开发工具,包括devops,自动测试工具,增加安全应用开发的便利性,提高安全应用开发的速度。通过容器,k8s容器编排和PASS引擎。以及具备了构建一个一个的安全设备马赛克碎片的能力,也能够将这些马赛克碎片随意放置。但是还不能让这些马赛克碎片组合来完成安全任务。组合这些马赛克碎片需要开放体系架构,具体到软件层面需要使用面向服务的软件架构(SOA)。SOA面向服务的架构是一个组件模型,它将应用程序的不同功能单元(称为服务)通过这些服务之间定义良好的接口和契约联系起来。接口是采用中立的方式进行定义的。这使得构建在各种各样的系统中的服务可以以一种统一和通用的方式进行交互。面向服务架构,它可以根据需求通过网络对松散耦合的粗粒度应用组件进行分布式部署、组合和使用。标准原则,提供关键界面的统一标准; 支撑分层架构原则; 促进抽离。服务交换机制,加入和退出系统时的客户端、服务协议的基本行为通过面向服务的软件架构,各种感知类,防护类,判断类,决策类,行动类的安全设施利用面向服务的技术支撑中间件(黄色部分)能够进行灵活的整合。对于已经存在的遗留的安全设施可以通过代理插件形式集成(橙色部分)。基于SOA面向服务的架构的安全设施碎片已经能够灵活的进行组合。如何去组合这些碎片还需要做到以下几点
1)能够对安全任务有很专业理解的安全运营人员
如何战斗指挥,成败的关键之一就是指挥员如何进行战斗资源的搭配。2)方便快捷的安全任务链条编排工具
能够可视化的进行快速的任务链条编排,便于理解,便于调整。3)安全任务链条的基于历史经验积累评估
对于成功的安全任务链条,成功的场景,条件是什么。对于失败的任务链条场景,条件的不适用地方,以及需要改进增强地方。
安全编排、自动化和响应(SOAR)是指的是安全团队所使用的 3 大软件功能:案例和工作流管理、任务自动化,以及集中式管理访问、查询和共享威胁情报。
随着网络安全攻防对抗的日趋激烈,网络安全单纯指望防范和阻止的策略已经失效,必须更加注重检测与响应。企业和组织要在网络已经遭受攻击的假定前提下构建集阻止、检测、响应和预防于一体的全新安全防护体系。在国际上,检测和响应类产品受到了极大的关注。Gartner 用 OODA 模型,来描绘一个典型的安全运营流程。OODA 即 Observe(观察)、Orient(定位)、Decide(决策)、Act(行动)。观察:观察事件并确定发生了什么,即通过各种检测、分析工具,比如 SIEM 类工具,找到威胁线索,如告警定位:确定观察的方向,并添加上下文来确定观察的含义,即对产生的告警的内容做调查、丰富化。比如查找外网域名的威胁情报,查找此 IP 的历史行为协助研判等等。决策:根据业务的风险容忍度和能力决定适当的响应行动,即判定是否需要对此告警采取行动,比如是否需要封禁,是否影响业务,是否需要进一步观察。行动:根据决定采取行动,并应用到观察过程中,然后重复,即执行确定的安全策略,并验证。每一步都对下一步提供了指导,周而复始,构成了一个良性促进的进化循环,不断优化企业的安全运营流程以应对不断变化的安全威胁。上图为安数云SOAR剧本编排界面,将各种安全设施抽象为安全能力,也就是马赛克碎片,在具体安全任务场景下通过可视化编辑,灵活的构建安全任务链条。在网络安全领域,每家网安企业都有自己擅长的能力,安数云作为云安全守护者,潜心立足云安全领域、赋能云安全核心价值,在国内率先利用云计算技术,深度融合SDN及SOAR,基于各种优势安全能力进行安全任务编排,搭建安全生态圈,生态化融合各类安全产品及解决方案,以为客户提供更全面更优质的安全保障优势,领跑运营商市场。基于开放体系架构和安全编排、自动化和响应构建的安全体系已经能够像马赛克作战一样,构建足够的灵活的安全任务。但是单体碎片的能力依然重要,特别是感知能力的对抗。美军B-21隐身轰炸机、F-35隐身战斗/轰炸机等进行“技术碾压”的重要技术手段就是“隐身”。在网络入侵中,越来越多的攻击手段也是“隐身”攻击手段,入侵行为隐藏在正常流量当中,比如webshell,dns隐蔽隧道等。所以一个有效的安全体系应该具备感知对抗能力。一方面要削弱对方感知能力,一方面要增强己方感知能力。在网络安全领域削弱对方感知能力的思路首先减少暴露面,同时注意敏感信息泄露。但是随着数字化转型重塑IT架构,大多数组织的网络资产数量和复杂性前所未有的增加,攻击面急剧扩大。攻击面管理成为一种新兴技术可有效用于安全运营,并把攻击面管理分为外部攻击面(External Attack Surface Management,缩写为EASM)和网络资产攻击面(Cyber Asset Attack Surface Management,缩写为CAASM)。EASM强调外部攻击者视角,针对暴露在公网的资产(包括互联网、云、物联网、智慧城市等环境下的资产与风险),主要通过黑客探测的手法与情报来进行分析。CAASM则强调内外部全局视角,通过API与其他系统集成的方式来解决持续的资产可见性和漏洞风险。攻击面管理这个工作很多安全运营者或多或少都在做,比如;漏洞扫描、Web扫描、漏洞管理、影子资产排查、敏感信息泄露检测、渗透测试、互联网资产测绘、资产梳理或人工清点等,站在潜在攻击者的角度来不断审视与管理资产和薄弱环节的持续过程。是一种集成的技术与能力、流程的组合,致力于在攻击发生前发现和修复暴露面,封堵可能被利用的攻击路径。通过攻击面管理能够很大程度上削弱网络攻击的感知能力。UEBA,User and Entity Behavior Analytics,即用户与实体行为分析,关联了用户活动和相关实体(用户相关的应用和终端等)信息构建人物角色与群组,进一步定义这些个体与群组的合法和正常行为,把这些人物角色在群体与群体、群体与个体、个体与个体(那些远离合法和正常行为的群体与个体)维度上相互比对分析,将异常用户(失陷账号)和用户异常(非法行为)检测出来,从而达到检测业务欺诈、敏感数据泄露、内部恶意用户、有针对性攻击等高级威胁的目的。基于UEBA行为分析方法,结合EDR,NDR进行更大范围,更深度的感知能力部署。能够有效增强己方网络安全感知能力。马赛克作战是美军针对未来广泛认可的一种作战体系和作战思路,目前美军基于马赛克作战思想已经进行多种场景实验,以及广泛的基础设施建设。虽然目前还没有一个完全成型的马赛克作战体系。但是马赛克作战的技术思路同样适合于网络安全体系建设。比如作战任务编排和安全编排、自动化和响应(SOAR),感知能力对抗的思路和攻击面管理,UEBA恰好吻合。马赛克作战的思路对于未来安全体系建设能够提供有益的指导。