您好!今天是:2025年-4月16日-星期三
幻化的力量,網絡安全即將進入動態防御時代
點擊:2785 作者: 秦安 來源:秦安戰略 發布時間:2016-04-20 12:18:49
美國阿貢國家實驗室2016年3月22日報道,更多的動態防御技術被美國國家專利局授權,特別是專利號為9294504的技術已經開始商用。事實上,2015年美國新型動態防御公司崛起,動態防御概念的3家公司獲得超過5000萬美元的融資。其中, CrowdStrike (動態防御概念)獲得3000萬美元天使輪融資(動態防御概念),Morphisec 獲得800萬美元融資(動態防御概念), Shape Security 獲得2600萬美元融資(動態防御概念)。
動態防御是什么?恰好看到VEDA安全的公眾號,其內容中“美國國土安全部和美國空軍將網絡動態防御技術作為研究重點方向”的報道引起了我極大的關注。通過認真學習,動態防御技術具有幾個鮮明的特點:
其一,從靜態變為動態。動態目標防御策略會改變網絡防御,系統參數從靜態配置變得更加動態,這樣攻擊者就很難發現并利用漏洞。例如,美國國防先進研究計劃局的彈性云計劃旨在改變主機的任務分配——其理論依據是,攻擊者將無法映射一個不斷變化的系統,并實施協同攻擊。
其二,從被動轉為主動,網絡動態防御旨在通過主動的系統重構來阻止或降低網絡攻擊,降低攻擊影響和后果,即使無法完全抵御所有攻擊,或無法使所有攻擊失效,也可通過系統重構來提高彈性,降低攻擊成功的可能性,或者,即使攻擊成功了,這種高彈性系統也可降低對關鍵操作的影響,提高攻擊者的攻擊成本和不確定性
個人思考,網絡空間作為技術催生的虛實空間,其本質魅力在于控制。而這種控制由于虛擬可以變化萬千。以前的網絡安全,無論是數據加密、防火墻、入侵檢測等一系列有效做法,思路依然延續額實體空間固有的做法,這類似于保護一個處于“密室”中的“人”,所有辦法都用于加固“密室”本身,盡力補好所有可能被利用的漏洞。其實大家都知道網絡空間防不勝防的道理。而動態防御可以很好地利用虛擬世界技術催生的“幻化”力量,讓這個“人”動起來,可謂幻化蓮花千萬朵。這就極大地改變了防御的態勢。
基于這種認識,個人感覺網絡安全必將進入動態防御時代!不得而知,美國歡迎全球黑客攻擊“五角大樓”是否使用了這種技術?但希望我們網絡安全行業警醒起來,在技術換代過程中實現彎道超車,能夠走出步人后塵的窘態!
VEDA安全:美國國土安全部將網絡動態防御技術作為研究重點方向
網絡動態防御是國際上出現的一種系統性安全防御新思潮,美國國土安全部賽博安全研發中心利用人類學技術幫助分析賽博安全問題,其研究的根本目的是找出賽博安全本質的運作機制,而這種本質的運作機制就體現出網絡動態防御的思想。
根據美國國土安全部給出的解釋,網絡動態防御旨在通過主動的系統重構來阻止或降低網絡攻擊,降低攻擊影響和后果,即使無法完全抵御所有攻擊,或無法使所有攻擊失效,也可通過系統重構來提高彈性,降低攻擊成功的可能性,或者,即使攻擊成功了,這種高彈性系統也可降低對關鍵操作的影響,提高攻擊者的攻擊成本和不確定性,并對其后續攻擊予以威懾,從而超越傳統安全保障、災難恢復和頑存技術等,為系統安全防御帶來革命性變革。網絡動態防御技術具有以下幾點優勢:
1) 可以逆轉網絡攻擊中攻擊者的不對稱優勢,并最小化攻擊對關鍵任務能力的影響。網絡動態防御并不是追求構建一種完美無瑕的系統來對抗攻擊,而是綜合運用防御、偵察、自適應技術、操作響應設計策略和技術來動態響應當前及未來的系統攻擊。
2) 具備即時感知系統攻擊事件并快速做出響應的更安全、更具抵抗性的體系結構,使系統能夠抵抗無意和目標明確的攻擊,具有足夠的彈性,能夠承受初始及隨之而來的破壞。
3) 分割、隔離、封閉。例如,從可信系統中分割出不確定部分,減少攻擊面,限制敵人的利用和破壞。將關鍵資源從非關鍵資源中隔離出來,或虛擬化計算飛地以減少對關鍵資源的攻擊。
4)多樣性和隨機性。多樣性包括使用多種操作系統、多種網絡協議、不同版本的應用程序(例如在不同機器上使用不同的瀏覽器) 等。隨機性通過在不同的時間內使用不同操作系統和應用程序,達到增加攻擊復雜度的目的。
5) 非持續性。主要應用于對數據、應用程序和連通性等并不是必需要連續訪問的情況,減少敵方識別和攻擊脆弱性的機會,維持系統原狀。非持續性技術可以保護系統免遭危險行動所帶來的長期影響。
VEDA安全:網絡動態防御成美空軍圈定的重點尋求領域
據美國防務系統網站報道:網絡安全威脅繼續籠罩著私營企業和軍方,目前美國空軍正在努力提高自身的防御能力。空軍正在努力發展指揮和控制能力,以實現動態目標防御(Moving Target Defense)協調。
動態目標防御策略會改變網絡防御,系統參數從靜態配置變得更加動態,這樣攻擊者就很難發現并利用漏洞。例如,美國國防先進研究計劃局的彈性云計劃旨在改變主機的任務分配——其理論依據是,攻擊者將無法映射一個不斷變化的系統,并實施協同攻擊。
“網絡敏捷性技術呼吁動態目標防御具備能力,以保障網絡和空軍的任務,”空軍在招標書中說,“通過為國防部內部的靜態的網絡和計算資源提供動態特性,我們為攻擊者創建了不確定性,可戰勝針對關鍵網絡基礎設施的攻擊。”
這項新計劃被命名為主動防御的指揮與控制(Command and Controlof Proactive Defense ,C2PD),目的是研發一個指揮與控制系統,能夠評估,規劃,執行協調的防御,以避免網絡系統沖突,限制攻擊可用的途徑。空軍承認動態目標防御面臨兩個挑戰,而新計劃將解決相關難題。
第一個是,該策略將不得不修改被用于支撐關鍵系統功能的資源——實施動態目標防御可能導致資源競爭,例如硬件。第二個挑戰是動態目標防御將不得不融入現有的指揮控制框架。該計劃的最終目標是開發出指揮控制功能——可以提供決策支持,以協調多個動態目標防御技術。
2015——2020年空軍重點尋求的兩個技術領域:動態目標防御表征(MTD Characterization),美國空軍正在尋求研究動態目標防御在資源消耗和安全收益方面的特性,以便實現任務和動態目標防之間更好的匹配;動態目標防御包裝(MTD Wrapping),如何把動態目標防御集成到現有的指揮與控制框架,使動態目標防御在目標環境中得到部署、監測和控制。
VEDA主張:
網絡動態防御技術已在國外引起相當大程度的重視,國內網絡安全行業對于該項技術卻鮮少鉆研。北京衛達科技有限公司作為國內首個運用“網絡動態防御”技術的安全公司,領先國際網絡安全行業,成功研發出“幻境”APT動態防御系統、“幻影”WEB動態防御系統、“幻云”云平臺一體化動態防御系統、“幻盾”DDOS動態防御系統、“幻界”工控網閘等一系列網絡安全防護產品,從根本上打破了傳統的“靜態被動防御”的格局。
北京衛達科技有限公司自主研發的網絡動態防御技術顛覆了傳統的信息安全觀:“期望創造一個絕對安全的、沒有漏洞的信息系統”,以“破壞網絡攻擊能夠實施的基礎條件,主動、動態地改變網絡防御策略,從根本上阻止網絡攻擊的發生”為目標。通過網絡、平臺、環境、軟件、數據等結構的主動跳變或快速遷移實現動態環境,構建一個動態的、不斷變化的信息系統,以防御者可控的方式進行動態變化,對攻擊者則表現為難以觀察和預測的目標變化,從而大幅度地增加網絡攻擊的成本。
責任編輯:高天
特別申明:
1、本文只代表作者個人觀點,不代表本站觀點,僅供大家學習參考;
2、本站屬于非營利性網站,如涉及版權和名譽問題,請及時與本站聯系,我們將及時做相應處理;
3、歡迎各位網友光臨閱覽,文明上網,依法守規,IP可查。
作者 相關信息
內容 相關信息
? 昆侖專題 ?
? 十九大報告深度談 ?
? 新征程 新任務 新前景 ?
? 習近平治國理政 理論與實踐 ?
? 我為中國夢獻一策 ?
? 國資國企改革 ?
? 雄安新區建設 ?
? 黨要管黨 從嚴治黨 ?
熱點排行
圖片新聞
