美军遇网络战难题 指挥与控制系统有潜在危害性

攻击者影响系统的所有用户，且在系统重启仍能保持存在。

　　6、指挥与控制（C2）。最常见的做法是利用一个连入互联网服务器的国外设备完成建立C2通道的目标。这种连接提供手动的"键盘控制"访问，这也是大多数 APT 恶意件必定提供的功能。

　　7、针对目标的活动。最终步骤必须在入侵成功后展开。最常见的目标是数据窃取，以及搜集、加密和窃取危及系统的信息。攻击者也可能会试图破坏数据完整性和可用性。其他目的可能是从受害者的IT环境中侧向转移，在后来的目标中展开新的杀伤链。

　　攻击重组与综合

　　从敌人的视角探明和理解杀伤链式过程，在检测他们入侵时分析其意图是相当有价值的指导。一次检测通常提供单步攻击的特征很有限，但进一步分析能揭示许多其他特征并提供防范这种活动的多种选项。此外，在某步骤中检查一次入侵可让保卫者跟踪攻击过程，查明在之前未检测时成功执行的步骤。早期的入侵步骤能用来分析和收集信息，有助于提前切断杀伤链中的后续攻击。

　　从入侵之初就开始分析（入侵）过程到未被检测出就能顺其路数得出结论同等重要。通过综合分析已经发生的情况，保卫者能查明攻击者计划在后续步骤中部署方法，如安装后门等。

　　例如，敌人发送刺探邮件给某组织中的某个人进行"零日"（zero day，一个著名网络窥探组织）式的探察。这种探察手段不会被网关或工作站中的反病毒软件发现，但邮件投送包括众所周知的 APT 战役相关迹象，而入侵在投送步骤就被阻断了。这种恶意代码经调试已被识别为一个"零日"式探查，在国防工业界内已共享（此类信息）了。敌人有新的探查方式，但不会改变投送机制；如果他们做了，最可能的是指挥与控制（C2）通道，会与其一直用的方式相同，入侵行为于此即可被抓获。这个实现方式可让保卫者更有效地开发弹性反制（软件等）并用于预防，而不是进行抓捕活动、优先投资新技术和新程序。

　　网络防御的企业方法

　　在有我们的敌人策略相关知识武装下，保卫者为了确保任务弹性，如何拥有开发强大防御系统的知识以应对千变万化的干扰？答案是重新配置网络防御的方案，在训练有素的工作人员使用成熟程序的情况下，借助高级工具对付最高优先级的威胁。另有紧密合作的伙伴，共享更多信息可让网络安全团体抵消目前攻击者的优势。这个方案的本质是企业方法，即从整体上掌控网络安全，而非零散功能的集合--从网络存取控制和数据泄密防范到系统审核与"法医检定"（forensic analysis）--诸如此类的坐井观天式的传统做法。这个新式方法建立在三个支柱之上：集成方案、主动服务和抗灾难系统。

　　集成方案支柱通常接近由分散的信息技术组织单独部署的优秀的商业产品，无需多少协调。单点方案就能有效达到其所拥有的特定能力，但其本身不是一个全面的防御（方案）。这些方案需要无缝集成到一个安全组织内，这将横跨所有的软硬件企业。其他技术，如多系统中的端对端系统也可例证分析师们并不能仅仅是使用单个工具或技术的专家，相反，必须是具备多学科知识的专家，用新的途径将数据联系起来，解决迫在眉睫的挑战。集成方案的其他重要方面是性能指标。例如，攻击检测与抵御等传统指标，对摆脱实际的网络数据泄露等尴尬困境几乎没有体现。度量此事的糟糕程度以提供安全方面的一个负面感觉，必须用一组更成熟的指标来代替。最近，政府和业界网络防御专家提出20项网络控制--称为共识审计准则（Consensus Audit Guidelines ，简称CAG）--帮助各类组织更有效认识他们需要防范什么以及如何做好防范工作。CAG文件鉴别出由各种控制所能抵消的攻击，列举了自动控制的最佳实践方法，并确定了有效实现各种控制的测试方法。作为集成方案的一部分，CAG能作为连续测度网络安全和确保审核合格的基准线，确实能解决80%的网络攻击。

　　有了一个适当的集成方案，企业方法的第2个支柱--主动服务就可提供技术方案，以及解决已知和未知威胁的计划。开发和整合最佳信息技术安全产品是一项团队运动，要通过公共/私营的合作伙伴、实验室和大学的研发，实现国防业大合作。如果我们打算走在敌人的前面，则这种团队精神必不可少。

我们（美国军方）已经与业界联手，准备组建一个网络安全技术联盟。参与联盟的有思科（Cisco）、因特尔（Intel）、McAfee、微软、赛门铁克、Juniper 网络公司、EMC、RSA、VMWare、NetApp、CA科技、戴尔、惠普和APC等。这些合作伙伴向我们的新一代网络创新与技术中心（Next-Gen Cyber Innovation and Technology Center）都提交了有它们专家支持的最新方案。它们正在高速互联的全球网络