主动防御:将战争策略应用于网络安全领域

文章来源:懂球帝官网,懂球帝直播大数据和电子政务管理中心
时间: 2019-01-18 17:15
点击次数:

在今年召开的全国网络安全和信息化工作会议上,习近平总书记明确提出,要“做到关口前移,防患于未然”。这是对我国应采取积极防御的网络空间战略提出的总体要求,也是在对当前国际政治和国家发展战略全面权衡后的深刻军事战略学思考,为网络空间防御和安全行动指明了方向。观照各国网络空间防御战略以及我国传统网络安全防御体系,构建关口前移的主动防御体系,将是我国今后一段时间网络空间战略的重要组成部分,更是实践网络强国战略的重要内涵。

(新华三集团对本期论坛提供协助支持)

主动防御是针对特定威胁采取的直接行动

关于主动防御的定义,不同的人有不同的理解,甚至很多人每次使用主动防御的意思都不一样。毛主席曾说过,真正的防御是积极防御,即摧毁敌人进攻的能力。这和主动网络防御中积极策略的目标很相似。

美国网络安全名人堂首位入选者、美国计算机协会研究员、美国海军研究生院教授多罗西·邓宁(Dorothy Denning)在一篇主动防御领域的标志性论文中称:主动网络防御是一种直接的防御行动,目标是挫败或消除针对本方力量和资产的网络威胁,或使其效力降低。主动防御既不具攻击性,也不一定是危险的。

北约对主动防御的定义是:侦测或获取关于网络入侵、网络攻击或即将发生的网络行动信息的主动措施,或为确定网络行动的源头而实施的先发制人、预防性或反制行动。

虽然目前主动防御理念缺乏明确的定义,但是,从上述观点中可以得出的结论是:相对于被动防御侧重于保护网络资产免受各种可能的威胁,主动防御则是针对特定威胁采取的直接行动。


主动防御在网络安全领域的典型应用

既然是主动防御,则肯定对应“被动防御”。被动防御的经典应用就是传统采用特征码技术的杀毒软件。传统的杀毒思路都是病毒先出现,甚至是大规模爆发后,安全厂商才提取特征码放入病毒库,终端用户通过升级将最新的病毒清除掉。这种做法显然不能在第一时间完成对最新病毒的防护。

主动防御理念的安全策略不再依赖于病毒的特征,而是根据行为做出预先判断并进行阻止。从技术角度来说,可分为四个方面:资源控制,通过对某些特定资源做严格的控制,让木马或恶意程序无法访问系统资源;访问控制,对特定文件或其他脚本做实际的访问检测;行为分析,对所有进程行为进行分析处理,判断进程本身是否恶意的来源;威胁情报,通过情报进行提前预警和防御部署。

从技术层面讲,许多网络安全技术可以归纳为主动防御技术,例如蜜罐、黑客反击等,都是有代表性的、常见的主动防御技术。

蜜罐技术本质上是一种对攻击方进行欺骗的技术。通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对其实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机。这种技术能够让防御方清晰地了解所面对的安全威胁,并通过技术和管理手段增强实际系统的安全防护能力。蜜罐好比是情报收集系统,可以获知攻击者入侵的途径,并随时了解针对服务器发动的最新攻击和漏洞,而且,还可以通过窃听黑客之间的联系,收集黑客所用的工具并掌握其社交网络。但是,蜜罐技术属于资源密集型的技术,设计、开发、部署和维护蜜罐需要大量的时间和专业知识。因此,在实施利用该技术之前,需要认真分析成本和保护目标。

黑客反击不是一种特定的工具,而是一种技术,主要是通过分析识别攻击者和攻击源,有时也被称为主动防御,涵盖一系列不同技术和工具。高级的黑客反击行为,包括远程侵入黑客的服务器并擦除任何被盗的数据,使黑客的恶意软件失效,甚至发动分布式拒绝服务(DDoS)攻击使罪犯的行动缓慢。但是,黑客反击也有缺点,即合法性。由于黑客反击的侵略性和潜在的法律后果,即使是合法的国家行为者,也必须考虑在先。