网络空间态势感知体系发展

网络空间（Cyber）态势感知体系发展

----看美国网络安全战略演进

编者按：美国是Internet的缔造者，其理所当然的成为了这片广袤领域的“掘金者”；然而，当时光的指针推送大家来到「互联网时代」，由美国操纵的那个曾经“天真无邪”的Internet已经发展成为了摄人心魄的「魔戒」，它的主人（美国）的欲望也随之贪婪无度的增长，甚至希望能够占据Cyber空间中的一切！托「NSA前雇员.斯诺登」的贡献，我们才能够窥探到美国在Cyber领域控制欲望的无限生长。本文，从美国「网络空间Cyber态势感知体系」演进的角度，分析一二。

一．美国信息安全领域的几个“重量级”文件

根据美国信息安全发展的脉络，本文作者收集并整理了自1998年到2018年，美国的与「安全感知」相关的11份重要文件，如下表所示：

上述11份文件，构成了美国在「Cyber安全感知领域」比较完整的文字表述，后文会以这11份文件为基础，逐步分析美国信息安全战略的逐步演进。

二．Cyber态势感知基本组件构建阶段

本阶段主要跨越1998—2002年，以上节表中前3个基本文件为政策基石，倡导建立基本防御体系（包括：基本信息安全设备、安全策略以及相关专业人员，主要针对本土关键基础设施 & 联邦政府网络）。

在这个阶段，由于美国和欧洲刚刚经过了互联网经济大发展的黄金10年，信息技术已经很大程度的改变着人们的生活，不过另一方面，这也像打开了一个潘多拉魔盒，信息安全问题也源源不断的涌了出来，各种蠕虫（Nimda、CodeRed….轮番登场）、DoS、滥用充斥着互联网。

所以，在1998—2005年，美国全力应付这些由一群爱好者们（ScriptKid）驱动的，现在看来十分“幼稚”的攻击方法，主要的应对策略便是：

1. 依据PDD-63总统令，要求关键基础设施部署必要的信息安全设备；

2. 依据IATF，建立「信息安全保障框架」，主要包括部署纵深防御的硬件设备和建立一套完善的安全保障管理机制；

3. 依据FISMA法案，要求美国联邦政府网络严格实施上述两个方案。

本阶段小结：这一阶段，美国DOD还开发了信息安全领域比较重要的「彩虹系列文件」，其中的橘皮书就是现在被广泛应用的CC的前身（GB/T 18336），综合这些计划，美国的总体目标就是建立应对传统信息安全威胁的技术和管理能力，这些基本能力为日后的Cyber态势感知能力构建打下了深刻的基础。

三．Cyber态势感知基本能力构建阶段

本阶段主要跨域2005—2010年，以第一节表中第4个文件为基石，倡导在本土Federal范围内建立完备的数据截获、分析能力，并建立国家级信息安全运营中心，将被动监控的数据进行实时分析、并展示。

在这个阶段，由于刚刚经历过9.11恐怖袭击事件，而且一大批Internet技术较为落后的国家已经迎头赶上（如90年代末---2005年左右，是中国Internet大发展阶段，SinaSOHUNetEaseBaiduTencent…），使得信息安全领域又多了一些“坏小子”。

所以，在2005---2010年，美国推出了号称美国「信息安全领域的曼哈顿计划」的庞大国家计划，以应对互联网上所谓的一些“恐怖组织”。据相关信息介绍，CNCI计划总投资将达到300—400亿美元。其主要的子项目如下：

1. TIC计划（Trusted Internet Connection）

本计划强力推进Federal网络集体接入，要求“各机构，无论是作为TIC访问服务供应商，或作为通过联邦总务局管理的Networx合同的商业性托管可信IP服务（MTIPS）供应商”，一律参与TIC计划。

2. 爱因斯坦I II III计划

本计划对通过TIC集中接入的网络做数据捕获和深入分析：

(1) I阶段，联合US-CERT，应用基于Flow(NetFlow)的DFI技术进行数据分析；

(2) II阶段，应用DPI技术进行恶意行为发现(本质来说是IDS)；

(3) III阶段，应用FPI技术，并扩展Sensor位置，前置到ISP的IDC中。

本阶段小结：这一阶段，美国已经开始逐步构建自己的态势感知体系，借助第一阶段所输出的安全保障能力（这里主要指代安全设备）和商业领域刚刚发展起来的SIM & SEM技术，将大量的日志、流量监控起来，形成基本的态势感知体系（由于这里的感知源都是被动获得，所以这里姑且称它为「态势感知体系1.0」）。

四．Cyber态势感知扩展能力构建阶段

本阶段主要跨域2010—2015年，以第一节表中第5、6、7号文件为基石，倡导进一步加固关键基础设施网络组件（动因：工业4.0的发展 & 工业黑客攻击技术的发展） & 主动的探测能力和快速响应、作战能力。

在这个阶段，一方面发生了以Stuxnet、Havex为代表的瞄准「工业控制系统」的攻击事件，另一方面「克里米亚事件」、「美伊霍尔木兹海峡对峙」、「钓鱼岛事件」等，让战火的硝烟几度甚嚣尘上。这些事件让美国已经不满足于，被动的监测、感知。

所以，2010年以来，为了应对局势变化，展现其大国威慑，接连推出了3个重量级的计划（本部分计划附件中进行了详细介绍）：

1. 依据SHINE计划，DHS会定期监测本土关键基础设施网络组件的安全状态；

2. 依据X计划，DAPRA会为网络战部队提供战场地图快速描绘能力，并辅助生成作战计划，从而推动网络作战效率和能力；

3. 依据TreasureMap计划，NSA会形成对全球的多维度信息主动探测能力，从而形成大规模情报生产能力。

五．Cyber态势感知溯源反制能力构建阶段

本阶段政策性文件主要跨越2011—2018年，以第一节表中后4个文件为基石，倡导主动防御、溯源反制（动因：2012-2015年，美国发生了现任和退休联邦雇员超过2210万相关个人信息和560万指纹数据遭到泄露，以及美国参院委员会认定“俄罗斯干预美国总统选举”等事件，推动美国防部决心推动网络威慑手段）。

在这个阶段，美国的国家战略逐渐从“积极防御”转变为“攻击威慑”。在网络进攻方面，存在NSA和CIA身影的Stuxnet工业病毒和WannaCry勒索病毒都对全球网络造成了十分严重的危害；在溯源反制方面，推动洛克希德马丁和Mitre开发KillChain和Att&CK模型，促进威胁情报标准Stix/Taxii等的落地，强化APT发现能力。并利用FireEye、Mandiant等机构曝光系列APT攻击事件，形成网络威慑。

其实，美国很早就开展溯源反制的技术研究。2002年，美国国防部就资助卡内基.梅隆大学相关研究，并形成《追踪溯源网络攻击的技术挑战及全球战略》的成果；2003年，DARPA资助美国北卡罗来纳州州立大学，研究基于数字水印技术的网络追踪溯源技术；2006年，美国联合高级研究开发计划（ARDA）资助CS3公司完成STARDECK追踪溯源系统研制；2009年，DARPA开展“网络基因组计划”，旨在自动高效地实现对恶意程序的识别及设计者的确认。

六．纵览 & 启示

纵览美国的“3+1步战略”，我们可以看到美国信息安全战略从“基础建立”的「Cyber 安全态势感知基本组件构建阶段」，到“监听感知”的「Cyber 安全态势感知基本能力构建阶段」，再到“探测感知” 的「Cyber 安全态势感知扩展能力构建阶段」，最后到“溯源反制”的「Cyber 安全态势感知溯源反制能力构建阶段」的演进历程，也表明了美国的国家信息安全战略从被动保障---主动威慑的变化过程。

这期间，从第1阶段到第2阶段，跨越了美国人权、平等的基本价值观；从第2阶段到第3阶段，跨越了对全人类隐私权利的基本尊重；从第3阶段到第4阶段的穿越，跨越了对各个国家网络主权的基本尊重。

作为充满正义感的地球人，当看到已经被魔戒迷失了自己的霍比特人贪婪而发狂的吞噬一切的时候，好吧，是时候了，「白袍萨鲁曼」（自己的「Cyber 安全态势感知体系」），该你登场了！来捍卫我们美丽的地球，美好的家园！

PS：本文仅从国家政策角度描述了美国网络安全国家战略的变化，其实笔者认为，在这样漫长的发展历程中，美国的产业界也发挥了非常巨大的作用，后面有机会的话，会换个视角再分析下。

本文纯属作者个人臆想，如有不当，还望不吝指正，谢谢！

附件：“藏宝图计划”、“X计划”、“SHINE计划”介绍

1. NSA----藏宝图计划

1.1 负责单位：NSA（美国国家网络安全局）

1.2 可支撑任务：

（1） 网络态势感知（包括己方 & 敌方网络）

（2） 公共作战图像（COP）

（3） 网络侦察

（4） 效果评估

1.3 项目用户：“五眼”（美国、英国、加拿大、澳大利亚、新西兰）合作伙伴，JWICS（全球联合情报交流系统）的相关用户。

1.4 本项目主要关注点：对网际空间多层（地理层、物理层、逻辑层、社交层）

数据的捕获及快速分析，从而形成的大规模情报生产能力。

1.5 自我更新效率：每90天交付新功能 & 每天更新30G+数据

1.6 数据来源：

（1） BGP、AS信息（IP空间、AS从属关系、BGP路由条目）

（2） 路由信息（TraceRoutes方式进行探测，每天录入约1800w条信息）

（3） Whois信息（注册信息、DNS信息）

（4） 指纹信息（操作系统 & 软件特征，每天采集3-5kw ip信息）

2. DAPRA----X计划

2.1 负责单位：DAPRA & I2O（Information Innovation Office，信息创新办公室）

ps：I2O主要负责以国家安全视角，研究“足以改变游戏规则”的信息技术，从而为未来新型作战模式提供必要思路和相应工具。

2.2 项目名称：基础网络战（Foundatinal Cyberwarfare, Plax X）

2.3 申请时间：截止到2013.2.25

2.4 本项目主要关注点：对网络战场地图的快速描绘，并辅助生成并执行作战计划，并将作战结果反馈中枢指挥机关，从而推动网络作战效率和能力。

2.5 项目周期：X计划设计为4个1年的开发阶段，每个阶段包含4个开发螺旋（其中每个螺旋包含6周的开发 & 1周的审计）。

2.6 主要内容：

（1） 网络战场地图：包含两类信息（逻辑拓扑 & 元数据）

ps:此为基础数据层，是X计划的主要支撑；

关键组件：网络战场地图生成引擎 & 端到端网络战场地图感知平台

（2） 操作单元：包含两个平台（终端节点—单兵作战版 & 支持平台—集团作战版）

ps:此为平台层，是X计划的应用入口；

关键组件：网络作战计划（CFG）自动生成框架 &  CFG自动执行框架

（3） 能力集：包含三类能力（可达 & 功能 & 通信）

ps:此为应用层，是X计划的基础技术组件库；

关键组件：RootKits、keyloggers、network scanner、DOS等。

3. DHS----SHINE计划

3.1 负责单位：DHS下属ICS-CERT（工业控制系统网络应急小组）

3.2 项目名称：SHINE（SHodan INtelligence Extraction）

3.3 参与人员：Bob Radvanovsky & Jake Brodsky

3.4 本项目主要关注点：网际空间中存在的美国本土关键基础设施行业相关设备，的网络可达及安全态势。

3.5 核心组件：网际空间搜索引擎（Shodan）

3.6 目前取得的成果：从最初的46w的初始IP库作为输入，进行ICS相关性过滤，最终过滤到7，200存活并存在弱点的设备。

声明：本文来自网信防务，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。