2008年“全面的國(guó)家網(wǎng)絡(luò)安全行動(dòng)（CNCI）”

 美國(guó)公布的目標(biāo)和現(xiàn)狀

美國(guó)公布2013年現(xiàn)狀

2.1.2  愛因斯坦計(jì)劃

美國(guó)為了面對(duì)網(wǎng)絡(luò)安全攻擊，在2004年啟動(dòng)了愛因斯坦計(jì)劃，目標(biāo)是在政府網(wǎng)絡(luò)出口部署入侵檢測(cè)、netflow檢測(cè)、入侵防護(hù)系統(tǒng)來(lái)提供攻擊的早期預(yù)警和攻擊防護(hù)，但是鑒于愛因斯坦項(xiàng)目存在一些內(nèi)容監(jiān)控（郵件，上網(wǎng)行為）的監(jiān)控技術(shù)手段，被民眾指責(zé)，隨后逐漸淡化宣稱。愛因斯坦項(xiàng)目經(jīng)過(guò)十余年的發(fā)展，技術(shù)逐漸成熟，總體而言，該項(xiàng)目共有3個(gè)發(fā)展階段。

愛因斯坦1
 基于流的統(tǒng)計(jì)分析技術(shù)，2004年啟動(dòng),通過(guò)分析網(wǎng)絡(luò)的流量信息查找可能的惡意活動(dòng)，采用政府網(wǎng)絡(luò)出口路由器的netflow技術(shù)實(shí)現(xiàn)。

愛因斯坦2
 基于特征的入侵檢測(cè)系統(tǒng)?？梢酝ㄟ^(guò)分析網(wǎng)絡(luò)的流量信息來(lái)查找以發(fā)現(xiàn)非授權(quán)的訪問(wèn)和惡意的內(nèi)容，這是通過(guò)對(duì)進(jìn)出美國(guó)政府網(wǎng)絡(luò)的流量自動(dòng)進(jìn)行全封包檢查來(lái)實(shí)現(xiàn)的。當(dāng)聯(lián)邦網(wǎng)絡(luò)流量中出現(xiàn)惡意或可能有害的活動(dòng)時(shí)，愛因斯坦2 能夠向US-CERT提供實(shí)時(shí)報(bào)警，并對(duì)導(dǎo)出數(shù)據(jù)提供關(guān)聯(lián)和可視化能力。

愛因斯坦3
 基于威脅的決策系統(tǒng)。采用商業(yè)技術(shù)和專門為政府開發(fā)的技術(shù)來(lái)對(duì)進(jìn)出行政機(jī)關(guān)網(wǎng)絡(luò)的流量實(shí)施實(shí)時(shí)的全封包檢查，目標(biāo)是發(fā)現(xiàn)惡意的網(wǎng)絡(luò)流量并對(duì)其進(jìn)行特征化表示，以增強(qiáng)網(wǎng)絡(luò)安全分析、態(tài)勢(shì)感知和安全響應(yīng)能力。由于采用的入侵防御系統(tǒng)支持動(dòng)態(tài)防御，它能在網(wǎng)絡(luò)威脅造成損害之前對(duì)其自動(dòng)檢測(cè)并正確響應(yīng)。愛因斯坦 3還為國(guó)土安全部提供了對(duì)檢測(cè)到的網(wǎng)絡(luò)入侵企圖進(jìn)行自動(dòng)報(bào)警的能力。國(guó)土安全部將采納國(guó)家安全局通過(guò)外國(guó)情報(bào)工作以及國(guó)防部在信息保障工作中發(fā)現(xiàn)的威脅特征，以支持國(guó)土安全部的聯(lián)邦系統(tǒng)安全。

總體而言，愛因斯坦項(xiàng)目就是DFI（深度流檢測(cè)）+DPI（深度包）+決策支撐系統(tǒng)，實(shí)際上，針對(duì)威脅態(tài)勢(shì)感知預(yù)警，是目前比較完整的技術(shù)架構(gòu)。除此外，愛因斯坦項(xiàng)目每年約有300左右的維護(hù)團(tuán)體，進(jìn)行深入的數(shù)據(jù)挖掘工作。而決策支撐系統(tǒng)是分析師們的成果。

2.1.3  可信互聯(lián)網(wǎng)連接（TIC）計(jì)劃

2007年，在愛因斯坦計(jì)劃基礎(chǔ)上提出可信互聯(lián)網(wǎng)連接（TIC）計(jì)劃，目標(biāo)是將聯(lián)邦政府8000個(gè)網(wǎng)絡(luò)出口歸并為50個(gè)左右。出口整合后，便于進(jìn)行安全設(shè)備統(tǒng)一部署，監(jiān)控和防護(hù)也能做到一體化。隨著進(jìn)展的深入，隨著進(jìn)展的深入，美國(guó)發(fā)現(xiàn)政府基層的辦事處（類似街道辦的級(jí)別）很難覆蓋完全，又提出了可管理的可信互聯(lián)網(wǎng)協(xié)議服務(wù)“Managed Trusted Internet Protocol Services” (MTIPS)。基層的辦事處也可以通過(guò)運(yùn)營(yíng)商提供NBIP-VPN，連接到MTIPS網(wǎng)絡(luò)中，統(tǒng)一上互聯(lián)網(wǎng)，從而完成TIC目標(biāo)（見下圖）。按照美國(guó)政府計(jì)劃，在2013年整合95%的出口。

 可管理的可信互聯(lián)網(wǎng)協(xié)議服務(wù) (MTIPS)

美國(guó)公布的TIC計(jì)劃2013年目標(biāo)

2.1.4  持續(xù)監(jiān)控計(jì)劃

信息安全持續(xù)監(jiān)控（ISCM）是定義為對(duì)信息安全、脆弱性和威脅保持持續(xù)的評(píng)估，來(lái)支撐組織的風(fēng)險(xiǎn)管理決策。2010年的《聯(lián)邦信息安全管理法》(Federal Information Security Management Act)，又稱 FISMA 2.0，要求各機(jī)構(gòu)的信息安全方案中必須包含信息系統(tǒng)的持續(xù)監(jiān)測(cè)。美國(guó)行政管理和預(yù)算局 (OMB) 已經(jīng)規(guī)定了最后的期限，各機(jī)構(gòu)的首席信息官必須在 2012 財(cái)年結(jié)束之前實(shí)施可持續(xù)監(jiān)測(cè)網(wǎng)絡(luò)安全的軟件。這個(gè)計(jì)劃目標(biāo)是將一個(gè)靜態(tài)安全控制評(píng)估和風(fēng)險(xiǎn)測(cè)定過(guò)程變換成一個(gè)可以提供必要的、實(shí)時(shí)的且反映相關(guān)安全狀態(tài)信息的動(dòng)態(tài)系統(tǒng)。也就是說(shuō)美國(guó)聯(lián)邦政府希望從以前只能通過(guò)手動(dòng)審核的聯(lián)邦信息系統(tǒng)法規(guī)遵從性評(píng)估管理過(guò)程提升到系統(tǒng)化的接近實(shí)時(shí)的自動(dòng)化過(guò)程，動(dòng)態(tài)管理企業(yè)的風(fēng)險(xiǎn)。要求各機(jī)構(gòu)持續(xù)監(jiān)測(cè)其整個(gè) IT 環(huán)境，修復(fù)有漏洞且不合規(guī)的項(xiàng)目，并根據(jù)聯(lián)邦數(shù)據(jù)調(diào)用要求出具報(bào)告。聯(lián)邦政府為這個(gè)項(xiàng)目，從2013年起，5年內(nèi)撥款了60億美元來(lái)采購(gòu)相關(guān)技術(shù)工具和服務(wù)。2011年11月15開始，各個(gè)政府機(jī)構(gòu)必須通過(guò)一個(gè)基于Web網(wǎng)關(guān)平臺(tái)（網(wǎng)絡(luò)轄域：Cyber Scope），按月提交報(bào)告。報(bào)告的好壞，成為政府績(jī)效評(píng)定的重要標(biāo)準(zhǔn)，并決定官員升遷。
 

 

美國(guó)公布的持續(xù)監(jiān)控的目標(biāo)95%

2.1.5  將持續(xù)診斷與緩解(CDM)作為工具和服務(wù)交付計(jì)劃

為了保障持續(xù)監(jiān)控ISCM計(jì)劃的順利進(jìn)行，美國(guó)國(guó)土安全部開發(fā)了“將持續(xù)診斷與緩解(CDM)作為工具和服務(wù)交付計(jì)劃（The tools and services delivered through the Continuous Diagnostics and Mitigation program），由通用動(dòng)力公司等的17家服務(wù)商，簽訂了為期五年的由政府制定的一系列“持續(xù)監(jiān)控”協(xié)議。這些公司將為美國(guó)國(guó)土安全部、聯(lián)邦、州和地方政府提供持續(xù)監(jiān)控工具，持續(xù)監(jiān)控可以加強(qiáng)政府網(wǎng)絡(luò)空間安全、評(píng)估和打擊實(shí)時(shí)網(wǎng)絡(luò)空間威脅，并將持續(xù)監(jiān)控作為一種服務(wù)手段（云服務(wù)），提供給需要的政府單位的網(wǎng)絡(luò)空間監(jiān)控和安全風(fēng)險(xiǎn)緩解服務(wù)。同時(shí)為需要額外服務(wù)的機(jī)構(gòu)提供數(shù)據(jù)整合和提供用戶個(gè)性化服務(wù)。簡(jiǎn)單而言，就是將持續(xù)監(jiān)控需要的產(chǎn)品和服務(wù)標(biāo)準(zhǔn)化，通過(guò)服務(wù)提供給政府單位。CDM計(jì)劃力圖保護(hù)聯(lián)邦以及政務(wù)單位的IT網(wǎng)絡(luò)免受網(wǎng)絡(luò)安全威脅，通過(guò)提供持續(xù)監(jiān)控引擎工具，診斷、緩解工具和持續(xù)監(jiān)控服務(wù)Continuous Monitoring as a Service (CMaaS) 來(lái)增強(qiáng)政府網(wǎng)絡(luò)安全態(tài)勢(shì)。

2.2  美國(guó)安全建設(shè)的啟示

研究美國(guó)的安全建設(shè)可以看出，美國(guó)是通過(guò)TIC可信互聯(lián)網(wǎng)連接來(lái)進(jìn)行網(wǎng)絡(luò)整合，便于統(tǒng)一進(jìn)行高質(zhì)量的安全監(jiān)控和防護(hù)。同時(shí)，針對(duì)資產(chǎn)、漏洞、配置做有體系的持續(xù)監(jiān)控。便于及時(shí)發(fā)現(xiàn)各個(gè)網(wǎng)站的漏洞，提升網(wǎng)絡(luò)安全態(tài)勢(shì)感知，提升安全防護(hù)能力。可以將部分安全服務(wù)形成云服務(wù)，進(jìn)行進(jìn)一步標(biāo)準(zhǔn)化，便于提升服務(wù)質(zhì)量，降低安全成本。

三.  綠盟下一代安全決策預(yù)警體系

綠盟科技作為國(guó)內(nèi)最大的專業(yè)安全廠家之一，擁有最全面的產(chǎn)品線，在DFI檢測(cè)（綠盟NTA異常流量監(jiān)控產(chǎn)品），DPI檢測(cè)方面（綠盟IPS/IDS入侵檢測(cè)/保護(hù)產(chǎn)品），脆弱性檢測(cè)方面（綠盟RSAS遠(yuǎn)程安全評(píng)估產(chǎn)品，BVS配置核查產(chǎn)品，WSM網(wǎng)站監(jiān)控產(chǎn)品）均為國(guó)內(nèi)第一或者唯一的產(chǎn)品，而依托綠盟大數(shù)據(jù)安全分析系統(tǒng)，綠盟形成全部自主可控的預(yù)警監(jiān)測(cè)平臺(tái)，并進(jìn)行云監(jiān)護(hù)服務(wù)。集成多年經(jīng)驗(yàn)，綠盟形成了下一代安全決策預(yù)警技術(shù)體系。

3.1  態(tài)勢(shì)感知的相關(guān)研究

隨著近年來(lái)在態(tài)勢(shì)感知方面研究的努力，在總體視圖我們已經(jīng)完成被動(dòng)威脅感知的相關(guān)研究，目前已經(jīng)完成了DDOS攻擊態(tài)勢(shì)感知，網(wǎng)絡(luò)入侵態(tài)勢(shì)感知，僵木蠕態(tài)勢(shì)感知，溯源追蹤等系統(tǒng)，正在進(jìn)行整合。

3.1.1  DDOS態(tài)勢(shì)感知

DDOS威脅一般稱為網(wǎng)絡(luò)氫彈，是目前國(guó)與國(guó)之間，競(jìng)爭(zhēng)對(duì)手之間的主要攻擊方式，成本低，見效大。DDOS攻擊越來(lái)越頻繁，尤其針對(duì)發(fā)達(dá)地區(qū)和重點(diǎn)業(yè)務(wù)，某省電信每天發(fā)生的DDOS攻擊次數(shù)在100次左右。其次，DDOS攻擊流量越來(lái)越大，從檢測(cè)結(jié)果來(lái)看20%以上攻擊在大于20G。2014年4月，監(jiān)測(cè)到的某電信的單一IP攻擊流量達(dá)到300G。因此，如何檢測(cè)預(yù)警大型的DDOS攻擊。是我們研究重點(diǎn)。在這個(gè)方面，綠盟進(jìn)行了超過(guò)十年的研究積累，綠盟新版本的NTA網(wǎng)絡(luò)異常流量檢測(cè)，可以全目標(biāo)檢測(cè)(傳統(tǒng)DFI設(shè)備為了提升性能，需要設(shè)定檢測(cè)目標(biāo))。而且擁有自學(xué)習(xí)功能，可以降低80%以上誤報(bào)，經(jīng)過(guò)處理后，800G出口的骨干網(wǎng)，形成告警完全是可以處置的。
 

3.1.2  網(wǎng)絡(luò)入侵態(tài)勢(shì)感知

網(wǎng)絡(luò)入侵態(tài)勢(shì)感知是國(guó)際上公認(rèn)的難點(diǎn)，核心是海量日志的挖掘和決策支持系統(tǒng)的開發(fā)，發(fā)達(dá)國(guó)家這方面的研究比較領(lǐng)先。綠盟科技經(jīng)過(guò)多年的研究，提出“基于對(duì)抗的智能態(tài)勢(shì)感知預(yù)警模型”，形成“入侵威脅感知引擎NSTSA”和“APT攻擊推理引擎（NS）”，通過(guò)決策推理狀態(tài)機(jī)制來(lái)實(shí)現(xiàn)了這方面的研究，取得較好的成果。有望解決海量日志挖掘的工作。尤其是決策推理系統(tǒng)的相關(guān)研究，吸收國(guó)外著名的kill chain擊殺鏈和attack tree攻擊樹的相關(guān)研究，形成綠盟獨(dú)有的推理決策系統(tǒng)，借助BSA大數(shù)據(jù)分析系統(tǒng)的分布式數(shù)據(jù)庫(kù)，可以實(shí)現(xiàn)決策預(yù)警，真正的為企業(yè)服務(wù)。經(jīng)過(guò)實(shí)際測(cè)試，在1G的典型環(huán)境中，1天IDS日志在20萬(wàn)條，經(jīng)過(guò)“入侵威脅感知引擎NSTSA”后，形成500個(gè)左右的事件，經(jīng)過(guò)“APT攻擊推理引擎（NS）”后，僅僅形成10-20個(gè)攻擊成功的事件。
 

 

3.1.3  僵木蠕態(tài)勢(shì)感知

在辦公網(wǎng)等內(nèi)網(wǎng)環(huán)境中，僵木蠕的威脅是首要威脅，僵木蠕引起的arp，DDOS斷網(wǎng)等問(wèn)題成為主要問(wèn)題，更不用說(shuō)由僵木蠕導(dǎo)致的apt泄密等事件了。在這個(gè)場(chǎng)景下，我們嘗試進(jìn)行APT的深入挖掘。

3.1.4  APT攻擊態(tài)勢(shì)監(jiān)控

已知攻擊檢測(cè)，我們可以用入侵檢測(cè)設(shè)備，防病毒，但是針對(duì)目前越來(lái)越嚴(yán)重的APT攻擊，我們需要更先進(jìn)的技術(shù)手段和方法。綠盟威脅分析系統(tǒng)TAC，可有效檢測(cè)通過(guò)網(wǎng)頁(yè)、電子郵件或其他的在線文件共享方式進(jìn)入網(wǎng)絡(luò)的已知和未知的惡意軟件，發(fā)現(xiàn)利用0day漏洞的APT攻擊行為，保護(hù)客戶網(wǎng)絡(luò)免遭0day等攻擊造成的各種風(fēng)險(xiǎn)，如敏感信息泄露、基礎(chǔ)設(shè)施破壞等。因此，在整個(gè)防護(hù)體系中，未知的0day攻擊，APT態(tài)勢(shì)感知，我們依靠TAC來(lái)完成。
 

3.1.5  溯源追蹤

如何在海量網(wǎng)絡(luò)中追蹤溯源DDOS攻擊，網(wǎng)絡(luò)入侵攻擊是業(yè)界難點(diǎn)和重點(diǎn)，我們采用DFI模式開發(fā)網(wǎng)絡(luò)溯源系統(tǒng)，針對(duì)APT攻擊，DDOS攻擊，僵木蠕進(jìn)行有效的追蹤溯源?？梢员ＷC未知的攻擊的危害得到有效的溯源，如，DDOS攻擊可以溯源到鏈路，物理接口。APT溯源可以溯源到外泄了多少G的數(shù)據(jù)。僵木蠕溯源可以溯源CC主機(jī)的影響范圍。未來(lái)基于信譽(yù)情報(bào)，可以挖掘更多信息，重要的是，提供了在海量數(shù)據(jù)下的溯源難題?？梢栽诘统杀鞠?，還原任何IP的流量。
 

3.1.6  脆弱性態(tài)勢(shì)

作為國(guó)內(nèi)領(lǐng)先的安全廠家，綠盟科技遠(yuǎn)程安全評(píng)估產(chǎn)品，web應(yīng)用掃描產(chǎn)品和系統(tǒng)配置核查產(chǎn)品，長(zhǎng)期以來(lái)市場(chǎng)占有率第一，其中遠(yuǎn)程安全評(píng)估產(chǎn)品連續(xù)4年占有率第一。作為檢測(cè)的首選工具，依托于這些產(chǎn)品，可以形成，脆弱性態(tài)勢(shì)感知，上級(jí)單位可以一眼看出下級(jí)單位的風(fēng)險(xiǎn)分布情況。依托此技術(shù)可以形成企業(yè)版的ISCM持續(xù)監(jiān)控系統(tǒng)。為企業(yè)風(fēng)險(xiǎn)管理中脆弱性管理保駕護(hù)航。

 
3.1.7  網(wǎng)站態(tài)勢(shì)監(jiān)控

網(wǎng)站作為企業(yè)對(duì)外的窗口，面臨的安全威脅也最多，因此，有必要部署專門的網(wǎng)站監(jiān)控設(shè)備形成網(wǎng)站安全態(tài)勢(shì)監(jiān)控，監(jiān)控網(wǎng)站漏洞，平穩(wěn)度，掛馬，篡改，敏感內(nèi)容，并有效進(jìn)行運(yùn)維管理，從而言避免因?yàn)榫W(wǎng)站出現(xiàn)問(wèn)題導(dǎo)致公眾問(wèn)題。
 

3.2  安全大數(shù)據(jù)的相關(guān)研究

面對(duì)海量的安全日志，傳統(tǒng)數(shù)據(jù)庫(kù)下進(jìn)行態(tài)勢(shì)感知，數(shù)據(jù)挖掘變得極端困難。綠盟近年來(lái)投資進(jìn)行了安全大數(shù)據(jù)方面的研究，形成綠盟安全大數(shù)據(jù)分析系統(tǒng)(BSA)，采用多種最新的技術(shù)，如MQ、Hadoop分布式數(shù)據(jù)庫(kù)、搜索型數(shù)據(jù)庫(kù)、內(nèi)存數(shù)據(jù)庫(kù)等最新的技術(shù)，使得海量數(shù)據(jù)的挖掘，高速處理成為可能。而在未來(lái)，我們將在此基礎(chǔ)上形成企業(yè)級(jí)的私有云服務(wù)。
 

四.  結(jié)語(yǔ)

在云計(jì)算，互聯(lián)網(wǎng)+的大趨勢(shì)下，國(guó)家、企業(yè)面臨的問(wèn)題也越來(lái)越相似，動(dòng)輒10G，100G的出口，使得我們?cè)趹B(tài)勢(shì)感知、威脅發(fā)現(xiàn)、早期預(yù)警變得非常困難。利用新技術(shù)，新架構(gòu)使得傳統(tǒng)的技術(shù)無(wú)法實(shí)現(xiàn)成為可能，在未來(lái)，我們將繼續(xù)在這個(gè)領(lǐng)域中進(jìn)行研究，使得態(tài)勢(shì)感知的研究真正為企業(yè)決策提供參考，真正為國(guó)家安全、企業(yè)安全保駕護(hù)航。

liwz

need 500 dollars today