美國海軍陸戰隊與海軍陸戰隊空中地面特遣部隊 19.2 危機響應指揮分隊在科威特準備現場條件危機響應中心網絡。（美國海軍陸戰隊照片，羅伯特·加瓦爾登中士拍攝）

　　隨著數據的激增和攻擊面的擴大，美國國防部繼續有發現、理解、跟蹤和管理其在互聯網上公開的數據和知識產權的基本需求。

　　美國眾議院軍事委員會在其對 2021 財年國防授權法案的標記中指出，需要以綜合的端到端方式管理這一過程。

　　“美國國防部 （DoD） 對整個國防部企業的互聯網連接資產和攻擊面缺乏類似的全面了解；在這方面，委員會注意到，國防部最近才發現，它與互聯網的托管連接數量是它認為的兩倍——由不受保護的組件建立和維護的連接不像國防部管理的其他受制裁的互聯網接入點那樣受到保護。

　　”盡管聯合部隊總部-國防部信息網絡部 （JFHQ-DODIN） 在提高其國防部網絡的企業范圍可見性方面取得了長足的進步，但美國國防部網絡仍由各個組件控制，而 JFHQ-DODIN 的大部分態勢感知來自組件報告。委員會認為，JFHQ-DODIN 實現對所有 DoD 網絡的實時可見性至關重要。“

　　這種復雜性使得 DoD 網絡特別適合應用所謂的互聯網運營管理 （IOM）。IOM 功能使組織能夠：

　　近乎實時地了解他們的內部部署和云托管的攻擊面是什么樣的，他們的網絡元素在外部如何表現；和

　　檢測以前未知的危害、未經批準的連接、錯誤配置、漏洞和威脅活動。

　　”當我們從軍事網絡的角度看待互聯網運營管理時，很容易看出 IOM 的適用性，不僅適用于軍隊，還適用于聯邦機構、大型政府網絡和商業客戶，“，帕洛阿爾托網絡公司 Cortex產品管理副總裁Joseph Lin 表示。”他們都有這些根本問題。“

　　IOM 平臺將所有這些數據聚合到一個安全的數據湖中，使用機器學習算法和數據分析來發現異常并獲得洞察力。然后，決策者可以使用這些信息以可操作、可擴展和自動化的方式在整個企業中制定、實施和驗證 IT 和安全策略和命令。

　　什么是數據湖？林解釋道。

　　”在一個非常基本的層面上，數據湖是一個保存大量數據以及高度異構數據的環境，這些數據被匯集、集成并相互解釋，以便數據能夠相互關聯。歸根結底，您不僅僅是為了數據而收集數據，而是收集數據以便您可以在該數據之上運行分析。您可以使用機器學習從您能夠從整個系統中收集的大量數據中獲得洞察力。“

　　IOM 非常適合軍事網絡

　　一般來說，軍事網絡非常大。它們本質上可以高度聯合，這使得管理所有面向互聯網的資產變得更加困難。

　　由于軍事網絡龐大、分布式、高度聯合的性質，有時還具有遠征性質，因此對其面向互聯網的資產的管理/指揮和控制既困難又復雜。

　　它們在其他方面也是低效和不安全的——特別是在以下六個方面：

　　自我報告：在大多數情況下，網絡運營商沒有獨立的方式來驗證來自各個組件的報告。如果組件沒有響應或在其響應中出錯，操作員將不會意識到。

　　缺乏共享的事實來源：網絡管理員和組件本身對哪些 IP 范圍和互聯網資產屬于哪些組件沒有共同的理解。許多 IP 范圍由多個組件聲明，其他則根本沒有。現有的清單數據庫應該是企業 IP 范圍的全面真實來源，通常已經過時且不完整。如果 IP 空間中存在沒有組織直接負責的漏洞，它們將永遠不會出現在自我報告的列表中。

　　多云環境和第三方托管作為擴展攻擊面：由商業云服務提供商和互聯網服務提供商托管的企業資產通常沒有得到充分監控或完全不受管理。雖然這些資產帶來的風險各不相同，但此攻擊面的一個有意義的子集定期包括受控非機密信息 （CUI） 或其他潛在高價值企業資產的潛在損失。

　　難以識別聯系點：即使是網絡管理員和相關組件都在跟蹤的網絡部分，也缺乏相關聯系點是誰來查找和修復網絡漏洞的意識。給定的 IP 范圍。

　　潛在的人為錯誤：當前流程依賴于電子郵件和電子表格。當電子表格被復制、通過電子郵件發送并編譯成更大的電子表格時，出錯的可能性很高。偶然的疏忽使網絡管理員對潛在問題視而不見。

　　響應和修復緩慢：即使在理想情況下，從網絡管理員意識到新漏洞到對問題的范圍進行完整說明并開始修復之間也至少需要 24 小時。

　　如何解決這些問題

　　正是那些導致不安全感的低效率推動了世界各地軍隊對企業范圍安全實施的需求。

　　當對整個網絡有集中的可見性和運營控制時，網絡安全和 IT 運營最有效。美國國防部擁有一些世界上最大和最復雜的網絡，在多層級的飛地中擁有數百萬個 IP 地址和端點。然而，他們仍然缺乏企業范圍的網絡可見性，并且依賴 20 世紀后期的技術來完成諸如開發、傳播和執行新 IT 策略等簡單的任務。

　　DoD 組織和軍種成員值得擁有同類最佳的技術和流程，例如通過 IOM 發現的技術和流程，以集中和管理他們的安全和網絡運營。好消息是，這些技術已經商業化并廣泛部署在傳統網絡中，尤其是在私營部門和少數政府機構中。

　　”管理老舊網絡系統的一個主要部分是它們在防火墻后面得到適當保護，并且不會因為與他們的軟件相關的漏洞而暴露在公共互聯網上，這些漏洞只是沒有打補丁，或者他們的原始制造商不再支持，“林說。”因為這些漏洞很容易被對手利用，所以確保它們得到適當保護就顯得尤為重要。

　　“IOM 使遺留系統的所有者能夠做的是，首先確保它們不會暴露在公共互聯網上，不會被對手發現，并且它們得到了正確的配置和保護。”

　　結論

　　美國國防部和更廣泛的美國政府網絡防御、檢測、響應和恢復能力不足。這個問題的根本原因是缺乏對聯邦信息技術的集中可見性和操作控制。

　　此外，保護、防御和監控政府范圍網絡的任務與現有的高度不同的技術和流程之間存在巨大差距。解決這個問題不僅是可能的，而且現在正在通過私營部門和一些個別聯邦機構內的現有技術和流程來解決。

　　IOM 產品，如 Palo Alto Networks 的 Cortex 系統套件，包括 Cortex Xpanse 和 XSOAR，通過開發提供 JFHQ-DODIN 對所有 DOD 網絡的實時可見性的 IOM 程序，使 JFHQ-DODIN 能夠滿足 FY21 NDAA 的詳細要求。

　　態勢感知是所有形式沖突的基本要求，借助 Cortex，IOM 國防部組織可以通過日常攻擊面掃描和定期映射，持續發現、管理和監控所有全球部署的 DoD 互聯網資產。

　　對所有網絡的全面認知和可見性將使美國國防部網絡管理員自信地回答諸如“我的所有 IP 是什么？”、“我有多少個端點或服務器？”等問題。以及“上面運行的軟件是什么？” 如果沒有相關機構，他們將很難這樣做。