登录注册   忘记密码

【Hunt for Cyber Threats】美军“赛博狩猎”概念的发展

    “随着美军越来越多地使用移动设备,网络边界正日益瓦解,针对网络边界上伺机越界的入侵者,美国国防部的赛博作战人员正不断提高其探测能力。”

    “赛博狩猎”(cyber hunting)是一种更具主动性的网络威胁定位方法。通过这种方法,可观察、分析敌人的行动,并能够洞察网络入侵者的战术、技术和规程。主动狩猎赛博威胁还增强了研究能力。随着DISA搜集更多的数据,对这些数据进行整合,能够更好地调查那些在网络上可被探测到的意外事件。前提是必须有大量信息支撑事件分析。

微信图片_20170614162205.jpg

    DISA列出了“赛博狩猎”的3个组成部分:赛博防护分队、一体化防卫和身份管理。赛博防护分队在DISA的指导下进行大量训练,包括沉浸式训练,由红队负责发现脆弱点。该分队还针对可全面显示国防部信息网(DODIN)状态的工具和系统展开强化训练。

微信图片_20170614162213.jpg

    DISA赛博开发执行官员强调,需要业界提供一体化防卫能力。此外,DISA推崇的国防用户专用的商业级私有云,即“军事云”(milCloud)2.0,有望增强安全性、节约开支并减少为军方服务的云数量。

微信图片_20170614162219.jpg

    在身份管理方面,DISA正致力于导出凭证和形式倡议(form-factor initiatives),以支持包括平板电脑和笔记本电脑在内的移动设备。无论来自哪里的敌人都在设法获得凭证,以便访问关键信息。不管他们是通过“钓鱼”活动还是作为内部人员进入,凭证都是字母符号式密钥。一旦键入,入侵者将横穿网络,寻找更有用的凭证以便进一步访问。

微信图片_20170614162224.jpg

    尽管“赛博狩猎”的概念一直都是保护国防部网络的一部分,但它最初更关注的是入侵者得手之后的取证调查。现在,国防部的赛博部队正试图在破坏发生之前采取行动。虽然DISA已具备了防火墙、入侵探测系统及其他防护能力,但当敌人逃过防御点之后,DISA仍希望能在网络上找到敌人实际藏身之处,这正是DISA“赛博狩猎”概念努力发展的方向。

微信图片_20170614162230.jpg

    为主动猎获敌人,赛博作战人员在很多方面都必须以敌人的方式思考。赛博作战人员必须查看数据,假设敌人可能的行动,推测入侵者下一步可能做什么。当考虑敌人的目标物时,必须能够多角度思考敌人最终想要做什么。作战人员需要考虑在哪使用技术、怎么使用以及敌人可能采取的路线。


    虽然直觉很重要,但是赛博作战人员还必须具备相当深入的知识,这只有通过广泛训练才能获得。他们必须真正理解网络结构、设置的防御措施以及敌人可能的目标;回溯实际发生的事件;具备相当程度的思考能力、思维模式以及有关威胁和不同攻击者的攻击方式的知识,这些涉及到不同的领域。

    当然,为赛博作战人员和防御人员装备合适的工具也是保护网络所必需的。

微信图片_20170614162238.jpg

    DISA官员强调自动化、人工智能和生命模式指示器的重要性。由于数据量不断增加,美军需要自动化。DISA官员将人工智能(包含威胁行为模型)视为能够转变其赛博安全工作的一项开发技术。在很多情况下,美军处在一个基于特征标记进行防御的时代,当发现某种攻击标记时,就对那些标记进行防御。这种方法存在一些问题,如它可能阻止某些攻击,但随着那些攻击继续发生变化,防御方法也必须不断更新。另一方面,人工智能程序可以学习和适应。DISA需要技术提供现成的方法来部署可自学习、可识别潜在式样且以更加自动化的方式对其采取行动的能力。


    同时,分析生命模式的程序提高了用于鉴别用户及识别正常、异常网络行为的技术发展水平。它在许多方面已超越了生物统计学的概念,比如考虑人如何书写、持有设备的方式、如何输入、键入信息的速度。所有这些都是基本的生命模式。随着国防部信息网加入了移动设备,鉴别也变得十分重要。DISA在鉴别方面做了许多工作,特别是移动设备方面。


    大约10年前,DISA为空军提出了“赛博狩猎”(cyber hunt)术语,作为猎手-杀手(hunter-killer)概念的一部分,这是狩猎概念发展的基础,近几年发展迅速,可以看到业界和国防部更多地使用这个术语。 

微信图片_20170614162243.jpg

在这一点上说,威胁狩猎是国防部网络防御文化的组成部分。“赛博狩猎”正发展成为日常任务的一部分。


您的评论:

0

用户评价

  • 暂无评论