从网络空间(Cyber)态势感知体系发展,看美国信息安全战略演进

美国是 Internet 的缔造者。也理所当然地成为了这片广袤领域的“掘金者”;然而,当时光的指针推送大家来到「互联网时代」,由美国操纵的那个曾经“天真无邪”的 Internet 已经发展成为了摄人心魄的「魔戒」,它的主人(美国)的欲望也随之贪婪无度地增长,甚至希望能够占据 Cyber 空间中的一切!拜「NSA 前雇员——爱德华·斯诺登」所赐,从去年 11 月开始,广大普通民众才对美国如今在 Cyber 领域的控制欲望之大有所意识。本文,从美国「Cyber 态势感知体系」演进的角度切入,对美国信息安全的现状进行了一两点分析。

一.美国信息安全领域的几个“重量级”文件

根据美国信息安全发展的脉络,本文作者收集并整理了自 1998 年到 2012 年,美国的,与「安全感知」相关的 7 份重要文件,如下表所示:

Book1▲上述 7 份文件,构成了美国在「Cyber 安全感知领域」比较完整的文字表述,后文会以这 7 份文件为基础,逐步分析美国信息安全战略的逐步演进。

二.Cyber 态势感知基本组件构建阶段

本阶段主要跨越 1998 —— 2002 年,以上节表中所列的前 3 个基本文件为政策基石,倡导建立基本防御体系(包括:基本信息安全设备、安全策略,以及相关专业人员,主要针对本土关键基础设施&联邦政府网络)。

在这个阶段,由于美国和欧洲刚刚经过了互联网经济大发展的黄金 10 年,信息技术已经很大程度地的改变了人们的生活,而另一方面,也像打开了一个潘多拉魔盒,信息安全问题也源源不断地涌了出来,各种蠕虫(Nimda、 CodeRed… 轮番登场)、DoS,滥用,充斥着互联网。

所以,在 1998—2005 年,美国全力应对这些由一群爱好者们(ScriptKid)驱动的,现在看来十分“幼稚”的攻击方法,主要策略便是:

1. 依据 PDD-63 总统令,要求关键基础设施部署必要的信息安全设备;

2. 依据 IATF,建立「信息安全保障框架」,主要包括部署纵深防御的硬件设备和建立一套完善的安全保障管理机制;

3. 依据 FISMA 法案,要求美国联邦政府网络严格实施上述两个方案。

本阶段小结:这一阶段,美国 DOD 还开发了信息安全领域比较重要的「彩虹系列文件」,其中的橘皮书就是现在被广泛应用的 CC 的前身(GB/T 18336)。综合这些计划,美国的总体目标就是建立应对传统信息安全威胁的技术和管理能力,这些基本能力为日后 Cyber 态势感知能力的构建打下了深刻基础。

三.Cyber 态势感知基本能力构建阶段

本阶段主要跨域 2005 —— 2010 年,以第一节表中第 4 个文件为基石,倡导在本土(Federal)范围内建立完备的数据截获、分析能力,并建立国家级信息安全运营中心,对被动监控的数据进行实时的分析、并展示。在这个阶段,由于刚刚经历过 9.11 恐怖袭击事件,而且一大批 Internet 技术较为落后的国家已经迎头赶上(如 90 年代末 — 2005 年左右,是中国 Internet 的大发展阶段,Sina\Sohu\NetEase\Baidu\Tencent…),使得信息安全领域又多了一些“坏小子”。所以,在 2005 —— 2010 年,美国推出了号称美国「信息安全领域的曼哈顿计划」的庞大国家计划,以应对互联网上所谓的一些“恐怖组织”。据相关信息介绍,CNCI 计划总投资将达到 300—400 亿美元。其主要的子项目如下:1. TIC 计划(Trusted Internet Connection)本计划强力推进 Federal 网络集体接入,要求:“各机构,无论是作为 TIC 访问服务供应商,或作为通过联邦总务局管理的 Networx 合同的商业性托管可信 IP 服务(MTIPS)供应商”,一律参与 TIC 计划。2. 爱因斯坦 I II III 计划本计划通过对 TIC 集中接入的网络做数据捕获和深入分析:(1)  I 阶段,联合 US-CERT,应用基于 Flow (NetFlow) 的 DFI 技术进行数据分析;(2)  II 阶段,应用 DPI 技术进行恶意行为发现(本质来说是 IDS);(3)  III 阶段,应用 FPI 技术,并扩展 Sensor 位置,前置到 ISP 的 IDC 中。

本阶段小结:这一阶段,美国已经开始逐步构建自己的态势感知体系。借助第一阶段所输出 的安全保障能力(这里主要指代安全设备)和商业领域刚刚发展起来的 SIM & SEM 技术,将大量的日志、流量监控起来,在牺牲本国公民个人隐私基本权利的做法基础上,形成基本的态势感知体系(由于这里的感知源都是被动获得,所以这里姑且 称它为「态势感知体系 1.0」)。

四.Cyber 态势感知扩展能力构建阶段

本阶段主要跨越 2010 —— 至今,以第一节表中后 3 个文件为基石,倡导进一步加固关键基础设施网络组件(动因:工业 4.0 的发展&工业黑客攻击技术的发展&主动的探测能力和快速响应、作战能力。在这个阶段,一方面发生了以 Stuxnet、Havex 为代表的瞄准「工业控制系统」的攻击事件,另一方面,「克里米亚事件」、「美伊霍尔木兹海峡对峙」、「钓鱼岛事件」等,让战火的硝烟几度甚嚣尘上。这些事件让美国已经不满足于被动的监测和感知。所以,2010 年以来,为了应对局势变化,展现其大国威慑,美国接连推出了 3 个重量级的计划(本部分计划在附件中进行了详细介绍):1. 依据 SHINE 计划,DHS 会定期监测本土关键基础设施网络组件的安全状态;2. 依据 X 计划,DAPRA 会为网络战部队提供战场地图快速描绘能力,并辅助生成作战计划,从而推动网络作战效率和能力;3. 依据 TreasureMap 计划,NSA 会形成对全球多维度信息的主动探测能力,从而形成大规模情报生产能力。

本阶段小结:这一阶段,美国在已经初步建立的「态势感知体系 1.0」的基础上,通过集成主动探测、海外信息搜集等技术(如“棱镜门”曝光内容),在无视 Internet 全球用户隐私基本权利的做法基础上,进一步扩展其态势感知能力,形成了目前的「态势感知体系 2.0」。

五.纵览&启示

纵览美国的“三步战略”,我们可以看到,美国信息安全战略从“基础建立”的「Cyber安全态势感知基本组件构建阶段」,到“监听感知”的 「Cyber 安全态势感知基本能力构建阶段」,最后到“探测感知”的「Cyber 安全态势感知扩展能力构建阶段」的演进历程。这也代表了美国的国家信息安全战略从被动保障 → 主动威慑的变化过程。

这期间,从第 1 阶段到第 2 阶段的穿越,跨越了美国人权、平等的基本价值观;从第 2 阶段到第 3 阶段的穿越,跨越了对全人类人权的基本尊重!

作为充满正义感的地球人,当看到已经因魔戒迷失了自己的霍比特人开始贪婪而发狂地吞噬一切,好吧,是「白袍萨鲁曼」(我国自己的「Cyber 安全态势感知体系」)登场的时候了!

PS:本文仅从国家政策角度描述了美国信息安全国家战略的变化。其实,作者认为,在这样漫长的发展历程中,美国的产业界也发挥了非常巨大的作用,后面有空的话,可以换个视角再分析下。

Reference

PLANX

http://www.darpa.mil/our_work/i2o/programs/plan_x.aspx

TreasureMap

(U//FOUO) TREASUREMAP

SHINE

https://ics-cert.us-cert.gov/sites/default/files/ICS-CERT_Monthly_Monitor_Oct-Dec2012_2.pdf

附件:“藏宝图计划”、“X计划”、“SHINE计划”介绍

1. NSA——藏宝图计划

1.1 负责单位:NSA(美国国家网络安全局)

1.2 可支撑任务:

(1)网络态势感知(包括己方&敌方网络)

(2)公共作战图像(COP)

(3)网络侦察

(4)效果评估

1.3 项目用户:“五眼”(美国、英国、加拿大、澳大利亚、新西兰)合作伙伴,JWICS (全球联合情报交流系统)的相关用户。

1.4 本项目主要关注点:对网际空间多层(地理层、物理层、逻辑层、社交层)数据的捕获及快速分析,从而形成的大规模情报生产能力。

1.5 自我更新效率:每 90 天交付新功能 & 每天更新 30G+ 数据

1.6 数据来源:

(1)BGP、AS 信息(IP 空间、AS 从属关系、BGP 路由条目)

(2)路由信息(TraceRoutes 方式进行探测,每天录入约1800w 条信息)

(3)Whois 信息(注册信息、DNS 信息)

(4)指纹信息(操作系统&软件特征,每天采集 3-5 千万 ip 地址)

2. DAPRA——X 计划

2.1 负责单位:DAPRA &I2O(Information Innovation Office,信息创新办公室)

ps:I2O 主要负责以国家安全视角,研究“足以改变游戏规则”的信息技术,从而为未来新型作战模式提供必要思路和相应工具。

2.2 项目名称:基础网络战(Foundatinal Cyberwarfare,Plax X)

2.3 申请时间:截止到 2013 . 2 . 25

2.4 本项目主要关注点:对网络战场地图的快速描绘,辅助生成并执行作战计划,并将作战结果反馈中枢指挥机关,从而推动网络作战效率和能力。

2.5 项目周期:X 计划设计为 4 个 为期 1 年的开发阶段,每个阶段包含 4 个开发螺旋(其中每个螺旋包含 6 周的开发& 1 周的审计)。

2.6 主要内容:

(1)网络战场地图:包含两类信息(逻辑拓扑&元数据)

ps:此为基础数据层,是 X 计划的主要支撑;

关键组件:网络战场地图生成引擎&端到端网络战场地图感知平台

(2)操作单元:包含两个平台(终端节点—单兵作战版&支持平台—集团作战版)

ps:此为平台层,是 X 计划的应用入口;

关键组件:网络作战计划(CFG)自动生成框架&  CFG 自动执行框架

(3)能力集:包含三类能力(可达&功能&通信)

ps:此为应用层,是 X 计划的基础技术组件库;

关键组件:RootKits、keyloggers、network scanner、DOS 等。

3. DHS——SHINE 计划

3.1 负责单位:DHS 下属 ICS-CERT (工业控制系统网络应急小组)

3.2 项目名称:SHINE(SHodan Intelligence Extraction)

3.3 参与人员:Bob Radvanovsky & Jake Brodsky

3.4 本项目主要关注点:网际空间中存在的美国本土关键基础设施行业相关设备,的网络可达及安全态势。

3.5 核心组件:网际空间搜索引擎(Shodan)

3.6 目前取得的成果:从最初的 46w 的初始 IP 库作为初始数据源,进行 ICS 相关性过滤,最终过滤到 7,200 存活并存在弱点的设备。

[via@Dustin]