網絡安全的未來：主動彈性

網絡安全目前處于營運彈性(operational resilience)的階段：組織機構的it企業遭到破壞的情況下仍有能力繼續運作。

卡内基梅隆大學計算機應急響應(cert)部門的技術總監薩姆·福勒建議超越營運彈性，邁入主動彈性(proactive resilience)階段。

福勒認為，遭遇攻擊期間保持運作還不夠，下一步是預測攻擊，并在攻擊發起之前做好準備。

什麼是“主動彈性”?

福勒在博文中寫到，主動彈性是具備環境意識、自我意識和改進能力的彈性。主動彈性不是在遭受破壞時能繼續運作，而是預測破壞，并在破壞發生之前有所準備。

惡意或意外破壞均可以立即使伺服器當機。美國聯邦通信委員會(fcc)近期遭遇一起事件：fcc撤銷所謂的網絡中立規則之後，hbo 脫口秀節目 last week tonight 的主持人約翰·奧利弗(john oliver)呼籲觀衆去fcc網站留言發表評論，fcc的伺服器因不堪重負而崩潰。fcc将其稱之為拒絕服務攻擊。主動彈性架構或可以預測這種威脅，并重新配置伺服器，保證在流量激增時繼續運作。

主動彈性旨在利用新興技術，例如人工智能、機器學習和自我恢複技術幫助網絡近乎實時地予以響應。她認為這不需要花數年時間準備。

充分達到主動彈性狀态可能需要十年之久，但一些商業網絡安全産品正朝着這個方向發展。 area 1 security是前nsa員工建立的網絡安全公司，該公司正在開發技術以掃描網際網路上的内容。

area 1 security的首席技術官菲爾·塞姆表示，關于犯罪網站和惡意活動的不完全資訊可能會提醒客戶将要發生的情況，進而減少網絡入侵問題。

超越彈性

彈性(resilience)是風險管理的延伸，要求組織機構接受并做好準備應對無法消除的風險。當面臨安全事件時，做好妥善準備的組織機構應能在将破壞降低到最小限度的情況下繼續運作。卡内基梅隆cert彈性管理模式提出最佳做法，以有效管理安全、業務連續性和資訊技術營運。

福勒指出，主動彈性将此概念向前推動，促進組織機構更加了解彈性活動并預測，而不是簡單地響應事件。從業人員利用物聯網分布式傳感能力能精确發現趨勢，并預測威脅。機器學習技術能使網絡在幾毫秒内響應，在必要的情況下重新配置擊退攻擊，并隔離威脅。

福勒表示，卡内基梅隆大學、政府、行業和學術專家合作開發主動彈性的概念，首先會建立衡量标準衡量安全預算的配置設定，進而制定衡量投資回報率的标準。除此外，要将所有這些問題考慮到預算中：

預算是否按計劃執行?

計劃是否适合組織機構?

如何實作主動彈性必需的靈活性?

她補充稱，建立此類模型需要時間。她還解釋稱，建立衡量标準可能要花上五年時間。

福勒表示，一旦建立了效率基準，開發人員可以設計并測試主動彈性架構，進而利用這些基準能力，但建構切實可行的架構大概需要5-10年。

對政府機構而言，實作主動彈性面臨特殊挑戰。仍在使用的許多遺留系統缺乏此類環境必需的适應能力。實作遺漏系統現代化是将主動彈性照進現實必不可少的第一步。

威脅預測

雖然卡内基隆大學在開發主動彈性架構，但行業營運商正在努力開發自己的主動彈性機制。通用動力資訊計劃的網絡安全項目總監丹·萬貝利格姆表示，關鍵因素在于過時的人類學習。

他表示，陷入危機時最不适合嘗試學習應對威脅，是以不能在事件發生之後才采取相應的措施，組織機構需每月或每個季度訓練網絡小組做好應對準備，并為他們提供相關威脅場景，并制作“劇本”，以便他們了解如何對不同的威脅做出響應。

此外，海量威脅資料以及攻擊發生的速度意味着人類無法跟上步伐。是以，機器學習對識别和預測風險至關重要。

area 1 security通過大規模的網際網路掃描識别從事此類惡意活動的大量網站，例如擷取憑證或托管漏洞利用工具。area 1 security與小型托管服務公司(沒有自身的安全操作中心soc)合作定位并預防攻擊。

塞姆表示，一般來講組織機構會關閉被攻陷的伺服器，當這種情況發生時，惡意攻擊者隻會移動到一台不同的伺服器上。area 1 security采取不同的方法：首先監控活動了解攻擊的工作原理，之後加以阻止，避免向攻擊者透露風聲。機器學習可以提升這種能力。area 1 security內建客戶的邊緣裝置，自動予以響應，并建立強有力的力量倍增器。考慮到基礎資訊比較強，是以這種措施可能相當奏效。

塞姆指出，自動化不是免費的，相當昂貴，并且難度較大。但每個企業必須定制自動化工具。

福勒表示，雖然開發主動彈性方法可能需要經曆一個漫長的過程，但這并不意味着，政府組織機構或私有機構應坐等他人采取行動。

本文轉自d1net（轉載）