提供態勢感知。系統和網絡高度復雜，設備移動性增加了復雜性。為了保護網絡和系統，當設備被添加或移除時，有必要確定系統的所有關鍵資產，以及與用戶相關的屬性和異常。實時變化檢測是必不可少的，包括靈活適應動態網絡條件并能夠與已知良好系統狀態進行比較的方案。

檢測漏洞。系統配置的更改、新應用程序的安裝或新技術的發現可能會降低系統的保護級別或創建新的漏洞。需要使用工具來實時地確定保護措施中的缺陷，以便能夠糾正這種情況。

有效檢測快速發展的惡意網絡活動。操作是高度動態的，上下文是重要的；因此，當前的工具有許多誤報和漏報，無法區分惡意網絡活動和授權操作。許多識別惡意網絡活動的技術在本質上也是可追溯的：這些工具尋找符合已知歷史模式的惡意活動。當面對對手的創新時，這些工具變得毫無用處。為了保證檢測技術能夠可靠地檢測到敵方的各種惡意網絡活動，縮短檢測時間，需要進行研發。特別是，需要能夠檢測惡意軟件和具有可接受誤報和漏報水平的創新操作序列的工具。與系統基線活動相比，行為入侵檢測和啟發式工具尋找異常，提供了一個有前途的研究途徑。能夠從非常大的數據集中提取有用信息，可擴展數學技術可以從網絡日志等數據源中更有效地檢測惡意網絡活動。

由于網絡安全技術被集成到復雜的系統和系統體系中，響應往往具有不可預見的依賴性和耦合的交互作用。開發人員和用戶需要了解和洞察這些系統行為，以及分析技術和響應路徑，以保持清晰和信任，避免意外后果。

另一個挑戰來自越來越多地使用自主系統，這些系統必須支持響應、恢復和調整，而與網絡防御者很少或根本沒有互動（甚至沒有知識）。隨著彈性設計原則和技術的進步，必須考慮自主性的影響。

多尺度風險治理對當前的網絡防御活動提出了技術挑戰。增加、減少或轉移風險因素的決策是在多個層面和多個尺度上做出的。在一個層次上做出的決定會以復雜和難以理解的方式影響其他層次。需要技術方法來識別和理解風險相關性，并探索由此產生的決策空間。使這一過程復雜化的是，必須作出執行決定的時間繼續縮短：網絡威脅和惡意活動的檢測、評估和緩解必須比對手利用系統的速度更快。在這個不斷收緊的風險管理周期中，決策者之間的信息共享和協調變得越來越重要。

因此，為了提高系統的整體響應能力，研發活動應通過以下三種方式提高系統、企業和關鍵基礎設施的適應、對抗、恢復和調整能力：

提供動態評估。測量系統組件的關鍵特性和屬性，并在不斷變化的威脅方法和系統需求中評估潛在損害，從而使響應和恢復到已知的良好狀態。

? ? ? 包括自適應響應。提供調整方法，以適應實際、新出現的和預期的中斷，以便在將意外后果和對手投資回報降到最低的同時，繼續滿足任務和組織需求。這些方法將在短期內支持同質企業系統的風險權衡，并在中期支持集成異質網絡物理系統的風險權衡。從長遠來看，它們將使集成的彈性體系結構得以優化，以吸收沖擊并將恢復速度提高到已知的安全可操作狀態。研發是必要的，以防止對手利用自主功能及其基礎的機器學習。

清研智庫李梓涵編譯

（未完待續）