军事平台的关键任务和生命网络弹性

　　作者：SAM HAMILTON，DR. ROBERT GRAY

　　网络攻击已成为对手的首选武器，陆地、空中、海上和太空的军事平台是主要目标。针对军事、承包商和关键基础设施的民族国家网络攻击每天都在发生，最近引人注目的公众示威活动包括对商用车和飞机的攻击。美国国防部（DoD）正在对所有主要平台进行网络安全审查，美国国防承包商正在开发嵌入式能力，以确保美国军事平台以与物理导弹一样巧妙地防御网络导弹。

　　当国防公司谈论军事平台的网络弹性时，它们到底意味着什么？该术语可能意味着许多不同的安全级别，无论是在谈论政府网络还是平台组件。不幸的是，目前还没有一个标准的层次结构，这使得甚至很难讨论实际所需的安全级别。行业标准，即使是在高层次上，也将消除实现与现代威胁相称的军事网络弹性的许多语义障碍。

　　让我们假设一个三层网络弹性层次结构来描述可用于军事平台的广泛级别的网络弹性。层次结构反映了网络威胁的规模、当前和新兴的需求、整个国防社区的系统开发实践，以及现有的先进能力和尖端研发。层次结构可以作为评估适合不同要求和价位的网络弹性的起点。

　　层次结构中的每个层都建立在前一层的基础上。防御能力从白银增加到黄金，但成本，包括改造传统平台的难度，也在增加。选择适当的层以及该层中的解决方案，可以平衡成本与特定于平台的对手威胁。威胁分析不仅必须包括对手发动特定类型攻击的可能性，还必须包括这些攻击对安全和任务结果的影响。解决方案可能自然属于一个层，或者部分解决多个层的部分问题。

　　基本层地址单个二进制文件

　　初始层是银色网络弹性，专注于分析和保护嵌入在平台中的单个二进制文件。任何给定平台上都可能有数百个二进制文件，任何具有总线访问的二进制文件中的漏洞都有危及总线上每个组件的风险。保护这些二进制文件包括最佳实践流程和技术，包括在性能和设计约束允许的情况下执行防护和经过身份验证的通信通道。

　　然而，为了获得银牌网络弹性，平台二进制文件必须超越最佳实践：每个二进制文件的网络安全属性都根据内部漏洞量表进行评估，该量表从特定于嵌入式系统的任务要求、威胁参与者和网络攻击类型目录中派生出要求和测试集。对于具有可用源代码的组件，用户可以求助于 HP Fortify 或 Coverity 等工具来帮助识别问题。对于没有源代码交付的第三方二进制文件，BAE系统公司的团队应用了一套由自动逆向工程（ARE）工具套件捆绑在一起的最佳二进制分析工具。软件开发人员在正常开发和测试/评估过程中优先考虑并解决 ARE 识别的漏洞。

　　在后台，ARE 静态和动态地分析目标二进制文件的控制和数据流，并自动识别可从外部输入访问的漏洞，包括内存访问和算术错误。ARE现在是关于美国海军关键任务软件网络安全的试点研究的一部分。

　　黄金网络弹性级别增加了前一个深度防御级别，其中每个防御层都建立在前一个防御层的基础上，到整个嵌入式系统。选择人上环响应、人操作响应或自主响应取决于对手攻击的直接影响与响应攻击和误报的附带影响之间的权衡。深度防御的关键是多层误报抑制，它使用筛选器层次结构来识别和删除由异常但非攻击活动引起的误报。准确消除误报可防止防御性响应造成无用的附带损害。这种整体方法可检测基于不当组件行为的看不见或零日攻击;为操作员态势感知提供根本原因分析;纠正或遏制网络危害的行为;并为操作员提供直观、可操作的信息，这些信息模仿现有故障诊断系统，有时集成到现有故障诊断系统中。通过采用这种方法，系统甚至可以检测、遏制和恢复以前从未见过的针对运行时组件的网络攻击。

　　添加纵深防御功能的一种方法是包括一个插入现有车辆总线的设备，监控组件数据流的异常行为，并通过现有的故障诊断接口向车辆操作员发出警报。这种方法可以显著提高传统平台的端到端网络安全状况，而无需改造现有组件。

　　在顶层

　　白金网络弹性级别将组件级和纵深防御特征集成到一个全新的设计范例中，用于开发固有安全的计算技术。这种方法利用正式方法确保解决方案可证明是安全的，可以抵御整个类别的安全漏洞。白金级网络弹性利用硬件/软件协同设计方法，例如 SAFE，该方法利用硬件支持实现内存安全、动态类型检查和对动态信息流控制的本机支持。铂级的网络阻力可以证明设计不受缓冲区溢出、跨站点脚本和代码注入的影响，包括二进制代码注入、脚本代码注入、SQL 注入和 ROP 代码注入。

　　理想情况下，所有平台都将具有涵盖所有可能的网络攻击类别的白金网络弹性。内部红队演习实际上表明，平台安全从每增加一层网络弹性中受益匪浅。然而，实际上，每一层都涉及额外的成本;对成本、安全性和性能权衡进行特定于平台的分析至关重要。例如，银牌网络弹性既不需要更换传统系统架构（白金），也不需要普遍插入分层网络防御（黄金），但可以提供针对常见威胁的有效防御，即使在改造传统平台时也成本低。

　　最终，网络弹性层次结构的级别指导讨论什么是可行的和最适合新的和传统的军事平台。

　　审核编辑：郭婷