美国国防工业网络保护框架和启示

 

兰德公司基于对美国国防工业的研究考察,提出了关于国防工业网络安全保护的鲜明观点,比如:

  • 安全预算比例:国防工业公司应该将其IT预算的22%用于网络安全;而对于易遭受网络攻击的公司,则应该进一步提高安全预算的比例。
  • 从监管到服务:国防工业中小型公司无力承担应该投入的网络安全资源,所以国防部仅依靠纯监管方式,难以提升DIB公司的整体安全防护能力;管理层还应为中小企业提供免费/廉价的安全服务,而云服务是最具成本效益的选项。
  • 统一保护计划:必须采取统一保护计划(而非各自为战),来提升DIB中小型公司的网络安全能力,该计划的核心是优惠政策和数据交换。
在其洞察结果的基础上,兰德公司进一步提出了国防工业基础网络保护计划(DCP2)框架。并通过严谨细致的分类方式(四个维度:大型公司 vs. 小型公司;本地网络部署 vs. 云网络部署;国防部安全运营中心 vs. 商业公司安全运营中心;高价值敏感信息 vs. 中等价值敏感信息)和五颜六色的部署拓扑,将其防护思想展示得淋漓尽致。

毫无疑问,兰德公司的洞察结论和保护框架,对我国国防军工企业的网络安全保护具有重要借鉴意义。兰德报告的下载地址见文末。

 

国防工业基础(DIB)的定义

1)什么是国防工业基础

国防工业基础(DIB)是一组提供国防工业能力的私营和公有公司(从小公司到大公司)。国防工业能力是“设计、开发、制造、维修、保障国防部产品及其必要子系统和组件所需的技能和知识、流程、设施、设备”。
国防工业基础(DIB)有两个组成部分:
  1. 国内制造业和国防工业基础;
  2. 全球制造业和国防工业基础。

图1-国防部的国防工业基础(DIB)的范畴

国内DIB包括来自小、中、大公司的产品和服务的生产者。进一步划分为私营机构和国有工业基础。私营机构拥有一些主要的系统集成商;国有工业基础包括政府所有、政府运营的实体和政府所有、承包商经营的实体。
全球制造基础由位于其他国家的企业组成,其中一些国家与美国有正式的关系,另一些则没有。
下图展示了本文所关注的DIB企业类型(如图中红色框所示):

图2-本文的研究对象(由红色框标记)
图中红色框表示兰德报告的研究重点。在国内基础中,兰德报告的私营机构关注重点是为国防部进行研究的中小型技术行业公司。在兰德报告的研究中,国防工业基础(DIB)的小型公司是年收入在 1 亿美元以下的公司,中型公司是年收入在 1 亿美元到 5 亿美元之间的公司,而大型公司是年收入在 5 亿美元以上的公司。以下是 2018 财年的一些例子:
  • 国防工业基础(DIB)小型公司:如MaXentric Technologies,美国国防部高级研究计划局(DARPA)承包商,雇员超过 50 人,年收入 500 万-1000万美元;
  • 国防工业基础(DIB)中型公司:如佐治亚理工学院研究公司,来自国防部的收入约为 3.93 亿美元;微软公司,商业高科技公司,来自国防部的收入大约 4 亿美元;
  • 国防工业基础(DIB)大型公司:如波音,飞机领域的主承包商,雇员 137000人,年收入 1010 亿美元,来自国防部的收入约 270 亿美元;洛克希德·马丁公司,飞机、电子、雷达、电子战领域的主承包商,雇员 105000 人,年收入 538 亿美元,来自国防部的收入约为 390 亿美元。
2)国防工业基础有多庞大
总体上看,拥有巨额收入的顶级防务公司在DIB中占主导地位,但在整个DIB公司的数量中只占很小比例。
兰德公司认为,DIB供应链的规模分布与美国整体经济中的企业规模分布没有显著差异。因此,可以使用美国联邦采办数据系统,来估计国防部承包商的数量和来自国防部的收入(国防部对公司的年度拨款)。如下图所示,估计DIB公司的总数大约为7.2万家。(美国国防部2022年的最新官方说法是大约22万家公司)

图3-国防工业基础(DIB)公司规模分布

国防工业基础网络保护计划(DCP2)框架

1)框架选项和部署说明

兰德报告为国防工业基础网络保护计划(DCP2)提供了多个框架选项。这些选项由几个关键因素定义:
  • 第1因素:国防部的作用:直接、间接。分为两个选项:
  • 选项A:国防部领导的DIB安全运营中心(SOC);
  • 选项B:商业公司主导的安全运营中心(SOC);
  • 第2因素:DIB公司的规模:大型、中型、小型;
  • DIB小型公司:年收入在1亿美元以下;
  • DIB中型公司:年收入在1亿到5亿美元之间;
  • DIB大型公司:年收入在5亿美元以上。
  • 第3因素:DIB公司非密网络所在的位置:
  • 本地网络部署;
  • 云网络部署;
  • 第4因素:DIB公司的受控非密信息(CUI)级别:
  • 高价值(HV);
  • 中等价值(MV)。
网络部署图展示了国防工业基础网络保护计划(DCP2)中的每个工具或功能在不同规模的DIB公司网络上的部署情况:
  • 大型公司;
  • 具有云环境的大型公司;
  • 小型公司;
  • 具有云环境的小型公司。
兰德报告对网络安全工具集(CST)进行了分类,以便将其映射到建议的国防工业基础网络保护计划(DCP2)。
网络部署图的颜色说明:
  • 红色:显示了DIB公司自购的网络安全工具集(CST);
  • 绿色:显示了国防工业基础网络保护计划(DCP2)提供的网络安全工具集(CST),如自动打补丁、电子邮件筛选、终端检测和响应(EDR)等。
  • 黑色:表示威胁;
  • 蓝色:表示网络资源。

所以,以下网络部署拓扑图中的绿色部分,都是国防工业基础网络保护计划(DCP2)的内容,值得特别关注。

2)国防工业基础(DIB)之安全部署现状

图4-国防工业基础(DIB)现状:大型公司 vs. 小型公司
通过该图明显可见,总体来看,大型公司通常使用更多、功能更强的网络安全工具集(CST);而小型公司使用更少的功能更弱的工具,比如缺少SOC、自动补丁、威胁情报、邮件安全、数据过滤、网络访问控制、EDR等安全能力。
特别是,大多数DIB小型公司,通常缺少安全运营中心(SOC)和内部安全信息和事件管理(SIEM)能力,因此难以有效应对复杂网络攻击或高级持续性威胁(APT)的挑战。

3)国防工业基础网络保护计划(DCP2)之安全部署场景

3.1)大型DIB公司场景

图5-大型公司网络:现状 vs. 选项A

对于大型公司而言,由于大型公司通常已经自建了大部分的安全能力(见左图,以红色标记),故通过DCP2提供的安全能力(以绿色标记)并不多,主要是DLP、自动补丁、Web安全工具等(见右图,以绿色标记)。右图(选项A)中,还连接到国防部领导的DIB安全运营中心。

图6-大型公司网络:选项A vs. 选项B
上图显示了选项A和选项B的区别:
  • 两者的安全控制几乎是完全相同的;
  • 但选项A(左图)仅使用了国防部领导的DIB安全运营中心;
  • 而选项B(右图)除了还增加了商业安全运营中心,并且将网络威胁情报、高级防火墙能力转交商业安全运营中心来提供。

图7-大型公司(选项A):本地网络 vs. 云网络
上面左、右两图的安全能力几乎是相同的,其主要差异在于是否上云。而上云情况下主要是由云服务提供商(CSP)提供对DIB公司云中飞地(其中包含邮件、门户网站等)的安全防护。
3.2)小型DIB公司场景

图8-小型DIB公司的本地网络(选项A):拥有高价值CUI vs. 中等价值CUI
如图所示,由红色标记的DIB公司自购的网络安全工具非常少,这是现状;而绿色标记的DCP2网络安全工具就非常多,极大补充了DIB小型公司的安全能力。这也正是国防工业基础网络保护计划(DCP2)的目的所在。
前面提到,大多数DIB小型公司,通常缺少安全运营中心(SOC)和内部SIEM能力。而通过参与国防工业基础网络保护计划(DCP2),DIB小型公司将可以由一个集中式的DIB安全运营中心(SOC)提供SIEM功能,从而具备了一些要求最高、劳动力最密集的网络安全功能:如威胁分析、数据关联、数据汇总、警报分类。
上面左、右两图的主要区别在于:在访问控制方面,右侧的中价值公司采用了常见的网络访问控制(MFA),而左侧的高价值公司则采用了密码安全MFA,提高了安全标准;此外,在数据安全方面,右侧的中价值公司采用了数据过滤程序,而左侧的高价值公司则采用了DLP(数据防泄漏),也提高了安全标准。

图9-小型DIB公司的云网络(选项A):拥有高价值CUI vs. 中等价值CUI
该图的最大特色是,红色的自购安全控制全部消失,表明所有安全控制皆由DCP2计划提供(绿色标记)。
上面左、右两图的主要区别在于:右侧的中价值公司采用了数据过滤程序;而左侧的高价值公司则采用了DLP(数据防泄漏),提高了安全标准。
对于后面的各种场景图,请自行对比,不再赘述:

图10-小型DIB公司的本地网络(选项B):拥有高价值CUI vs. 中等价值CUI
图11-小型DIB公司的云网络(选项B):拥有高价值CUI vs. 中等价值CUI

图12-拥有高价值CUI的小型DIB公司的本地网络:选项A vs. 选项B

图13-拥有高价值CUI的小型DIB公司的云网络:选项A vs. 选项B

图14-拥有中等价值CUI的小型DIB公司的本地网络:选项A vs. 选项B

图15-拥有中等价值CUI的小型DIB公司的云网络:选项A vs. 选项B

洞察和启示

1)易遭受网络攻击的公司,应该提高安全预算的比例
兰德认为,一家公司的网络安全预算必须足够大,才能支付网络安全专业人员的工资和福利、网络安全工具集(CST)的软件许可费,以及应对网络安全事件可能需要的额外资金,如额外的工具或服务和来自外部专家或公司的建议。
兰德同时认为,不论国内外网安市场中安全预算的实际比例如何,当一家公司有较大概率遭受网络攻击时,就应该提高安全预算的比例。考虑到其业务和资产的价值,DIB公司当然属于这类公司,理所应当提高安全预算的比例。
这一结论启示我们,设置安全预算比例,不能只是参考市场平均数字,而要考虑实际面临的威胁和风险状况。如果确实面临较大网络攻击风险,则在某种程度上有必要“不计成本”地提高安全预算比例。
2)DIB公司应该将其IT预算的22%用于网络安全
兰德报告中指出,IBM建议有严重网络安全问题的公司将其IT预算的14%用于网络安全措施。Forrester数据显示,如果一家公司遭到黑客攻击,它将把IT 预算的30%或更多用于网络安全。
兰德测算结果表明,平均而言,一家DIB公司应该将其IT预算的22%用于网络安全,这是上述14%和30%建议的平均值。
兰德认为这个目标是可以接受的,因为已经假设有多达一半的DIB可能受到了网络攻击。
为了支撑该结论和观点,兰德进行了以下五项分析:
  • 网络安全预算估算
  • 国防工业基础公司信息技术预算估算
  • 网络安全人员工资估算
  • 国防工业基础公司小样本特征分析
  • 国防工业基础中小型公司网络安全预算估算与建议的比较
3)DIB中小型公司无力承担应该投入的网络安全资源
网络安全是必要的,但也是昂贵的。一套网络安全工具需要专业人员才能使用,而所需的工具和熟练的专业人员对许多DIB公司来说可能负担不起。此外,管理环境复杂且难以驾驭,即使对于拥有强大网络安全团队的大型公司也是如此。
兰德分析表明:
  • 对于DIB小型公司:要么无法拥有足够的网络安全专业人员,要么无法维护全套的网络安全工具集(CST),几乎不可能同时拥有网络安全专业人员和全套的网络安全工具集(CST);
  • 对于DIB中型公司:在承担网络安全工具和专业人员成本方面处于更有利的地位,但它们仍面临挑战。
更多的资金未必意味着更多的网络安全。要保护DIB公司的非密网络,除了花钱购买网络安全工具集(CST),还需要有效管理、网络安全最佳实践、员工培训。然而,如果公司没有足够的钱花在网络安全工具集(CST)和网络安全专业人员身上,这将严重阻碍他们的网络安全努力。
4)国防部仅依靠纯监管方式,难以提升DIB公司的整体安全防护能力
目前国防部防止DIB遭受网络攻击的方法,主要基于国防联邦采办条例补充规定(DFARS)800-7012和NIST SP 800-171,但这样做并不够。
兰德报告的成本分析显示,DIB的小型公司和一些中型公司没有足够资源,来遵守NIST SP 800-171的合规要求。
5)当前国防部提出的网络安全成熟度模型认证(CMMC)程序仍有不足
国防部推出的网络安全成熟度模型认证(CMMC),仍然是基于合规性的,并将增加DIB公司的成本。
兰德报告的成本分析表明,大多数DIB的小型公司可能无力负担网络安全成熟度模型认证(CMMC)的网络防御要求。许多中等规模的DIB公司可能面临同样的挑战,特别是如果要求它们达到网络安全成熟度模型认证(CMMC)的最高合规等级的话。
兰德报告建议的国防工业基础网络保护计划(DCP2),并非要取代网络安全成熟度模型认证(CMMC),而是为了完善这一认证,帮助改善DIB公司对NIST SP 800-171指南的合规性。
6)必须采取统一保护计划,来提升DIB中小型公司的网络安全能力
一方面,兰德报告称,如果遵循国防部目前的方法,可能无法保护DIB公司在非密网络上拥有的大量受控非密信息(CUI)不受外国对手的攻击。而来自非密网络的持续攻击和关键信息技术的损失,以及重大的经济损失,侵蚀了美国的国防工业基础(DIB),也威胁到美国的长期军事优势。
另一方面,对于DIB的小型公司来说,网络安全专业人员的成本将导致在聘请网络安全专业人员和购买额外的网络安全工具集(CST)上两者不可兼得。许多DIB的中型公司也不得不做出类似的决定。即便是当前国防部提出的网络安全成熟度模型认证(CMMC)程序,对许多中小型国防工业基础公司来说可能是负担不起的。
为了充分保护DIB公司的非密网络,需要替代的解决方案。这个替代方案就是国防工业基础网络保护计划(DCP2),其目的是推动国防部加强非密DIB网络的保护,用来抵御网络空间严重的安全威胁。
7)国防工业基础网络保护计划(DCP2)的核心是优惠政策和数据交换
为了系统性解决DIB公司非密网络网络安全防护面临的各种问题,兰德报告建议国防部,建立国防工业基础网络保护计划(DCP2),包括:
  • 改善DIB的监控和实时健康状况;
  • 为那些无力负担所需网络安全工具集(CST)和专业人员的公司,改善网络安全;
  • 提供数据保护,防止从DIB公司到国防部的敏感企业信息、DIB上的敏感供应链信息、DIB的敏感数据,泄露给对手;
  • 为DIB公司提供法律保护,如果DIB公司提供给政府的信息被非预期使用,最小化他们可能承担的责任。
国防工业基础网络保护计划(DCP2)的核心是优惠政策和数据交换:
一方面是优惠政策:DIB公司参加国防工业基础网络保护计划(DCP2)将是自愿的。参与该计划的DIB公司将同意安装和使用国防部提供的网络安全工具集(CST)。关键在于,这些网络安全工具集(CST)将免费提供,或者以大幅降低的许可价格提供。
另一方面是数据交换:DIB公司将同意向新的DIB安全运营中心(SOC)或专门为DIB服务的商业安全运营中心(SOC),提供网络安全工具集(CST)产生的经过清洗的数据,以改善DIB的实时监控和健康状况。这些数据包括网络元数据、应用程序元数据、匿名用户帐户元数据、安全警报和匿名系统日志文件。这些经过清洗的数据不包括DIB公司员工的个人身份信息(PII)、公司专有信息、员工通信,或者任何受控非密信息(CUI)。国防部将免费提供数据清洗程序,确保只将相关的网络安全数据传输到DIB安全运营中心(SOC)或商业安全运营中心(SOC)。
管理国防工业基础网络保护计划(DCP2)的成本很重要。只有拥有重要受控非密信息(CUI)并向国防部提供关键国防技术的DIB公司,才有资格获得该计划的全部好处。那些主要为国防项目提供大宗商品相关产品的小公司,可能不符合条件。
8)网络安全的管理层,需要提供安全服务功能
兰德报告认识到国防工业基础网络保护计划(DCP2)会给政府带来新的巨大成本,也预料到一些反对者可能会争论说,这笔成本应该由私营行业承担,因为他们将在许多方面从国防部提供的网络安全工具集(CST)中受益。
然而,兰德报告认为保护DIB归根结底是美国政府的责任。DIB公司正受到有能力的民族国家的网络攻击,对手使用的大量资源在许多情况下都远远超过DIB公司的可用资源。2019年,美国国家安全局(NSA)局长呼吁公共和私营行业团结起来共同应对网络安全威胁:“指望私营行业能够真正经受住整个国家的集中攻击(而这些国家还正在以一种非常同步的战略路线努力尝试获得优势),我认为这是不现实的。”
就像在其他领域(如司法领域),私营公司应该受到执法机构的保护,使其免受犯罪行为的侵害(例如,由当地警察部门或联邦调查局保护)。DIB公司也有权获得美国政府的某种形式的网络安全保护,尽管这种保护需要公共和私营实体之间的合作才能取得成功。
国防工业基础网络保护计划(DCP2)的思路,反映了使管理层从单纯监管视角转向帮扶弱者的观点,值得我们深深的思索。这也许是国防工业基础网络保护计划(DCP2)能够落地的关键思想。
当然,精打细算是美国的传统。兰德报告建议研究网络安全工具(CST)许可成本和模型,其中包括规模经济和价格选项。因为向每个DIB公司提供网络安全工具集(CST)并不是一个合理的经济建议,必须建立门槛和限制,以确定国防部支付的网络安全工具集(CST)数量,并探索不同的网络安全工具集(CST)的补贴模式。
9)网络威胁共享服务,并非想象的那么容易
兰德报告指出,当前自愿性的国防部网络威胁共享服务,对许多国防工业基础公司是不可用的。因为不是所有的DIB公司都能使用这项服务。为了使用这个网站,DIB公司用户必须使用国防部通用访问卡(CAC)进行登陆。而一些防务承包商可能没有任何员工拥有这些证件。
兰德报告提出的解决方案是,通过实施国防工业基础网络保护计划(DCP2):
  • 一方面,通过DIB安全运营中心或商业安全运营中心,向DIB公司提供动态情报、安全警报、行动建议,以识别和应对高级持续性威胁(APT)入侵;
  • 另一方面,它使实时威胁情报能够以目前不可能的方式,在DIB中进行收集和综合。
DIB安全运营中心或商业安全运营中心,使用这些数据和其他数据来生成警报,并把这些警报发送回DIB公司,以保护和改善对其网络的监控,免受外部和内部威胁。
毫无疑问,这种设想为国内网安行业的威胁情报共享,提供了很好的落地思路。
10)向云迁移是最具成本效益的选项
实施国防工业基础网络保护计划(DCP2)的最具成本效益的选项可能是基于云计算功能。国防工业基础网络保护计划(DCP2)中有一个重要选项,是将国防工业基础非密网络迁移到国防工业基础(DIB)云,DIB公司可以使用这个云实现非密数据的计算和存储。
如果实现了DIB云,DIB公司将获得的不仅仅是网络安全,还将免费获得计算和存储资源。DIB公司拥有的受控非密信息(CUI)将不再存储在本地,它将只在DIB云中存储和处理。
云服务提供商(CSP)将为国防工业基础网络保护计划(DCP2)在商业云中划出一个安全飞地,并提供一组标准化的计算系统资源(CSR)。国防工业基础网络保护计划(DCP2)将提供DIB云虚拟机和容器仓库,供DIB公司使用。云服务提供商(CSP)将负责修补和更新DIB成员公司使用的云基础设施。国防部还将建立和维护DIB云的元数据服务。
参与国防工业基础网络保护计划(DCP2)的DIB公司,将在自己的安全飞地内得到一套标准化的安全计算系统资源(CSR)。不同公司的安全飞地相互隔离,并建立硬安全边界,以防止受控非密信息(CUI)和专有信息未经授权流动。而在DIB公司本地部署的网络由瘦客户端或胖客户端机器组成,它们被配置为防止公司数据的本地存储,不会将任何受控非密信息(CUI)存储在本地网络中。
(本篇完)
参考文献:兰德公司报告《非密安全:针对非密网络的国防工业基础网络保护计划》(Unclassified and Secure – A Defense Industrial Base Cyber Protection Program for Unclassified Defense Networks)的150页英文版原文下载地址:
https://www.rand.org/pubs/research_reports/RR4227.html
(完)