- 動態(tài)賦能網(wǎng)絡(luò)空間防御
- 楊林 于全編著
- 2712字
- 2019-07-30 11:37:13
前言
互聯(lián)網(wǎng)是20世紀(jì)人類最偉大的技術(shù)發(fā)明之一。自誕生以來,歷經(jīng)半個世紀(jì)的發(fā)展,互聯(lián)網(wǎng)已成為驅(qū)動全球經(jīng)濟(jì)社會發(fā)展的重要基礎(chǔ)設(shè)施,深刻地改變了人們的生產(chǎn)、生活方式。然而,利益與風(fēng)險總是井存,網(wǎng)絡(luò)攻擊像夢魔一樣伴隨著信息化的過程,如影隨形,無法擺脫,網(wǎng)絡(luò)安全已成為影響人類社會發(fā)展的全球性問題。
漏洞是網(wǎng)絡(luò)攻防活動能夠發(fā)生的前提,是網(wǎng)絡(luò)不安全的根源,是攻防雙方爭奪的戰(zhàn)略資源。信息系統(tǒng)是由人設(shè)計和實現(xiàn)出來的,人的天生惰性和認(rèn)知局限性,導(dǎo)致漏洞無法避免,隨著系統(tǒng)復(fù)雜性的增大,漏洞問題將更加嚴(yán)重。在網(wǎng)絡(luò)攻防活動中,攻方發(fā)現(xiàn)漏洞、利用漏洞。防方發(fā)現(xiàn)漏洞、修補(bǔ)漏洞,降低漏洞被利用的機(jī)會。但是在漏洞面前,攻防雙方是不平等的。攻方掌握了一個未公開漏洞,就可能長驅(qū)直入,直搗黃龍。防方掌握了再多的漏洞,也不敢高枕無憂。隨著攻方掌握分析系統(tǒng)的時間越長,發(fā)現(xiàn)的漏洞將越來越多,系統(tǒng)也將越來越危險。因此,攻防雙方存在嚴(yán)重的不對稱性,小攻大防、一點攻全局防。
APT(Advanced Persistent Threat,高級持續(xù)性威脅)是網(wǎng)絡(luò)安全的心腹大患。Advanced是指高級的、先進(jìn)的、大投入的,強(qiáng)調(diào)是有背景的組織行為、國家行為。Persistent是指長期的、持續(xù)的,因此也是最為可怕的。敵手在長期地、持續(xù)地盯著你、研究你、分析你,攻方有可能比我們自己還要了解被保護(hù)的系統(tǒng)。攻方持續(xù)不斷地發(fā)現(xiàn)問題,持續(xù)不斷地研發(fā)出對付你的武器。我們有沒有像攻方那樣研究過自己的系統(tǒng),持續(xù)不斷地關(guān)注被保護(hù)的系統(tǒng)有什么安全漏洞?我們在持續(xù)不斷地發(fā)展信息化,持續(xù)不斷地上新項目,持續(xù)不斷地建新系統(tǒng),卻未能持續(xù)不斷地關(guān)注這些信息系統(tǒng)的安全。敵手在持續(xù)不斷地發(fā)現(xiàn)問題,我們卻在持續(xù)不斷地積累問題。
從安全的視角看,信息系統(tǒng)建設(shè)還存在諸多問題。很多系統(tǒng)還在解訣功能的有無,無暇顧及系統(tǒng)自身有什么安全漏洞,更談不上安全漏洞的監(jiān)督檢查,沒有意識、也沒有精力去關(guān)注漏洞和安全,更談不上持續(xù)的安全關(guān)注。在信息系統(tǒng)建設(shè)過程中,習(xí)慣于將安全體系建設(shè)等同于一般的系統(tǒng)建設(shè),將安全體系構(gòu)建理解為安全產(chǎn)品的靜態(tài)堆砌,“連通即好”竟然經(jīng)常成為安全就緒的標(biāo)志。信息系統(tǒng)開通有個狀態(tài)固化的過程,狀態(tài)一旦固化,能力則隨之固化。信息系統(tǒng)強(qiáng)調(diào)“三互”,即互聯(lián)、互通、互操作,要求技術(shù)體制統(tǒng)一,在工程實踐中則往往是以有形產(chǎn)品代無形體制,用同樣的產(chǎn)品統(tǒng)一體制,這樣的體制一經(jīng)統(tǒng)一,能力隨之單一。信息系統(tǒng)架構(gòu)的靜態(tài)性、相似性和確定性,以及信息產(chǎn)品的“同源、同構(gòu)、同制”,給攻方刺探網(wǎng)絡(luò)特性、掌握系統(tǒng)漏洞、實施攻擊滲透提供了極大便利,導(dǎo)致信息系統(tǒng)始終處于被動挨打的局面,單個攻擊手段一旦對局部生效,往往便能很快擴(kuò)散開來,對全網(wǎng)造成大面積影響,一破百破,一癱百癱。
基于先驗知識和精確識別的傳統(tǒng)防護(hù)手段,難以應(yīng)對未知漏洞和未知攻擊威脅。基于靜態(tài)性、相似性、確定性構(gòu)建的信息系統(tǒng),難以應(yīng)對動態(tài)的、專業(yè)的、持續(xù)的高強(qiáng)度攻擊。漏洞是安全問題的根源,但挖漏洞、堵漏洞卻不可能成為解訣安全問題的根本。挖漏洞竟賽,對防方和攻方而言,勝敗游戲規(guī)則本就不平等,防方挖得再多,堵得再好,也擋不住攻方哪怕是一次防方未知的漏洞攻擊。防方要想擺脫這種被動局面,就必須改變這種不平等的游戲規(guī)則,從防方跟著攻方走,改為攻方跟著防方走。網(wǎng)絡(luò)空間動態(tài)防御是形成易守難攻不對稱防御能力的很好途徑。
在軍事領(lǐng)域,動態(tài)防御的思想可謂源遠(yuǎn)流長。《孫于兵法》云:“兵者,詭道也”。意思是用兵之道,在于千變?nèi)f化,出其不意。動態(tài)目標(biāo)防御(Moving Target Defense)就是將“變”的思想運用于網(wǎng)絡(luò)空間防御,其創(chuàng)新性在于一反常態(tài),由陣地保衛(wèi)戰(zhàn)改為運動戰(zhàn)或游擊戰(zhàn)。在部署、運行信息系統(tǒng)時,通過有效降低信息系統(tǒng)的確定性、相似性和靜態(tài)性,增加其隨機(jī)性,降低其可預(yù)見性,從而構(gòu)建持續(xù)變化、不相似、不確定的信息系統(tǒng),讓信息系統(tǒng)對外呈現(xiàn)不可預(yù)測的變化狀態(tài),攻擊者難以有足夠時間發(fā)現(xiàn)或利用信息系統(tǒng)的安全漏洞,更不容其持續(xù)探測、反復(fù)攻擊,從而大大提高了攻擊的難度和代價。顯然,這是防護(hù)策略的大轉(zhuǎn)變和游戲規(guī)則的大轉(zhuǎn)變,改變了網(wǎng)絡(luò)易攻難守的不對稱局面。
本書在動態(tài)目標(biāo)防御基礎(chǔ)上,提出動態(tài)賦能網(wǎng)絡(luò)空間防御這一概念,將“變”的思想全面應(yīng)用于網(wǎng)絡(luò)空間各個環(huán)節(jié),用體系化的動態(tài)防御思路顛覆傳統(tǒng)的防護(hù)思路,對信息系統(tǒng)全生命周期全面貫徹動態(tài)安全理念,即要求信息系統(tǒng)在研制、部署、運行等各個階段,不僅要完成其自身功能,而且要在硬件平臺、軟件服務(wù)、信息數(shù)據(jù)、網(wǎng)絡(luò)通信等各層次上都能變換其與安全相關(guān)的特征屬性。這種變換涉及時間和空間兩個維度,可能是某個屬性單獨變換,也可能是多個屬性同時變換。通過這些變換,增強(qiáng)信息系統(tǒng)內(nèi)生安全性。另外,這種動態(tài)賦能思想指導(dǎo)下的防御體系,不僅是在前臺實施防護(hù),還要集約調(diào)度聚集在后臺的專業(yè)資源和專業(yè)力量,將新的安全能力源源不斷地向前臺動態(tài)輸出,提供全局賦能的新活力。從體系角度看,動態(tài)賦能就是要將靜態(tài)設(shè)防的死裝備,變成動態(tài)賦能的活體系,形成前臺防護(hù)、后臺賦能的動態(tài)主動網(wǎng)絡(luò)空間防御體系。
動態(tài)賦能網(wǎng)絡(luò)空間防御是對網(wǎng)絡(luò)空間安全防御技術(shù)和體系的一種探索,是將安全能力作為信息系統(tǒng)自身標(biāo)準(zhǔn)屬性的一種設(shè)想。未來的網(wǎng)絡(luò)空間防御體系一定是在動態(tài)賦能思想指導(dǎo)下的安全體系。因此,各類系統(tǒng)動態(tài)化、隨機(jī)化的技術(shù)、方法及其與現(xiàn)有防護(hù)手段的關(guān)系、貢獻(xiàn)、兼容、演進(jìn)問題,對下一代防護(hù)產(chǎn)品甚至信息產(chǎn)品帶來的挑戰(zhàn)和問題,都是本書關(guān)注的問題。
目前,圍繞動態(tài)防御的相關(guān)理論研究已取得一些進(jìn)展,一些關(guān)鍵技術(shù)的發(fā)展也使得動態(tài)防御的工程應(yīng)用成為可能。由于動態(tài)賦能防御研究涉及面廣、難度大,目前的研究成果還較為零散、系統(tǒng)性不強(qiáng)。為了便于讀者更為系統(tǒng)地理解動態(tài)賦能防御所涉及的技術(shù),本書歸納總結(jié)了當(dāng)前動態(tài)防御技術(shù)發(fā)展的基本現(xiàn)狀,以信息系統(tǒng)的實體層次結(jié)構(gòu)為依托,從系統(tǒng)平臺、軟件服務(wù)、信息數(shù)據(jù)和網(wǎng)絡(luò)通信4個方面分別研討了動態(tài)防御技術(shù),探討其可能的演進(jìn)路線,梳理與現(xiàn)有安全技術(shù)的關(guān)系,井對這些技術(shù)的安全增益、系統(tǒng)綜合效率等方面進(jìn)行了分析和討論。本書期望將動態(tài)賦能網(wǎng)絡(luò)空間防御的相關(guān)思想、技術(shù)和成果呈現(xiàn)給讀者,將先進(jìn)的理念、技術(shù)和方法落到實處,為以能力為導(dǎo)向的網(wǎng)絡(luò)空間安全提供支撐,也為未來具有內(nèi)生安全能力的信息系統(tǒng)結(jié)構(gòu)設(shè)計與軟/硬件產(chǎn)品開發(fā)提供參考。
希望本書的出版有助于我國網(wǎng)絡(luò)空間安全領(lǐng)域相關(guān)研究人員準(zhǔn)確把握網(wǎng)絡(luò)空間安全的技術(shù)發(fā)展方向,為下一代IT基礎(chǔ)設(shè)施的發(fā)展提供思路。有助于推動未來網(wǎng)絡(luò)空間主動防御體系的構(gòu)建,讓安全不再是信息系統(tǒng)發(fā)展的障礙,讓安全成為信息系統(tǒng)發(fā)展的內(nèi)生能力。
由于動態(tài)賦能網(wǎng)絡(luò)空間防御涉及面廣、技術(shù)難度大且尚不夠成熟,雖然我們付出了很大努力,書中仍可能存在疏漏。不當(dāng)之處,敬請讀者批評指正。
作者
2016年1月
- DevSecOps敏捷安全
- 為你護(hù)航:網(wǎng)絡(luò)空間安全科普讀本(第2版)
- 白帽子講Web安全(紀(jì)念版)
- 開發(fā)者的Web安全戒律:真實威脅與防御實踐
- Python Penetration Testing Cookbook
- 數(shù)據(jù)安全領(lǐng)域指南
- 學(xué)電腦安全與病毒防范
- 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)實戰(zhàn)
- 信息內(nèi)容安全管理及應(yīng)用
- Learn Azure Sentinel
- 云計算安全技術(shù)與應(yīng)用
- 動態(tài)賦能網(wǎng)絡(luò)空間防御
- 黑客攻防從入門到精通:實戰(zhàn)篇(第2版)
- 網(wǎng)絡(luò)空間安全體系
- 惡意軟件、Rootkit和僵尸網(wǎng)絡(luò)