美国防部利用C2C框架提升网络安全战备状态

编者按：“遵从连接”（Comply-to-Connect，C2C）是由工具和技术构成的综合网络安全框架，旨在提高美国国防部当前和新兴运营环境中网络安全的效率。C2C强调使用同步编排来减少劳动密集型网络安全工作并提高运营网络安全效率，通过报告资产安全合规性状态来提高国防部信息安全连续监视计划的有效性。在数字化转型和新漏洞不断涌现的形势下，美国防部将C2C视为采用“零信任”原则的路线图和构建模块，并正着手在其整个全球企业中采用C2C，通过设备识别、自动编排和持续监控提升网络安全的战备状态。奇安网情局编译有关情况，供读者参考。

2019年，一名美国海岸警卫队员工无意中点击了电子邮件中嵌入的恶意链接，从而触发了Ryuk勒索软件攻击。在接下来的30小时内，攻击者破坏了“重要的”企业IT网络文件并对其进行了加密，切断了《海事运输安全法》监管设施的访问权限。

根据海岸警卫队的声明，恶意软件攻击遍及该机构的综合IT和运营技术网络，影响了“监视和控制货物转移以及对流程操作至关重要的加密文件的工业控制系统（ICS）。效果包括破坏摄像机和物理访问控制系统，以及关键过程控制监视系统的丢失。”

该事件表明，军事机构迫切需要建立网络安全战备，包括对工业控制系统，以及其他所有互联基地和战场的联网运营技术。海岸警卫队的袭击不是演习或假想场景。事件发生了，并说明了没有这种战备会发生什么情况。

幸运的是，已经有一个资助计划可以立即实现这一过渡。在国防部内部，一些机构已将“遵从连接”（Comply-to-Connect，C2C）纳入其网络安全策略，以改善设备和系统的身份验证、授权、合规评估和自动修复。在C2C框架内，IT团队对设备和系统进行身份验证，并在授权网络访问之前评估它们是否符合美国防部安全策略。合规设备和系统可以访问执行任务所需的适当网络段，而未授权的设备要等到成功满足合规性要求后才能访问。美国防部现正着手在其整个全球企业中采用C2C框架。

C2C确保严格检查受信任的授权设备是否存在恶意代码、违禁软件、违规行为和其他风险。与以前的安全项目相比，C2C适用于非传统的联网端点，包括物联网（IoT）设备和运营技术（OT）设备，例如工业控制系统（ICS）、楼宇自动化系统、武器和其他战术系统、医疗设备以及许多其他任务支持设备。C2C将需要保护的所有系统及其组件作为一个整体“整合在一起”。

事实证明，为军事基地提供电力、水力和其他功能的工业控制系统基础设施的战备越来越重要。没有它们，我们的任务系统根本无法工作。实际上，美国国防部在300000多座建筑物中依靠估计250万个ICS资产来对公用事业和工业系统进行实时、自动化的监视和管理。

然而，在当今数字化转型的今天，C2C在运营技术（OT）设备和系统中的广泛应用发挥着至关重要的作用，尤其是在持续的创新带来新漏洞情况下。美国政府问责局（GAO）在题为《武器系统网络安全：国防部才刚刚开始解决规模性漏洞》的报告中指出，国防部“在保护其武器系统免受日益复杂的网络威胁方面面临着越来越大的挑战……国防部在优先考虑武器系统的网络安全方面起步较晚；且国防部不清楚如何开发更安全的武器系统。”

根据GAO报告，大量武器系统依赖于软件赋能的ICS连接来监视和管理设备并执行基本功能。GAO表示，ICS最初是为在受信任的环境中使用而设计的，因此许多ICS并未“纳入安全控制”。而且，国防部官员承认，他们的项目办公室可能不知道“武器中嵌入了哪些工业控制系统，或者使用它们会带来什么安全隐患。”GAO研究引发的讨论说明了国防部和所有大型组织面临的挑战，即如何可视化资产并解决跨越不同私营部门供应商和原产国技术供应链中的其他不可避免的漏洞。

鉴于复杂性，C2C已成为国防部内部采用“零信任”原则的路线图和构建模块。根据NIST的定义，零信任架构“提供了一系列概念、想法和组件关系（架构），旨在消除在信息系统和服务中执行准确的访问决策时的不确定性。” 它阻止对数据和服务的未经授权的访问，同时根据需要使控制实施更加精细。

以下三个组成部分进一步定义了有效的C2C框架：

全面的设备可见性、发现和分类：网络上几乎总是存在比定期清单建议的更多类型的设备。各机构必须通过结合主动和被动网络监控技术来识别连接系统的数量和类型，从而获得完全的可见性。

通过安全性和管理流程对设备可见性进行编排：真正的网络可见性的最大价值在于能够根据发现的内容采取行动。国防部系统受广泛的合规性和配置管理工具的约束；为了提高这些投资的投资回报率，C2C负责实现将系统还原到受信任状态所需行动的自动化操作和编排。

持续监控： 美国国防部系统中设备和网络活动的规模以及办公室、设施、野外和其他非传统系统中C2C的范围，意味着“连续”至关重要。C2C不仅能阻止未经授权的设备和补救漏洞，其广泛的价值还来自于持续的态势感知—使领导者能够随着逐渐了解其网络结构，改善安全、性能和规划决策。

在国防方面，执行任务战备是最重要的指标。传统衡量标准包括以下部队能力：关键地区预置补给；保持人员训练有素且身体健康；更新和执行评估新兴冲突和人道主义危机热点的计划。

如今，战备就绪还意味着部队可以采用全面的自动化方法进行监视，从而可以及时知道恶意网络活动是否以及如何拒止、降级、破坏、欺骗甚至摧毁系统。通过提供前所未有的网络感知、自动化威胁响应和整个企业的网络风险降低，C2C可以提高国防部企业网络能力，同时满足对知情决策和任务战备的永恒需求。

声明：本文来自奇安网情局，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。