美國海軍陸戰(zhàn)隊(duì)與海軍陸戰(zhàn)隊(duì)空中地面特遣部隊(duì) 19.2 危機(jī)響應(yīng)指揮分隊(duì)在科威特準(zhǔn)備現(xiàn)場條件危機(jī)響應(yīng)中心網(wǎng)絡(luò)。（美國海軍陸戰(zhàn)隊(duì)照片，羅伯特·加瓦爾登中士拍攝）

　　隨著數(shù)據(jù)的激增和攻擊面的擴(kuò)大，美國國防部繼續(xù)有發(fā)現(xiàn)、理解、跟蹤和管理其在互聯(lián)網(wǎng)上公開的數(shù)據(jù)和知識產(chǎn)權(quán)的基本需求。

　　美國眾議院軍事委員會(huì)在其對 2021 財(cái)年國防授權(quán)法案的標(biāo)記中指出，需要以綜合的端到端方式管理這一過程。

　　“美國國防部 （DoD） 對整個(gè)國防部企業(yè)的互聯(lián)網(wǎng)連接資產(chǎn)和攻擊面缺乏類似的全面了解；在這方面，委員會(huì)注意到，國防部最近才發(fā)現(xiàn)，它與互聯(lián)網(wǎng)的托管連接數(shù)量是它認(rèn)為的兩倍——由不受保護(hù)的組件建立和維護(hù)的連接不像國防部管理的其他受制裁的互聯(lián)網(wǎng)接入點(diǎn)那樣受到保護(hù)。

　　”盡管聯(lián)合部隊(duì)總部-國防部信息網(wǎng)絡(luò)部 （JFHQ-DODIN） 在提高其國防部網(wǎng)絡(luò)的企業(yè)范圍可見性方面取得了長足的進(jìn)步，但美國國防部網(wǎng)絡(luò)仍由各個(gè)組件控制，而 JFHQ-DODIN 的大部分態(tài)勢感知來自組件報(bào)告。委員會(huì)認(rèn)為，JFHQ-DODIN 實(shí)現(xiàn)對所有 DoD 網(wǎng)絡(luò)的實(shí)時(shí)可見性至關(guān)重要?！?/p>

　　這種復(fù)雜性使得 DoD 網(wǎng)絡(luò)特別適合應(yīng)用所謂的互聯(lián)網(wǎng)運(yùn)營管理 （IOM）。IOM 功能使組織能夠：

　　近乎實(shí)時(shí)地了解他們的內(nèi)部部署和云托管的攻擊面是什么樣的，他們的網(wǎng)絡(luò)元素在外部如何表現(xiàn)；和

　　檢測以前未知的危害、未經(jīng)批準(zhǔn)的連接、錯(cuò)誤配置、漏洞和威脅活動(dòng)。

　　”當(dāng)我們從軍事網(wǎng)絡(luò)的角度看待互聯(lián)網(wǎng)運(yùn)營管理時(shí)，很容易看出 IOM 的適用性，不僅適用于軍隊(duì)，還適用于聯(lián)邦機(jī)構(gòu)、大型政府網(wǎng)絡(luò)和商業(yè)客戶，“，帕洛阿爾托網(wǎng)絡(luò)公司 Cortex產(chǎn)品管理副總裁Joseph Lin 表示?！彼麄兌加羞@些根本問題。“

　　IOM 平臺將所有這些數(shù)據(jù)聚合到一個(gè)安全的數(shù)據(jù)湖中，使用機(jī)器學(xué)習(xí)算法和數(shù)據(jù)分析來發(fā)現(xiàn)異常并獲得洞察力。然后，決策者可以使用這些信息以可操作、可擴(kuò)展和自動(dòng)化的方式在整個(gè)企業(yè)中制定、實(shí)施和驗(yàn)證 IT 和安全策略和命令。

　　什么是數(shù)據(jù)湖？林解釋道。

　　”在一個(gè)非?；镜膶用嫔希瑪?shù)據(jù)湖是一個(gè)保存大量數(shù)據(jù)以及高度異構(gòu)數(shù)據(jù)的環(huán)境，這些數(shù)據(jù)被匯集、集成并相互解釋，以便數(shù)據(jù)能夠相互關(guān)聯(lián)。歸根結(jié)底，您不僅僅是為了數(shù)據(jù)而收集數(shù)據(jù)，而是收集數(shù)據(jù)以便您可以在該數(shù)據(jù)之上運(yùn)行分析。您可以使用機(jī)器學(xué)習(xí)從您能夠從整個(gè)系統(tǒng)中收集的大量數(shù)據(jù)中獲得洞察力?！?/p>

　　IOM 非常適合軍事網(wǎng)絡(luò)

　　一般來說，軍事網(wǎng)絡(luò)非常大。它們本質(zhì)上可以高度聯(lián)合，這使得管理所有面向互聯(lián)網(wǎng)的資產(chǎn)變得更加困難。

　　由于軍事網(wǎng)絡(luò)龐大、分布式、高度聯(lián)合的性質(zhì)，有時(shí)還具有遠(yuǎn)征性質(zhì)，因此對其面向互聯(lián)網(wǎng)的資產(chǎn)的管理/指揮和控制既困難又復(fù)雜。

　　它們在其他方面也是低效和不安全的——特別是在以下六個(gè)方面：

　　自我報(bào)告：在大多數(shù)情況下，網(wǎng)絡(luò)運(yùn)營商沒有獨(dú)立的方式來驗(yàn)證來自各個(gè)組件的報(bào)告。如果組件沒有響應(yīng)或在其響應(yīng)中出錯(cuò)，操作員將不會(huì)意識到。

　　缺乏共享的事實(shí)來源：網(wǎng)絡(luò)管理員和組件本身對哪些 IP 范圍和互聯(lián)網(wǎng)資產(chǎn)屬于哪些組件沒有共同的理解。許多 IP 范圍由多個(gè)組件聲明，其他則根本沒有?，F(xiàn)有的清單數(shù)據(jù)庫應(yīng)該是企業(yè) IP 范圍的全面真實(shí)來源，通常已經(jīng)過時(shí)且不完整。如果 IP 空間中存在沒有組織直接負(fù)責(zé)的漏洞，它們將永遠(yuǎn)不會(huì)出現(xiàn)在自我報(bào)告的列表中。

　　多云環(huán)境和第三方托管作為擴(kuò)展攻擊面：由商業(yè)云服務(wù)提供商和互聯(lián)網(wǎng)服務(wù)提供商托管的企業(yè)資產(chǎn)通常沒有得到充分監(jiān)控或完全不受管理。雖然這些資產(chǎn)帶來的風(fēng)險(xiǎn)各不相同，但此攻擊面的一個(gè)有意義的子集定期包括受控非機(jī)密信息 （CUI） 或其他潛在高價(jià)值企業(yè)資產(chǎn)的潛在損失。

　　難以識別聯(lián)系點(diǎn)：即使是網(wǎng)絡(luò)管理員和相關(guān)組件都在跟蹤的網(wǎng)絡(luò)部分，也缺乏相關(guān)聯(lián)系點(diǎn)是誰來查找和修復(fù)網(wǎng)絡(luò)漏洞的意識。給定的 IP 范圍。

　　潛在的人為錯(cuò)誤：當(dāng)前流程依賴于電子郵件和電子表格。當(dāng)電子表格被復(fù)制、通過電子郵件發(fā)送并編譯成更大的電子表格時(shí)，出錯(cuò)的可能性很高。偶然的疏忽使網(wǎng)絡(luò)管理員對潛在問題視而不見。

　　響應(yīng)和修復(fù)緩慢：即使在理想情況下，從網(wǎng)絡(luò)管理員意識到新漏洞到對問題的范圍進(jìn)行完整說明并開始修復(fù)之間也至少需要 24 小時(shí)。

　　如何解決這些問題

　　正是那些導(dǎo)致不安全感的低效率推動(dòng)了世界各地軍隊(duì)對企業(yè)范圍安全實(shí)施的需求。

　　當(dāng)對整個(gè)網(wǎng)絡(luò)有集中的可見性和運(yùn)營控制時(shí)，網(wǎng)絡(luò)安全和 IT 運(yùn)營最有效。美國國防部擁有一些世界上最大和最復(fù)雜的網(wǎng)絡(luò)，在多層級的飛地中擁有數(shù)百萬個(gè) IP 地址和端點(diǎn)。然而，他們?nèi)匀蝗狈ζ髽I(yè)范圍的網(wǎng)絡(luò)可見性，并且依賴 20 世紀(jì)后期的技術(shù)來完成諸如開發(fā)、傳播和執(zhí)行新 IT 策略等簡單的任務(wù)。

　　DoD 組織和軍種成員值得擁有同類最佳的技術(shù)和流程，例如通過 IOM 發(fā)現(xiàn)的技術(shù)和流程，以集中和管理他們的安全和網(wǎng)絡(luò)運(yùn)營。好消息是，這些技術(shù)已經(jīng)商業(yè)化并廣泛部署在傳統(tǒng)網(wǎng)絡(luò)中，尤其是在私營部門和少數(shù)政府機(jī)構(gòu)中。

　　”管理老舊網(wǎng)絡(luò)系統(tǒng)的一個(gè)主要部分是它們在防火墻后面得到適當(dāng)保護(hù)，并且不會(huì)因?yàn)榕c他們的軟件相關(guān)的漏洞而暴露在公共互聯(lián)網(wǎng)上，這些漏洞只是沒有打補(bǔ)丁，或者他們的原始制造商不再支持，“林說?！币?yàn)檫@些漏洞很容易被對手利用，所以確保它們得到適當(dāng)保護(hù)就顯得尤為重要。

　　“IOM 使遺留系統(tǒng)的所有者能夠做的是，首先確保它們不會(huì)暴露在公共互聯(lián)網(wǎng)上，不會(huì)被對手發(fā)現(xiàn)，并且它們得到了正確的配置和保護(hù)?！?/p>

　　結(jié)論

　　美國國防部和更廣泛的美國政府網(wǎng)絡(luò)防御、檢測、響應(yīng)和恢復(fù)能力不足。這個(gè)問題的根本原因是缺乏對聯(lián)邦信息技術(shù)的集中可見性和操作控制。

　　此外，保護(hù)、防御和監(jiān)控政府范圍網(wǎng)絡(luò)的任務(wù)與現(xiàn)有的高度不同的技術(shù)和流程之間存在巨大差距。解決這個(gè)問題不僅是可能的，而且現(xiàn)在正在通過私營部門和一些個(gè)別聯(lián)邦機(jī)構(gòu)內(nèi)的現(xiàn)有技術(shù)和流程來解決。

　　IOM 產(chǎn)品，如 Palo Alto Networks 的 Cortex 系統(tǒng)套件，包括 Cortex Xpanse 和 XSOAR，通過開發(fā)提供 JFHQ-DODIN 對所有 DOD 網(wǎng)絡(luò)的實(shí)時(shí)可見性的 IOM 程序，使 JFHQ-DODIN 能夠滿足 FY21 NDAA 的詳細(xì)要求。

　　態(tài)勢感知是所有形式?jīng)_突的基本要求，借助 Cortex，IOM 國防部組織可以通過日常攻擊面掃描和定期映射，持續(xù)發(fā)現(xiàn)、管理和監(jiān)控所有全球部署的 DoD 互聯(lián)網(wǎng)資產(chǎn)。

　　對所有網(wǎng)絡(luò)的全面認(rèn)知和可見性將使美國國防部網(wǎng)絡(luò)管理員自信地回答諸如“我的所有 IP 是什么？”、“我有多少個(gè)端點(diǎn)或服務(wù)器？”等問題。以及“上面運(yùn)行的軟件是什么？” 如果沒有相關(guān)機(jī)構(gòu)，他們將很難這樣做。