为支持美军遂行各类作战行动,美国国防部及其下属的各军种日益重视国防部信息网络(DoDIN)的安全与防御,在网络安全技术领域的研发投入不断增加。近五年来,美国国防部及各军种在网络安全领域的投入翻了2倍,从2016年的8.58亿增长为2020年的23.56亿,年度平均增幅约30%,并重点在以下六个领域进行技术研发部署。
一、身份认证与访问管理技术
(一)国防企业级身份、凭证和访问管理(ICAM)工具
国防企业级身份、凭证和访问管理(Defense Enterprise Identity, Credential and Access Management,ICAM)工具由DISA负责为国防部研发。其目标是提供一个安全可信的环境,使人员和系统可以根据任务需要安全地访问所有授权资源。实现方法主要是国防部各部门将直接从其现有数据孤岛发布信息,然后使用企业工具在整个企业级范围内共享这些数据,这将创建与现有部门和企业身份和属性服务一起使用的逻辑视图或转换层,从而实现共享的企业级功能。
主要功能包括三方面:一是集中和联合身份验证服务,确保通过身份提供者(IDP)进行公共访问卡之外的替代性多因素身份验证;二是身份治理和帐户生命周期管理,以自动化帐户配置/取消配置,确保通过自动帐户配置(AAP)进行报告和访问认证/重新认证;三是访问和角色的企业级聚合、分析和审计,并通过主用户记录 (MUR) 在应用程序和国防部组织之间实施职责分离规则。2020 财年及以后的国防企业 ICAM 增强功能包括七方面:一是启用新的计算形式因素和平台;二是利用连续多因素身份验证;三是集中身份提供者进行身份验证;四是启用 DoD 组织之间的属性和数据共享;五是自动创建和删除帐户;六是启用零信任架构;七是启用系统行为模式指标。
图1 ICAM系统架构图
二、网络行为分析与态势感知
(一)用于网络态势感知的高性能计算架构
“用于网络态势感知的高性能计算架构”(HPC Architecture for Cyber Situational Awareness, HACSAW)根据美国防部高性能计算现代化项目(High-Performance Computing Modernization Program, HPCMP)建立,旨在将丰富的计算环境与相关数据相结合以开展现代化网络安全研究,提升国防研究与工程网络(Defense Research and Engineering Network,DREN)中网络空间态势的理解。
HACSAW通过将计算资源与数据相结合,为研究人员提供了测试、开发、建模、测量和完善创新性分析能力的环境,以实现网络空间态势感知。HACSAW汇集超过1P的非密数据,包括网络监控和入侵检测结果、漏洞扫描、防火墙、传感器健康等方面的内容;利用数据算法、机器学习等新技术探索网络空间态势感知领域的新思想、算法和方法,有效实现监控、检测、报警、网络风险和事件分析以及共享和协作,提升对各类网络威胁的响应能力。
(二)保证性合规评估解决方案
保证性合规评估解决方案(Assured Compliance Assessment Solution, ACAS)项目始于2012年,由国防信息系统局授权Perspecta公司开发,旨在研发检测系统评估DoDIN及其连接设备是否符合国防部相关标准,并发现其中的漏洞。
ACAS主要由三部分组成:一是安全中心(SecurityCenter)态势感知平台,主要进行安全态势分析、结果可视化展现以及漏洞修复建议等工作。二是Nessus扫描器,部署于DoDIN之中检测、发现相关数据和弱点,并将相关数据回传安全中心用于漏洞分析;同时,Nessus扫描器根据安全中心的指令开展扫描作业、搜集特定数据,从而提升漏洞分析的准确性。三是Nessus网络监视器(Nessus Network Monitor),负责实时扫描、评估DoDIN中的网络流量、网络主机和应用程序,持续性发现网络漏洞。2014年1月起,ACAS已应用于美各军兵种。随着美军将服务器逐步迁移至云上,ACAS也将在云端提供漏洞扫描与分析服务。
三、数据保护技术
(一)GEMINAI数字孪生技术
GEMINAI由Diveplane公司为美国空军创新中心AFWERX的未来基地挑战赛(Base of the Future Challenge)项目研发,这是一项可创建敏感数据数字孪生的技术,可实现一种可验证、保护隐私、与真实世界相匹配的合成孪生方法,在保护数据安全的前提下,加快数据利用和分析。
GEMINAI创建统计上等效的数据点(但不包括任何潜在的涉密信息),保留数据点的主要属性,而不必牺牲任何可能与特定收集时间或收集地点相关的内容。主要功能包括三方面:一是采用一个数据集并使用它来创建以前不存在的全新数据点,同时保持原始数据集中包含的统计关系和细微差别。二是合成数据捕捉了异常值的精髓,而不会在数据集中保留异常值。三是可以创建新的特定数据配置文件,例如生成具有特定条件的特定年龄的更多合成患者。GEMINAI已被选为AFWERX的“交战太空(EngageSpace)”项目的一部分,这是一个探索太空域可能性的挑战赛。
(二)Fluree数据管理平台
Fluree数据管理平台是由初创公司 Fluree PBC为美国空军 (USAF)的小型企业创新研究 AFWERX 技术创新计划研发的基于区块链的图形数据库,使其能够在内部以及国防部和盟国政府的各个部门之间共享文件。
主要功能包括以下几方面:一是允许将数据嵌入到 Web 应用程序中,可以实现程序快速构建;二是将事务组合成不可变的时间戳块并通过高级密码算法锁定每个块来确保安全通信和数据完整性;三是在区块链上获得授权的用户通过私钥-公钥基础设施可获得访问权限;四是允许打开或关闭某些功能,例如具有拜占庭容错的完全去中心化或没有加密的普通数据库用于内部项目或应用程序开发;五是实现全球单位的互操作性,可以通过使用SPARQL查询语言和用于数据交换标准的资源描述框架(RDF)从现有遗留系统和存储在第三方 Wiki 上的数据中搜索和摄取数据。
图2 Fluree系统架构图
四、自动化技术
(一)自动化云安全管理平台
2020年6月,美国防部下属的国防创新单位(Defense Innovation Unit ,DIU)授权美国网络安全公司迈克菲(McAfee),建设云安全管理平台(Secure Cloud Management platform)的原型。
为国防创新单位建设的云安全管理平台原型将以迈克菲公司研发的MVISION统一云边缘(Unified Cloud Edge, UCE)网络安全解决方案为基础。UCE是一种云本地(cloud-native)安全平台,其本着云优先的思路进行设计,简化了安全访问服务边缘(Secure Access Service Edge ,SASE)架构和零信任IT安全模型的实现,从而帮助联邦政府部门在不牺牲性能和用户体验的情况下限制对网络、应用程序和环境的访问控制。UCE包括三项核心技术:一是云访问安全代理(Cloud access securitybroker, CASB),一种Direct应用程序接口,其基于反向代理能实现各种云服务的可视化和控制。二是安全网络网关(Secure web gateway, SWG),能够对网络流量和未经许可的云服务进行基于代理的可视化与控制。三是数据损失预防(Data loss prevention, DLP),能够对敏感数据进行基于代理(agent-based)和网络(network-based)的可视化与控制。这些技术协同工作,利用先进的威胁预防功能,如远程浏览器隔离、云沙箱、动态机器学习、用户和实体行为分析(user and entity behavior analytics ,UEBA),以及威胁情报,防止勒索软件、网络钓鱼和其他复杂的基于网络或云的攻击,保护数据在设备到云之间的安全,从而为采用云服务和从任何设备访问云创造了一个安全的环境。
图3 UCE示意图
(二)智能决策自动化平台
智能决策自动化平台(Intelligent Decision Automation Platform , iDAP)由美国Respond软件公司(Respond Software)为美空军研发,旨在利用现代、自动化的决策系统保护空军网(Air Force Network, AFNET)免遭持续性的网络威胁。
iDAP的技术原理是一种被称为“专家系统”(expertsystems)的人工智能形式,其使用先进的、基于概率的数学方法来模拟决策。其通过以下三种方式实现对网络威胁的自动检查与监测:一是对安全警报进行自动化的分类、分析和调查,减少虚警频率;将美空军网络安全团队的精力集中在最具风险且需要进一步调查的事件上。二是应用被称为“一体化推理”(Integrated Reasoning)的实时认知决策技术(real-timecognitive decision-making),综合利用美空军现有的多传感器网络、场景资源和威胁情报,扩大空军网的防御纵深。三是与下一代安全信息和事件管理(security information and event management, SIEM)、安全编排和自动化响应( Security Orchestration, Automation and Response, SOAR)等解决方案无缝集成,提高网络安全检测、响应的速度、规模和一致性。如果智能决策自动化平台在空军的应用取得成功,将推广至全军应用。
五、终端设备防护技术
(一)端点安全解决方案 (ESS) 计划
国防部建立了端点安全解决方案 (ESS) 计划,目的是防止针对其网络的有针对性和蓄意的攻击。该计划旨在创建一套集成的功能,可以在所有部门网络中“检测、阻止、保护和报告网络威胁”。主要功能包括以下五方面:一是更深入地了解对手的技术和战术;二是强大的搜寻和取证功能,可扩展到数百万个端点;三是本地或云端点的快速搜索、识别和控制;四是连续记录系统活动以支持从单个控制台进行快速修复;五是快速修复,包括文件删除、黑名单和端点隔离。
(二)反监视移动设备(SafeCase)技术
反监视移动设备(SafeCase) 技术由移动硬件安全公司Privoro和技术集成商World Wide Technology (WWT)为美国国防信息系统局(DISA)研发,是一种与手机相关的硬件解决方案,可控制 iPhone 的传感器,以防止该设备被用于通过摄像头或麦克风进行监控。该技术将提供移动安全保护和传感器控制,并通过移动设备管理平台强制执行设备策略合规性。使军队和政府雇员能够在安全设施中使用 iOS 手机。随着原型的开发,Privoro 和 WWT 将通过将个人用户特征附加到安全硬件平台来提供可信身份解决方案,以确保可信的移动访问。该解决方案将解决对边缘敏感信息的访问,以及导致整个政府禁止智能手机的安全问题。主要功能包括三方面:一是通过干扰麦克风和阻挡 iOS 设备的摄像头来执行反监视功能,并提供可信赖的定位解决方案;二是提供独立的硬件信任根,与专门的安全架构相结合,能够抵御基于芯片和固件的攻击。
六、供应链安全防护技术
(一)自动化微电子分析和报告优化工具
“自动化微电子分析和报告优化”(Automated Microelectronics Analysis & Reporting Optimization, AMARO)工具由美国KSM咨询公司为美国海军研发,可实现对武器系统微电子元器件的全球供应链进行自动化风险评估。
AMARO是一种以零部件为中心(part-centric)的供应链感知工具,该工具可以实现供应链评估流程和风险发现的自动化,在电子元器件面临恶意渗透、供应链中断、假冒产品和IP窃取等威胁时,能够识别设计、生产和分销中的关键节点(参见图11)。AMARO的主要功能包括四个方面:一是自动获取海量的政府和非政府数据;二是利用概率式记录关联技术(Probabilistic Record Linkage)沟通不同供应链中的人员、组件、公司和区域;三是运用机器学习技术评估关键风险领域的情况并预测未来结果;四是使用多级网络映射技术对海量结构化和非结构化数据集进行提取、分析,以展示和跟踪相互关系。目前,美军已将AMARO应用于保护元器件供应链安全的工作中,对于芯片等元器件的审查效率提升了40%。美国防部负责供应链安全的负责人亚当·豪奇表示,AMARO有助于快速、彻底地检查商用微电子元器件的供应链,并以更具战略性的方式识别漏洞和过度依赖等问题。
(二)无密钥签名基础设施
“无密钥签名基础设施”(Keyless SignatureInfrastructure, KSI)由美国Guardtime Federal公司开发,是一种用于签发和验证新型数字签名的分布式网络基础设施。
不同于依赖非对称密钥加密的传统数字签名方法,KSI只使用哈希函数加密,使签名验证依赖于哈希函数的安全性,以及公共账簿的可用性。KSI服务基础设施包括四部分:一是核心群(Core Cluster),负责管理KSI区块链;二是聚合网络(Aggregation Network),提供可扩展、充裕和全球范围的连接;三是网关服务器(Gateway Server),客户接入KSI服务的硬件或软件;四是应用程序集成(Application Integration),其具备功能齐全的工具开发包,便于将KSI服务集成到客户应用程序中。目前,KSI已被洛克希德·马丁公司融入武器装备生产流程,检测和清除未经授权的恶意植入,推动形成现代化且具有极高完整性的数字供应链。
图4 KSI服务基础设施组成图
参考文献:
assured-identity-solution-offers-promise
-163-million-cybersecurity-task-order