为什么我们需要用更连贯的方法来描述网络安全攻击。
如今,我们常常很难清楚地表达以某种方式破坏给定系统的难度。如果我们有一个共同的词汇,这样我们就可以讨论这些问题,并且知道我们正在理解意思,这不是很好吗?
许多人发现很难区分系统中的漏洞是任何下载免费在线工具的人都可以利用的漏洞,还是可能需要由超级熟练的攻击者组成的专门团队花费数月时间才能利用的漏洞。如果我们能够采用一种通用语言来描述特定攻击所需的复杂性以及 给定威胁行为者所表现出的复杂性,这对 NCSC(以及更广泛的网络安全社区)来说不是很有用吗 ?
至少一个事实上的标准已经出现:STIX(结构化威胁信息表达)。这是一种为网络威胁情报共享而开发的语言。2.0 版草案( 第 6.11 节)将威胁行为体复杂度定义为 7 个级别,从“ 无” (“可以通过运行他们不理解的工具来执行随机破坏或破坏行为”),一直到“最小”、“ 中级” 、 “ 高级”、 专家、 创新者、 战略者 (“国家行为者通过主动计划制造漏洞,在设计、开发或制造过程中影响商业产品和服务,或者有能力影响供应链中的产品,从而能够利用感兴趣的网络和系统”)。
争论归结为精确性和理解性。通过一系列商定的条款,我们可以就安全问题进行更有意义的讨论。这将使我们能够更紧密地将我们的防御工作与预期的威胁级别相匹配。我概述了八种明显受益于通用词汇的情况。你或许还能想到更多。
任何组织都可以使用这些术语来提高网络安全风险偏好。例如:
“我们希望确保客户数据免受高级攻击。”
“我们希望能够保护我们的操作系统免受中级攻击,但需要能够检测高级攻击并从专家级恢复。”
我们可以摆脱诸如“它安全吗?”之类的模糊问题,而是问“它是否可以安全地抵御需要中级能力的攻击?”
清晰地了解威胁和防御的能力将有助于与高级利益相关者就优先事项进行对话。例如,在政府中,我们应该将有限的网络安全资源用于确保 所有 政府部门都不会受到中级攻击的影响,还是确保较少数量的政府系统能够防御专家级攻击?
能力水平的具体定义意味着我们可以估计全世界有多少人适合每个类别。我们可以使用这些数据来支持与客户和利益相关者的叙述。例如,“您是否意识到我们估计的全球 160 万人中级能力中的任何一个都可能危害您的系统?” (该数字是编造的)。这似乎比“我们在您的系统中发现了一个漏洞”更能说明问题。
我们可以用它来将一个组织或系统与另一个组织或系统进行比较。“我们认为霍格沃茨能够抵御高级攻击,但魔多的人力资源系统可能会受到它们的损害。” 这也将使我们能够制定有关特定类型组织防御特定级别攻击的能力的国家战略。
我们可以使用这个通用词汇来比较一段时间内的攻击和能力水平。例如:Stuxnet 在被发现时 = 创新者。今天的 Stuxnet = 高级。明年震网 = 中级?
我们可以创建复制特定能力级别的攻击的练习场景。
我们可以开始生成统计数据,使我们能够在未来做出数据驱动的决策:
标记事件(此事件使用高级功能)
标记渗透测试报告(报告得出结论,系统可能受到中级或以上级别的攻击)
标签设计(只要系统维护良好,这一设计应该适合防御高级攻击)
为特定的攻击者分配级别是很困难的,尤其是对于最有能力的攻击者而言。分配给攻击者的级别代表了 他们当前被判断拥有的最大 能力。威胁行为者通常会使用最简单的途径来实现其目标,并且除非真正必要,否则会避免部署最有价值的功能。因此,他们可能会使用能力低得多的参与者可能使用的策略、技术和程序,包括利用众所周知的漏洞和使用公开可用的工具。一些攻击者可能在某一领域能力极强(例如针对金融基础设施的攻击),但在另一领域(针对电力基础设施的攻击)能力却差得多。
一段时间以来,我一直在 NCSC 的一系列关键国家基础设施 (CNI) 客户中尝试使用此 STIX 量表。到目前为止,他们都选择在内部以某种方式采用它,享受上述的许多优点。有时,组织会减少量表上的分数以适应他们的情况,因为他们觉得七分对于他们的需求来说太细化了。这样做的缺点是我们失去了在组织之间进行轻松比较的能力。
过去已经描述过类似的量表,并用于多种目的。从这个意义上来说,这里并没有太多新东西。在广泛采用之前,我们不会感受到通用规模为网络安全带来的真正好处。使用相同的尺度来描述给定攻击者的最大能力,以及检测、防御或从此类攻击者中恢复所需的措施,将导致有关网络安全的更有意义和细致的讨论。
我很高兴听到任何想法。我特别热衷于了解该领域之前所做的任何工作。您可能对 STIX 是否是正确使用的词汇有自己的看法。而且,进一步展望未来,一旦我们选择了一个词汇,那么从哪里开始使用它最重要的地方呢?与往常一样,请随时使用下面的评论或 直接联系我们。
联系客服
