1、加强工业互联 风险分析与安全测评,保障“新基建”安全
中国信息安全测评中心 谢丰 伊胜伟 高洋
工业互联 作为“新基建”七大领域之一,正在驶入快车道。本质上,工业互联 是信息技术与制造业的深度融合,旨在打破过去人-机-物之间、工厂与工厂之间、企业上下游之间彼此相对独立的物理隔离状态,实现全要素、全产业链、全价值链的全面连接,这将对加速我国工业技术改革创新、抢占全球制造业新高地发挥重要作用。
当前工业互联 还处于起步阶段,有诸多关键问题亟待解决,其中一个就是如何保障工业互联 安全。国际上曾发生过多起工业 络攻击事件,给所在国造成极大危害,值得我们高度警惕。例如2015年乌克兰遭受 络攻击而导致大面积停电,30余个变电站出现故障,140余万人受到影响。2019年委内瑞拉古里水电站遭受电磁攻击继而引发了全国性大停电,交通瘫痪,通讯中断,影响极大。未来的工业互联 由于其互联互通特性,一旦遭受 络攻击,可能造成的影响会更加深远。可以说在某种意义上,工业互联 的 络安全保障水平将是其发展成败与否的决定性因素之一。
一、新基建下工业互联 安全风险分析
总体而言,我国工业互联 发展面临以下主要安全风险。
1. 供应链不可控,潜在安全隐患大
工业互联 涉及能源、交通、制造等国家关键基础设施领域,厂商构成复杂,设备种类繁多,特别是高端数控机床、高端发动机、发电控制系统,以及高端PLC器件等底层控制设备严重依赖国外。例如,我国大中型PLC设备基本上以国外产品为主,工业软件也几乎被国外垄断,仅国外三大EDA软件厂商在我国的市场份额就超过 95%,国产软件技术水平差距在30年以上。这些工业核心软硬件的内部机理及通信过程往往不透明,再加上自身可能存在设计漏洞和被植入后门的问题,容易造成重要工业资产和装备制造业务信息被非法窃取,甚至可被远程控制和破坏。同时,由于它们在工业生产中往往起着不可代替的核心中枢作用,天然成为“卡脖子”瓶颈。最近的中兴、华为事件,以及Matlab禁用事件均充分说明,只有核心技术掌握在自己手中,降低对外依赖度,才能真正确保长远发展。
2. 工业互联 的泛在互联、跨域共享特点将会显著扩大受攻击面,给现有的 络安全防范带来巨大挑战
工业互联 的目标就是实现人机物的全面互联,实现 络空间与物理世界的无缝衔接,使得生产状态、工艺参数、产能信息等关键工业数据向云平台汇聚。它整合现有工厂级控制系统、企业信息系统及云平台,并将衍生出各种工业app应用,这势必会导致工业互联 成为 络攻击的重点目标。
现有工厂控制系统是一个相对封闭的独立 络,与企业信息系统之间通常单向隔离,甚至是完全物理隔离,现场采集终端也处于相对封闭的环境中。但是随着未来5G、物联 、工业互联 的发展和应用,大量智能传感器、工业机器人、摄像头、智能仪表等终端设备都能远程接入工业互联 中。这种泛在连接打破了原有的边界隔离,使得黑客能够通过这些边缘层终端跳转进入核心 络,而目前这些边缘层终端的防护能力远远满足不了要求。例如,卡巴斯基实验室曾经发布了一份工控威胁环境 告,通过全 扫描发现全球170个国家超过18万台工控主机,92%存在容易被利用的脆弱性。
除了边缘接入的巨大风险之外,工业互联 实现的两个层面的互通,即企业内部从车间到决策层的纵向互联,以及上下游企业(供应商、经销商、客户、合作伙伴)之间的横向互联,也势必会导致 络风险的蔓延。同时,工业云平台汇聚了企业的核心资产——工业大数据,也将成为众矢之的。
3. 控制系统自身漏洞多、难修补,导致工业互联 安全地基不牢
与传统IT设备相比,工业设备更关注系统的实时性与业务连续性,内存和处理能力有限,安全防护机制缺失,系统漏洞多,再加上受生产运行环境的限制,安全漏洞很难及时修补,这就导致问题将长期存在。例如,2018年工信部曾对20余家典型工业企业、工业互联 平台企业进行安全检查,发现2000多个安全威胁。相关数据显示,我国目前有50%以上的工控系统带“毒”运行,100%的工控系统带漏洞运转。
4. 工业互联 的安全管理跨界融合困难
工业互联 最终将实现IT和OT的融合,不仅会打通技术链条,实现业务赋能,同时也模糊了生产安全管理和 络安全管理的界限。安全管理的跨界融合是对现有泾渭分明的安全管理体系的一种颠覆,需要不断协调和填补双方在知识背景、安全意识、操作技能、运行机制、惯性思维等全方位的巨大鸿沟,这无疑是一个重大挑战。
二、工业互联 安全测试与风险评估
鉴于上述安全风险,工业互联 这个“新基建”的重要领域,从一开始就必须系统性考虑安全可控的信息技术体系,做到“同步规划、同步建设、同步使用”,以保证新型基础设施的安全。安全建设离不开安全测评。与传统信息系统安全评估相比,工业互联 安全测试与风险评估需要注意以下几点。
1. 工业互联 资产梳理
工业互联 是工业自动化生产的新理念新体系新视角,其中最核心的仍然是底层的工业控制系统。目前工控系统面临着资产多、种类繁杂、现实管理混乱、资产所属及其 络安全责任所属不清的情况,工业企业普遍没有建立工控资产台账,资产底数不明,甚至大量工控设备处于野外无人值守状态,这都导致了一旦发生工控 络安全事件很难开展应急处置。在未来,海量的智能传感器、智能仪表等边缘传感设备的广泛应用更将加剧这种状况。
工业互联 资产梳理有多种方式,如工业互联 资产自动化测绘、资产人工梳理核查以及混合方式。前者可以在工业互联 中自动化探测资产信息并进行收集整理分析,后者需要根据工控资产核查表单,人工登记记录形成电子版资产台账。在很多工控评估规范中均对资产安全提出了要求。例如《工业控制系统信息安全防护指南》“资产安全”要求中明确提出“建设工业控制系统资产清单,明确资产责任人,以及资产使用及处置规则”。只有工业互联 资产梳理清楚,才能准确全面地进行安全评估。
2. 工业互联 安全基线静态评估
安全基线静态评估是 络风险评估的重要内容。工业互联 安全基线静态评估应充分针对其特点来开展,尤其是现场控制部分。例如,许多终端控制设备位于室外而非机房环境,这对物理环境提出了新要求;工业主机尽管以普通计算机形态存在,但由于其功能主要用于生产业务运营而非个人使用,因而各种外设接口都需严格管理;过程监控往往要求24小时不间断,其不同用户的切换可能会对状态监视及控制造成安全影响,这又对传统的身份鉴别和访问控制提出了考验;工控系统实时性高的特点会直接影响安全模块或者安全设备的部署。这些因素都是工业互联 安全基线静态评估中需要慎重考虑的内容。
3. 工业互联 络威胁检测与态势感知动态评估
工业互联 的 络安全是动态变化的,可能面临着外部恶意 络攻击、内部人员误操作、运行状态异常等动态变化的安全威胁。 络威胁检测与态势感知动态评估能够较好地应对这种动态安全变化。通过对工业互联 络流量捕获监测分析,能够发现 络中的畸形流量、异常行为、重要指令、越界参数等,从而对其运行状态进行感知和评估。特别是工业互联 的底层控制 络主要连接传感器、执行器、控制器、监控中心等,人员操作行为少,更有利于建立 络正常行为基线。
4. 工业通信协议解析分析与流量构造
工业互联 不仅包括上层应用及云平台之间的TCP/IP 络,还包括底层的现场总线 络、工业以太 等专用 络,使用的工业 络协议数量众多,种类繁杂,主流的有Modbus、OPC、DNP3.0、PROFINET、EtherNet/IP等等。其中大量工业通信协议为厂商私有,不对外公开。无论是对工业控制 络进行安全监测还是对工控设备进行安全测试,均离不开对工业通信协议的理解和解析。因此,对各种私有的工业通信协议进行逆向分析、规约识别、语义理解就变得十分重要。
此外,工控系统的实时性要求高,一般不能接受较严重的 络延迟和抖动,信息通信必须不被中断或受到影响,因此在对工控设备或工控安全设备进行安全测试时,往往还需要构造特定的工控测试流量包,实现工业协议健壮性、工业协议解析合规性等安全测试。
5. 工业互联 仿真测试环境建设
工业互联 主要涉及关系到国计民生的关键行业领域,例如:电力、石油、化工、水利、交通、制造、冶金等,尤其是工业互联 中的工业控制系统,是这些领域自动化生产和运营的“神经中枢”和“大脑”,具有核心关键作用。工业互联 安全评估不能影响生产业务的正常运行,但是安全评估过程中采用的技术手段却有可能对实际在线运行的工业控制系统造成严重影响,例如造成生产停车、经济损失,甚至发生火灾爆炸等。因此,应该严格禁止对工业互联 底层生产运行系统采取主动探测、渗透测试等技术手段。通过采用工业互联 系统的软硬件备件,按照一定比例建立工业互联 仿真测试环境,对系统进行测试评估并对发现的问题进行验证,是一个行之有效的办法。为了综合平衡测试结果的可信度与测试环境的建设投入,可以考虑虚实结合方式,对与 络安全密切相关的关键要素(如工业软件、工控设备、工业通信 络等)采用真实系统进行构建,而对其它要素(如工艺流程、物理过程等)则进行仿真,但总体上应保证系统结构完整,确保安全测试效果。
工业互联 作为工业体系和互联 体系的深度融合产物,是新一轮工业革命的关键支撑,也是“新基建”的重点推进领域。我们既要加速推进制造业数字化、 络化、智能化发展进程,又要高度重视蕴含的 络安全风险,做好顶层设计,强化统筹协调,确保工业互联 安全健康发展,为国家“新基建”战略的落实奠定安全基础。
2、建设安全可信SAAS服务的三个要点
提起SAAS服务,大家并不陌生,近些年SAAS服务很火,涉及各行各业,比如安全行业、生产制造业、医疗行业等都有不同的SAAS服务。企业通过购买SAAS服务免去了购买软硬件、建设机房、招聘IT人员等诸多工作,可以安心的专注在业务领域,不用再为底层的 络架构、信息系统建设、信息系统维护而烦恼。凡是有利就有弊,虽然SAAS服务有诸多好处,但对企业来说如何保证自己的数据安全一直是企业最担心的问题。
在进行SAAS服务项目推广时,一些企业用户会对SAAS服务数据安全性提出质疑,比如如何确保企业用户数据不被SAAS服务商看到、如何确保企业用户数据不被其它接入的企业用户看到、如何随时可以查看到数据库运维记录等,那面对这些问题,作为信息安全支撑部门如何去解决接入企业用户担心的数据安全问题呢?
要保证企业数据安全,基础的安全建设是必不可少的,比如下一代防火墙、DDOS防护、WAF等,这些基础安全建设先不展开分析。
笔者认为,如果要使企业安心的接入SAAS服务,避免接入企业用户对数据安全的担忧,主要要从以下三个方面去进行数据安全建设:
一、权限分配由企业自己掌握
一般开发的SAAS服务需要有完善的权限管理功能,单独为接入的企业提供权限管理功能,接入企业可以根据实际需求给人员开放系统权限,同时SAAS服务需要具备权限功能修改、用户访问等审计功能,为接入企业提供系统操作日志查询功能,减少接入企业在数据安全方面的担忧。
除权限由接入企业用户自行掌握外,我们提供的SAAS服务需要通过专业渗透测试服务商完成渗透测试,避免垂直越权、水平越权等权限问题发生,由于接入企业都是同行业企业,如对外提供的SAAS服务有以上权限问题发生时,也可能会使接入的企业数据被其他接入竞争公司所看到,为避免此类安全事件发生,SAAS服务上线前需要经过严格的安全测试,尤其重要的是系统中各类权限的测试。
二、对数据进行数据加密
除了基本的在传输过程中通过https进行数据加密传输,防止被 络监听窃取数据,同时为了减少接入企业对数据安全的担忧,同时真正保护接入企业的数据安全,在我看来对数据进行数据加密是一个比较行之有效的数据安全解决方案。
针对SAAS服务进行数据加密,(云密码机需通过国家密码管理局检测认证)可以称得上最优的解决方案,云密码机天生就是为解决SAAS服务场景的数据加密而生的。基于完善的安全体系设计,用户的应用密钥具备完善的生命周期管理,除指定用户以外的任何人都无法访问。
SAAS服务商为接入SAAS服务的企业用户分配VSM(虚拟密码机,简称VSM,以下涉及虚拟密码机均用VSM代替),分配VSM的同时也会为接入企业用户提供管理ukey,通过管理ukey才有登录VSM及管理VSM的权限。
这样,通过VSM接入企业用户就可以自己设定数据加密秘钥,包括加密秘钥长度、加密秘钥算法(支持国密、国际算法)实现对企业用户自己的数据进行数据加密,整个数据加密的秘钥、密码机的管理完全由接入企业用户自己管理。在SAAS服务进行数据查询时,从数据库读取的数据加密数据,需要SAAS服务调用VSM解密接口,通过VSM实现对数据解密,通过SAAS服务前台展示给用户解密后的数据;在SAAS服务进行数据存储时,需要SAAS服务调用VSM加密接口,通过VSM实现对数据加密,数据加密后存储到数据库;所以即使是SAAS服务提供商也无法看到数据库中所存的数据的真实内容,这样不论是攻击业务系统的黑客、其它接入企业、SAAS服务提供商均不可能看到存在数据库真实数据是什么,因为数据库存放的数据都是接入企业通过自己设定的加密秘钥进行加密后的数据,秘钥只有接入企业自己才会有,也只有业务系统或者通过接入企业的秘钥才能看到数据库中存放的真实数据内容。这样不仅保证了接入企业用户的数据安全,同时也可以避免接入企业用户对数据安全性的担忧。
三、数据操作可审计
只有SAAS服务系统的严格权限管理、接入企业通过自己设定的加密秘钥对数据加密可能还不够,这时候接入企业同样会问,如何确保其他接入企业、SAAS服务商没有直连数据库操作我们的数据?该如何解决接入企业在这方面的担忧呢?
以上问题,需要构建完备的SAAS数据库审计服务。通过SAAS数据库审计服务,实现按接入企业进行数据库审计,通过预先设定的数据库审计规则(比如:指定的关键字、指定的数据库实例等都可以)对针对接入该企业的所有数据库库操作进行审计,不论是来自业务系统的增、删、改、查,还是直连数据库的增、删、改、查都会进行操作审计,所有的审计数据根据不同接入企业进行授权,每个接入企业可以随时查看对企业自身数据的所有操作记录。
通过SAAS数据库审计服务使接入企业可以随时掌握数据库的访问情况,不仅可以看到访问数据库使用的用户名、访问的源IP地址、执行的SQL语句、执行的操作对象等信息,同时也可以制定各类数据库访问情况分析 表推送到指定邮箱,便于接入企业进行数据访问情况分析及统计。
通过严格的SAAS服务系统的严格权限管理、接入企业通过自己设定的加密秘钥对数据加密、完备的SAAS数据库审计服务不仅可以保证医疗SAAS服务数据安全,同时也可以避免接入企业对数据安全的担忧,而且也利于医疗SAAS服务的推广。
3、 络空间系统安全基础(二)
系统安全原理
2.1 基本原则
在 络空间中,系统的设计与实现是系统生命周期中分量很重的两个阶段,长期以来受到了人们的高度关注,形成了一系列对系统安全具有重要影响的基本原则。这些原则可以划分成三类,分别是限制性原则、简单性原则和方法性原则。
限制性原则包括最小特权原则、失败-保险默认原则、完全仲裁原则、特权分离原则和信任最小化原则等五个。
(1)最小特权原则(Least Privilege):系统中执行任务的实体(程序或用户)应该只拥有完成该项任务所需特权的最小集合;如果只要拥有n项特权就足以完成所承担的任务,就不应该拥有n+1项或更多的特权。
(2)失败-保险默认原则(Fail-Safe Defaults):安全机制对访问请求的决定应采取默认拒绝方案,不要采取默认允许方案;也就是说,只要没有明确的授权信息,就不允许访问,而不是,只要没有明确的否定信息,就允许访问。
(3)完全仲裁原则(Complete Mediation):安全机制实施的授权检查必须能够覆盖系统中的任何一个访问操作,避免出现能逃过检查的访问操作。该原则强调访问控制的系统全局观,它除了涉及常规的控制操作之外,还涉及初始化、恢复、关停和维护等操作,它的全面落实是安全机制发挥作用的基础。
(4)特权分离原则(Separation of Privilege):对资源访问请求进行授权或执行其它安全相关行动,不要仅凭单一条件做决定,应该增加分离的条件因素;例如,为一把锁设两套不同的钥匙,分开由两人保管,必须两人同时拿出钥匙才可以开锁。
(5)信任最小化原则(Minimize Trust):系统应该建立在尽量少的信任假设的基础上,减少对不明对象的信任;对于与安全相关的所有行为,其涉及到的所有输入和产生的结果,都应该进行检查,而不是假设它们是可信任的。
简单性原则包括机制经济性原则、公共机制最小化原则和最小惊讶原则等三个。
(1)机制经济性原则(Economy of Mechanism):应该把安全机制设计得尽可能简单和短小,因为,任何系统设计与实现都不可能保证完全没有缺陷;为了排查此类缺陷,检测安全漏洞,很有必要对系统代码进行检查;简单、短小的机制比较容易处理,复杂、庞大的机制比较难处理。
(2)公共机制最小化原则(Minimize Common Mechanism):如果系统中存在可以由两个以上的用户共用的机制,应该把它们的数量减到最少;每个可共用的机制,特别是涉及共享变量的机制,都代表着一条信息传递的潜在通道,设计这样的机制要格外小心,以防它们在不经意间破坏系统的安全性,例如信息泄露。
(3)最小惊讶原则(Least Astonishment):系统的安全特性和安全机制的设计应该尽可能符合逻辑和简单,与用户的经验、预期和想象相吻合,尽可能少给用户带来意外或惊讶,目的是提升它们传递给用户的易接受程度,以便用户会自觉自愿、习以为常地接受和正确使用它们,并且在使用中少出差错。
方法性原则包括公开设计原则、层次化原则、抽象化原则、模块化原则、完全关联原则和设计迭代原则等六个。
(1)公开设计原则(Open Design):不要把系统安全性的希望寄托在保守安全机制设计秘密的基础之上,应该在公开安全机制设计方案的前提下,借助容易保护的特定元素,如密钥、口令或其它特征信息等,增强系统的安全性;公开设计思想有助于使安全机制接受广泛的审查,进而提高安全机制的鲁棒性。
(2)层次化原则(Layering):应该采用分层的方法设计和实现系统,以便某层的模块只与其紧邻的上层和下层模块进行交互,这样,可以通过自顶向下或自底向上的技术对系统进行测试,每次可以只测试一层。
(3)抽象化原则(Abstraction):在分层的基础上,屏蔽每一层的内部细节,只公布该层的对外接口,这样,每一层内部执行任务的具体方法可以灵活确定,在必要的时候,可以自由地对这些方法进行变更,而不会对其它层次的系统组件产生影响。
(4)模块化原则(Modularity):把系统设计成相互协作的组件的集合,用模块实现组件,用相互协作的模块的集合实现系统;每个模块的接口就是一种抽象。
(5)完全关联原则(Complete Linkage):把系统的安全设计与实现与该系统的安全规格说明紧密联系起来。
(6)设计迭代原则(Design for Iteration):对设计进行规划的时候,要考虑到必要时可以改变设计;因系统的规格说明与系统的使用环境不匹配而需要改变设计时,要使这种改变对安全性的影响能降到最低。
为了使全生命周期的整体安全保障思想能落到实处,系统的设计者和开发者在设计和实现系统的过程中,应该深入理解、正确把握、自觉遵守以上原则。
2.2 威胁建模
安全是一种属性,是应对威胁的属性。如果没有威胁,就没必要谈安全。而如果不了解威胁,显然就没办法谈安全。只有把威胁弄清楚,才可能知道安全问题会出现在哪里,才可能制定出应对安全问题的方法,从而获得所期待的安全。这里面蕴含着的实际上就是威胁建模的思想。为说清这一思想,有必要先说说安全、威胁、风险等相关概念。
安全(Security)的本意指某物能避免或抵御他物带来的潜在伤害。在大多数情况下,安全意味着在充满敌意的力量面前保护某物。其中的物既可以是生物也可以是非生物,既可以是人,也可以是其他东西。
威胁(Threat)的本意指给某物造成伤害或损失的意图。意图表示事情还没有发生,伤害或损失还没有成为事实。例如,在乡村的一户农舍门口,一条狗正对着你怒目而视,表现出随时向你扑去的意图,这明显是对你的威胁,一旦它扑过去撕咬你,你就会受到伤害。
风险(Risk)的本意指某物遭受伤害或损失的可能性。可能性有大有小,意味着风险具有大小程度指标。遇到凶狠的看家狗时,你被咬的风险很大,遇到温顺的宠物狗时,你被咬的风险很小。
由上述三个概念的本意可知,它们存在内在联系。安全代表避免伤害,风险代表可能伤害,可见,风险意味着安全难保,所以,风险就是安全风险,即导致安全受损的风险。另一方面,威胁代表产生伤害的意图,给伤害带来可能性,因此,威胁是风险之源。概括地说,威胁引起风险,风险影响安全。故此,需要针对威胁采取措施,降低风险,减少安全损失。
威胁一旦实施,就成了攻击。换言之,攻击(Attack)就是把威胁付诸实施的行为。而攻击的前后经历就是安全事件。攻击如果成功了,威胁所预示的伤害或损失就变成了事实。或者说,安全事件发生后,安全风险就成了实实在在的体现,那便是安全事件所产生的后果。
威胁建模(Threat Modeling)就是标识潜在安全威胁并审视风险缓解途径的过程。威胁建模的目的是:在明确了系统的本质特征、潜在攻击者的基本情况、最有可能的被攻击角度、攻击者最想得到的好处等的情况下,为防御者提供系统地分析应采取的控制或防御措施的机会。威胁建模回答像这样的问题:被攻击的最薄弱之处在哪、最相关的攻击是什么、为应对这些攻击应该怎么做等。
在路过乡村农户门口的例子中,威胁建模明确的潜在威胁是恶狠狠地盯着你的那条狗可能突然猛扑过去撕咬。你会受到的伤害可能是鲜血淋漓,更为担心的是怕染上狂犬病。应对那样的威胁的办法可以是撒腿就跑,如果你估计跑得比它快的话;或者,赶紧就地捡几块石头砸它;如果周围根本找不到石头,就假装蹲下捡石头并向它砸去的样子吧,但愿这样能把它吓退。
在开发Adept-50安全操作系统的时候,威胁建模能明确的主要安全威胁是保密信息泄漏。当时的一个大型主机系统会处理和存放含有不同密级的信息,比如,绝密、机密、秘密、非密等级别的信息,特别是军事方面的信息。使用系统的用户的职务身份对应着一定的涉密等级。威胁的具体表现是涉密等级低的用户可能会查阅到保密级别高的信息。应对这种威胁的办法是制定和实施根据涉密等级控制对信息进行访问的规则。Adept-50实现的是一组称为低水标模型的访问控制规则。
对一个系统进行威胁建模的一般过程是首先勾画该系统的抽象模型,以可视化的形式把它表示出来,在其中画出该系统的各个组成元素,可以基于数据流图或过程流图进行表示;然后以系统的可视化表示为基础,标识和列举出系统中的潜在威胁。这样得到的威胁框架可供后续分析,制定风险缓解对策。
从指导思想上,威胁建模实践在威胁建模方法的指引下进行。威胁建模方法有以风险为中心、以资产为中心、以攻击者为中心、以软件为中心等类型。威胁建模方法很多,典型的有STRIDE、PASTA、Trike、VAST等。
以STRIDE为例,该方法首先给待分析的系统建模,通过建立数据流图,标识系统实体、事件和系统边界。然后,以数据流图为基本输入去发现可能存在的风险。该方法的名称是身份欺骗、数据篡改、抵赖、信息泄漏、拒绝服务、特权提升等威胁类型的缩写,它表示该方法重点检查系统中是否存在这些类型的风险。
2.3 安全控制
古人云:宜未雨而绸缪,毋临渴而掘井。对系统进行安全保护的最美好愿景是提前做好准备,防止安全事件的发生。访问控制(Access Control)就是这方面的努力之一,它的目标是防止系统中出现不按规矩对资源进行访问的事件。访问行为的常见情形是某个用户对某个文件进行操作,操作的方式可以是查看、复制或修改,如果该文件属于程序,操作的方式也可以是运行。在访问行为中,用户是主动的,称为主体,文件是被动的,称为客体。如果用 s、o、p 分别表示主体、客体、操作,那么,一个访问行为,或者简单地说一个访问,可以形式化地表示成以下三元组:( s, o, p )
它表示主体 s 对客体 o 执行操作 p ,对应前述示例, p 的取值可以是 read 、 copy 、 modify 、 execute 中的任意一个。
系统中负责访问控制的组成部分称为访问控制机制。访问控制机制的重要任务之一是在接收到一个( s, o, p )请求时,判断能不能批准( s, o, p )执行,作出允许执行或禁止执行的决定,并指示和协助系统实施该决定。
访问控制需要确定主体的身份(Identity),确定主体身份的过程称为身份认证(Authentication)。身份认证最常用的方法是基于口令(Password)进行认证,主体向系统提供账户名和口令信息,由系统对这些信息进行核实。
口令认证法与现实中对暗 的方法很相似。甲乙两人相遇,甲说:天王盖地虎,乙答:宝塔镇河妖,于是,甲就确认乙是自己人,因为他们的组织事先有这样的约定。主体事先与系统约定了账户名和口令信息,所以认证时系统可以进行核实。
系统中出现的各种访问要符合规矩,规矩的专业说法叫访问控制策略(Policy)。访问控制机制的另一项重要任务是定义访问控制策略,其中包含给主体分配访问权限。分配访问权限的过程称为授权(Authorization)。
抽象地说,访问权限的分配情况可以用一个矩阵表示。矩阵的每一行对应一个主体,每一列对应一个客体。矩阵的每一个元素是一组权限,表示对应主体所拥有的访问对应客体的权限。这样的矩阵称为访问控制矩阵。
一组权限可以表示为一个以权限为元素的集合。通常以访问中的操作的名称作为相应权限的名称,比如,用 read 作为 read 操作的权限名称。设矩阵中位于主体 s 与客体 o 交叉位置上的元素为 m ,如果 p 出现在 m 中,则表示 s 有权对 o 执行 p 操作。
例如:假设 m = { read, copy }
则 s 拥有对 o 执行 read 和 copy 操作的权限
如果 p = read 或 p = copy
则 ( s, o, p )可以执行
如果 p = modify 或 p = execute
则 ( s, o, p )不许执行
结合以上介绍,可定义一个访问控制策略如下。
访问控制策略1:构造访问控制矩阵 M ,给矩阵 M 中的元素赋值,对于任意( s, o, p )访问请求,在 M 中找到 s 和 o 交叉位置上的元素 m ,当 p ∈ m 时,允许( s, o, p )执行,否则,禁止( s, o, p )执行。
在策略1中,给矩阵 M 中的元素赋值的过程就是授权过程。显然,该策略是给每一个主体进行授权的。在现实应用中,有时不需要给每一个用户进行授权,只需给岗位进行授权,例如,分别给校长、院长、教师、学生等授权,这里的校长等称为角色。某个用户属于哪个角色就享有哪个角色的权限。
可以把矩阵 M 改造为矩阵 M R , M R 与 M 只有一点不同,它的每一行对应一个角色,而不是一个主体。设计一个角色分配方案,为每个用户分配角色。给一个用户分配的角色可以不止一个,例如,一个用户可以既是老师也是院长。为简单起见,这里把分配给一个用户的角色数限制为一个。用函数 f R 表示角色分配方案,它的输入是任意用户,输出是给该用户分配的角色。可以定义另一个访问控制策略如下。
访问控制策略2:构造访问控制矩阵 M R ,设计角色分配方案 f R ,给矩阵 M R 中的元素赋值,按方案 f R 给每个用户分配角色,对于任意( u, o, p )访问请求, u 表示用户,确定角色 r = f R ( u ),在 M R 中找到 r 和 o 交叉位置上的元素 m ,当 p ∈ m 时,允许( u, o, p )执行,否则,禁止( u, o, p )执行。
在策略2中,给矩阵 M R 中的元素赋值和按方案 f R 给每个用户分配角色是授权过程。
策略1比较简单,它根据主体的身份标识就可以做访问决定。在涉密信息分级保护的应用中,无法简单依据主体标识做访问决定,需要根据信息的保密级别和主体的涉密等级进行判断。针对这类情形,需要制定主体等级和客体密级分配方案 f S 和 f O ,设计主体等级 f S ( s )与客体密级 f O ( o )的对比方法 cmp ,设定任意操作 x 应该满足的条件 con ( x ),在此基础上,可定义访问控制策略如下。
访问控制策略3:制定主体等级分配方案 f S 和客体密级分配方案 f O ,设计主体等级与客体密级的对比方法 cmp ,设定任意操作 x 应该满足的条件 con ( x ),给每个主体分配涉密等级,给每个客体分配保密级别,对于任意( s, o, p )访问请求,当 cmp ( f S ( s ), f O ( o ))满足条件 con ( p )时,允许( s, o, p )执行,否则,禁止( s, o, p )执行。
在实际应用中,涉密等级和保密级别分别是给主体和客体打上的安全标签,所以,策略3中的 f S ( s )和 f O ( o )分别是主体 s 和客体 o 的安全标签的值。给每个主体分配涉密等级和给每个客体分配保密级别的过程是策略3的授权过程。
访问控制策略是为了满足应用的需要制定的,由于应用需求多种多样,所以访问控制策略也多种多样。
从访问判定因素的形式看,策略1以主体的身份标识作为判定因素,属于基于身份的访问控制,策略2以角色作为判定因素,属于基于角色的访问控制,策略3以安全标签作为判定因素,属于基于标签的访问控制。
从授权者的限定条件看,策略1的授权者通常是客体的拥有者,客体 o 的拥有者可以自主确定任意主体 s 对客体 o 的访问权限,这样的访问控制称为自主访问控制。策略3的授权者通常是系统中特定的管理者,任何客体 o 的拥有者都不能自主确定任何主体 s 对客体 o 的访问权限,这样的访问控制称为非自主访问控制,也就是强制访问控制。
2.4 安全监测
古人云:亡羊而补牢,未为迟也。
和自然界中的情形一样, 络空间中的系统及其环境一直处于不断的变换之中,方方面面的不确定因素大量存在。由于热力学第二定律的作用,混乱总是不停地增加。正如天灾人祸在所难免一样,安全事件是不可能根除的。既然不得不面对,系统至少应能感知安全事件的发生,增强事后补救能力。
尘落留痕,风过有声。大街小巷的摄像头注视着人们的举动,地面空管站的仪器设备记录着飞机在空中的航迹。 会上的不良行为不可能不留下丝毫蛛丝马迹。在 络空间中,各种日志机制记录着系统运行的轨迹。实际上,各种监控摄像也早已融入 络空间之中。 络空间安全事件的监测是有基础的。
系统的完整性检查机制提供从开机引导到应用运行各个环节的完整性检查功能,可以帮助发现系统中某些重要组成部分受到篡改或破坏的现象。病毒或恶意软件是困扰系统安全的常见因素,病毒查杀和恶意软件检测机制可以通过对系统中的各种文件进行扫描,帮助发现或清除进入到系统之中的大多数病毒或恶意软件。
入侵检测是安全监测中广泛采用的重要形式,它对恶意行为或违反安全策略的现象进行监测,一旦发现情况就及时 告,必要时发出告警。入侵检测机制具有较大的伸缩性,监测范围可以小到单台设备,大到一个大型 络。
从监测对象的角度看,入侵检测可分为主机入侵检测和 络入侵检测两种类型。
主机入侵检测系统(HIDS, Host Intrusion Detection System)运行在 络环境中的单台主机或设备上,它对流入和流出主机或设备的数据包进行监测,一旦发现可疑行为就发出警告。HIDS的一个典型例子是对操作系统的重要文件进行监测,检测时,它把操作系统重要文件的当时快照与事先采集的基准快照进行对比,如果发现关键文件被修改或删除,就发出警告。
从检测方法的角度看,入侵检测可分为基于特征的入侵检测和基于异常的入侵检测两种类型。
基于特征的入侵检测的基本思想是从已知的入侵中提炼出特定的模式,检测时,从被检测对象中寻找已知入侵所具有的模式,如果能找到,就认为检测到了攻击。被检测对象可以是 络流量中的字节序列,或者恶意软件使用的恶意指令序列。显然,这种检测方法可以比较容易地检测出已知攻击,但很难检测出新的攻击,因为缺乏新攻击对应的模式。
基于异常的入侵检测的基本思想是给可信的行为建模,检测时,把待检测的行为与已知的可信行为模型对比,如果差异较大,则认为是攻击行为。机器学习技术可以根据行为数据训练出行为模型,如果有一定数量的可信行为数据样本,它可以为可信行为建立模型。在实际应用中,采集可信行为数据是有可能的,因此,可信行为模型可以通过机器学习技术训练得到。这种检测方法的优点是可以检测未知攻击,但一个明显的缺点是误 问题。当一个新的合法行为出现时,它很可能被当作攻击行为对待,因为事先没有建立这种行为的模型。
通过观察不难发现,基于特征的入侵检测和基于异常的入侵检测正好采用了两种不同的理念。前者脑子里装着坏人的特征,相当于拿着坏人的画像去找坏人。后者脑子里装着好人的模型,相当于看你不像脑子里的好人就说你是坏人。自然,前者难免找不全(漏 ),后者难免冤枉人(误 )。
2.5 安全管理
常言道:三分技术,七分管理。系统安全思维清晰地表明应该通过技术与管理两手抓来建设系统的安全性。
一般意义上的安全管理(Security Management)指把一个组织的资产标识出来,并制定、说明和实施保护这些资产的策略和流程,其中,资产包括人员、建筑物、机器、系统和信息资产。安全管理的目的是使一个组织的资产得到保护,由资产的范围可知,该目的涵盖了使系统和信息得到保护。
安全风险管理是安全管理的重要内容,它指的是把风险管理原则应用到安全威胁管理之中,主要工作包括标识威胁、评估现有威胁控制措施的有效性、确定风险的后果、基于可能性和影响的评级排定风险优先级、划分风险类型并选择合适的风险策略或风险响应。
国际标准化组织(ISO)确定的风险管理原则如下:
(1)风险管理应创造价值,即为降低风险投入的资源代价应少于不作为的后果。
(2)风险管理应成为组织过程不可或缺的一部分。
(3)风险管理应成为决策过程的一部分。
(4)风险管理应明确处理不确定性和假设。
(5)风险管理应是一个系统化和结构化的过程。
(6)风险管理应以最佳可用信息为基础。
(7)风险管理应可量身定制。
(8)风险管理应考虑人为因素。
(9)风险管理应透明和包容。
(10)风险管理应是动态的、迭代的和适应变化的。
(11)风险管理应能持续改进和加强。
(12)风险管理应持续地或周期性地重新评估。
系统安全领域的安全管理是上述一般性安全管理的一个子域,它聚焦系统的日常管理,讨论如何把安全理念贯穿到系统管理工作的全过程之中,帮助系统管理人员明确和落实系统管理工作中的安全责任,以便从系统管理的角度提升系统的安全性。
孟子曰:不以规矩,不能成方圆。前面介绍安全控制时,我们说用户访问系统要守规矩,那里的规矩是访问控制策略。进行系统管理也需要有规矩,这就是流程。系统管理人员开展工作前,要制定规范的管理流程。只有按照流程管理系统,才能避免工作中的疏漏。尤其是安全管理工作,一点疏漏就好比一个漏洞。
在开展工作的过程中,在管理流程的指引下,系统管理人员要明确以下工作任务:搞清需求、了解模型、编写指南、安装系统、运用模型、指导操作、持续应对、自动化运作。
在分析安全需求时,要注意来自内部的威胁。传统的安全防御大多是城堡式的,修建城墙或护城河都是为了抵御外来的敌人,这种方式对于抵御外敌来说起到了很好的作用,但对内部奸细无能为力,遇到里应外合的攻击时非常被动。所以,不能忽视对内部威胁的分析,比如数据渗漏和破坏等威胁,要制定相应的对策。
系统管理人员要了解和熟悉安全模型。所谓安全模型就是安全策略的形式化表示,比如,用形式化的方式把访问控制策略表示出来就是访问控制模型。安全模型与安全策略本质相同,形式不一样。安全模型很多,典型的有:贝尔-拉普度拉模型、克拉克-威尔逊模型、中国墙模型、临床信息系统安全模型,等等。
编写指南就是用文档的方式把系统的安全性和保障能力方面的要求和措施写清楚,细化到可操作的程度,以便工作中所涉及到的人员能按照文档的说明进行操作,例如,文档要包括系统安装说明和用户使用指南等。
每个系统都由很多子系统组成。比如,一部手机除了有操作系统外还有很多APP。每个系统都是通过安装一个个子系统而安装起来的。每安装或卸载一个子系统都有可能影响系统的安全性。新安装的子系统可能带来新的安全隐患,比如,它有漏洞。被卸载的子系统可能肩负有安全职责,卸载它意味着删除一些安全功能。特别是,各个子系统的相互作用会产生系统安全性的整体效应。所以,安装和卸载系统要有应对安全的考虑。
系统根据安全模型提供安全功能。系统管理人员要根据安全需求选取、配置和使用安全模型。由于不同应用有不同的安全需求,有时需要在一个系统中运用多个安全模型。不同安全模型之间可能存在不一致,甚至存在冲突,必须解决安全模型合成使用中遇到的问题。
系统安全功能的正常发挥与用户对系统的正确操作关系密切。易用与安全常常存在矛盾。系统管理人员配置系统时要权衡易用性与安全性的关系,为系统营造容易操作的环境,为用户提供正确操作的指引。
由于庞大复杂,系统必然存在漏洞,而哪里存在漏洞以及漏洞何时暴露具有很大的不确定性。在系统管理过程中,必须时刻保持警惕,及时应对。修补漏洞的主要办法是给系统打补丁。及时打补丁很重要,Wannacry勒索病毒能全球蔓延很大程度上是因为很多系统没有及时打补丁。系统管理人员需要准备打补丁的方案,掌握打补丁的方法,还要了解漏洞的生命周期,能够处理发现漏洞如何 告的问题。
安全管理工作任务繁重,单纯依靠人工作业已经很难应付,应想办法让机器来帮忙,提升自动化管理水平,帮助提高系统的安全性。数据挖掘技术可用于帮助发现漏洞,数据分析技术可用于感知安全态势,机器学习技术可用于帮助进行自动防御。诸如此类的技术可应用到安全管理之中,推动技术与管理融合并进,促进系统安全目标的实现。
(未完待续)
文/中国人民大学信息学院教授、博士生导师,中国科学院信息工程所博士生导师 石文昌
4、盘点 | 科创板 络安全产业链公司
1. 产品结构:我国 安市场以软硬件产品为主,软件份额呈现逐年增长趋势
当前我国 络安全市场以软硬件产品为主。从结构上看, 络安全硬件产品仍占据接近一半市场份额(2018年占比48.10%),软件产品市场规模呈现逐年增长的趋势,服务占比较低。科创板 络安全企业的经营业务大多都涵盖安全软件产品、硬件、软硬件一体化产品和安全服务,其中安博通、安恒信息、溢信科技、奇安信、信安世纪以软件为主,纬德信息、山石 科、云涌科技和信大捷安以销售硬件产品为主。
2. 应用领域:以政府和大型国企应用为主,奇安信产品覆盖领域最广
目前,我国信息安全以政府和大型国企投资为主。我国信息安全产业链中,下游客户主要为政府部门、金融、能源、电信、医疗卫生、交通等信息化程度高且对信息较敏感的行业。随着 络安全对各行业的渗透,各厂商发挥自身的技术优势,将业务聚焦到擅长领域。
安博通定位于 络安全行业的“厂商的厂商”,核心产品为安全 关类、安全管理类产品,将 络安全产品与服务提供给下游产品与解决方案厂商,再由合作伙伴交付给政府与企事业单位等最终用户。
奇安信、信安世纪、山石 科、安恒信息则致力于成为综合大型 络安全厂商,提供全领域、全方位、全生命周期的产品和服务,覆盖身份安全、云安全、数据安全、终端安全、边界安全等完备的解决方案。
根据第七版中国 络安全行业全景图,奇安信的产品线覆盖全部15个一级安全领域和71个二级细分领域,是入围该全景图细分领域最多的 络安全企业。
此外,溢信科技面向企业级用户提供终端软件,纬德信息和云涌科技聚焦于工业信息安全领域,信大捷安则基于国家商用密码体系开拓移动政务安全和物联 安全市场。
5、超级 络安全集团大揭秘:MITRE
MITRE,什么?你不认识?但你一定听过CVE(公共漏洞和暴露),它定义了一个漏洞的专属命名编 ,对信息安全行业影响深远,至今仍在广泛使用;也一定听过CWE(通用缺陷列表)吧,这是一个对软件脆弱性和易受攻击性进行分类的系统;引领国际 络安全攻防潮流的安全技术战术知识库框架MITRE ATT&CK框架你一定有听说过吧,这些都是MITRE公司所研发的。这是一个非营利组织,通过美国联邦政府资助和与其他公私企业或部门合作而获取研发资金,但它的员工待遇却好得令人羡慕,曾多次被评为美国最适宜工作的公司,绝大部分研发资金为员工工资和公司设备购买。MITRE之所以能够成功,这与MITRE公司对待人才的待遇有着必然联系。他们所做的工作,跨度之广,脑洞之大,从帮助美国疾控中心建立疫情监控系统,合作对抗新型冠状病毒的大流行,到帮助国土安全部研发物联 入侵检测和监控系统来帮助其判断是否从美国边境偷渡或者在“案发现场”。但即便如此,我们知道的也仅仅是其所对外公布的,通常大多数研究成果都会保密。他们总是以公共利益为工作,与政府、工业界、学术界相合作。
1 MITRE概况
接下来将从创新领域、价值观、发展背景来为大家介绍MITRE公司。
MITRE的背景
MITRE诞生于冷战时代,其前身是麻省理工学院的林肯实验室,当时美国空军为了能够精确掌握敌军战机的来袭动态,便请求麻省理工学院帮助他们建立一个防空系统,于是建立成了研究所,并提出半自动地面环境(SAGE),通过解和雷达、无线电和 络通信等技术来检测敌机。该研究所管理者于1958年建立Mitre公司,并管理SAGE未来发展。SAGE于1963年开始运作,通过一次次技术的融入与进步,SAGE也成为了美国第一个现代化防空系统。
1970进入下一个主要计划:国防部情 信息系统,至今仍在使用;
1990与美国联邦航空局首次合作,建立一个心得FFRDCs(军方编外研究机构);
2010-2014 Mitre成为三个FFRDCs的管理者;
纵观MITRE的发展史,以对空领域为起点,横向的发展之广,捣毁过暗 市场,研究过生物科技, 络安全,研发过嵌入式入侵检测系统,抵抗过新冠病毒,参与国防建设等等,但从纵向发展来看,他们的深度依旧很深,掌握着核心技术,引领世界潮流,这就是MITRE在技术领域的庞大“帝国”。
MITRE使命和价值观
MITRE以建立一个更安全的世界为使命,以不产生其他利益,同政府合作,培育世界级卓越人才和研发世界级卓越技术为价值观。正式因为这样的使命和价值观,使得MITRE能够专注于最卓越的技术的研发,一步一步发展到堪称 络安全领域的一个“帝王”。
创新领域
在多个领域我们都能看到MITRE的身影。从人工智能、直观数据科学、量子信息科学、 络弹性、卫生信息学、空间安全、政治和经济学、 络威胁等领域都有着创新成果。2005年,MITRE的车队参加美国自动驾驶汽车竞赛(DARPA)荣获23名的决赛资格。其创新甚至可以说从地表蔓延至太空——小型卫星的 络安全技术。
MITRE的客户
MITRE的客户包括了美国国防部、联邦航空管理局、美国国税局、美国退伍军人事务部和国土安全部等。除此之外,MITRE 还向各国民航管理机构、机场管理公司、航空公司及其他航空组织提供空中交通管理(ATM)系统工程、航空运营、空域设计以及系统自动化与集成等领域的专门知识和技术支持。
MITRE的研究中心
MITRE的各个组织的名声可能远比“MITRE”这个名字更有威慑力,MITRE主要由:由国防部支持的国家安全工程中心、由美联航管理局所支持的先进航空系统开发中心、由国税局和退伍军人事业部支持的企业现代化中心、由国土安全部支持的国土安全系统工程与发展研究所、由美国法院支持的司法工程与现代化中心、由医疗保险和医疗补助服务中心所支持的CMS联盟医疗现代化中心、由国家标准技术研究所所支持的国家 络安全FFRDC。
2 络安全–MITER的核心
络安全,一直是MITRE公司的核心技术之一,其提出的CVE,CWE, 络态势感知等等都成为了 络安全领域的标杆。
CVE
CVE是一个公开发布软件或固件中所有已知漏洞的“字典”,供公司企业查询自身面临风险。
然而CVE现在的效果已经引起了争议,CVE无疑是个伟大的概念:公开发布软件或固件中所有已知漏洞的“字典”,供公司企业查询自身面临风险。然而,在MITRE发起该项目18年后,关于其效果,有了很多争议。
在各处公布的所有漏洞中,商业数据库目前跟踪到了约80%,CVE在60%到80%之间。于是做风险决策的时候,盲区有50%左右。这是很严重的缺失,目前由52913个漏洞没有CVE编 ,缺失率已经高达33%。
如果你拥有一个其 告包含CVE标识符引用的安全工具,你就可以获得另一个兼容CVE的数据库中的修复信息。CVE还提供了一个评估工具覆盖范围的基线。
CWE
常见缺陷列表(Common Weakness Enumeration)是MITRE公司继CVE(CommonVulnerabilities and Exposures)之后的又一个安全漏洞词典。通过这一词典,Mitre希望提供识别、减轻、阻止软件缺陷的通用标准。CWE也可以作为人们购买软件的安全衡量标准,尤其是在购买旨在阻止或发现具体安全问题的安全工具时。
“CWE兼容”是软件安全类产品重要的标志之一,产品或服务与“CWE”兼容,意味着工具、 站、数据库或者服务使用CWE名称,用户可通过产品搜索到相关的CWE信息,同时厂商和相关的安全机构也会向CVE提供关于漏洞研究方面的相关资料。“CWE兼容”以作为产品的重要等级标志被用户和管理人员所认可。
CWE,先后推出了CWSS(Common Weakness Scoring System)和CWRAF(Common Weakness Risk Analysis Framework)工程研究。CWSS主要研究的是对源代码缺陷产生危害的不同等级划分。
MITRE 络态势感知解决方案
北约通信和信息局(NATO Communications and Information Agency (NCIA) Request for Information (RFI),NCIA)信息请求(RFI)寻求一种多国 络防御态势感知(cyber defense situational awareness ,CDSA)能力。MITRE已经开发过一系列提供技术解决方案。特定的NCIA RFI CDSA use案例被用于根据总体CDSA需求确定MITRE能力的方向。MITRE的大部分工作都集中在主要RFI场景“Oranjeland APT”中描述的解决方案上。这些工具是根据定义良好的需求和需求进行评估和获取的。它们使用聚合工具集成到更高级别的CDSA视图,比如安全信息和事件管理(SIEM)以及日志管理产品或自定义开发的数据处理管道。NCIA RFI根据CSSA解决方案满足三个场景中35个用例的能力来定义CDSA解决方案。
其中一套全面的CDSA功能主要包括四个核心领域:
威胁分析(Threat Analysis)——理解和跟踪威胁场景和参与者,以及他们使用的战术、技术和程序(TTPs);
依赖和影响分析(Dependency & Impact Analysis)——理解任务和资产之间的相互依赖关系,以识别弹性弱点和推断任务影响;
替代方案的分析(Analysis of Alternatives,AoA)——确定潜在的行动路线(Courses of Action,CoAs)和其他威胁缓解措施,探索有效的重构方法,并评估架构现代化的影响;
新兴解决方案(Emerging Solutions)——继续推进实践状态,提供新的解决方案,填补关键空白;
图1 // 四个核心领域
图2 // 四个核心领域所对应的十项主要工作
络防御态势的项目
战术、技术和过程框架(ATT&CK)
这是MITRE的一个开发框架,用于建模和分类高级持久威胁(APT)的利用后动作。ATT&CK模型可用于描述访问后的敌对行为。通过详细描述初始后访问(后利用和植入)战术、技术和过程(TTP)高级持久威胁(APT)来帮助确定 络防御的优先级。
ATT&CK将开发后的APT之 TTPs分为11类。ATT&CK确定了上百种不同的APT技术。它们对应着11类中的一个或多个,图3为框架所区分的11类。
图3 // ATT&CK的11类
ATT&CK是一个非常宝贵的威胁分类框架,用于识别传感器和检测漏洞,以及开发AOA弹性方法的对策。
随着工控安全问题的日益严峻,且工控安全一旦被攻击,所造成的损失是难以估量的,现有的ATT&CK框架难以完善的解决工控安全问题。MITRE公司于今年对ATT&CK框架进行更新,新加入了ATT&CK for ICS技术框架作为工控安全知识库的核心,并罗列了10个威胁团体、81种攻击技术以及17个恶意软件家族。建立了针对工控系统安全的该框架,以帮助资产所有者和维护者了解工业控制系统的手段和技术,帮助其提升防御能力、开发事件响应手册以及发现漏洞等。
威胁协作研究(CRITs)
威胁协作研究(Collaborative Research Into Threats,CRITs)是一个可扩展的协作防御恶意软件和威胁数据的平台。CRITs是一种开源恶意软件和威胁存储库,可利用其他开源软件为从事威胁防御的分析师和安全专家创建统一的工具。
通过PassiveTotal CRITs服务,分析人员可以直接从CRITs平台访问我们的所有数据集并进行充实,从而可以快速充实和分类指标。
皇冠珠宝分析(CJA)
图4 // 皇冠珠宝分析模型图
络指挥系统
络指挥系统(Cyber Command System,CyCS)是MITRE验证 络态势感知工具。“CyCS”通过使任务操作映射到支持这些任务的 络操作,以实现改进 络空间任务保障的目标。该工具通过态势感知和影响分析提供任务影响评估。CyCS通过漏洞、威胁和后果管理来解决高度分布式企业系统的任务保障挑战。通过CyCS可以展示先进的 络安全能力。
图5 // 络指挥系统流程
威胁评估和补救分析
威胁评估和补救分析(Threat Assessment and Remediation Analysis,TARA)解决方案定义了一种用于评估 络体系结构以识别 络漏洞和评估对抗有效性的方法。
图6 // 三步评估法
3 其他创新项目
MITRE公司在一些其他领域也与其他公司有着合作,它不是专门执着于某一个方向的公司,而是一个真正的“IT”公司,甚至可以说是超过了“IT”这个领域。
与美疾控中心共同抵抗新冠病毒
Mitre与美国疾病控制与预防中心签订了一份合同,合同要求Mitre公司协助其遏制新冠病毒大流行。Mitre通过创建疾病模型来跟踪流行病,并确定哪些“非药物干预”可以帮助其扭转趋势。
MITRE在对公共卫生进行安全监控和 告方面的研究开发了“ Sara Alert? ”,这个工具可以帮助公共卫生部门遏制COVID-19的传播。并与UVA Health合作开发快速反应试剂盒,并基于系统工程、决策支持、数据分析、移动 络安全、获取操作和临床专业知识方面开发除了远程医疗套件。最初的套件包括温度计、脉搏血氧仪、血压袖带和听诊器等。
从 交媒体的指纹提取
MITRE可以通过 交媒体上的图像来捕捉生物特征,通过从这些图像中提取指纹特征来确定他的个人信息。如果你出现在Facebook某新闻媒体的照片中,做了某个手势,你的指纹信息可能就会被MITRE收集,但出于隐私保护,他们承诺不会从Facebook上搜罗所有可用指纹,但当你可能是犯罪嫌疑人的时候,他们就会收集指纹。不得不说,这是一个很优秀的信息采集技术,但同时也可能意味着严重的隐私泄露。
物联 设备的入侵与窥探技术
通过定位并入侵智能手表、扬声器、电视和安全摄像头、家庭自动化设备或者任何可以归类为物联 系统的设备来今昔窥探。并可帮助边境官员通过“快速探测和利用安全或犯罪现场环境中的物联 设备以证明其存在”,或者用于“物理安全边界”,以黑进“通过或接近边界”的设备来监视想要非法入境的人。或者证明犯罪嫌疑人在犯罪现场。目前这项技术只在边境保护局使用过。但人权组织认为这是一种侵犯人权的行为。
人类气味作为欺骗的生物特征
在2011年最后一份研究 告摘要中研究人员说:“研究结果表明,在气味的可测量量差异确实可以取分出说谎的人和不说谎的人”,这真是细思极恐,当你和别人交流的时候,你随意的一个谎言都会被识破,仪器可能会通过你的气味来确定你是否说谎了。
人工智能保护关键基础设施
当今最强大的人工智能是机器学习,然而机器学习也可能被攻击。这些漏洞存在于机器学习中的每个领域,包括计算机视觉、语音识别和自然语言处理等。为了应对这些漏洞,MITRE公司正在开发一个与供应商无关的AI供应链漏洞评估工具的生态系统。
移动技术
世界正在向着移动设备的方向发展,越来越多的笔记本电脑和台式电脑转向了智能手机和平板电脑。便携的移动设备在重量、成本和适应性方面有着很大优势,而MITRE则在功能和成本之间去创造了平衡,同时保护数据和 络的尖端移动解决方案。他们为“虚拟智能手机”发布开源软件,提供更好的数据保护和安全环境,并且在其中构建安全应用程序。合作开发“奈特勇士”安卓程序,“奈特勇士”安卓包比目前的士兵装备携带着更多的通信技术。
4 总结与启示
MITRE是一家以 络安全,航空科技为核心技术的企业。它不起眼到可能你身边的每一个人都不认识,但他的所作所为却让每一个人所知晓。他们常常与政府合作,帮助美国政府做一些研发,比如嵌入式设备的窥探技术,也与军队合作,建立了美国第一个现代化防空系统;在生物科技上他们研究过微生物与宿主的关系,在医疗领域帮助人们对抗新冠病毒。其在 络安全中提出的CVE和CWE影响深远,至今仍然是主流漏洞命名方式,其在 络态势感知上也有较为系统的解决方案,其中的ATT&CK正在引领 络安全攻防对抗的创新潮流。正是这么一家以技术为核心,以人才为支柱的公司,成为了 络安全领域技术创新的领航者。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!