· 公众号:业务连续性+ 原文链接 ↗

阅读与思考20180727 - 网络安全演练专辑4

网络安全演练专辑分为以下5个部分:

从Cyber Europe看网络安全演练 2. 网络安全演练分类法 3. 十谈网络安全Cybersecurity 4. 网络安全事件响应、网络杀伤链、OODA及其它 5. 网络安全演练指南

本期阅读与思考,接上期的“十谈网络安全(Cybersecurity)”,重点说“网络安全事件响应、网络杀伤链、OODA及其它”。

• 网络安全事件响应(Cyber Incident Response)

“东西早晚要坏的,这就是生活。” “当出现问题时。别惊慌失措!这不是世界末日,你也并不是一个人在战斗!” —《SRE Google运维解密》

网络安全应急处置已经有几十年的历史,1988年莫里斯蠕虫事件后,美国组建了第一个计算机应急响应小组(US-CERT)。作为应急响应的先行者,美国高度重视应急响应标准化工作,US-CERT陆续制订了《计算机安全事件响应小组手册》、《事件管理能力评价指标》等技术指南,美国国家标准与技术研究院(NIST)制订了《计算机安全事件处理指南》(NIST SP 800-61)、《网络空间安全事件恢复指南》(NIST SP 800-184/2016)等标准。

在国际标准方面,ISO信息安全技术分委员会(ISO/IEC JTC1 SC27)发布了《信息安全事件管理第1部分:事件管理原理》(ISO/IEC 27035: 2016 Information technology – Security techniques - Information security incident management - Part 1: Principles of incident management)、《信息安全事件管理第2部分:事件响应规划和准备指南》(ISO/IEC 27035: 2016 Information technology - Security techniques - Information security incident management - Part 2: Guidelines to plan and prepare for incident response)等标准;国际电信联盟(ITU)发布了《网络安全信息交换概述》(ITU-T X.1500)、《网络安全信息共享和交换的能力及场景》(ITU-T X.1209)、《支持网络安全信息交换的传输协议》(ITU-T X.1582)等众多标准;国际互联网工程任务组(IETF)发布了《计算机安全事件响应的预期》(IETF RFC 2350)、《事件对象描述交换格式》(IETF RFC 5070)等标准。此外,美国国防部(DoD)在2012年发布了《网络安全事件处置程序》(cyber incident handling program)、安全厂商KasperSky公司也发布了《事件响应指南》(Incident Response Guide 2017)。

在国内部分,我国也分别制订并发布了《GB/T 24363-2009 信息安全应急响应计划规范》、《GB/T 28517-2012网络安全事件描述和交换格式》、《GB/T 20985.1-2017 信息安全事件管理第1部分:事件管理原理》、《GB/T 30276-2013 信息安全技术漏洞管理规范》、《GB/T 33561-2017 信息安全技术安全漏洞分类》、《YD/T 1799-2008 网络与信息安全应急处理服务资质评估方法》、《YD/T 1826-2008 网络安全应急处理小组建设指南》等多项国标和行标。 (需要指出的是,ISO 27035-1:2011国际标准是在《ISO/IEC TR 18044:2004 信息技术安全技术信息安全事件管理》的基础上增加了我国国家标准《GB/T 20986-2007 信息安全技术信息安全事件分类分级指南》,同时我国专家作为该标准项目的共同编辑,参与了该标准制定的全过程,这是我国在信息安全领域第一次将国家标准转化为国际标准。)

下面简要介绍ISO27035、NIST SP800-61 rev2、美国国防部的网络安全事件应急处置程序及KasperSky的安全事件响应指南。 (在下文中,incident handling、incident response、事件处理、事件响应等用词意义相同,不作区分。)

ISO/IEC 27035 信息安全事件管理

ISO/IEC 27035最初来自《ISO/IEC TR 18044:2004 信息技术安全技术信息安全事件管理》,在随后的修订中该标准被纳入ISO27000系列并被重新编号为ISO/IEC 27035:2011,并在2016年的修订中分为3个部分: • Part1 信息安全事件管理原理(ISO/IEC 27035-1 Principles of incident management) • Part2 信息安全事件响应规划和准备指南(ISO/IEC 27035-2 Guidelines to plan and prepare for incident response) • Part3 信息安全事件响应运营指南(ISO/IEC 27035-3 Guidelines for incident response operations)(尚未正式发布)

ISO/IEC 27035-1:2016事件管理原理 是ISO27035标准3个部分的基础,概述了信息安全事件管理的基本概念和原则,并介绍了标准的其余部分。它描述了一个由五个阶段组成的信息安全事件管理过程,并说明如何改进事件管理。 事件管理过程分为五个阶段: 1.计划和准备(prepare) :准备信息安全事件管理政策,建立一个称职的团队(incident response team)等; 2.检测和报告(identify) :识别并报告可能发生或演变成事件(incident)的“事态(events)”; 3.评估和决定(assess) :评估状况以确定它是否真是一个事件,并做出如何应对的决策,如打补丁并快速恢复业务,或收集取证证据(有可能延迟解决问题); 4.响应(response)事件 :即遏制,根除和恢复,如果可能的话,还要进行调查和取证分析; 5.总结教训(learn) :汲取教训,系统地改进组织对信息风险的管理。 该标准还提供了信息安全事态(event),事件(incident)和漏洞的报告表单模板。

ISO/IEC 27035-1: 2016 事件响应规划和准备指南 涉及到如何保证组织已真地准备好对可能发生的信息安全事件做出恰当响应。它解决“我们准备好应对事件了吗?”这个问题,并推动从事件中学习,为未来进行改进。该标准的主要内容包括以下章节: 4.建立信息安全事件管理政策 5.更新信息安全和风险管理政策 6.制定信息安全事件管理计划 7.建立事件响应团队(Incident Response Team,IRT)[又名CERT或CSIRT] 8.明确技术和其他支持 9.信息安全事件意识和培训 10.测试(或演练)信息安全事件管理计划 11.总结教训 …以及附有事件分类示例的附件,和“法律法规”的说明(主要是实务中的隐私问题)。

ISO/IEC 27035-3事件响应运营指南(草案) 涉及“安全运营”,特别是针对那些准备和响应ICT安全事态和事件的信息安全功能所必需的组织和过程。该草案的范围(scope)如下:“本文档为安全运营中安全事件响应提供了指南。该文件首先从人员,过程和技术角度介绍了安全运营,然后进一步侧重于安全运营中的事件响应,包括事件检测,报告,分类,分析,响应,遏制,消除,恢复和结论。” (该标准可能会在2019/2020年发布)

NIST SP 800-61 rev2 Computer Security Incident Handling Guide

NIST SP 800-61计算机安全事件处置指南 中的事件响应过程包含4个阶段。

配图

事件响应生命周期

准备阶段(preparation) 涉及建立和培训事故响应团队,并获取必要的工具和资源。在准备阶段,组织还试图通过风险评估的结果来选择和实施一系列控制来限制将发生的事件数量,该阶段的主要工作有:事件处置准备、事件预防; 检测和分析阶段(detection & analysis) 在准备阶段实施相关控制后,残余风险仍不可避免地持续存在,因此,仍有必要对安全事件进行检测,这样只要有事件发生就可以向组织发出警报,该阶段的主要工作有:事件分析准备(攻击向量、事件特征、前兆来源和指标)、事件分析、事件记录、事件优先级排序和事件通告等; 遏制、消除和恢复阶段 根据检测到事件的严重性,组织可以选择遏制事件并最终从事件中恢复来减轻影响。这一阶段的活动经常会循环回检测和分析阶段,如,在消除恶意软件事件时看看是否有其它主机被感染。该阶段的主要工作有:选定遏制策略,证据收集和处理,确定攻击主机,消除和恢复等; 总结教训阶段 在事件得到妥善处理后,组织要发布一份报告,详细说明事故的原因、成本以及组织应采取什么措施防止未来发生同类事件。该阶段的主要工作有:总结教训,事故数据使用和证据保存等。

该指南提供了一份事件响应检查清单(checklist)供参考使用,如下表所示:

配图

该指南还给出了12种场景,并列出了这些场景中事件处置应关注的问题,这些场景包括: 场景1:DNS服务器和DoS 场景2:蠕虫和DDoS代理感染 场景3:文件盗窃 场景4:被破坏的数据库服务器 场景5:未知渗入 场景6:对工资记录的未授权访问 场景7:消失的主机 场景8:通信破坏 场景9:匿名威胁 场景10:P2P文件共享 场景11:未知无线接入点(AP)

美国国防部网络事件处理程序(Cyber Incident Handling Program)

2011年7月14日的美国《网络空间行动战略》指出,美国国防部运行着15000多个网络和700万台计算设备,它们分布在全球范围的数百个军事设施中。美国国防部需要利用这些网络来开展各种军事、情报和商业活动。20世纪90年代美国国防部的信息系统遭受了越来越多的网络攻击。为此,美国国防部率先提出了“信息保障”概念。这一概念经过多次修改、完善,已得到世界范围的广泛认可。就其本质来说,信息保障是保证信息和信息系统能够安全运行的防护性行为。信息保障的对象是信息(数据)以及处理、管理、存储、传输信息的信息系统;目的是采取技术、管理等综合性手段,使信息和信息系统具备机密性、完整性、可用性、可认证性、不可否认性,以及在遭受攻击后的可恢复性。 信息保障的最终着眼点是任务保障,即保障美军顺利完成各种使命。

美国国防部采用了“纵深防御”策略来建设信息保障技术框架。2003年3月25日美国国防部颁布的、2006年1月26日和2006年3月8日做出修订的CJCSM 6510.01《纵深防御:信息保障和计算机网络防御》(Defense-in-Depth: Information Assurance and Computer Network Defense)被2009年6月24日国防部颁布的CJCSM 6510.01A《信息保障和计算机网络防御(第一卷):事故处理程序》(Information Assurance and Computer Network Defense Volume I (Incident Handling Program))取代。CJCSM 6510.01A被2012年7月10日颁布的CJCSM 6510.01B《网络事故处理程序》(Cyber Incident Handling Program)取代。下面内容摘自CJCSM 6510.01B。

美国国防部网络事件处理的基本过程可以分为以下阶段: 1.事件侦测(detection of event(s)) 2.事件的初步分析和鉴定(preliminary analysis and identification) 3.初步响应行动(preliminary response actions) 4.事件分析(incident analysis) 5.响应和恢复(response and recovery) 6.事件后分析(post-incident analysis)

配图

网络事件生命周期

网络事件生命周期中各阶段是循环往复的。在事件处理过程中学习到的东西可以用来改进行动,以抵御未来的攻击。同时,许多活动可能顺序也可能并行发生。

配图

网络事件处理各阶段之间的关系

卡巴斯基安全事件响应指南(《Incident Response Guide》)

安全厂商卡巴斯基在2017的发布了《网络安全事件响应指南》(Incident Response Guide)为企业用户应对网络安全事件提供指南,与以上标准相比,这份指南比较实用的地方在于它将事件响应过程与网络杀伤链对应起来。

配图

网络杀伤链

配图

安全事件响应阶段

TF-CSIRT Trusted Introducer ’ s SIM3 (Security Incident Management Maturity Model)

TF-CSIRT Trusted Introducer (TF-CSIRT/TI)是在欧洲计算机网络研究和教育协会(Trans-European Research and Education Netwoking Association, TERENA)结构下整合TF-CSIRT和Trusted Introducer运营的新名字。TF-CSIRT(The Task Force for Computer Security Incident Response Teams,计算机安全事件响应特别小组) 称自己是“一个促进欧洲及周边地区的CSIRT协调和协作、与全球其它地区同类组织联络的特别小组”,成立于2000年,经过多年发展逐步演进成由多个CERTs进行知识和经验讨论的主要论坛;而TI (The Trusted Introducer) 称自己是“欧洲安全和事件响应小组社区的可信支柱”,它是2001年从TF-CSIRT分离出来发展成CERT社区一个广为人知的认可和列表服务(listing services)机构。

为评估CSIRT的能力并为其提供工作指导,TF-CSIRT/TI开发了一个评估CSIRT能力成熟度的模型,即安全事件管理成熟度模型(Security Incident Management Maturity Model,SIM3),这个模型不仅仅局限于“响应(response)”,它全面覆盖了安全事件管理的4个方面:预防(Prevention)、检测(Detection)、Resolution(处置)以及质量控制和反馈(Quality control & feedback)。

该模型将CSIRT的能力分成了4个象限:Organisation(组织)、Human(人员)、Tools(工具)和Process(过程),共超过40个评估参数;可以对这些评估参数定性打分(0到4分)。

其中“组织”相关的评估参数有: O-1 : MANDATE(委托) O-2 : CONSTITUENCY(客户) O-3 : AUTHORITY(授权) O-4 : RESPONSIBILITY(责任) O-5 : SERVICE DESCRIPTION(服务描述) O-6 : (不对外公开,不计分) O-7 : SERVICE LEVEL DESCRIPTION(服务水平描述) O-8 : INCIDENT CLASSIFICATION(事件分级) O-9 : INTEGRATION IN EXISTING CSIRT SYSTEMS(与现存CSIRT框架的集成) O-10 : ORGANISATIONAL FRAMEWORK(组织框架) O-11 : SECURITY POLICY(安全政策);

与“人员”相关的评估参数有: H-1 : CODE OF CONDUCT/PRACTICE/ETHICS(行为准则/实务/伦理章程) H-2 : PERSONAL RESILIENCE(人员韧性) H-3 : SKILLSET DESCRIPTION(技能集描述) H-4 : INTERNAL TRAINING(内部培训) H-5 : EXTERNAL TECHNICAL TRAINING(外部技术培训) H-6 : EXTERNAL COMMUNICATION TRAINING(外部沟通培训) H-7 : EXTERNAL NETWORKING(外部联络)

与“工具”相关的评估参数有: T-1 : IT RESOURCES LIST(IT资源清单) T-2 : INFORMATION SOURCES LIST(信息源清单) T-3 : CONSOLIDATED E-MAIL SYSTEM(统一的Email系统) T-4 : INCIDENT TRACKING SYSTEM(事件跟踪系统) T-5 : RESILIENT PHONE(韧性电话系统) T-6 : RESILIENT E-MAIL(韧性Email系统) T-7 : RESILIENT INTERNET ACCESS(韧性互联网接入) T-8 : INCIDENT PREVENTION TOOLSET(事件预防工具集) T-9 : INCIDENT DETECTION TOOLSET(事件检测工具集) T-10 : INCIDENT RESOLUTION TOOLSET(事件处置工具集)

与“过程”相关的评估参数有: P-1 : ESCALATION TO GOVERNANCE LEVEL(升级到高层管理者或政府层面的过程) P-2 : ESCALATION TO PRESS FUNCTION(升级到组织的新闻办公室的过程) P-3 : ESCALATION TO LEGAL FUNCTION(升级到法律办公室的过程) P-4 : INCIDENT PREVENTION PROCESS(事件预防的过程) P-5 : INCIDENT DETECTION PROCESS(事件检测的过程) P-6 : INCIDENT RESOLUTION PROCESS(事件处置的过程) P-7 : SPECIFIC INCIDENT PROCESSES(特别的事件过程,如钓鱼和版权等问题) P-8 : AUDIT/FEEDBACK PROCESS(审计/反馈过程) P-9 : EMERGENCY REACHABILITY PROCESS(应急可达性过程) P-10 : BEST PRACTICE E-MAIL AND WEB PRESENCE(Email和Web可用性最佳实践) P-11 : SECURE INFORMATION HANDLING PROCESS(安全信息处置过程) P-12 : INFORMATION SOURCES PROCESS(信息源过程) P-13 : OUTREACH PROCESS(扩大化过程) P-14 : REPORTING PROCESS(报告过程) P-15 : STATISTICS PROCESS(统计过程) P-16 : MEETING PROCESS(会议相关过程) P-17 : PEER-TO-PEER PROCESS(同业合作过程)。

可以根据每项评估参数的成熟度对其进行定性评价,从0分到4分,其含义如下: 0 = 没有 / 未定义 / 不知道 1 = 隐性的 (知道/考虑过但并未书面化,“between the ears”) 2 = 明确的,书面化内部使用并未正式发布 3 = 明确的,由CSIRT负责人签发对外公开发布 4 = 明确的,由CSIRT负责人更高的管理层级审核

经过SIM3评估的CSIRT成熟度可用以下方式描述:

配图

或者进一步简化为下图:

配图

• 网络杀伤链(Cyber Kill Chain)

2011年,洛克希德-马丁公司在一篇关于情报驱动的计算机网络防御的论文《Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains》首次提出网络入侵的杀伤链模型(Intrusion Kill Chain)。该论文指出,网络入侵的本质是攻击者开发出攻击载荷并突破可信边界,在可信边界内部出现,并进一步达到攻击者最终的目标。杀伤链将网络入侵模型化,有助于理解入侵并系统性地采取合适的措施。目前,洛克希德–马丁公司的Cyber Kill Chain®框架已发展成情报驱动防御(Intelligence Driven Defense®)的一部分,用于识别和防御网络入侵活动。该模型定义了攻击者为达到目标必须要完成的阶段,之所以称之为链(chain)是因为攻击者必须完整地通过全部的六个阶段才能成功达到目标,而防御者在任意一个阶段打破该链条,就可以阻止入侵者的攻击尝试。

入侵杀伤链定义为:reconnaissance(侦察),weaponization(武器构建),delivery(载荷投递),exploitation(漏洞利用),installation(安装植入),command and control(C2)(指挥和控制),and actions on objectives(目标达成)7个阶段,每个阶段都有特定的攻击手段,如下图所示:

配图

洛克希德–马丁公司提出的杀伤链模型

  1. 侦查 攻击者处在攻击行动的计划阶段,了解被攻击目标,搜寻目标的弱点。常见手段包括收集钓鱼攻击用的凭证或邮件地址信息,互联网主机扫描和嗅探,搜集员工的社交网络信息,收集媒体信息、会议出席名单等。
  2. 武器构建 攻击者处在攻击行动的准备和过渡阶段,攻击者使用自动化工具将漏洞利用工具和后门制作成一个可发送的武器载荷。常见手段包括先获取一个武器制作工具,为基于文件的利用代码选择诱饵文件,如flash,office文件,诱导被攻击对象认为是正常的文件,选择待植入的远程控制等程序并武器化。
  3. 载荷投递 将武器载荷向被攻击系统投递,攻击者发起了攻击行动。常见的手段包括直接向web服务器投递,比如webshell,和通过电子邮件、USB介质、社交软件和媒体的交互、水坑等间接渠道投递。
  4. 漏洞利用 利用系统的漏洞,以便进一步在目标系统上执行代码。常见的手段包括,攻击者可以购买或者挖掘零日漏洞,或更多地利用公开漏洞,攻击者可以直接利用服务器侧的漏洞,或诱导被攻击用户执行漏洞利用程序,如打开恶意邮件的附件,点击链接。
  5. 安装植入 攻击者一般会在目标系统上安装恶意程序、后门或者其他植入代码,以便获取对目标系统的长期访问途径。常见手段包括在web服务器上安装webshell,在失陷系统上安装后门或植入程序,通过添加服务或AutoRun键值增加持久化能力,或者伪装成标准的操作系统安装组成部分。
  6. 指挥与控制(C2) 恶意程序开启一个可供攻击者远程操作的命令通道。常见手段包括建立一个与C2基础设施的双向通信通道,大多数的C2通道都是通过web、DNS或邮件协议进行,C2基础设施可能是攻击者直接所有,或者是被攻击者控制的其他失陷网络的一部分。
  7. 目标达成 在攻陷系统后,攻击者拥有类似直接操作目标主机的高级权限,进一步执行和达成攻击者最终的目标,如收集用户凭证、权限提升、内部网络侦查、横向移动、收集和批量拖取数据、破坏系统、查看、破坏或篡改数据等。

如何通过杀伤链模型来保障网络安全 在了解攻击者完整执行攻击的操作步骤后,作为防御者,一个好的实践是结合杀伤链的每个阶段针对性的部署安全控制措施,度量控制措施的相对有效性,帮助明晰安全投入的方向和演进路线。更重要的,采集控制措施产生的日志,进行后续的关联分析和响应。下图是洛克希德-马丁在提出杀伤链时,建议的防御应对思路,即明确每个阶段的不同类措施,如检测(Detect)、拒绝(Deny)、中断(Disrupt)、降级(Degrade)、欺骗(Deceive)和毁坏(Destroy):

配图

洛克希德–马丁公司建议的应对行动参考方法

在网络安全实务中,市场上的应用最广的主流安全产品(假设开启全功能),如新版终端安全软件(EPP)、下一代防火墙(NGFW)的功能模块已经演变到可以针对性作用杀伤链的各个阶段,各功能协同打破链条。对于防御者,需要在合理部署措施的基础上,充分了解各个措施具备的打破杀伤链的能力,并建立自身的防御和分析策略,如下表所示:

杀伤链 NGFW 终端安全 数据采集 与威胁情报 安全分析策略 侦查跟踪 NIPS,ACL HIPS 威胁情报应用于访问源地址,web流量或日志分析 攻击者画像和攻击态势感知,识别撞库或异常特权访问,识别已被窃取的用户、客户登录凭证 武器构建 载荷投递 In-line AV 沙盒或云分析, 文件上传控制 信誉查询,机器学习 监控对web服务器的文件上传和关键区域文件网络传输,获取文件样本和Hash 对流量中获取的文件样本进行多病毒引擎分析、上传webshell检测、上传木马的检测、yararule识别各种webshell或恶意程序 漏洞利用 NIPS 补丁,零日漏洞利用技术缓释,HIPS 使用IDS或者流量监控识别穿越防御边界的高危攻击,如HTTP中的RCE攻击特征 专注发现绕过边界防御措施的高风险漏洞利用特征,如Struts2,Java反序列化等RCE漏洞,针对性分析、持续优化监控和数据采集策略 安装植入 AV,模拟器 集中收集和关联分析终端安全软件日志 指挥与控制 恶意域名外联监控,出站URL过滤和应用控制,ACL 行为分析 威胁情报应用于访问目的域名或地址,采集DNS流量、日志,采集实际的出站外联访问应用层协议流量日志;监控流量中的webshell特征 入门时使用IOC情报识别已知的攻陷C2基础设施;进阶时借助域名和IP信誉情报比对所有的出站外联流量,按黑、灰、白自动分析,对黑、灰类外联访问人工分析。情报从单一来源到多源演进。 目标达成 HIPS,行为分析,EDR 蜜罐和协议流量异常,如异常DNS包和DGA域名 根据自身环境和优先场景采用特征匹配、统计分析、机器学习等方式分析可疑、异常外联和数据窃取。 杀伤链、防御措施与分析策略矩阵

MITRE ATT&CK(攻击战术、技术和公共知识库)

较杀伤链模型更进阶和详细的模型是MITRE的ATT&CK模型。ATT&CK指Adversarial Tactics,Techniques,and Common Knowledge(ATT&CK™),是研究网络攻击者行为的知识库。ATT&CK有助于理解已知的攻击者行为,技术、战术,准备检测措施,验证防御基础设施和分析策略的有效性。

该模型可以被用于更好的归类资产被攻陷后攻击者的行为,有助于识别需要优先检测的战术、技术和过程(tactics,techniques and procedure-TTP)。ATT&CK的10个战术类别是对杀伤链后C2阶段后的细化,对攻击者获取权限后的行为提供了更精细的粒度描述。每一个战术类别包括了一系列的攻击技术,这些技术可以被选择用于执行该类战术。ATT&CK提供了对每一项技术的细节描述,指示器,有用的检测数据和分析方法,以及可能的缓释措施。在行业应用中,该模型有助于让分析和响应人员更好的了解攻击者,尤其是APT攻击者的技战术,熟悉真实环境的对抗技巧,增强实战能力,从而更好的组织防御。

配图

MITRE的攻击者技术、战术知识库和模型

ICS Cyber Kill Chain

工控系统网络杀伤链(The ICS Cyber Kill Chain)由Michael Assante and Robert M. Lee开发,并由SANS在2015年发布,它基于Lockheed Martin公司开发的传统的网络杀伤链并针对工业控制系统进行了修改。工控系统网络杀伤链详细说明了攻击者对工控系统过程进行高可信度攻击并控制物理设备所必须遵循的步骤,如下图:

配图

第1阶段的工控系统网络杀伤链

对乌克兰电网的攻击完全符合工控系统网络杀伤链描述的第1和第2阶段。如下面图中所示,攻击赢得了工控系统的所有层面。完成第1阶段是对工控系统的成功网络入侵,但并不是工控系统攻击;完成ICS Kill Chain的第2阶段,才对工控系统的运行造成了影响。

配图

乌克兰电网攻击的工控系统网络杀伤链说明

乌克兰电网攻击事件 2015年12月23日,有报道说称乌克兰 KioValBePro(一个地区性的配电公司)由于第三方非法侵入公司的计算机和SCADA系统造成服务中断。从当地时间下午3:35开始,7个110 kV和23个35 kV变电站被断开3小时。当地报道说外国攻击者远程控制了SCADA配电管理系统,最初的停电影响了大约80000名客户,后来的数次中断,有大约225000个客户受到断电影响。袭击发生后不久,乌克兰政府官员声称停机事件是由网络攻击造成的,俄罗斯安全部门应对这些事件负责。在事件发件后,乌克兰的调查人员、私营公司和美国政府联合进行分析并提供协助确定了停电的根源。

• “观察、定向、决策、行动” – 博伊德的OODA环

在过去30多年中,博伊德是对美国以及西方企业界和管理学界影响最大的一位职业军人。福布斯、哈佛商业评论都介绍过他的战略理念,数十本专业管理著作都提到过他。近年来美国管理学界对海军陆战队产生了深厚的兴趣,向商业企业界在力推荐“海军陆战队方式”,而这个方式的灵魂就是“机动战”或OODA环,这是博伊德思想的结晶。

配图

对抗性决策过程

博伊德战略思想的核心是“观察-调整-决策-行动”(OODA)环。这是当代美军制订作战计划和进行战略规划的逻辑基础。博伊德认为,从根本上说,敌我较量是双方“观察-调整-决策-行动”循环之间的较量,双方都从观察开始,观察自己、观察环境和敌人。基于观察,获取相关的外部信息,根据感知到的外部威胁,及时调整系统,做出应对决策,并采取相应行动。即,竞争和对抗在本质上这样一个过程: 1.首先弄清楚什么是赢:按照自己定的规矩生存和繁荣; 2.为此,确定己方的目标:增强己方作为一个有机整体生存和繁荣的能力,应对不断变化的环境; 3.对敌目标:削弱敌方作为一个有机整体适应环境的能力; 4.策略:切断敌方与环境的联系,干扰敌方与环境的互动,摧毁敌方内部的和谐,使敌方意志崩溃,无法抵抗; 5.方法:在敌方“观察-调整-决策-行动”环内采取行动,干扰敌方的心理、时间、空间维度,使敌方不间断地面对新威胁或不确定的事件,迫使敌方忙于应付,无法做出有效反应,无法做主动的战略设计,陷入混乱、孤立、恐惧、犹豫、怀疑,最终战略瘫痪的境地。

“调整”步骤在整个OODA环中最为关键,因为如果敌人对外界威胁判断有误,或者对于周围的环境理解错误,那么必将导致方向调整错误,最终做出错误决策。博伊德认为,敌、我的这一决策循环过程的速度显然有快慢之分。己方的目标应该是,率先完成一个OODA循环,然后迅速采取行动,干扰、延长、打断敌人的OODA循环。其中,有种战术是,进入并操控敌人的OODA循环系统,使敌人对于外界变化无力做出任何反应(即在竞争中,是快鱼吃慢鱼,而非大鱼吃小鱼)。

配图

“观察-调整-决策-行动”循环

为使己方的OODA环具有竞争优势,必须实现决策力与执行力的整合,方法是 从观察到行动形成良性的环路,把经观察、选择而来的决策视为需经行动验证的假设,把行动效果作为环境变化的一个组成部分,进入下一轮观察、行动循环 。拥有竞争优势的OODA环,就可以更自主、更迅速、更不规则地实施观察、调整、决定和行动,争取和保持主动,反复和出其不意地利用敌人暴露出来的弱点,将敌人的注意力吸引到其他方向,最终打败敌人并使自己升级到更高的阶段。

“OODA环似乎太粗陋了而不配归类为一个大理论,但它就是一个大理论。它简朴雅致,适用范围广泛,对战略本质的洞察甚深”,“适用于空战战术,也适用于战役级、战略级和政治级的战争”。

OODA环特别适合于一个机构与复杂环境的互动,因为它提出并解答了适应性(adaptive)问题,即有机体如何迅速适应不可预知的技术、对手、规则和周围环境的突变,这是领导者梦寐以求的东西。孙子兵法最重要的原则之一是“胜敌而益强”,即不干赔本的买卖,作战的真正目的是使自己更强大而不是打败敌人,打败敌人只是使自己更强大的手段;必战之时,不仅要打败敌人而且还更加强大(因此攻心为上、攻城为下),以做好打败新敌人的准备。

事实上,博伊德沉醉于毛泽东军事思想和孙子兵法,他的OODA环,实际上是毛泽东关于“保存自己、消灭敌人”这一战争目的和本质的流程化,也是孙子兵法“胜敌益强”战略原则的框架化、流程化和操作化。

博伊德能够提出不仅适应于军事、而且适用于社会生活、商务活动和企业领导管理的行动哲学,在很大程度上是源于军事实践而获得的有关对抗本质的洞察,以及跨领域的战略综合。这种战略综合,使OODA环的应用并没有止步于作战层面,而是上升到战略层面;没有局限于军事领域,而在管理、经济等更多领域得到了应用。

9.11之后,美国的作战对手发生很大变化,由传统的“面对面”的强敌向多元化发展。伊拉克战争中,当主体战斗行动结束后,美军面对的敌人由共和国卫队转变为恐怖组织、极端宗教势力。这些对手与传统强大的军事力量完全不一样,美第5军军长威廉·斯科特将军感叹道:“这不是我们兵棋推演中的那个敌人!”

美军将这种对手不确定、非对称作战、动态变化特征强和指挥信息网络依赖性缲的战争称为“第四代战争”。某美国海军陆战队退役上校认为:第一代战争是由人力支配的战争,在拿破仑战争时期达到顶峰;第二代战争是火力支配的战争,在第一次世界大战达到顶峰;第三代战争由二战中的德国创造,由机动为基本特征;第四代战争是由网络支持的非正规作战,必须调动可用的所有资源,包括政治、经济、社会、军事,使敌人认识到,达到其战略目标将要付出极大的代价。

网络安全与OODA环

在实务中,网络安全建设项目的发起缘由主要是合规或者担心出事,因此预防性(preventation)控制措施采用较多 (在本专辑之前的“十谈网络安全”中我们已指出类似ISO27001合规项目中,控制措施以预防性控制为主) 。但随着业务数字化程度的提高,IT与业务相互融合,针对所有的风险全部采用预防性控制会造成巨大的、(业务)不可接受的成本。因此,根据所面临风险的具体情况,综合采用预防性(preventation)、检测性(detection)、响应和恢复性(response and recovery)控制才是更为可行的选择。

换个角度来看,“网络安全的本质是对抗”,由于攻击与防守的不对称性,防守方很难将所有的攻击拒之门外。从OODA环出发,“情报”和“特种作战(应对)”是对抗的核心,这也是近1、2年来态势感知大行其道的原因(态势感知需要与接下来的应对手段结合起来才会发生作用)。国外有专家进一步指出,预防性措施的支出在整体IT安全支出中占1/3即可,其余的IT安全投入在放在检测、响应和恢复上。

关于态势感知、威胁情报(攻击者画像)等的文章比较多,本专辑不再过多述及。(从上周末开始去草原休了几天假,本周三回京,终于赶在周末前把这一部分写完,近期ISO22301及ISO27001系列有部分标准有更新,下周先写写这些标准的事,网络安全演练专辑第5部分将在8月初完成,同时8月份正式启动“BCM问答”专辑,感兴趣的朋友请多提意见和建议。)

发一张福利图:

配图

配图

说明 :需要本文中提及的报告及相关资料的朋友,请在后台留言“20180727”,公众号助理会与您联系并发送资料。

原文发表于公众号”业务连续性+” | 原文链接