1.5 网络空间欺骗链
本文讲的是网络空间欺骗:构筑欺骗防御的科学基石一1.5 网络空间欺骗链,网络空间欺骗链是从网络空间生命全周期的角度建立的网络空间抵赖与欺骗操作管理高级元模型。类比于洛克希德马丁公司提出的“网络空间杀伤链”模型,网络空间欺骗链是从用于策划、准备和执行欺骗操作的Barton Whaley 10步流程发展而来的。网络空间欺骗链促进了网络空间抵赖与欺骗、网络空间威胁情报和网络空间运营安全3个系统间的相互融合,并应用于企业主动网络空间防御系统的计划、准备和执行欺骗操作中。
欺骗型操作是由3个对等部件,即网络空间抵赖与欺骗策划者、网络空间威胁情报分析师和网络空间运营安全专家交互组成的三位一体结构。这三位一体的结构(策划者、分析师、专家)是面向威胁的主动网络空间防御体系的基础。正如计算机网络空间防御(CND)不是某一个具体的工具,而是应用了新型技术和流程的系统一样,网络空间抵赖与欺骗也同样应被视为是一项利用了可演进的TTTP的主动防御运营活动。
我们有理由相信,网络空间欺骗链是针对某个组织任务目标的,可以融入先进的TTTP与运营的灵活体系架构。网络空间欺骗链一共分为8个阶段见图1.4。
制定目标:这个初始阶段有助于企业经营者定义欺骗操作的策略、操作和战术目标。换句话说就是网络空间欺骗的目的,它将作为标准来衡量实施的欺骗是否成功。由于欺骗操作的根本目的是为了影响攻击者的行为,网络空间欺骗操作的目的则要与对攻击者行为影响的预期息息相关。也就是说,欺骗运营的目的是通过引导攻击者实施或者不实施某些操作,来帮助防御方实施网络空间防御。
收集情报:在网络空间欺骗链的第二个阶段中,拒绝与欺骗策划者定义了攻击者在遭到欺骗后的预期行为。从某种程度上说,攻击者预期行为是策划者通过网络空间威胁情报定义的。它主要包括攻击者将会观测到什么;攻击者将会如何解读这种观测;攻击者将会如何对观测的结果进行或不进行反馈;以及攻击者的行为如何被防御方监控。这些威胁情报将有助于策划者在最后两个阶段(即监控和强化阶段)判定欺骗实施是否成功。
网络空间威胁情报可以向抵赖与欺骗策划者告知攻击者已经知道、相信或者期待的信息。
入侵活动分析就是网络空间威胁的一个内部信源。广义地说,入侵活动是指对某个组织实施的一系列相关的入侵事件,以及由此转化得到的针对某些组织的特定威胁知识。诸如入侵分析的钻石模型这样的分析方法,也同样有助于将入侵活动以统一的标准进行划分。
威胁共享伙伴关系是网络空间威胁情报的另一种来源,它涉及政府、私人企业和非营利性组织等。信息可以通过多种途径被共享,结构化威胁信息表达(STIX,参见http://stix.mitre.org)系统和可信指标信息自动交互(TAXII,参见http://taxii.mitre.org)系统则是两个大规模安全威胁信息共享的成功范例。它们由美国国土安全部下属的网络空间安全与通信办公室资助的。STIX和TAXII所提供的结构化格式从某种意义上说为防御方共享威胁提供了一种可信的内部转化关系。STIX是一种用社团驱动的语言描述网络空间威胁情报的系统,它包括网络空间欺骗链的结构化格式。TAXII则是能够跨越不同组织和产品间界限的共享信息系统,它可用于检测和缓解网络空间威胁。这是因为不同组织和产品中在某一个地方所发现的威胁也许将来会成为另一个地方的威胁。因此,所有的网络空间威胁情报来源可以帮助抵赖与欺骗策划者评估攻击者的网络空间攻击能力成熟度,而这将为定制与攻击TTTP相匹敌的网络空间抵赖与欺骗操作提供支持。
设计故事:所谓“封面故事”是指网络空间抵赖与欺骗策划者想要攻击者探测和相信的信息。拒绝与欺骗策划者会将重要组件的抵赖与欺骗操作考虑在内;评估攻击者观测和分析的能力;虚构令攻击者信服的故事,并利用它“解释”攻击者可观测运营组件的原因;同时误导攻击者对其观测意义和重要性的解读。拒绝与欺骗策划者将决定什么信息必须要被掩盖(EEFI和NDDI,见表1.2),什么信息必须被虚构并且曝光(EDDI和NEFI,见表1.2)。表1.1和表1.2中的抵赖与欺骗方法矩阵将辅助策划者捕捉可以使欺骗操作见效的需要掩盖或者曝光的真假信息。策划者和网络空间安全操作人员必须决定什么样的信息“属于”矩阵中四个单元格,以及为了实现欺骗目的和设计封面故事,需要从企业经营者那里获得的支持。
筹备工具:在这个阶段,网络空间抵赖与欺骗策划者需要分析所要隐藏的真实事件和活动的特征,以支持封面故事的设计;要鉴别攻击者可以观测的相关签名;要计划利用拒绝策略(比如伪装、重组、扰乱和标注等,见图1.2)隐藏来自攻击者的签名。策划者还要分析可用于描绘和观测所支持骗局的名义上的事件与活动的特征;鉴别攻击者可以观测的相关签名;计划使用可以误导攻击者的欺骗性策略(比如拟态、虚构、诱骗、双杀和虚张声势,见图1.3)。总之,抵赖与欺骗策划者要将矩阵中的元素信息转换为可掩盖或者曝光的运营活动中的关键信息,以支持设计的骗局。这些步骤必须与网络空间OPSEC活动协同实施,从而使得抵赖与欺骗所执行的步骤看起来更加真实和自然。此外,欺骗策略还要允许攻击者可以观测到支持所设计骗局的真实运营事件。
准备欺骗:在这个阶段,抵赖与欺骗策划者需要对可以使攻击者认知和感知产生影响的欺骗运行进行设计,并探索可用的手段和资源以创造这些影响。这就需要与OPSEC专家在研发支持骗局的概念性或实际的装备、人员角色、培训,以及其他准备工作方面进行协同合作。
执行欺骗:随着欺骗转变和真实运营准备的同步进行和相互交叉,抵赖与欺骗策划者和OPSEC专家必须协同并控制所有正在进行的相关运营,从而可以在不妨碍和折损真实运营的情况下持续、可靠、有效地支持和实施所设计的骗局。
实施监控:抵赖与欺骗策划者与网络空间威胁情报分析师、OPSEC专家共同对欺骗和真实运营进行监测和控制。这将对友军和敌军的运营准备实施监控;将会密切关注观测通道和信源选择性传播给攻击者的欺骗信息;将会监测攻击者对“表演”,即执行的封面故事的反馈。这些目标通道必须向攻击者开放,传递计划的欺骗性信息,并使得攻击者能够观测到抵赖与欺骗所设计的骗局。最重要的是,网络空间抵赖与欺骗操作员必须通过监测攻击者以决定欺骗性运营是否对攻击者行为产生了预期的影响。
强化效果:如果网络情报获知欺骗操作没有把封面故事“出售”给攻击者,且并未对攻击者的行为产生预期的影响,那么网络空间抵赖与欺骗策划者就需要通过进一步欺骗、利用其他通道和信源将欺骗运营传递给攻击者以强化封面故事。策划者要重回网络欺骗链的第一步,执行备用欺骗,或者规划其他的运营。
原文标题:网络空间欺骗:构筑欺骗防御的科学基石一1.5 网络空间欺骗链