网络空间斗争中,网络关键地形可见性是安全组织获得决定性优势的关键。网络传感器是安全组织获得可见性的“眼睛”,网络传感器的安放将对网络侦察能力产生直接影响。正确合理地放置网络传感器,将帮助安全分析人员预见重大安全事件,占据网络战决定性优势。2020年3月4日,克雷格·哈伯(Craig Harber)撰文称,无论是实战还是网络战,侦察能力都是决定胜负的关键。
克雷格·哈伯是Fidelis网络安全公司首席技术官,曾在美国国家安全局(NSA)/现在的网络司令部(USCYBERCOM)担任高级技术职务,参与过美国网络安全和信息保障领域重大计划,对国防部(DOD)和情报界(IC)战略制定产生过深远影响。
一、网络关键地形
实战情况下,美国陆军通常根据5个因素进行战场地形评估:
1. 可视范围与射击范围(Observation and Fields of Fire)
2. 隐蔽与掩蔽(Cover and Concealment)
3. 障碍物(Obstacles)
4. 关键地形(Key and Decisive Terrain)
5. 接近目标的通道(Avenues of Approach)
这五种因素缩写为OCOKA,是一种战术级地形分析模式。分析网络地形时,所考虑的大致也是这些因素。
二、网络侦察兵:NTA传感器
网络流量分析(NTA)传感器是网络战场的侦察兵,是监视网络的重要组件,它能分析网络流量、云流量、Web流量和电子邮件流量,提供警报和会话数据或日志,是最早发现高级威胁、恶意软件和数据盗窃活动的网络组件。
每个传感器将从各自的有利位置(视界与射界),提供网络不同位置的状况,将每个传感器所侦察到的战场情况整合起来,便能获得完整的作战地形。
作为网络侦察兵的NTA传感器,如果位置放置的好,不仅可以实现侦察范围的最大化,还可以减少视线重叠,减少信息冗余量,从而有助于把握战场控制权。
然而,许多组织并不了解,由于传感器的位置配置不当,造成网络流量收集效率低下。很多情况下,由于传感器部署的重叠和重复,导致了大量信息冗余或误报警,这给分析人员造成沉重负担。他们处理这些信息已经疲惫不堪,更难以应对网络攻击事件。另一方面,如果传感器放置不当,其视线可能会被网络内的障碍物或对手的掩护和掩盖行为所阻挡。上述两种情况都可能导致监控盲点,攻击者可以利用这些盲点更深入地进入网络。
为了解决此类问题,组织需要重新考虑其传感器的安放位置。部署前,需要弄清楚以下问题:一是安放的传感器能够观察到哪些目标,可以连接到哪些目标;二是对手可能通过哪些通道进入目标资产;三是在哪里设置了网络/端点障碍;四是在哪里可以免受攻击,也就是掩护在哪里。
安放NTA传感器的目的是要保护关键资产。因此,在安放传感器时,必须充分考虑涉及关键资产的各种问题,比如资产位置、配置、进出路径、易受攻击主机等等。
战术级地形分析OCOKA模型所提供的正是这样一种指导,通过分析关键资产所涉及的5个要素,可以了解攻击者的目标,从而明确传感器应当安放在哪里。
三、安放传感器应注意哪些问题?
传感器能提供多少有用信息直接取决于这些传感器在网络中的位置。例如,放置在网络防火墙内的传感器只能看到允许通过防火墙的流量,或仅保留在防火墙内的内部流量,而无法看到防火墙外部的任何流量。为了建立全面的NTA和数据丢失防护(DLP)功能,组织必须考虑将传感器安放在哪里才能发挥最大效用。
合理放置传感器对于防止信息或警报过载也很重要。过多的传感器会生成冗余警报,这将大大增加分析人员的工作负担,最终会影响他们在检测和响应安全事件的能力。这是个优化问题,即如何在实现可见性最大化的同时减少传感器数量。同时,组织需要针对与关键网络资产相关的传感器进行定位,以提高最佳可见度和最大可见度。
传统上,组织通过在外围设备(包括防火墙、入侵检测系统、入侵防御系统和其他网络流量分析设备)上安装传感器,实现对外围设备流量的被动或主动监视。随着网络变得越来越分散和复杂,采用这样的防御策略变得漏洞百出,仅仅发展针对外围的防御是不够的。
一般情况下,配置传感器是为了发现潜在的恶意流量并发出警报。如果传感器无法智能地检测易受攻击的资产或目标资产附近的异常情况,则会成为一个障碍,因为这些传感器会造成警报过载,迫使分析人员手动处理数量巨大的误报和不相关警报。
通过对传感器放置的重新评估,组织将获得以下优势:
•减少检测和解决事件所需时间:使安全分析人员能够从警报转移到调查、快速接收相关信息,并将威胁情报应用于网络数据;
•关联看似无关的网络活动和行为:通过对每个网络会话期间传感器收集的追溯元数据应用自动搜索和安全分析,分析人员可以关联看似不相关的网络动;
•在开始时识别并阻止高级有针对性的攻击:通过快速识别恶意行为,包括网络元数据中的活动、命令和控制活动以及横向移动,分析人员可以在数据被盗之前阻止数据被盗。
为了确保网络安全,重新评估并正确放置传感器势在必行。它能帮助组织优化时间,并使分析师能够集中精力处理重要事件,给团队增加机会更好地保护其网络。