兰德新出SWARM模型,仅需4步,完成网络空间预警
2021年5月11日,兰德公司发布报告《可扩展预警和复原模型(SWARM)——增强防御者的网络空间预测能力》(RAND's Scalable Warning and Resilience Model (SWARM)Enhancing Defenders' Predictive Power in Cyberspace)。报告中提出可扩展预警和复原力模型(SWARM),该模型基于网络指示和预警为防御者给予保护。该模型侧重于通过为防御者提供一种实用的方法,主动应对国家发起的威胁,对可能发生攻击的时间进行概率预测,并提高抵御能力。
文章仅供参考,观点不代表本机构立场。
可扩展预警和复原模型(SWARM)
增强防御者的网络空间预测能力
作者:Bilyana Lilly, Adam S. Moore, Quentin E. Hodgson, Daniel Weishoff
编译:学术plus评论员 郝梓岑,计宏亮
如今网络信息空间下的网络威胁环境、技术环境和攻击特征都发生了日新月异的变化。尽管近年来将网络威胁建模、信息共享和威胁猎取等做法已变得更为常见,大多数组织也在不断努力寻求有效的防御体系结构,但对网络事件的预测仍然难以捉摸,因此网络防御层面仍需继续推陈出新,从而提高复原力。
本报告提出了'可扩展预警和复原力模型(SWARM)“——这一模型基于网络指示和预警为防御者给予保护。
该模型侧重于通过为防御者提供一种实用的方法,主动应对国家发起的威胁,对可能发生攻击的时间进行概率预测,并提高抵御能力。
此外,该模型调整了将复原力和指示与警告(I&W)框架应用于信息环境的概念,同时还结合了建模和仿真威胁框架。
经过研究,本报告发现该模型能在网络事件发生前通过早期预警的方式主动保护系统,从而为防御者带来可喜的成果。
不断演变的网络威胁格局要求防御者迅速且不断地适应网络防御并提出解决方案。
目前,防御者所采用的战略主要是在网络攻击周期的早期或后期发现网络事件,但很少在向防御者网络交付武器有效载荷之前进行检测。网络攻击周期的其他初始阶段——对手对目标进行侦察、测试、建立和维护基础设施或潜在地缘政治触发事件,通常不会在预测或预防网络事件时将其纳入防御者的研究中。因此,本报告所介绍的模型旨在加强网络捍卫者可用的预测和预期能力,同时还通过尽早改进洛克希德·马丁公司的网络杀戮链框架中的预防和检测来增强复原能力。
意识到这些局限性后,政府和私营部门的网络安全专家对目前网络防御的性质表示了不满,希望将其网络安全战略从反应性转变为主动性。这样的转变应该包括在网络威胁与防御者的网络建立联系之前,预测和定制应对网络威胁的战略,同时实施更快、更有效的预防和缓解政策。
本报告的主要目的就是探讨如何解决这个问题,并在应用预警和复原力概念的基础上,通过在网络空间实施可扩展预警和复原力模型(SWARM),制定针对网络事件的主动防御战略。有了SWARM模型,针对数据收集和分析的技术和工具之间也可以进行有条不紊的整合,该模型可以帮助防御者在事件发生前识别对其信息环境的威胁。拟议的高级别框架具有可扩展性的特点,且其具有一定适应性,可以在任何政府、私营部门和国际组织的现有能力范围内加以应用和整合。
SWARM的开发首先基于对美国情报界(USIC)所使用的迹象和警告(I&W)框架分析。这些特定的USIC框架的应用广泛且经过反复测试,也为SWARM提供了严格的方法论基础。但由于这一主题的高度敏感性,导致深入研究这一问题的所有方面的能力有限,本报告中提出的论点是建议性的,而不是确定性的,且其目的是作为一个基础和起点,防御者可以从中进行初步选择,采用并适应其网络防御计划。
I&W框架的主要定义
针对国家与国际战略的研究表明,信息和财富相关的概念固然很重要,但在美国信息委员会、网络社区以及美国的合作伙伴和盟友之间,并不存在正式的I&W框架定义。不同的政府,甚至是政府内部的部门,对I&W框架的解释都略有不同。这种概念上的模糊性妨碍了在政府部门和领域之间整合和应用共同的工业和福利框架。为了避免混淆,弥合术语鸿沟,并建立一个共同的理解框架,本节定义了一些与I&W框架相关的关键术语的概念变化,提供了I&W框架的定义,并提出了在网络空间整合I&W框架的论点。
I&W在美国工业委员会和美国军队的定义下,是一个成熟的概念和实践理论。I&W被用来通知决策者可能对安全利益或军事力量产生负面影响的敌对活动。
美国国防部(DoD)的定义下,I&W是一种情报活动,“旨在检测和报告关于外国发展的时间敏感的情报信息,这些信息预示着针对美国实体、伙伴或利益的敌对行动或意图'。同样,它是是一个分析过程,提供了一种结构化的方式,来持续监测、报告和检测可能表明发生潜在威胁的发展。
国防情报局将I&W定义为“与决策者就美国和盟国安全、军事、政治、信息或经济利益所面临的威胁进行的独特沟通。信息应在足够的时间内发出,以便决策者有机会避免或减轻威胁的影响。”
但是,I&W的概念在网络安全界还没有很好地确立。网络安全领域认为I&W是一个结构化的过程,但网络学派对收集的信息类型和应包括在网络I&W框架中的信息时间范围存在分歧。一些专家和实践者认为网络I&W应该包括技术和地缘政治数据,而其他人则认为I&W过程应该只分析技术数据。
为了规范我们的理解,本报告给I&W进行了定义,即“一个分析过程,侧重于从广泛的来源收集和分析信息,以制定有助于预测、早期发现和预防的指标,以及与信息环境相关的网络事件警告”。
在过去的几十年里,美国情报局和军方已经开发并应用了几个公开的经典情报指示和警告框架,从而监测对手的潜在威胁行为。
这些框架包括:洛克伍德预测分析法(LAMP)、情报预警过程的七个阶段、以及国防部的国防预警网络手册;一些修改后的框架包括罗宾逊、阿斯特里奇和斯旺森对洛克伍德LAMP方法的改编(2012年)以及由情报和国家安全贸易协会情报和国家安全联盟(INSA)出版的高级框架。
这些经过测试的框架为设计网络I&W框架提供了宝贵的初步路线图,并为最近发表的一些适应网络空间的I&W框架提供了灵感。
这些框架由一系列步骤组成——包括数据收集、分析和报告的分析过程。它们在特异性水平和包含的步骤数量以及对过程不同阶段的强调上有所不同。例如:
洛克伍德的方法包含12个步骤,并强调未来是基于概率的情景的变化频谱。这种方法建议识别这些情景,估计和排列它们的相对概率,并设计能够表明这些情景即将实现的指标。
相比之下,《国防部预警网络手册》仍然承认识别未来潜在情景的重要性,但更强调探索减轻威胁和传达预警的方案。
情报预警过程的七个阶段提供了一个更加平衡的逐步方法,突出了LAMP和国防部方法中概述的主要方面,并进一步阐述有必要将数据收集者的重点放在现有的情报差距上,这些差距应用于完善情报预警过程的监测和结论。
最近发布的适应网络领域的I&W框架包含类似于情报I&W框架的结构元素,通常包含用于标准化网络事件数据收集、报告和分析的网络威胁模型。
罗宾逊及其同事提出的这个过程基于LAMP方法,并建议使用洛克希德马丁公司的网络杀戮链作为工具,通过这个工具来标准化和获取对手行动路线的信息。
INSA框架提出了一个类似的方法,并进一步建议使用MITRE的对手战术、技术和常识(ATT&CK)框架。ATT&CK是一种基于威胁的敌方战术手册分类法,旨在通过收集不同敌方的具体战术、技术和程序(TTP)的详细技术数据,绘制真实世界的行为和技术。ATT&CK绘制了敌方攻击后技术图,是洛克希德马丁公司网络杀戮链的扩展。每个ATT&CK战术手册都是一个攻击后威胁模型,基于这样一个假设,即敌方可能会在每次行动中使用相同的战术手册,或者随着时间的推移改变技术组合。
另一个模型可以包含在I&W框架的一个阶段中,从而获得关于对手行为的具体技术数据,这个模型就是菱形模型,它是由网络情报分析和威胁研究中心开发的。菱形模型用于对攻击群的四个主要元素的数据进行分类,而不是单个攻击——这些要素包括对手、基础设施、能力和受害者。
尽管在I&W过程中对不同阶段和特异性水平的强调有所不同,但所审查的框架包含可分为七类的共同阶段:(1)构建问题,(2)确定防御威胁,(3)确定防御资产,(4)制定攻击场景,(5)制定指标,(6)监控制定的指标,(7)对其采取行动。
这些模型为一个严谨实用的网络I&W框架的设计提供了宝贵的方法基础。尽管这些框架有其优点,但公开的文献并未充分强调许多关键组成部分,特别是关于每个步骤的具体程度,例如应收集何种类型的数据进行分析,应如何分析数据,应该使用什么方法进行分析,以及如何将这些框架整合到现有的网络防御结构中。下一章将本章概述的框架的主要组成部分结合起来,提出了一种实用灵活的预警和复原模型,网络维护者可以适应其信息环境,以抵御当前和正在出现的网络威胁。
SWARM模型的目标及步骤
第三部分侧重介绍SWARM模型的两个主要目及四个操作步骤,了解这些有助于确定传统的I&W框架所适用的网络空间类型,以及它们主要的组成部分和需要改进的地方,从而为实用的模型设计提供参考。考虑到I&W和弹性相辅相成的作用,如果整合这两个部分的模型,则可以为现有的网络防御方法带来实质性的改进——也就是SWARM模型的原理所在。
SWARM的目的是让处于不同能力成熟度水平的组织都可以使用和适应,网络防御团队可以利用他们的资源在自己的信息环境中扩展、调整和整合这些步骤。这个模型不应作为某组织的唯一防御机制,而应该是有效的分层防御性网络操作方法下的一个组成部分。理想情况下,在应用SWARM之前,其所属组织应该已经对他们的关键基础设施和数据,以及识别敌方可能利用的潜在攻击载体
首先,它旨在提高预测能力,通过早期和更全面的技术和非技术指标,为网络事件提供预先警告。
其次,该模型旨在加强网络对目标网络事件的复原力,SWARM以威胁为中心,由四个步骤组成。
【步骤1】防御者可以先确定其组织所处的类别,识别对其信息环境构成最大威胁的网络威胁者,从而为优先收集网络威胁情报(CTI)数据奠定基础。
要做到这一点,防御者可以先查阅兰德公司所制定的组织类别清单。一旦防御者确定了其组织所属的类别,他们就可以利用SWARM模型,从而了解所有潜在的网络威胁。SWARM根据竞争对手的动机把网络威胁进行了分类,基于此防御者可以将这种网络威胁的类型与他们所属的组织类别进行类比,从而把潜在的威胁进行排序。
【步骤2】防御者可以使用步骤1中的信息,(尤其是相关性最大的网络威胁),通过对潜在威胁行为进行分析,从而集中收集所有来源的CTI。
在这一步骤中,防御者可以收集与这些特定威胁者的行为相关的指标信息,防御者最好同时关注技术和地缘政治指标,从而能预测网络事件。
【步骤3】防御者可以通过应用威胁建模框架,如MITRE的ATT&CK和PRE-ATT&CK工具,深入研究潜在对手的技术剖析,从而帮助识别针对其组织的对手已经实施的预防和检测措施。
如果防御者不确定某项技术是否会被预防或检测到,那么步骤3则能起到作用,同时有助于在第4步中识别并优先考虑对抗性技术,以便针对防御者的环境进行模拟操作。
【步骤4】防御者可以提前进行假想敌团队活动,即通过测试防御者引入其系统的工具,确保防御系统处于最新的版本,并确保防御系统对潜在威胁具备强大的防御能力。
图:兰德公司,可扩展预警和复原模型概览
In-Q-Tel公司首席安全官曾提到,“网络安全和情报职能之间有相似之处,在预测未来的威胁和提供防御方面有很大的作用”。该评论与本报告中提出的模型基本假设不谋而合。
报告借鉴了主要由USIC开发和完善的预警情报框架,提出了一个四步可扩展的以威胁为中心的模型,使防御者能够优先考虑他们的资源,并专注于保护他们的网络,以应对基于其组织类型的最有可能的威胁类别和对手。
SWARM结合了技术和战略指标,从而促进对针对其信息环境的网络事件的预测、早期检测和预警,同时也通过提高快速检测和响应来加强其系统的复原力。
在此基础上,SWARM提出了一种基于流程的方法来构建一个强大的防御体系结构,该体系结构将有助于预测和预警与信息环境相关的网络事件,同时增强恢复能力。这在当前快速发展的网络威胁环境中对组织来说尤为关键,随着网络防御团队为他们的组织实施和调整SWARM,我们相信这种操作经验会不断改进和完善。
(全文完)