作者:SAM HAMILTON,DR. ROBERT GRAY
網絡攻擊已成為對手的首選武器,陸地、空中、海上和太空的軍事平臺是主要目標。針對軍事、承包商和關鍵基礎設施的民族國家網絡攻擊每天都在發生,最近引人注目的公眾示威活動包括對商用車和飛機的攻擊。美國國防部(DoD)正在對所有主要平臺進行網絡安全審查,美國國防承包商正在開發嵌入式能力,以確保美國軍事平臺以與物理導彈一樣巧妙地防御網絡導彈。
當國防公司談論軍事平臺的網絡彈性時,它們到底意味著什么?該術語可能意味著許多不同的安全級別,無論是在談論政府網絡還是平臺組件。不幸的是,目前還沒有一個標準的層次結構,這使得甚至很難討論實際所需的安全級別。行業標準,即使是在高層次上,也將消除實現與現代威脅相稱的軍事網絡彈性的許多語義障礙。
讓我們假設一個三層網絡彈性層次結構來描述可用于軍事平臺的廣泛級別的網絡彈性。層次結構反映了網絡威脅的規模、當前和新興的需求、整個國防社區的系統開發實踐,以及現有的先進能力和尖端研發。層次結構可以作為評估適合不同要求和價位的網絡彈性的起點。
層次結構中的每個層都建立在前一層的基礎上。防御能力從白銀增加到黃金,但成本,包括改造傳統平臺的難度,也在增加。選擇適當的層以及該層中的解決方案,可以平衡成本與特定于平臺的對手威脅。威脅分析不僅必須包括對手發動特定類型攻擊的可能性,還必須包括這些攻擊對安全和任務結果的影響。解決方案可能自然屬于一個層,或者部分解決多個層的部分問題。
基本層地址單個二進制文件
初始層是銀色網絡彈性,專注于分析和保護嵌入在平臺中的單個二進制文件。任何給定平臺上都可能有數百個二進制文件,任何具有總線訪問的二進制文件中的漏洞都有危及總線上每個組件的風險。保護這些二進制文件包括最佳實踐流程和技術,包括在性能和設計約束允許的情況下執行防護和經過身份驗證的通信通道。
然而,為了獲得銀牌網絡彈性,平臺二進制文件必須超越最佳實踐:每個二進制文件的網絡安全屬性都根據內部漏洞量表進行評估,該量表從特定于嵌入式系統的任務要求、威脅參與者和網絡攻擊類型目錄中派生出要求和測試集。對于具有可用源代碼的組件,用戶可以求助于 HP Fortify 或 Coverity 等工具來幫助識別問題。對于沒有源代碼交付的第三方二進制文件,BAE系統公司的團隊應用了一套由自動逆向工程(ARE)工具套件捆綁在一起的最佳二進制分析工具。軟件開發人員在正常開發和測試/評估過程中優先考慮并解決 ARE 識別的漏洞。
在后臺,ARE 靜態和動態地分析目標二進制文件的控制和數據流,并自動識別可從外部輸入訪問的漏洞,包括內存訪問和算術錯誤。ARE現在是關于美國海軍關鍵任務軟件網絡安全的試點研究的一部分。
黃金網絡彈性級別增加了前一個深度防御級別,其中每個防御層都建立在前一個防御層的基礎上,到整個嵌入式系統。選擇人上環響應、人操作響應或自主響應取決于對手攻擊的直接影響與響應攻擊和誤報的附帶影響之間的權衡。深度防御的關鍵是多層誤報抑制,它使用篩選器層次結構來識別和刪除由異常但非攻擊活動引起的誤報。準確消除誤報可防止防御性響應造成無用的附帶損害。這種整體方法可檢測基于不當組件行為的看不見或零日攻擊;為操作員態勢感知提供根本原因分析;糾正或遏制網絡危害的行為;并為操作員提供直觀、可操作的信息,這些信息模仿現有故障診斷系統,有時集成到現有故障診斷系統中。通過采用這種方法,系統甚至可以檢測、遏制和恢復以前從未見過的針對運行時組件的網絡攻擊。
添加縱深防御功能的一種方法是包括一個插入現有車輛總線的設備,監控組件數據流的異常行為,并通過現有的故障診斷接口向車輛操作員發出警報。這種方法可以顯著提高傳統平臺的端到端網絡安全狀況,而無需改造現有組件。
在頂層
白金網絡彈性級別將組件級和縱深防御特征集成到一個全新的設計范例中,用于開發固有安全的計算技術。這種方法利用正式方法確保解決方案可證明是安全的,可以抵御整個類別的安全漏洞。白金級網絡彈性利用硬件/軟件協同設計方法,例如 SAFE,該方法利用硬件支持實現內存安全、動態類型檢查和對動態信息流控制的本機支持。鉑級的網絡阻力可以證明設計不受緩沖區溢出、跨站點腳本和代碼注入的影響,包括二進制代碼注入、腳本代碼注入、SQL 注入和 ROP 代碼注入。
理想情況下,所有平臺都將具有涵蓋所有可能的網絡攻擊類別的白金網絡彈性。內部紅隊演習實際上表明,平臺安全從每增加一層網絡彈性中受益匪淺。然而,實際上,每一層都涉及額外的成本;對成本、安全性和性能權衡進行特定于平臺的分析至關重要。例如,銀牌網絡彈性既不需要更換傳統系統架構(白金),也不需要普遍插入分層網絡防御(黃金),但可以提供針對常見威脅的有效防御,即使在改造傳統平臺時也成本低。
最終,網絡彈性層次結構的級別指導討論什么是可行的和最適合新的和傳統的軍事平臺。
審核編輯:郭婷
-
嵌入式
+關注
關注
5082文章
19115瀏覽量
304914 -
代碼
+關注
關注
30文章
4782瀏覽量
68545
發布評論請先 登錄
相關推薦
評論