美國海軍陸戰(zhàn)隊與海軍陸戰(zhàn)隊空中地面特遣部隊 19.2 危機響應指揮分隊在科威特準備現(xiàn)場條件危機響應中心網(wǎng)絡。（美國海軍陸戰(zhàn)隊照片，羅伯特·加瓦爾登中士拍攝）

　　隨著數(shù)據(jù)的激增和攻擊面的擴大，美國國防部繼續(xù)有發(fā)現(xiàn)、理解、跟蹤和管理其在互聯(lián)網(wǎng)上公開的數(shù)據(jù)和知識產(chǎn)權的基本需求。

　　美國眾議院軍事委員會在其對 2021 財年國防授權法案的標記中指出，需要以綜合的端到端方式管理這一過程。

　　“美國國防部 （DoD） 對整個國防部企業(yè)的互聯(lián)網(wǎng)連接資產(chǎn)和攻擊面缺乏類似的全面了解；在這方面，委員會注意到，國防部最近才發(fā)現(xiàn)，它與互聯(lián)網(wǎng)的托管連接數(shù)量是它認為的兩倍——由不受保護的組件建立和維護的連接不像國防部管理的其他受制裁的互聯(lián)網(wǎng)接入點那樣受到保護。

　　”盡管聯(lián)合部隊總部-國防部信息網(wǎng)絡部 （JFHQ-DODIN） 在提高其國防部網(wǎng)絡的企業(yè)范圍可見性方面取得了長足的進步，但美國國防部網(wǎng)絡仍由各個組件控制，而 JFHQ-DODIN 的大部分態(tài)勢感知來自組件報告。委員會認為，JFHQ-DODIN 實現(xiàn)對所有 DoD 網(wǎng)絡的實時可見性至關重要。“

　　這種復雜性使得 DoD 網(wǎng)絡特別適合應用所謂的互聯(lián)網(wǎng)運營管理 （IOM）。IOM 功能使組織能夠：

　　近乎實時地了解他們的內部部署和云托管的攻擊面是什么樣的，他們的網(wǎng)絡元素在外部如何表現(xiàn)；和

　　檢測以前未知的危害、未經(jīng)批準的連接、錯誤配置、漏洞和威脅活動。

　　”當我們從軍事網(wǎng)絡的角度看待互聯(lián)網(wǎng)運營管理時，很容易看出 IOM 的適用性，不僅適用于軍隊，還適用于聯(lián)邦機構、大型政府網(wǎng)絡和商業(yè)客戶，“，帕洛阿爾托網(wǎng)絡公司 Cortex產(chǎn)品管理副總裁Joseph Lin 表示?！彼麄兌加羞@些根本問題?！?/p>

　　IOM 平臺將所有這些數(shù)據(jù)聚合到一個安全的數(shù)據(jù)湖中，使用機器學習算法和數(shù)據(jù)分析來發(fā)現(xiàn)異常并獲得洞察力。然后，決策者可以使用這些信息以可操作、可擴展和自動化的方式在整個企業(yè)中制定、實施和驗證 IT 和安全策略和命令。

　　什么是數(shù)據(jù)湖？林解釋道。

　　”在一個非?；镜膶用嫔希瑪?shù)據(jù)湖是一個保存大量數(shù)據(jù)以及高度異構數(shù)據(jù)的環(huán)境，這些數(shù)據(jù)被匯集、集成并相互解釋，以便數(shù)據(jù)能夠相互關聯(lián)。歸根結底，您不僅僅是為了數(shù)據(jù)而收集數(shù)據(jù)，而是收集數(shù)據(jù)以便您可以在該數(shù)據(jù)之上運行分析。您可以使用機器學習從您能夠從整個系統(tǒng)中收集的大量數(shù)據(jù)中獲得洞察力。“

　　IOM 非常適合軍事網(wǎng)絡

　　一般來說，軍事網(wǎng)絡非常大。它們本質上可以高度聯(lián)合，這使得管理所有面向互聯(lián)網(wǎng)的資產(chǎn)變得更加困難。

　　由于軍事網(wǎng)絡龐大、分布式、高度聯(lián)合的性質，有時還具有遠征性質，因此對其面向互聯(lián)網(wǎng)的資產(chǎn)的管理/指揮和控制既困難又復雜。

　　它們在其他方面也是低效和不安全的——特別是在以下六個方面：

　　自我報告：在大多數(shù)情況下，網(wǎng)絡運營商沒有獨立的方式來驗證來自各個組件的報告。如果組件沒有響應或在其響應中出錯，操作員將不會意識到。

　　缺乏共享的事實來源：網(wǎng)絡管理員和組件本身對哪些 IP 范圍和互聯(lián)網(wǎng)資產(chǎn)屬于哪些組件沒有共同的理解。許多 IP 范圍由多個組件聲明，其他則根本沒有。現(xiàn)有的清單數(shù)據(jù)庫應該是企業(yè) IP 范圍的全面真實來源，通常已經(jīng)過時且不完整。如果 IP 空間中存在沒有組織直接負責的漏洞，它們將永遠不會出現(xiàn)在自我報告的列表中。

　　多云環(huán)境和第三方托管作為擴展攻擊面：由商業(yè)云服務提供商和互聯(lián)網(wǎng)服務提供商托管的企業(yè)資產(chǎn)通常沒有得到充分監(jiān)控或完全不受管理。雖然這些資產(chǎn)帶來的風險各不相同，但此攻擊面的一個有意義的子集定期包括受控非機密信息 （CUI） 或其他潛在高價值企業(yè)資產(chǎn)的潛在損失。

　　難以識別聯(lián)系點：即使是網(wǎng)絡管理員和相關組件都在跟蹤的網(wǎng)絡部分，也缺乏相關聯(lián)系點是誰來查找和修復網(wǎng)絡漏洞的意識。給定的 IP 范圍。

　　潛在的人為錯誤：當前流程依賴于電子郵件和電子表格。當電子表格被復制、通過電子郵件發(fā)送并編譯成更大的電子表格時，出錯的可能性很高。偶然的疏忽使網(wǎng)絡管理員對潛在問題視而不見。

　　響應和修復緩慢：即使在理想情況下，從網(wǎng)絡管理員意識到新漏洞到對問題的范圍進行完整說明并開始修復之間也至少需要 24 小時。

　　如何解決這些問題

　　正是那些導致不安全感的低效率推動了世界各地軍隊對企業(yè)范圍安全實施的需求。

　　當對整個網(wǎng)絡有集中的可見性和運營控制時，網(wǎng)絡安全和 IT 運營最有效。美國國防部擁有一些世界上最大和最復雜的網(wǎng)絡，在多層級的飛地中擁有數(shù)百萬個 IP 地址和端點。然而，他們仍然缺乏企業(yè)范圍的網(wǎng)絡可見性，并且依賴 20 世紀后期的技術來完成諸如開發(fā)、傳播和執(zhí)行新 IT 策略等簡單的任務。

　　DoD 組織和軍種成員值得擁有同類最佳的技術和流程，例如通過 IOM 發(fā)現(xiàn)的技術和流程，以集中和管理他們的安全和網(wǎng)絡運營。好消息是，這些技術已經(jīng)商業(yè)化并廣泛部署在傳統(tǒng)網(wǎng)絡中，尤其是在私營部門和少數(shù)政府機構中。

　　”管理老舊網(wǎng)絡系統(tǒng)的一個主要部分是它們在防火墻后面得到適當保護，并且不會因為與他們的軟件相關的漏洞而暴露在公共互聯(lián)網(wǎng)上，這些漏洞只是沒有打補丁，或者他們的原始制造商不再支持，“林說。”因為這些漏洞很容易被對手利用，所以確保它們得到適當保護就顯得尤為重要。

　　“IOM 使遺留系統(tǒng)的所有者能夠做的是，首先確保它們不會暴露在公共互聯(lián)網(wǎng)上，不會被對手發(fā)現(xiàn)，并且它們得到了正確的配置和保護。”

　　結論

　　美國國防部和更廣泛的美國政府網(wǎng)絡防御、檢測、響應和恢復能力不足。這個問題的根本原因是缺乏對聯(lián)邦信息技術的集中可見性和操作控制。

　　此外，保護、防御和監(jiān)控政府范圍網(wǎng)絡的任務與現(xiàn)有的高度不同的技術和流程之間存在巨大差距。解決這個問題不僅是可能的，而且現(xiàn)在正在通過私營部門和一些個別聯(lián)邦機構內的現(xiàn)有技術和流程來解決。

　　IOM 產(chǎn)品，如 Palo Alto Networks 的 Cortex 系統(tǒng)套件，包括 Cortex Xpanse 和 XSOAR，通過開發(fā)提供 JFHQ-DODIN 對所有 DOD 網(wǎng)絡的實時可見性的 IOM 程序，使 JFHQ-DODIN 能夠滿足 FY21 NDAA 的詳細要求。

　　態(tài)勢感知是所有形式?jīng)_突的基本要求，借助 Cortex，IOM 國防部組織可以通過日常攻擊面掃描和定期映射，持續(xù)發(fā)現(xiàn)、管理和監(jiān)控所有全球部署的 DoD 互聯(lián)網(wǎng)資產(chǎn)。

　　對所有網(wǎng)絡的全面認知和可見性將使美國國防部網(wǎng)絡管理員自信地回答諸如“我的所有 IP 是什么？”、“我有多少個端點或服務器？”等問題。以及“上面運行的軟件是什么？” 如果沒有相關機構，他們將很難這樣做。