網路安全的未來：主動彈性

網路安全當前處於運營彈性(Operational Resilience)的階段：組織機構的IT企業遭到破壞的情況下仍有能力繼續執行。

卡內基梅隆大學計算機應急響應(CERT)部門的技術總監薩姆·福勒建議超越運營彈性，邁入主動彈性(Proactive Resilience)階段。

福勒認為，遭遇攻擊期間保持運作還不夠，下一步是預測攻擊，並在攻擊發起之前做好準備。

什麼是“主動彈性”?

福勒在博文中寫到，主動彈性是具備環境意識、自我意識和改進能力的彈性。主動彈性不是在遭受破壞時能繼續運作，而是預測破壞，並在破壞發生之前有所準備。

惡意或意外破壞均可以立即使伺服器當機。美國聯邦通訊委員會(FCC)近期遭遇一起事件：FCC撤銷所謂的網路中立規則之後，HBO 脫口秀節目 Last Week Tonight 的主持人約翰·奧利弗(John Oliver)呼籲觀眾去FCC網站留言發表評論，FCC的伺服器因不堪重負而崩潰。FCC將其稱之為拒絕服務攻擊。主動彈性架構或可以預測這種威脅，並重新配置伺服器，保證在流量激增時繼續運作。

主動彈性旨在利用新興技術，例如人工智慧、機器學習和自我恢復技術幫助網路近乎實時地予以響應。她認為這不需要花數年時間準備。

充分達到主動彈性狀態可能需要十年之久，但一些商業網路安全產品正朝著這個方向發展。 Area 1 Security是前NSA員工建立的網路安全公司，該公司正在開發技術以掃描網際網路上的內容。

Area 1 Security的技術長菲爾·塞姆表示，關於犯罪網站和惡意活動的不完全資訊可能會提醒客戶將要發生的情況，從而減少網路入侵問題。

超越彈性

彈性(Resilience)是風險管理的延伸，要求組織機構接受並做好準備應對無法消除的風險。當面臨安全事件時，做好妥善準備的組織機構應能在將破壞降低到最小限度的情況下繼續運作。卡內基梅隆CERT彈性管理模式提出最佳做法，以有效管理安全、業務連續性和資訊科技運營。

福勒指出，主動彈性將此概念向前推動，促進組織機構更加了解彈性活動並預測，而不是簡單地響應事件。從業人員利用物聯網分散式感測能力能精確發現趨勢，並預測威脅。機器學習技術能使網路在幾毫秒內響應，在必要的情況下重新配置擊退攻擊，並隔離威脅。

福勒表示，卡內基梅隆大學、政府、行業和學術專家合作開發主動彈性的概念，首先會建立衡量標準衡量安全預算的分配，從而制定衡量投資回報率的標準。除此外，要將所有這些問題考慮到預算中：

預算是否按計劃執行?

計劃是否適合組織機構?

如何實現主動彈性必需的靈活性?

她補充稱，建立此類模型需要時間。她還解釋稱，建立衡量標準可能要花上五年時間。

福勒表示，一旦建立了效率基準，開發人員可以設計並測試主動彈性架構，從而利用這些基準能力，但構建切實可行的架構大概需要5-10年。

對政府機構而言，實現主動彈性面臨特殊挑戰。仍在使用的許多遺留系統缺乏此類環境必需的適應能力。實現遺漏系統現代化是將主動彈性照進現實必不可少的第一步。

威脅預測

雖然卡內基隆大學在開發主動彈性架構，但行業運營商正在努力開發自己的主動彈性機制。通用動力資訊計劃的網路安全專案總監丹·萬貝利格姆表示，關鍵因素在於過時的人類學習。

他表示，陷入危機時最不適合嘗試學習應對威脅，因此不能在事件發生之後才採取相應的措施，組織機構需每月或每個季度訓練網路小組做好應對準備，併為他們提供相關威脅場景，並製作“劇本”，以便他們瞭解如何對不同的威脅做出響應。

此外，海量威脅資料以及攻擊發生的速度意味著人類無法跟上步伐。因此，機器學習對識別和預測風險至關重要。

Area 1 Security通過大規模的網際網路掃描識別從事此類惡意活動的大量網站，例如獲取憑證或託管漏洞利用工具。Area 1 Security與小型託管服務公司(沒有自身的安全操作中心SOC)合作定位並預防攻擊。

塞姆表示，一般來講組織機構會關閉被攻陷的伺服器，當這種情況發生時，惡意攻擊者只會移動到一臺不同的伺服器上。Area 1 Security採取不同的方法：首先監控活動理解攻擊的工作原理，之後加以阻止，避免向攻擊者透露風聲。機器學習可以提升這種能力。Area 1 Security整合客戶的邊緣裝置，自動予以響應，並建立強有力的力量倍增器。考慮到基礎資訊比較強，因此這種措施可能相當奏效。

塞姆指出，自動化不是免費的，相當昂貴，並且難度較大。但每個企業必須定製自動化工具。

福勒表示，雖然開發主動彈性方法可能需要經歷一個漫長的過程，但這並不意味著，政府組織機構或私有機構應坐等他人採取行動。

本文轉自d1net（轉載）