Stoll还增加了自动的响应机制,当攻击者登录时,这种机制会提醒他,当攻击者过于接近敏感信息时会中断连接,并交叉关联来自其他站点的日志。多年之后,入侵检测系统中所有的特征都会变得类似。到1991年,NSM系统在实际检测和分析网络攻击方面的价值得到证明。我在加利福尼亚大学戴维斯分校定期使用它,LLNL偶尔使用它(隐私方面是一个问题),很快美国空军和国防信息系统局(Defense Information Systems Agency,DISA)也在使用它。然而,在某些方面,运行NSM系统变得有点令人沮丧。我能知道网络上有多少攻击者,却几乎没有人意识到正在发生的情况。实际的例子是,DISA被召唤到一个地方,因为某种可疑的活动来自他们那里的拨号交换机。无独有偶,该组织正在预订一套具有较高性能的系统,因为当前的平台能力已经饱和。当DISA将其NSM传感器挂钩上之后,竟发现大约80%的连接都是来自攻击者,他们设备能力饱和的原因不是来自合法用户而是攻击者。到1992年,NSM系统(或许其他基于网络的监控器)的使用引起司法部的注意,但并非是以一种好的方式关注。然后,首席检察官助理Robert S.Mueller III(我为本书作序时他担任FBI主管)向国家标准与技术研究院(National Institute of Standards and Technology,NIST)的James Burrows发送了一封信件,说我们在做的网络监控可能涉嫌非法窃听,因为使用类似NSM系统的工具,我们将面临欺诈和罪犯的指控。Mueller鼓励NIST广泛地传播这封信件。
尽管引起了法律的关注,这个领域的工作仍以极快的速度持续进行。到1993年夏季,LLNL向我发送一封邮件,告诉我停止分发NSM软件(他们想控制软件的分发),在此之后,我便开始缩减自己关于NSM的开发工作。LLNL将其NSM软件拷贝重新命名为“网络入侵检测程序”(Network Intruder Detector,NID),空军将其拷贝重新命名为自动化安全事件测量(Automated Security Incident Measurement,ASIM)系统,DISA将其系统重新命名为联合入侵检测系统(Joint Intrusion Detection System,JIDS)。到20世纪90年代晚期,空军已将ASIM推广到全球的约100个站点,并将其摘要整合到他们的通用入侵检测指示器(Common Intrusion Detection Director,CIDD)中。同时,商业产品也涌现出来。到20世纪90年代晚期,Haystack实验室(使用了由我们共同的DIDS工作开发的NSM软件)发布了名为Net Stalker的基于网络的IDS,WheelGroup(由使用ASIM的空军人员组成)发布了NetRanger,ISS发布了RealSecure,其他公司也竞相涌入了这个市场。到20世纪90年代晚期,开源社区也以像Snort这样的系统涉足进来。到21世纪初期,一些小组开始建立企业“安全运行中心”(Security Operations Center,SOC),这些中心在很大程度上基于开源组件创建。当Richard Bejtlich(另一位空军校友)为Ball Aerospace & Technologies公司建立了名为NETLUMIN的系统时,我结识了他。虽然很少有人听说过NETLUMIN,但它的很多设计和概念留存了下来,而且在本书中会有所体现。
人们往往过于关注技术和产品,但是构建一种有效的事件响应能力涉及的内容远比安装工具需要的技术要多得多。关于如何最佳地使用这些工具,在过去20年的基础上已经积累了大量的知识。未能正确部署的技术可能迅速地变为运行这些技术的人的负担,甚至提供给人们虚假的安全感。例如,在12年以前,我正致力于DARPA项目,我们组成的团队正在进行一项任务,即将大量的网络安全工具汇集到一起。防御者已经安装了3种基于网络的IDS来监视他们的边界,但是攻击者使用从承包商那里窃取的凭证通过合法的SSH连接侵入。在攻击期间,没有IDS报警。这种情况最初令防御者出乎意料而且非常失望,但是它可以得当地指出基于网络的IDS边界监视检测技术和部署策略在防御上述攻击时存在的基本限制(我不确定程序管理者像我一样发现了如此精彩的具有教育意义的时刻)。
20世纪90年代早期,当空军致力于分布式入侵检测系统(Distributed Intrusion Detection System,DIDS)时,我们的程序管理者将系统的预期用户描述成“军士的甜甜圈袋子”(Sergeant Bag-of-Donuts),预期若将“魔法箱子”(magic box)部署在网络上或者将一套软件部署在终端系统上,则组织的所有安全问题都将不复存在。安全公司的销售部门乐此不疲地推销“魔法箱子”,而且管理部门和投资者也常常买进。
产品和技术不是解决方案,它们只是工具而已,防御者(和组织的管理部门)需要明白这一点,没有闪亮的银弹可以解决所有网络安全问题。攻击也有生命周期,这些生命周期的不同阶段以不同的数据源形式留下不同的证据,使用不同的分析技术可以最佳地揭示和理解这些数据源。组建一个明白这一点且知道如何有效地安置团队资产(包括工具、人员和时间),知道如何往返穿梭于不同的数据源和工具之间的团队(即使是一个人的团队),这对于创建有效的事件响应能力至关重要。Richard Bejtlich凭借自己的卓越能力而为人所知——从1998~2001年在AFCERT工作,到设计和部署系统,再到在GE组建一个大型的事件响应团队,最后到以首席安全官职位在世界上实力最强的信息安全公司之一工作。他丰富的经验使他对于事件响应问题有一种相对独特的历史观。虽然本书没有自称为“经验教训的”书,但是它清晰地提炼出作者大量的经验,他的这些经验都可以应用在实际工作中。正如狡猾的黑客Cliff Stoll展示的那样,国际网络间谍已经出现了近30年,但是在最近5~10年,发生了一些根本性的转换。在过去,黑客行为主要被视为一种业余爱好,在很大程度上,黑客由于工作、结婚和建立家庭而放弃这种爱好。但是如今,个别黑客行为已成为一种职业途径。
几乎未来的所有冲突——无论经济、宗教、政治还是军事,都将会包括网络元素。我们拥有的防御者越多,我们对他们的调遣越有效,我们大家就生活得越舒适。
閱讀更多 社會學堂 的文章
