美國防部近年網絡空間安全領域主要項目梳理
前言
2021年5月18日,《美國創新與競爭法案》(United States Innovation and Competition Act of 2021)通過,由芯片和ORAN5G緊急撥款、《無盡前沿法案》、《2021戰略競爭法案》、國土安全和政府事務委員會相關條款、《2021迎接中國挑戰法案》和其他事項六部分構成。該法案進一步強化了《無盡前沿法案》提出的在科技領域贏得與中國的競爭的目標,提出了十大科技創新領域,其中包括網絡空間安全。基于此背景,編者梳理了美國防部、DARPA、國土安全部近年網絡空間安全領域的主要項目,以此厘清美在網絡空間安全領域的研發部署重點,供參閱。
為支持美軍遂行各類作戰行動,美國國防部及其下屬的各軍種日益重視國防部信息網絡(DoDIN)的安全與防御,在網絡安全技術領域的研發投入不斷增加。對近五年來,美國國防部及各軍種在網絡安全領域的投入翻了2倍,從2016年的8.58億增長為2020年的23.56億,年度平均增幅約30%,并重點在以下六個領域進行技術研發部署。
一、身份認證與訪問管理技術
(一)國防企業級身份、憑證和訪問管理(ICAM)工具
國防企業級身份、憑證和訪問管理(Defense Enterprise Identity, Credential and Access Management,ICAM)工具由DISA負責為國防部研發。其目標是提供一個安全可信的環境,使人員和系統可以根據任務需要安全地訪問所有授權資源。實現方法主要是國防部各部門將直接從其現有數據孤島發布信息,然后使用企業工具在整個企業級范圍內共享這些數據,這將創建與現有部門和企業身份和屬性服務一起使用的邏輯視圖或轉換層,從而實現共享的企業級功能。
主要功能包括三方面:一是集中和聯合身份驗證服務,確保通過身份提供者(IDP)進行公共訪問卡之外的替代性多因素身份驗證;二是身份治理和帳戶生命周期管理,以自動化帳戶配置/取消配置,確保通過自動帳戶配置(AAP)進行報告和訪問認證/重新認證;三是訪問和角色的企業級聚合、分析和審計,并通過主用戶記錄 (MUR) 在應用程序和國防部組織之間實施職責分離規則。2020 財年及以后的國防企業 ICAM 增強功能包括七方面:一是啟用新的計算形式因素和平臺;二是利用連續多因素身份驗證;三是集中身份提供者進行身份驗證;四是啟用 DoD 組織之間的屬性和數據共享;五是自動創建和刪除帳戶;六是啟用零信任架構;七是啟用系統行為模式指標。
圖1 ICAM系統架構圖
二、網絡行為分析與態勢感知
(一)用于網絡態勢感知的高性能計算架構
“用于網絡態勢感知的高性能計算架構”(HPC Architecture for Cyber Situational Awareness, HACSAW)根據美國防部高性能計算現代化項目(High-Performance Computing Modernization Program, HPCMP)建立,旨在將豐富的計算環境與相關數據相結合以開展現代化網絡安全研究,提升國防研究與工程網絡(Defense Research and Engineering Network,DREN)中網絡空間態勢的理解。
HACSAW通過將計算資源與數據相結合,為研究人員提供了測試、開發、建模、測量和完善創新性分析能力的環境,以實現網絡空間態勢感知。HACSAW匯集超過1P的非密數據,包括網絡監控和入侵檢測結果、漏洞掃描、防火墻、傳感器健康等方面的內容;利用數據算法、機器學習等新技術探索網絡空間態勢感知領域的新思想、算法和方法,有效實現監控、檢測、報警、網絡風險和事件分析以及共享和協作,提升對各類網絡威脅的響應能力。
(二)保證性合規評估解決方案
保證性合規評估解決方案(Assured Compliance Assessment Solution, ACAS)項目始于2012年,由國防信息系統局授權Perspecta公司開發,旨在研發檢測系統評估DoDIN及其連接設備是否符合國防部相關標準,并發現其中的漏洞。
ACAS主要由三部分組成:一是安全中心(SecurityCenter)態勢感知平臺,主要進行安全態勢分析、結果可視化展現以及漏洞修復建議等工作。二是Nessus掃描器,部署于DoDIN之中檢測、發現相關數據和弱點,并將相關數據回傳安全中心用于漏洞分析;同時,Nessus掃描器根據安全中心的指令開展掃描作業、搜集特定數據,從而提升漏洞分析的準確性。三是Nessus網絡監視器(Nessus Network Monitor),負責實時掃描、評估DoDIN中的網絡流量、網絡主機和應用程序,持續性發現網絡漏洞。2014年1月起,ACAS已應用于美各軍兵種。隨著美軍將服務器逐步遷移至云上,ACAS也將在云端提供漏洞掃描與分析服務。
三、數據保護技術
(一)GEMINAI數字孿生技術
GEMINAI由Diveplane公司為美國空軍創新中心AFWERX的未來基地挑戰賽(Base of the Future Challenge)項目研發,這是一項可創建敏感數據數字孿生的技術,可實現一種可驗證、保護隱私、與真實世界相匹配的合成孿生方法,在保護數據安全的前提下,加快數據利用和分析。
GEMINAI創建統計上等效的數據點(但不包括任何潛在的涉密信息),保留數據點的主要屬性,而不必犧牲任何可能與特定收集時間或收集地點相關的內容。主要功能包括三方面:一是采用一個數據集并使用它來創建以前不存在的全新數據點,同時保持原始數據集中包含的統計關系和細微差別。二是合成數據捕捉了異常值的精髓,而不會在數據集中保留異常值。三是可以創建新的特定數據配置文件,例如生成具有特定條件的特定年齡的更多合成患者。GEMINAI已被選為AFWERX的“交戰太空(EngageSpace)”項目的一部分,這是一個探索太空域可能性的挑戰賽。
(二)Fluree數據管理平臺
Fluree數據管理平臺是由初創公司 Fluree PBC為美國空軍 (USAF)的小型企業創新研究 AFWERX 技術創新計劃研發的基于區塊鏈的圖形數據庫,使其能夠在內部以及國防部和盟國政府的各個部門之間共享文件。
主要功能包括以下幾方面:一是允許將數據嵌入到 Web 應用程序中,可以實現程序快速構建;二是將事務組合成不可變的時間戳塊并通過高級密碼算法鎖定每個塊來確保安全通信和數據完整性;三是在區塊鏈上獲得授權的用戶通過私鑰-公鑰基礎設施可獲得訪問權限;四是允許打開或關閉某些功能,例如具有拜占庭容錯的完全去中心化或沒有加密的普通數據庫用于內部項目或應用程序開發;五是實現全球單位的互操作性,可以通過使用SPARQL查詢語言和用于數據交換標準的資源描述框架(RDF)從現有遺留系統和存儲在第三方 Wiki 上的數據中搜索和攝取數據。
圖2 Fluree系統架構圖
四、自動化技術
(一)自動化云安全管理平臺
2020年6月,美國防部下屬的國防創新單位(Defense Innovation Unit ,DIU)授權美國網絡安全公司邁克菲(McAfee),建設云安全管理平臺(Secure Cloud Management platform)的原型。
為國防創新單位建設的云安全管理平臺原型將以邁克菲公司研發的MVISION統一云邊緣(Unified Cloud Edge, UCE)網絡安全解決方案為基礎。UCE是一種云本地(cloud-native)安全平臺,其本著云優先的思路進行設計,簡化了安全訪問服務邊緣(Secure Access Service Edge ,SASE)架構和零信任IT安全模型的實現,從而幫助聯邦政府部門在不犧牲性能和用戶體驗的情況下限制對網絡、應用程序和環境的訪問控制。UCE包括三項核心技術:一是云訪問安全代理(Cloud access securitybroker, CASB),一種Direct應用程序接口,其基于反向代理能實現各種云服務的可視化和控制。二是安全網絡網關(Secure web gateway, SWG),能夠對網絡流量和未經許可的云服務進行基于代理的可視化與控制。三是數據損失預防(Data loss prevention, DLP),能夠對敏感數據進行基于代理(agent-based)和網絡(network-based)的可視化與控制。這些技術協同工作,利用先進的威脅預防功能,如遠程瀏覽器隔離、云沙箱、動態機器學習、用戶和實體行為分析(user and entity behavior analytics ,UEBA),以及威脅情報,防止勒索軟件、網絡釣魚和其他復雜的基于網絡或云的攻擊,保護數據在設備到云之間的安全,從而為采用云服務和從任何設備訪問云創造了一個安全的環境。
圖3 UCE示意圖
(二)智能決策自動化平臺
智能決策自動化平臺(Intelligent Decision Automation Platform , iDAP)由美國Respond軟件公司(Respond Software)為美空軍研發,旨在利用現代、自動化的決策系統保護空軍網(Air Force Network, AFNET)免遭持續性的網絡威脅。
iDAP的技術原理是一種被稱為“專家系統”(expertsystems)的人工智能形式,其使用先進的、基于概率的數學方法來模擬決策。其通過以下三種方式實現對網絡威脅的自動檢查與監測:一是對安全警報進行自動化的分類、分析和調查,減少虛警頻率;將美空軍網絡安全團隊的精力集中在最具風險且需要進一步調查的事件上。二是應用被稱為“一體化推理”(Integrated Reasoning)的實時認知決策技術(real-timecognitive decision-making),綜合利用美空軍現有的多傳感器網絡、場景資源和威脅情報,擴大空軍網的防御縱深。三是與下一代安全信息和事件管理(security information and event management, SIEM)、安全編排和自動化響應( Security Orchestration, Automation and Response, SOAR)等解決方案無縫集成,提高網絡安全檢測、響應的速度、規模和一致性。如果智能決策自動化平臺在空軍的應用取得成功,將推廣至全軍應用。
五、終端設備防護技術
(一)端點安全解決方案 (ESS) 計劃
國防部建立了端點安全解決方案 (ESS) 計劃,目的是防止針對其網絡的有針對性和蓄意的攻擊。該計劃旨在創建一套集成的功能,可以在所有部門網絡中“檢測、阻止、保護和報告網絡威脅”。主要功能包括以下五方面:一是更深入地了解對手的技術和戰術;二是強大的搜尋和取證功能,可擴展到數百萬個端點;三是本地或云端點的快速搜索、識別和控制;四是連續記錄系統活動以支持從單個控制臺進行快速修復;五是快速修復,包括文件刪除、黑名單和端點隔離。
(二)反監視移動設備(SafeCase)技術
反監視移動設備(SafeCase) 技術由移動硬件安全公司Privoro和技術集成商World Wide Technology (WWT)為美國國防信息系統局(DISA)研發,是一種與手機相關的硬件解決方案,可控制 iPhone 的傳感器,以防止該設備被用于通過攝像頭或麥克風進行監控。該技術將提供移動安全保護和傳感器控制,并通過移動設備管理平臺強制執行設備策略合規性。使軍隊和政府雇員能夠在安全設施中使用 iOS 手機。隨著原型的開發,Privoro 和 WWT 將通過將個人用戶特征附加到安全硬件平臺來提供可信身份解決方案,以確保可信的移動訪問。該解決方案將解決對邊緣敏感信息的訪問,以及導致整個政府禁止智能手機的安全問題。主要功能包括三方面:一是通過干擾麥克風和阻擋 iOS 設備的攝像頭來執行反監視功能,并提供可信賴的定位解決方案;二是提供獨立的硬件信任根,與專門的安全架構相結合,能夠抵御基于芯片和固件的攻擊。
六、
供應鏈安全防護技術
(一)自動化微電子分析和報告優化工具
“自動化微電子分析和報告優化”(Automated Microelectronics Analysis & Reporting Optimization, AMARO)工具由美國KSM咨詢公司為美國海軍研發,可實現對武器系統微電子元器件的全球供應鏈進行自動化風險評估。
AMARO是一種以零部件為中心(part-centric)的供應鏈感知工具,該工具可以實現供應鏈評估流程和風險發現的自動化,在電子元器件面臨惡意滲透、供應鏈中斷、假冒產品和IP竊取等威脅時,能夠識別設計、生產和分銷中的關鍵節點(參見圖11)。AMARO的主要功能包括四個方面:一是自動獲取海量的政府和非政府數據;二是利用概率式記錄關聯技術(Probabilistic Record Linkage)溝通不同供應鏈中的人員、組件、公司和區域;三是運用機器學習技術評估關鍵風險領域的情況并預測未來結果;四是使用多級網絡映射技術對海量結構化和非結構化數據集進行提取、分析,以展示和跟蹤相互關系。目前,美軍已將AMARO應用于保護元器件供應鏈安全的工作中,對于芯片等元器件的審查效率提升了40%。美國防部負責供應鏈安全的負責人亞當·豪奇表示,AMARO有助于快速、徹底地檢查商用微電子元器件的供應鏈,并以更具戰略性的方式識別漏洞和過度依賴等問題。
(二)無密鑰簽名基礎設施
“無密鑰簽名基礎設施”(Keyless SignatureInfrastructure, KSI)由美國Guardtime Federal公司開發,是一種用于簽發和驗證新型數字簽名的分布式網絡基礎設施。
不同于依賴非對稱密鑰加密的傳統數字簽名方法,KSI只使用哈希函數加密,使簽名驗證依賴于哈希函數的安全性,以及公共賬簿的可用性。KSI服務基礎設施包括四部分:一是核心群(Core Cluster),負責管理KSI區塊鏈;二是聚合網絡(Aggregation Network),提供可擴展、充裕和全球范圍的連接;三是網關服務器(Gateway Server),客戶接入KSI服務的硬件或軟件;四是應用程序集成(Application Integration),其具備功能齊全的工具開發包,便于將KSI服務集成到客戶應用程序中。目前,KSI已被洛克希德·馬丁公司融入武器裝備生產流程,檢測和清除未經授權的惡意植入,推動形成現代化且具有極高完整性的數字供應鏈。
圖4 KSI服務基礎設施組成圖
(全文完)
參考文獻:
1.Leslie Leonard, William Glodek, "HACSAW: A TrustedFramework for Cyber Situational Awareness",https://dl.acm.org/doi/10.1145/3190619.3190641.
2.Melissa Harris, "DoD Reaping the Benefits of ACASDeployment",https://www.meritalk.com/articles/dod-reaping-the-benefits-of-acas-deployment.
3."McAfee Awarded Defense Innovation Unit Contract toDeliver Secure Cloud Management",2020年6月18日,https://www.mcafee.com/enterprise/de-de/about/newsroom/press-releases/press-release.html?news_id=fe72dfa5-b90a-4a42-ba22-b4c977961a67.
4. Jackson Barnett, "DIU looks to automate cyberthreatdetection for military IT networks",2020年7月9日, https://
www.fedscoop.com/cybersecurity-automation-tool-diu.
5. Alexa Rzasa, "Respond Software Awarded DefenseInnovation Unit Contract to Deliver Intelligent Decision Automation Platform",2020年7月8日, https://respond-software.com/media-center/press-releases/respond-software-awarded-defense-innovation-unit-contract-to-deliver-intelligent-decision-automation-platform.
6. Defense EnterpriseIdentity, Credential and Access Management (ICAM),2020年7月,https://www.disa.mil/-/media/Files/DISA/Fact-Sheets/Defense-Enterprise-ICAM_fact-sheet_Jul-2020.ashx
7. When SecurityMatters, Sometimes Only a Digital Twin Will Do,2020年10月2日,https://gcn.com/articles/2020/10/02/afwerx-digital-twin-geminai.aspx
8. Air Force SelectsFluree’s Data Management Platform to Support Secure,Distributed GlobalCommunications for the Department of Defense,2020年2月6日,https://flur.ee/2020/02/06/air-force-selects-flurees-data-management-platform-to-support-secure-distributed-global-communications-for-the-department-of-defense/
9. Cellphone Assured Identity Solution Offers Promise,2020年1月1日,https://www.afcea.org/content/ cellphone-
assured-identity-solution-offers-promise
10. DISA Awards $163 Million Cybersecurity Task Order,2017年11月1日,https://www.afcea.org/content/disa-awards
-163-million-cybersecurity-task-order
11."AMARO: Automated Microelectronics Analysis &Reporting Optimization", https://info.ksmconsulting.com/hubfs/
KSMC-AMARO-Brochure.pdf.
12."Keyless Signature Infrastructure",https://m.guardtime.
com/files/KSI_data_sheet_201509.pdf.
