“网络威胁超越物理恐怖主义的威胁。”
这句话据报道,来自马修·特拉维斯,一个副部长在国土安全事件17周年的9月11日恐怖袭击。天前,国土安全部部长Kirstjen尼尔森大学生同一点,说明她的机构“15年前成立,以防止另一个9/11”,她认为“现在攻击的大小是更有可能比在飞机上到达我们在线。”
一看到今天的头条新闻,很容易看到先进的持久的网络威胁是非常真实的和不会消失。
“对手不仅有知识的系统和平台在分布式网络中的漏洞,“迪翁•Viergutz说,洛克希德·马丁公司的副总裁网络解决方案,“他们针对供应链和跟上技术进步迅速,使用自动化和人工智能秘密的加速发展,持续攻击,使用技术,如隐写术,密码学,逆向工程,例如。”
所以,如果这是新常态,我们如何解决这个问题呢?
了解漏洞
几十年来,航空航天和国防工业传统上集中其注意力集中在网络。如今,武器系统,用于有点隔绝信息网络现在有无数的接触点——例如接口来诊断设备和任务规划数据,提供途径恶意网络代理的武器系统。
此外,几乎所有操作平台设计、构建和部署在头脑中没有一个网络竞争环境,因此没有内置的防御这些威胁。而船舶运行关键电缆端口和右舷,高和低弹性武器罢工,通常没有类似的弹性机制设计到信息系统在船上或其他平台。广泛使用的风险放大通用商业软件和硬件平台。
这不是一个不合理的问题——我们的遗留系统中有多少人真正准备好足够和弹性,在竞争激烈的网络环境?
“我们知道,发现网络漏洞和部署他们的修复标准公司网络带来了许多并发症,“Viergutz说。“但对于军事系统,网络防御假设另一个组的挑战,网络工程师必须考虑- 1。识别任务的威胁;和2。维护任务平台网络弹性。”
网络弹性的概念可以是多个事物对不同的人。然而,一个常见的定义为“网络弹性”是系统的能力继续以降级模式运行在一个活跃的网络攻击和有一个路径恢复到全功能在部署操作和维护渠道。洛克希德·马丁公司研究员、网络弹性专家帕特里克Lardieri比作人体的概念。
“肥皂和水,如果你的皮肤,和紫外线消毒是唯一的防御,你对微生物生物想要攻击,你就不会那么久,”Lardieri说。“不太可能,这些保护机制就可以完全防止入侵。事实上,很大一部分你抵御疾病的能力是你活跃的免疫系统,对抗这些bug 24/7,一周七天,你的整个生活。”
网络攻击军事系统上是没有不同的。没有适当的保护了,敌人已经更容易拒绝操作系统的关键部分,过载网络恶搞的消息,或者完全把系统一旦他们找到单向规避网络安全保护。
键网络弹性
说:“这是一个系统工程问题Lardieri网络弹性的设计系统。”在网络攻击穿透你的防御,什么样的设计特点,生产流程,供应链控制,并实现功能和功能你需要这样(攻击)不完全禁用系统为一个不确定的时间和摧毁作战人员的能力来满足他们的使命。”
Lardieri建议有四个键,系统工程师必须牢记在构建弹性。
“在每一个领域,你需要的软件,硬件和人工操作,需要设计音乐会,“Lardieri说。“一些商业解决方案,和一些自定义构建——这就是让一个系统弹性。”
面临的挑战是开发一种现实的威胁模型,描述了具体的攻击和影响系统和任务。洛克希德·马丁公司联合开发一个网络桌面(CTT)过程与美国海军航空系统司令部(NAVAIR)来解决这一需求。
“我们看到成功的团队使用这个过程在设计的早期阶段,“Lardieri说。“总部的过程非常有效,因为它的教育。不管他们的网络技术,它能帮助人们理解的威胁是什么,把它们变成他们可以解决工程问题。因此,他们可以看到可能的艺术,关注他们的网络弹性设计活动。”
网络桌面演习由四个阶段组成。
最终,帮助接收者集团总部在他们的系统驱动如何修复漏洞。
“我经常听到“我懂了”我们为他们提供最终的报告之后,“Lardieri说。“最终的结果提供了一组具体的问题解决,不再只是一个令人毛骨悚然的网络问题。”
超出合规
网络安全问题我们经常听到肯定足够令人毛骨悚然,美国政府及其盟友正在增加他们的需求这一问题的解决方案。这就是为什么你会发现更多cyber-related部分在最近的国防授权法案比先前的民族。
Lardieri说,以满足不断发展的网络威胁,组织必须双管齐下建立在弹性系统的休闲的发展而不是仅依赖于补强方法,不再把它在今天的时代。
“网络安全需要过程的一部分,它需要超越合规,“Lardieri解释道。“通过努力像国家网络范围在洛克希德·马丁公司和分类工作进行中,我们有潜力改变工程文化和对国家安全产生重大影响。”