美軍探索網絡安全新范式！由合規清單轉向自動化紅隊

8月19日消息，兩年前，兩位美國海軍信息負責人決定對己方網絡發動攻擊。這可不是計劃內的年度或半年度演習，而是更頻繁、不做事前通知的突擊式檢查。如今，他們決定把這套方案推向海軍其他部門乃至整個五角大樓。

實驗表明，高頻度的自動化紅隊攻擊能夠發現風險最高、也容易遭到惡意黑客利用的漏洞信息。美國海軍首席信息官亞倫·韋斯（Aaron Weis）和海軍研究生院的指揮信息官斯科特·比肖夫（Scott Bischoff）坦言，這也是發現此類信息的唯一方法。

而且，相較于美國國防部基于分步檢查清單和已實施補丁的原有網絡安全處理方案，這種方式的確要有效得多。

韋斯在接受美媒Defense One采訪時表示，“（國防部的原有方案）是一種合規驅動型思路，其本質相當于審計……這樣不對，網絡安全并不是合規問題。”

用檢查清單之類的方式處理網絡安全工作，其實就是在用預先商定的績效水平（比如是否履行了合同條款，或者達成了特定參數）來核定負責“網絡安全”的官員、團隊或公司，是否切實完成了本職工作。在韋斯看來，這種方法符合官僚機構的運作慣性，但距離有效保護網絡安全則相去甚遠。

他解釋道，“我們掌握著……大概15到20年的合規記錄，但實際效果真的不好，對嗎？我們的對手仍然在網絡空間內不斷發起沖擊。”

網絡空間戰備需要實網攻防檢驗

韋斯認為，五角大樓需要像衡量陸軍、水兵、坦克和艦艇那樣，衡量自身網絡是否為戰事做好了準備。 而這樣，顯然更符合備戰水平的查驗概念。

這種方法要求優先處理最重要的問題，次要或者更為復雜的問題則應納入較慢的修復流程。

他強調，“總能聽到人說‘為今晚的戰斗做好準備！’但如果你管理的是一個航母戰斗群，總共有三個月時間開展部署，那怎么樣才算是做好了準備？這意味著戰備工作將包含大量要素，需要逐日推進。這時我們就要問：有合適的人員嗎？他們接受過訓練嗎？他們已經測試合格，還是仍有不足？設備部署到位了沒有？”

在韋斯看來，網絡空間中的“戰備就緒”只能通過持續測試和深入探究才能證明，絕不可能單靠合規報表來保障。

因此，他需要一個安全空間，保證既能掌握戰備情況，又不會將嚴重問題暴露給對手，或者導致重要的海軍網絡宕機。為此，他將實驗場景選在了加利福尼亞州蒙特雷的海軍研究生院。

海軍研究生院的比肖夫表示，這里之所以適合開展實驗，是因為該院接入的是加州研究和教育網絡，而非海軍網絡。

他解釋道，“我在這里擁有其他海軍單位所不具備的權力，包括一塊專門劃撥來開展實驗的區域，”可以用來測試新的網絡安全概念。“我們會在這塊小‘領地’上做點比較激進，甚至有風險的測試。這些都將成為我們研究生院的寶貴教學素材。研究內容非常密集，我們會把一切都集中在這里。”

自動化紅隊可有效發現最大薄弱點

為了此番實驗，海軍研究生院還與Rebellion公司達成合作研發協議。 Rebellion是一家專注于國防領域的軟件初創公司，由前國防部數字服務負責人克里斯·林奇（Chris Lynch）創立。

Rebellion引入了一款名為Nova的工具，能夠在網絡上扮演自動化紅隊的角色。而且Nova能做的，還不只是按檢查單條目逐一試探漏洞。

韋斯提到，“它能夠識別系統，了解補丁修復水平，根據公開可用的信息對漏洞分類，之后按照掌握的情況自動實施漏洞利用。”

整個過程將揭示出更多信息，除了待修復的漏洞清單，Nova還能提供哪些漏洞最嚴重、最易受到攻擊，哪些漏洞能讓攻擊者獲得更廣泛的網絡訪問權限等，這些都是惡意黑客實際攻擊并制定后續行動計劃時才能獲得的結論。如此一來，Nova發現的漏洞就具備了傳統檢查清單無法實現的優先級排序。

韋斯指出，“我們以往的合規性方法，要求修復每一個安全漏洞……這些漏洞沒有誰先誰后，我們只能簡單把它們列舉出來，然后逐一解決。但這種方式其實忽視了一個根本問題：我們忙著修復的這些漏洞，真會被利用嗎？”

有些看似可怕的漏洞其實很難被實際利用，而某些看似輕微的漏洞卻往往會引發嚴重后果，這些差異在檢查清單上是體現不出來的。國防部網絡部門的實際測試也證實了這方面結論：國防部并沒能按照惡意黑客的真實攻擊方式，理解并管理自身系統中的網絡漏洞。

比肖夫還提到，由演習人員組織的紅隊測試確實效果不錯，但每年只能進行一、兩次。“所以這只能算是快照。但單有快照還不夠，我們需要涵蓋一整年的連續安全態勢。”

韋斯正在據此設計新實驗。

“我們正在……提名一組自愿先行參與新測試方法的海軍項目。從去年假期前開始，我們就一直在進行領導層討論。最初是跟海軍上將一對一協商，之后再逐級提升。”

林奇表示，“韋斯正努力顛覆以往的安全實踐，而且針對的不只是海軍，未來還可能推廣到整個軍方。”

如果美國國防部要向高度網絡化的聯合全域指揮與控制（JADC2）愿景邁進，那安全轉型將必不可少。網絡、計算機、無人機、衛星之間的網絡連接越龐大，傳統的檢查清單式方法就越滿足不了需求。唯一的解決方案只能是假設我方強大的聯網戰爭機器已經遭受了攻擊，而且切入點正是其薄弱環節——這樣才能反映現實，進而為軍隊提供防范依據。