網(wǎng)絡(luò)安全當(dāng)前處于運營彈性(Operational Resilience)的階段：組織機構(gòu)的IT企業(yè)遭到破壞的情況下仍有能力繼續(xù)運行。

卡內(nèi)基梅隆大學(xué)計算機應(yīng)急響應(yīng)(CERT)部門的技術(shù)總監(jiān)薩姆·福勒建議超越運營彈性，邁入主動彈性(Proactive Resilience)階段。

福勒認為，遭遇攻擊期間保持運作還不夠，下一步是預(yù)測攻擊，并在攻擊發(fā)起之前做好準(zhǔn)備。

什么是“主動彈性”?

福勒在博文中寫到，主動彈性是具備環(huán)境意識、自我意識和改進能力的彈性。主動彈性不是在遭受破壞時能繼續(xù)運作，而是預(yù)測破壞，并在破壞發(fā)生之前有所準(zhǔn)備。

惡意或意外破壞均可以立即使服務(wù)器宕機。美國聯(lián)邦通信委員會(FCC)近期遭遇一起事件：FCC撤銷所謂的網(wǎng)絡(luò)中立規(guī)則之后，HBO 脫口秀節(jié)目 Last Week Tonight 的主持人約翰·奧利弗(John Oliver)呼吁觀眾去FCC網(wǎng)站留言發(fā)表評論，F(xiàn)CC的服務(wù)器因不堪重負而崩潰。FCC將其稱之為拒絕服務(wù)攻擊。主動彈性架構(gòu)或可以預(yù)測這種威脅，并重新配置服務(wù)器，保證在流量激增時繼續(xù)運作。

主動彈性旨在利用新興技術(shù)，例如人工智能、機器學(xué)習(xí)和自我恢復(fù)技術(shù)幫助網(wǎng)絡(luò)近乎實時地予以響應(yīng)。她認為這不需要花數(shù)年時間準(zhǔn)備。

充分達到主動彈性狀態(tài)可能需要十年之久，但一些商業(yè)網(wǎng)絡(luò)安全產(chǎn)品正朝著這個方向發(fā)展。 Area 1 Security是前NSA員工創(chuàng)建的網(wǎng)絡(luò)安全公司，該公司正在開發(fā)技術(shù)以掃描互聯(lián)網(wǎng)上的內(nèi)容。

Area 1 Security的首席技術(shù)官菲爾·塞姆表示，關(guān)于犯罪網(wǎng)站和惡意活動的不完全信息可能會提醒客戶將要發(fā)生的情況，從而減少網(wǎng)絡(luò)入侵問題。

超越彈性

彈性(Resilience)是風(fēng)險管理的延伸，要求組織機構(gòu)接受并做好準(zhǔn)備應(yīng)對無法消除的風(fēng)險。當(dāng)面臨安全事件時，做好妥善準(zhǔn)備的組織機構(gòu)應(yīng)能在將破壞降低到最小限度的情況下繼續(xù)運作?？▋?nèi)基梅隆CERT彈性管理模式提出最佳做法，以有效管理安全、業(yè)務(wù)連續(xù)性和信息技術(shù)運營。

福勒指出，主動彈性將此概念向前推動，促進組織機構(gòu)更加了解彈性活動并預(yù)測，而不是簡單地響應(yīng)事件。從業(yè)人員利用物聯(lián)網(wǎng)分布式傳感能力能精確發(fā)現(xiàn)趨勢，并預(yù)測威脅。機器學(xué)習(xí)技術(shù)能使網(wǎng)絡(luò)在幾毫秒內(nèi)響應(yīng)，在必要的情況下重新配置擊退攻擊，并隔離威脅。

福勒表示，卡內(nèi)基梅隆大學(xué)、政府、行業(yè)和學(xué)術(shù)專家合作開發(fā)主動彈性的概念，首先會建立衡量標(biāo)準(zhǔn)衡量安全預(yù)算的分配，從而制定衡量投資回報率的標(biāo)準(zhǔn)。除此外，要將所有這些問題考慮到預(yù)算中：

預(yù)算是否按計劃執(zhí)行?

計劃是否適合組織機構(gòu)?

如何實現(xiàn)主動彈性必需的靈活性?

她補充稱，建立此類模型需要時間。她還解釋稱，建立衡量標(biāo)準(zhǔn)可能要花上五年時間。

福勒表示，一旦建立了效率基準(zhǔn)，開發(fā)人員可以設(shè)計并測試主動彈性架構(gòu)，從而利用這些基準(zhǔn)能力，但構(gòu)建切實可行的架構(gòu)大概需要5-10年。

對政府機構(gòu)而言，實現(xiàn)主動彈性面臨特殊挑戰(zhàn)。仍在使用的許多遺留系統(tǒng)缺乏此類環(huán)境必需的適應(yīng)能力。實現(xiàn)遺漏系統(tǒng)現(xiàn)代化是將主動彈性照進現(xiàn)實必不可少的第一步。

威脅預(yù)測

雖然卡內(nèi)基隆大學(xué)在開發(fā)主動彈性架構(gòu)，但行業(yè)運營商正在努力開發(fā)自己的主動彈性機制。通用動力信息計劃的網(wǎng)絡(luò)安全項目總監(jiān)丹·萬貝利格姆表示，關(guān)鍵因素在于過時的人類學(xué)習(xí)。

他表示，陷入危機時最不適合嘗試學(xué)習(xí)應(yīng)對威脅，因此不能在事件發(fā)生之后才采取相應(yīng)的措施，組織機構(gòu)需每月或每個季度訓(xùn)練網(wǎng)絡(luò)小組做好應(yīng)對準(zhǔn)備，并為他們提供相關(guān)威脅場景，并制作“劇本”，以便他們了解如何對不同的威脅做出響應(yīng)。

此外，海量威脅數(shù)據(jù)以及攻擊發(fā)生的速度意味著人類無法跟上步伐。因此，機器學(xué)習(xí)對識別和預(yù)測風(fēng)險至關(guān)重要。

Area 1 Security通過大規(guī)模的互聯(lián)網(wǎng)掃描識別從事此類惡意活動的大量網(wǎng)站，例如獲取憑證或托管漏洞利用工具。Area 1 Security與小型托管服務(wù)公司(沒有自身的安全操作中心SOC)合作定位并預(yù)防攻擊。

塞姆表示，一般來講組織機構(gòu)會關(guān)閉被攻陷的服務(wù)器，當(dāng)這種情況發(fā)生時，惡意攻擊者只會移動到一臺不同的服務(wù)器上。Area 1 Security采取不同的方法：首先監(jiān)控活動理解攻擊的工作原理，之后加以阻止，避免向攻擊者透露風(fēng)聲。機器學(xué)習(xí)可以提升這種能力。Area 1 Security集成客戶的邊緣設(shè)備，自動予以響應(yīng)，并創(chuàng)建強有力的力量倍增器。考慮到基礎(chǔ)信息比較強，因此這種措施可能相當(dāng)奏效。

塞姆指出，自動化不是免費的，相當(dāng)昂貴，并且難度較大。但每個企業(yè)必須定制自動化工具。

福勒表示，雖然開發(fā)主動彈性方法可能需要經(jīng)歷一個漫長的過程，但這并不意味著，政府組織機構(gòu)或私有機構(gòu)應(yīng)坐等他人采取行動。