提供態(tài)勢(shì)感知。系統(tǒng)和網(wǎng)絡(luò)高度復(fù)雜，設(shè)備移動(dòng)性增加了復(fù)雜性。為了保護(hù)網(wǎng)絡(luò)和系統(tǒng)，當(dāng)設(shè)備被添加或移除時(shí)，有必要確定系統(tǒng)的所有關(guān)鍵資產(chǎn)，以及與用戶相關(guān)的屬性和異常。實(shí)時(shí)變化檢測(cè)是必不可少的，包括靈活適應(yīng)動(dòng)態(tài)網(wǎng)絡(luò)條件并能夠與已知良好系統(tǒng)狀態(tài)進(jìn)行比較的方案。

檢測(cè)漏洞。系統(tǒng)配置的更改、新應(yīng)用程序的安裝或新技術(shù)的發(fā)現(xiàn)可能會(huì)降低系統(tǒng)的保護(hù)級(jí)別或創(chuàng)建新的漏洞。需要使用工具來(lái)實(shí)時(shí)地確定保護(hù)措施中的缺陷，以便能夠糾正這種情況。

有效檢測(cè)快速發(fā)展的惡意網(wǎng)絡(luò)活動(dòng)。操作是高度動(dòng)態(tài)的，上下文是重要的；因此，當(dāng)前的工具有許多誤報(bào)和漏報(bào)，無(wú)法區(qū)分惡意網(wǎng)絡(luò)活動(dòng)和授權(quán)操作。許多識(shí)別惡意網(wǎng)絡(luò)活動(dòng)的技術(shù)在本質(zhì)上也是可追溯的：這些工具尋找符合已知?dú)v史模式的惡意活動(dòng)。當(dāng)面對(duì)對(duì)手的創(chuàng)新時(shí)，這些工具變得毫無(wú)用處。為了保證檢測(cè)技術(shù)能夠可靠地檢測(cè)到敵方的各種惡意網(wǎng)絡(luò)活動(dòng)，縮短檢測(cè)時(shí)間，需要進(jìn)行研發(fā)。特別是，需要能夠檢測(cè)惡意軟件和具有可接受誤報(bào)和漏報(bào)水平的創(chuàng)新操作序列的工具。與系統(tǒng)基線活動(dòng)相比，行為入侵檢測(cè)和啟發(fā)式工具尋找異常，提供了一個(gè)有前途的研究途徑。能夠從非常大的數(shù)據(jù)集中提取有用信息，可擴(kuò)展數(shù)學(xué)技術(shù)可以從網(wǎng)絡(luò)日志等數(shù)據(jù)源中更有效地檢測(cè)惡意網(wǎng)絡(luò)活動(dòng)。

由于網(wǎng)絡(luò)安全技術(shù)被集成到復(fù)雜的系統(tǒng)和系統(tǒng)體系中，響應(yīng)往往具有不可預(yù)見(jiàn)的依賴性和耦合的交互作用。開(kāi)發(fā)人員和用戶需要了解和洞察這些系統(tǒng)行為，以及分析技術(shù)和響應(yīng)路徑，以保持清晰和信任，避免意外后果。

另一個(gè)挑戰(zhàn)來(lái)自越來(lái)越多地使用自主系統(tǒng)，這些系統(tǒng)必須支持響應(yīng)、恢復(fù)和調(diào)整，而與網(wǎng)絡(luò)防御者很少或根本沒(méi)有互動(dòng)（甚至沒(méi)有知識(shí)）。隨著彈性設(shè)計(jì)原則和技術(shù)的進(jìn)步，必須考慮自主性的影響。

多尺度風(fēng)險(xiǎn)治理對(duì)當(dāng)前的網(wǎng)絡(luò)防御活動(dòng)提出了技術(shù)挑戰(zhàn)。增加、減少或轉(zhuǎn)移風(fēng)險(xiǎn)因素的決策是在多個(gè)層面和多個(gè)尺度上做出的。在一個(gè)層次上做出的決定會(huì)以復(fù)雜和難以理解的方式影響其他層次。需要技術(shù)方法來(lái)識(shí)別和理解風(fēng)險(xiǎn)相關(guān)性，并探索由此產(chǎn)生的決策空間。使這一過(guò)程復(fù)雜化的是，必須作出執(zhí)行決定的時(shí)間繼續(xù)縮短：網(wǎng)絡(luò)威脅和惡意活動(dòng)的檢測(cè)、評(píng)估和緩解必須比對(duì)手利用系統(tǒng)的速度更快。在這個(gè)不斷收緊的風(fēng)險(xiǎn)管理周期中，決策者之間的信息共享和協(xié)調(diào)變得越來(lái)越重要。

因此，為了提高系統(tǒng)的整體響應(yīng)能力，研發(fā)活動(dòng)應(yīng)通過(guò)以下三種方式提高系統(tǒng)、企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施的適應(yīng)、對(duì)抗、恢復(fù)和調(diào)整能力：

提供動(dòng)態(tài)評(píng)估。測(cè)量系統(tǒng)組件的關(guān)鍵特性和屬性，并在不斷變化的威脅方法和系統(tǒng)需求中評(píng)估潛在損害，從而使響應(yīng)和恢復(fù)到已知的良好狀態(tài)。

? ? ? 包括自適應(yīng)響應(yīng)。提供調(diào)整方法，以適應(yīng)實(shí)際、新出現(xiàn)的和預(yù)期的中斷，以便在將意外后果和對(duì)手投資回報(bào)降到最低的同時(shí)，繼續(xù)滿足任務(wù)和組織需求。這些方法將在短期內(nèi)支持同質(zhì)企業(yè)系統(tǒng)的風(fēng)險(xiǎn)權(quán)衡，并在中期支持集成異質(zhì)網(wǎng)絡(luò)物理系統(tǒng)的風(fēng)險(xiǎn)權(quán)衡。從長(zhǎng)遠(yuǎn)來(lái)看，它們將使集成的彈性體系結(jié)構(gòu)得以優(yōu)化，以吸收沖擊并將恢復(fù)速度提高到已知的安全可操作狀態(tài)。研發(fā)是必要的，以防止對(duì)手利用自主功能及其基礎(chǔ)的機(jī)器學(xué)習(xí)。

清研智庫(kù)李梓涵編譯

（未完待續(xù)）