美国海军陆战队与海军陆战队空中地面特遣部队 19.2 危机响应指挥分队在科威特准备现场条件危机响应中心网络。（美国海军陆战队照片，罗伯特·加瓦尔登中士拍摄）

　　随着数据的激增和攻击面的扩大，美国国防部继续有发现、理解、跟踪和管理其在互联网上公开的数据和知识产权的基本需求。

　　美国众议院军事委员会在其对 2021 财年国防授权法案的标记中指出，需要以综合的端到端方式管理这一过程。

　　“美国国防部 （DoD） 对整个国防部企业的互联网连接资产和攻击面缺乏类似的全面了解；在这方面，委员会注意到，国防部最近才发现，它与互联网的托管连接数量是它认为的两倍——由不受保护的组件建立和维护的连接不像国防部管理的其他受制裁的互联网接入点那样受到保护。

　　”尽管联合部队总部-国防部信息网络部 （JFHQ-DODIN） 在提高其国防部网络的企业范围可见性方面取得了长足的进步，但美国国防部网络仍由各个组件控制，而 JFHQ-DODIN 的大部分态势感知来自组件报告。委员会认为，JFHQ-DODIN 实现对所有 DoD 网络的实时可见性至关重要。“

　　这种复杂性使得 DoD 网络特别适合应用所谓的互联网运营管理 （IOM）。IOM 功能使组织能够：

　　近乎实时地了解他们的内部部署和云托管的攻击面是什么样的，他们的网络元素在外部如何表现；和

　　检测以前未知的危害、未经批准的连接、错误配置、漏洞和威胁活动。

　　”当我们从军事网络的角度看待互联网运营管理时，很容易看出 IOM 的适用性，不仅适用于军队，还适用于联邦机构、大型政府网络和商业客户，“，帕洛阿尔托网络公司 Cortex产品管理副总裁Joseph Lin 表示。”他们都有这些根本问题。“

　　IOM 平台将所有这些数据聚合到一个安全的数据湖中，使用机器学习算法和数据分析来发现异常并获得洞察力。然后，决策者可以使用这些信息以可操作、可扩展和自动化的方式在整个企业中制定、实施和验证 IT 和安全策略和命令。

　　什么是数据湖？林解释道。

　　”在一个非常基本的层面上，数据湖是一个保存大量数据以及高度异构数据的环境，这些数据被汇集、集成并相互解释，以便数据能够相互关联。归根结底，您不仅仅是为了数据而收集数据，而是收集数据以便您可以在该数据之上运行分析。您可以使用机器学习从您能够从整个系统中收集的大量数据中获得洞察力。“

　　IOM 非常适合军事网络

　　一般来说，军事网络非常大。它们本质上可以高度联合，这使得管理所有面向互联网的资产变得更加困难。

　　由于军事网络庞大、分布式、高度联合的性质，有时还具有远征性质，因此对其面向互联网的资产的管理/指挥和控制既困难又复杂。

　　它们在其他方面也是低效和不安全的——特别是在以下六个方面：

　　自我报告：在大多数情况下，网络运营商没有独立的方式来验证来自各个组件的报告。如果组件没有响应或在其响应中出错，操作员将不会意识到。

　　缺乏共享的事实来源：网络管理员和组件本身对哪些 IP 范围和互联网资产属于哪些组件没有共同的理解。许多 IP 范围由多个组件声明，其他则根本没有。现有的清单数据库应该是企业 IP 范围的全面真实来源，通常已经过时且不完整。如果 IP 空间中存在没有组织直接负责的漏洞，它们将永远不会出现在自我报告的列表中。

　　多云环境和第三方托管作为扩展攻击面：由商业云服务提供商和互联网服务提供商托管的企业资产通常没有得到充分监控或完全不受管理。虽然这些资产带来的风险各不相同，但此攻击面的一个有意义的子集定期包括受控非机密信息 （CUI） 或其他潜在高价值企业资产的潜在损失。

　　难以识别联系点：即使是网络管理员和相关组件都在跟踪的网络部分，也缺乏相关联系点是谁来查找和修复网络漏洞的意识。给定的 IP 范围。

　　潜在的人为错误：当前流程依赖于电子邮件和电子表格。当电子表格被复制、通过电子邮件发送并编译成更大的电子表格时，出错的可能性很高。偶然的疏忽使网络管理员对潜在问题视而不见。

　　响应和修复缓慢：即使在理想情况下，从网络管理员意识到新漏洞到对问题的范围进行完整说明并开始修复之间也至少需要 24 小时。

　　如何解决这些问题

　　正是那些导致不安全感的低效率推动了世界各地军队对企业范围安全实施的需求。

　　当对整个网络有集中的可见性和运营控制时，网络安全和 IT 运营最有效。美国国防部拥有一些世界上最大和最复杂的网络，在多层级的飞地中拥有数百万个 IP 地址和端点。然而，他们仍然缺乏企业范围的网络可见性，并且依赖 20 世纪后期的技术来完成诸如开发、传播和执行新 IT 策略等简单的任务。

　　DoD 组织和军种成员值得拥有同类最佳的技术和流程，例如通过 IOM 发现的技术和流程，以集中和管理他们的安全和网络运营。好消息是，这些技术已经商业化并广泛部署在传统网络中，尤其是在私营部门和少数政府机构中。

　　”管理老旧网络系统的一个主要部分是它们在防火墙后面得到适当保护，并且不会因为与他们的软件相关的漏洞而暴露在公共互联网上，这些漏洞只是没有打补丁，或者他们的原始制造商不再支持，“林说。”因为这些漏洞很容易被对手利用，所以确保它们得到适当保护就显得尤为重要。

　　“IOM 使遗留系统的所有者能够做的是，首先确保它们不会暴露在公共互联网上，不会被对手发现，并且它们得到了正确的配置和保护。”

　　结论

　　美国国防部和更广泛的美国政府网络防御、检测、响应和恢复能力不足。这个问题的根本原因是缺乏对联邦信息技术的集中可见性和操作控制。

　　此外，保护、防御和监控政府范围网络的任务与现有的高度不同的技术和流程之间存在巨大差距。解决这个问题不仅是可能的，而且现在正在通过私营部门和一些个别联邦机构内的现有技术和流程来解决。

　　IOM 产品，如 Palo Alto Networks 的 Cortex 系统套件，包括 Cortex Xpanse 和 XSOAR，通过开发提供 JFHQ-DODIN 对所有 DOD 网络的实时可见性的 IOM 程序，使 JFHQ-DODIN 能够满足 FY21 NDAA 的详细要求。

　　态势感知是所有形式冲突的基本要求，借助 Cortex，IOM 国防部组织可以通过日常攻击面扫描和定期映射，持续发现、管理和监控所有全球部署的 DoD 互联网资产。

　　对所有网络的全面认知和可见性将使美国国防部网络管理员自信地回答诸如“我的所有 IP 是什么？”、“我有多少个端点或服务器？”等问题。以及“上面运行的软件是什么？” 如果没有相关机构，他们将很难这样做。