網(wǎng)絡彈性作為一項網(wǎng)絡系統(tǒng)設計原則,,越來越多地受到網(wǎng)絡安全利益相關方的重視,。特別是在當前網(wǎng)絡安全風險和傳統(tǒng)安全風險交織互為影響、IT安全和OT安全互為滲透的背景下,,網(wǎng)絡彈性被視為預防和緩解關鍵信息基礎設施網(wǎng)絡安全風險的有效手段,。
通常來講,網(wǎng)絡彈性可以被視為一種預防措施,,以對抗人為錯誤,、惡意行為和陳舊的、不安全的軟件,。以SolarWinds供應鏈攻擊為典型代表的一系列數(shù)據(jù)泄露事件已經(jīng)確定無疑地表明:當今的網(wǎng)絡攻擊不再局限于簡單的病毒傳播或拒絕服務(DoS)攻擊,。相反,網(wǎng)絡攻擊對手會部署先進的持續(xù)威脅(APTs),,甚至可能利用修補良好,、受到監(jiān)控的基礎設施。2020年以來的COVID-19疫情大流行使得居家辦公,、遠程辦公迅速普及,,這加劇了本已復雜嚴峻的網(wǎng)絡安全態(tài)勢,暴露了IT/OT可見性,、問責制和安全控制持久性方面的現(xiàn)實差距,。越來越多的企業(yè)將網(wǎng)絡彈性作為確保業(yè)務運營持續(xù)交付的一種新興措施。但網(wǎng)絡彈性到底是什么,?工業(yè)網(wǎng)絡環(huán)境下為何需要實施網(wǎng)絡彈性并會帶來哪些好處,?如何實現(xiàn)良好的網(wǎng)絡彈性?
何為網(wǎng)絡彈性,?
根據(jù)MITRE的定義,,網(wǎng)絡彈性(或網(wǎng)絡韌性)是預測,、抵御、恢復和適應不利條件,、壓力,、攻擊或網(wǎng)絡資源的失陷的能力。人們?nèi)找嬲J識到,,傳統(tǒng)的安全措施已不足以確保足夠的信息,、數(shù)據(jù)和網(wǎng)絡安全,因此對網(wǎng)絡彈性的需求應運而生,。網(wǎng)絡彈性承認,,現(xiàn)代企業(yè)基礎設施是由大型和復雜的實體組成的,存在缺陷和弱點是不可回避的事實,,攻擊對手必然成功利用這些漏洞和弱點,。在此背景下,網(wǎng)絡彈性的目標是確保不利的網(wǎng)絡事件(有意或無意的,,即由于軟件更新失?。┎粫M織業(yè)務運營的保密性、完整性,、可用性,、可靠性等產(chǎn)生負面影響。
網(wǎng)絡安全應用旨在保護系統(tǒng)(如服務器,、端點),、網(wǎng)絡和數(shù)據(jù)免受網(wǎng)絡攻擊的技術、流程和措施,。相比之下,,網(wǎng)絡彈性則側(cè)重于組織IT環(huán)境中的偵察和反應控制,以評估漏洞并推動整體安全態(tài)勢的改善和增強,。大多數(shù)網(wǎng)絡復原措施利用或加強各種網(wǎng)絡安全措施,。網(wǎng)絡安全和網(wǎng)絡復原措施在協(xié)同應用時最為有效。
越來越多的網(wǎng)絡風險和安全管理框架采用網(wǎng)絡彈性的概念,。例如,,美國國土安全部(Department of Homeland Security)的網(wǎng)絡彈性評估(CRR)就如何評估一個組織的運營彈性和網(wǎng)絡安全實踐提供了指導。另一個例子是美國國家標準與技術研究所(NIST)特別出版物800-160第2卷,,它提供了一個安全可靠系統(tǒng)的工程框架——將不利的網(wǎng)絡事件視為彈性和安全問題,。
工業(yè)網(wǎng)絡為何需要網(wǎng)絡彈性,?
隨著國家支持的威脅行為體增網(wǎng)絡作戰(zhàn)能力的增強,,黑客們發(fā)現(xiàn)了新的網(wǎng)絡犯罪策略,網(wǎng)絡恐怖分子則發(fā)現(xiàn)了滲透工業(yè)控制的新方法,,惡化的形勢迫使網(wǎng)絡彈性戰(zhàn)略將不得不納入應急響應管理計劃,。比如化工廠的工業(yè)控制器被破壞時會發(fā)生什么,?何時向誰報告?需要實施哪些流程來減輕系統(tǒng)受損或發(fā)生相關緊急事件時的影響,?對于從事工業(yè)物聯(lián)網(wǎng)領域的人員來說,,考慮政府如何處理緊急情況管理響應變得越來越重要,以便在災難發(fā)生時,,一線響應人員能夠采取及時有效的糾正措施,,而不會使危機加劇。目前國家關鍵信息基礎設施已成為網(wǎng)絡攻擊的主要目標,,是網(wǎng)絡攻防的最前沿,。比如APT組織對電力、能源,、電信,、衛(wèi)生和公共安全、政府和經(jīng)濟基礎設施等目標的興趣比任何時候都強烈,。沒有受到政府安全法規(guī)嚴格控制的系統(tǒng)可能會成為攻擊對手利用來攻陷和破壞經(jīng)濟的潛在目標,。具體到工業(yè)網(wǎng)絡中,可編程邏輯控制器(例如Stuxnet病毒的目標)和SCADA系統(tǒng)是混合攻擊場景(涉及同時進行的網(wǎng)絡攻擊和動能攻擊)中必然是重點目標,。
這一急劇嚴峻的網(wǎng)絡安全態(tài)勢,,使得關鍵信息基礎設施在遭受攻擊仍然能夠持續(xù)運營,即使癱瘓后如何快速恢復變得尤其關鍵,。建立網(wǎng)絡彈性是工業(yè)系統(tǒng)設計的一個重要方面,。無論怎樣,對現(xiàn)在系統(tǒng)的健壯性做到心中有數(shù)也不是一件壞事,??梢钥紤]多種方法測試現(xiàn)有系統(tǒng),在網(wǎng)絡安全的基礎上對失敗場景進行建模,,或者使用紅隊(攻擊)藍隊(防御)對抗風格的推演等技術來證明系統(tǒng)的健壯性,。
有一點是確定的,即使防御者盡了最大的努力,,但受攻擊且失敗還是會發(fā)生,。在這種情況下,應急響應部門人員需要能夠應對潛在危機,,需要采取并實施網(wǎng)絡彈性恢復戰(zhàn)略,。考慮到在許多系統(tǒng)的自動化水平,,手動控制變得少之又少,,以及信息系統(tǒng)的互聯(lián)性和基礎設施的相互依賴性,這將變得越來越重要,。展望未來,,人們希望人工智能可能會成為未來的智能看門人,。但問題的另一面,未來人工智能也肯定是攻擊的工具,。
美國聯(lián)邦應急管理局每兩年進行一次大規(guī)模的基礎演習,,以驗證在實現(xiàn)災難事件防范文化方面取得的進展,稱為“國家一級演習”(NLE),。NLE2020側(cè)重于國家網(wǎng)絡安全準備,。政府和私營部門之間的這一合作努力是迄今為止進行的最大規(guī)模的此類演習,其不同之處在于它將網(wǎng)絡災難的物理后果考慮在內(nèi),。美國國土安全部下屬的網(wǎng)絡安全部門(CISA)認為,,工業(yè)控制系統(tǒng)所面臨的威脅至關重要,因此它專門設有一個頁面,,專門針對工業(yè)控制系統(tǒng)提供重要基礎設施網(wǎng)絡的實時警報,,有關當前安全問題、漏洞和利用的咨詢,,以及大量技術信息,,助力提高工業(yè)控制系統(tǒng)保護專業(yè)人員的技能水平。
實施網(wǎng)絡彈性有何益處,?
網(wǎng)絡恢復策略,,如端點恢復,在網(wǎng)絡攻擊事前,、事中和事后提供了一系列的好處,。以下是一些主要的好處:
強化安全態(tài)勢:網(wǎng)絡彈性不僅有助于應對攻擊并在攻擊中幸存下來。它還可以幫助組織開發(fā)戰(zhàn)略,,以改進IT治理,,提高關鍵資產(chǎn)的安全性,擴展數(shù)據(jù)保護工作,,并最大限度地減少人為錯誤,。
推進合規(guī)建設:當前在網(wǎng)絡安全相關的法律法規(guī)、國家標準和行業(yè)標準當中都有網(wǎng)絡信息系統(tǒng)應急響應,、恢復的要求,。
提高IT生產(chǎn)率:網(wǎng)絡彈性的一個被低估的好處是,它改善了組織的IT團隊的日常運營,。它提高了應對威脅的能力,,并有助于確保日常運作順利進行。
促進網(wǎng)絡安全文化建設:安全事件驅(qū)動的網(wǎng)絡安全應急響應機制需要不斷的改進完善,,實戰(zhàn)演練,、桌面推演、事件處置都是推動響應機制,、能力改進提升的動力,。彈性原則的實施與改進同樣扮演這種驅(qū)動角色,,真正助力企業(yè)構(gòu)建貫穿于人員,、技術,、過程的網(wǎng)絡安全文化。
網(wǎng)絡安全具有對抗的特性,,因此極限化的敵情想定是必須的,。網(wǎng)絡彈性措施(即架構(gòu)設計、技術,、操作實踐)恰恰就是假設威脅行為者可以在組織的基礎設施中立足(即網(wǎng)絡系統(tǒng)的失陷是必然的),,更重要的是在攻擊者已駐留的情況下設法阻止其后利用活動,并將其盡快獵殺,。如果實施得當,,網(wǎng)絡彈性可以被視為一種預防措施,以對抗人為錯誤,、惡意行為和陳舊的,、不安全的軟件。最終,,網(wǎng)絡彈性的目標是積極地保護整個企業(yè),,覆蓋上述所有可用的網(wǎng)絡資源。因此,,企業(yè)需要在其基礎設施中建立不同類型的網(wǎng)絡彈性,。
如何改進企業(yè)的網(wǎng)絡彈性?
一個系統(tǒng),、一個網(wǎng)絡或一個組織的彈性是由許多因素影響的,,以一種復雜的、往往矛盾的方式,。
1,、管理復雜性:系統(tǒng)或網(wǎng)絡的彈性很大程度上取決于系統(tǒng)的復雜性,特別在工業(yè)網(wǎng)絡環(huán)境,,OT與IT在融合趨勢下加劇了復雜性的管控難度,。
2、選擇合理拓撲:除了復雜性之外,,選擇合適的系統(tǒng)或網(wǎng)絡拓撲可以提高彈性,。
3、增加額外資源:網(wǎng)絡中的額外資源有助于提高彈性,。例如,,對發(fā)電配電網(wǎng)的節(jié)點進行擴容,可以降低級聯(lián)故障的可能性,,加快業(yè)務恢復的速度,。
4,、設計恢復機制:系統(tǒng)組件的設計應使其在出現(xiàn)故障或受到損害時恢復到安全模式。
5,、控制影響傳播:為了增強系統(tǒng)吸收網(wǎng)絡攻擊影響的能力,,設計者應該防范級聯(lián)故障。這些失敗并不是完全獨立的,,因為一個失敗會觸發(fā)另一個失敗,。
6、提供緩沖機制:在數(shù)據(jù)和商品交易網(wǎng)絡中,,網(wǎng)絡的功能是向其客戶提供對一組交付的商品的訪問,。在這樣的網(wǎng)絡中,緩沖區(qū)(例如高速緩存,,本地存儲)構(gòu)成一個恢復機制,,該機制消除了對原始源的持續(xù)訪問的需要。
7,、準備主動代理:主動代理——人類的或人造的——應可用來采取積極的措施,,以便吸收、恢復和適應,。為了有效地做到這一點,,必須有計劃、流程和準備,。
8,、構(gòu)建代理功能:理想情況下,代理應該能夠根據(jù)上下文執(zhí)行多個功能中的一個,,并且相同的功能可以由多個代理中的一個執(zhí)行,。例如,網(wǎng)絡中的存儲代理(緩沖區(qū),、緩存)可以使用它們的空間來存儲一組可能的項,。
9、充分考慮對手:如果對手專門調(diào)整他的技術和程序-并擁有必要的能力-以擊潰目標系統(tǒng)的恢復嘗試,,系統(tǒng)的恢復力將受到相應的損害,。
10、進行深入分析:所有提高彈性能力的措施和行動也可能造成導致彈性能力全面下降的未預料的影響,。因此,,嚴謹、高保真的分析是必須的,。在沒有能夠揭示潛在負面影響和系統(tǒng)性影響的適當分析的情況下,,不應設計或引入增強彈性的措施。