担任首席安全官AT&T,爱德华·阿莫罗索一直观察网络攻击的影响客户和服务提供者的网络。在他新出版的书中。阿莫鲁索表示是时候团结创造相当于国家cyber-protection盾防止工业和政府网络被恐怖分子袭击,国家资助的攻击者和普通小偷。
他的一些想法是有争议的,必然会引发关于隐私的争论和实践。比如在他的书中,“网络攻击:保护国家的基础设施,”阿莫罗索建议使用大规模和协调网络流量数据的收集以及从终端用户桌面查明botnet-compromised计算机安全信息,识别可疑异常和跟踪攻击路径。
Amoroso基本上是采取广泛接受组织的安全措施和建议他们扩大到国家一级保护关键基础设施行业,如能源、银行、化学和国防制造和电信。
“在我在美国电话电报公司工作,我有一个非常独特的视角,“说Amoroso,高级副总裁,电信公司的方案。他说他困扰他多年来在关键的网络服务,比如工业SCADA系统在发电设施,所以接触到网络攻击由于不适当的访问控制和连接。
2001年9月11日的恐怖袭击之后,他的脆弱只会增加我们国家的基础设施服务。阿莫罗索已经开始写稿子的主题国家基础设施的保护,这将成为他现已发布“网络攻击”的书。
他写道:”当前的灾难性风险国家基础设施的网络攻击必须视为极高,任何现实的手段。很少或没有采取行动来减少这种风险将是一个愚蠢的国家决定。”
“有攻击数据中心在许多,许多领域服务,“阿莫罗索说什么雷竞技电脑网站他认为在美国电话电报公司(AT&T)在他的工作。“这是可怕的,当你考虑一个发电厂。你需要了解交通进出吗?”The answer would seem to be a definite yes, but few companies of any stripe really grasp this, he says. When personnel at AT&T ask for permission to divert attack traffic coming at them from upstream — "it's diverting traffic away from a target" — more often than not, customers decline and still want it reach their gateway points.
内部攻击者也比任何人更普遍的企业愿意承认,阿莫鲁索说道。“人们不喜欢谈论它,”他说。“问题是来自人合法的访问”谁“窃取数据对他们有用的。”
在他的书中,阿莫鲁索认为任何国家基础设施保护项目需要基于网络的防火墙在高速网络专门由服务提供商节流分布式拒绝服务(分布式拒绝服务和专门为SCADA协议)的攻击。
他还提出了想法,几乎没有今天在惯例优先。具体地说,他建议启动一个“国家欺骗计划”,将“创建基于战略陷阱种植在国家基础设施组件的集合,联系在一起的某种欺骗分析骨干。”The National Deception Program would support networks that operate like a decoy with fake content and the ability to recognize an attacker is up to no good. Another idea, a "National Separation Program," would ensure some critical infrastructure is simply not given general access to the Internet.
诱饵网络的目标是发现攻击者在重要网络所使用的能源、金融服务、电信和其他工业国家关键基础设施和政府资源,它们共同组成。Amoroso,史蒂文斯理工学院,教授也说今天没有足够的研究是专门使用欺骗的想法作为网络防御和他想看,进一步探索。
他承认这些想法肯定会面临反对基于隐私参数和实际部署的障碍,但他要求任何人讨论这些想法保持开放的心态。
这本书阐述了安全改进他的愿景在全国范围内——如果服务提供者行业,客户,政府,和美国公众可以同意他们应该发生和以新的方式统一为目的的国家网络安全保护的关键服务。
在他的书中,阿莫罗索指向的崛起僵尸网络在过去的五年里作为最重要的类型的攻击武器掌握在cyberattackers谁能远程控制电脑与机器人恶意软件感染成千上万的妥协。
“任何严重的网络安全必须承认本研究独特的僵尸网络带来的威胁,“阿莫鲁索在他的书中写道。“任何联网系统容易受到重大中断从botnet-originated DDoS攻击。的物理情况尤其令人沮丧;可能偷500 Kbps,僵尸网络上游产能从每个机器人(通常会允许并发正常计算和网络)只需要三个机器人崩溃目标T1连接。按照这个逻辑,只有16000机器人需要在理论上填补10-Gpbs连接。因为大多数的成千上万的僵尸网络被观察到在互联网上至少是这个尺寸,威胁是明显的;然而,许多最近和风暴,等著名的僵尸网络Conficker大得多,包括多达几百万机器人,所以国家基础设施的威胁是严重和直接。”
问题是普通的日常电脑使用的人在美国和其他国家恶意软件感染僵尸网络的他们不知道。典型的电脑在家里和办公室全世界”窗户英特尔平台上的操作系统和Internet Explorer用于谷歌搜索,“Amoroso写道,感叹,“nondiversity终端用户配置扮演的僵尸网络运营商。结合典型的贫穷的大多数个人电脑系统管理实践,结果是致命的。更糟糕的是,许多安全经理在商业和政府不理解这种风险。”
Amoroso希望更多的多样性,也许因为一些安全形式的云计算或移动设备可能有一天出现一个不同的前景。对于网络,他鼓励采用“国家多样性计划”,“需要企业和政府机构之间的协调来解决问题,比如critical-patch建模”。He'd also like to see a single agreed-upon audit standard for national infrastructure protection.
把数据
Amoroso台阶直接进他知道将有争议的地区。他礼物的想法大规模数据收集在国家层面上,首先由当地或区域的来源,是为了得到一个鸟瞰是怎么回事从技术层面,如检测的异常通常表明某种攻击的开始。
“今天这样一个国家收集过程不存在任何有组织的方式,”他指出。“建立一个需要相当大的决心。从技术角度来看,每个集合点要求决定收集哪些数据,什么样的方法将用于收集,将如何使用它,以及它如何将保护。”
阿莫鲁索表示他谨慎的方式看到一些机构有时促进与公司在不同行业的信息共享。
“政府组天生是政治和敏感信息提供的行业作为一种“货币力量”,用于政府内部推动政治目标,”他在书中写道。“这是很少说,但没有政府官员会否认它的正确性。”
他接着说,政府和行业之间的信息共享”往往会为双方提供了参差不齐的结果。政府提供直接的网络安全援助行业,例如,大多是理论上的。”He says the political aspects in information-sharing as they exist today, which are sometimes fumbled through mishandling of confidential information, should be set aside in favor of finding "an agreed-upon situational awareness objective."
的数据收集计划建议Amoroso,这些可以从大型机数据集合,服务器和个人电脑。
“大型机操作系统日志,收集事件总结,和PC历史记录提供优秀的证据,恶意活动可能会持续,”他写道。
虽然这些想法可能是普遍接受的技术在单个企业的问题如何在企业和政府机构数据收集的数据为目的的国家基础设施保护的面积将在公开辩论是另一回事。
阿莫鲁索的想法是,大规模的分布式安全信息和事件管理(SIEM)系统,据的类型和相关设备已在企业中越来越多的使用,将意味着分析收集的数据,以确定在尽可能接近实时的基础上出现的任何国家基础设施的安全问题。这些SIEM系统将分布式安全操作中心的一部分,或“融合中心,”监控国家关键基础设施。
“读者可能畏缩的想法以这种方式收集数据,特别是来自终端用户电脑分散在一个国家,但这种实践远比人们想象的更普遍,”他写道。“每个大型企业和政府机构,例如,经常嵌入完整性管理软件,如tripwire功能,到他们的主机和服务器。此外,几乎所有的企业和机构在pc上使用软件代理收集相关的安全性和管理数据。也许具有讽刺意味的是,僵尸网络运营商也完美的想法收集数据从大量终端用户的计算机攻击的目的。认为这种普遍模式将会扩展到仁慈的国家基础设施保护似乎简单。”
他承认潜在的滥用这样一个系统不能被忽略。但他提出了其他的可能性,包括“管理某种citizen-sponsored,文职,基层用于个人电脑和服务器的数据收集工作,参与者同意提供安全信息的大规模分布式系统。这样一个系统将不会完全吻合的地理或政治周边的一个国家,和许多市民将拒绝参与基于原则。一些成员,然而,音乐或视频的大规模对等网络抱怨的隐私影响运行该软件,经常可疑或违法的,他们的本地机器上。他们只是享受免费内容。的想法类似的构造可以用来帮助确保国家基础设施需要参与者展示某种好处。”
阿莫鲁索承认,“这可能是不可能的,但从安全角度的努力是值得的,因为从大规模部署的计算机收集的数据在一个给定的国家将提供一个有价值的和无与伦比的窗口为国家基础设施的安全姿势。”
在表达这些想法,肯定会引发争论,阿莫罗索说,任何试图把想法他概述了在他的书中实现服务提供者之间需要合作,参与的主要产业是国家的关键基础设施,和政府。
他指出在今天的行业相关组织服务提供者一起讨论安全问题。这些包括北美网络运营商集团(NANOG)和电信网络安全咨询委员会(NSTAC)。
这应该如何上演,阿莫罗索答案,政府可以将带头,但各个行业,如银行、协调今天通过金融服务圆桌会议的一些部门,很可能决定尝试一些没有政府。无论如何,阿莫罗索说,他很乐意看到一个开始向组织良好的国家关键基础设施保护。