Polaris 项目 ： 缩小 CBDC 网络威胁建模差距

项目北极星 第3部分：缩小CBDC网络威胁建模差距2023年7月 与： BIS网络弹性协调中心 1. 2.导言6 2.1网络威胁景观6 2.2中央银行数字货币7 2.3范围和目标8 3.背景技术9 3.1加密货币概念和技术-DeFi、DLT和CBDC9 3.2当前的网络安全标准和框架（适用性）10 3.3威胁模型和MITREATT&CK框架11 3.4CBDC的潜在威胁14 4.分析16 4.1对DeFi16的显著攻击分析 4.2战术、技术和程序(TTP)映射16 4.3分析摘要24 5.调查结果和讨论28 5.1差距、观察和见解28 5.2未来工作32 6.结论33 附件A：显著DeFi攻击的TTP映射34 参考文献49 作者和致谢51 本文由PAConsulting提供质量保证： 1.执行摘要 去中心化金融（DeFi）继续彻底改变金融业。有人认为DeFi始于2009年推出比特币，这是第一个使用区块链技术的点对点数字资产。2015年，以太坊推出，随之而来的是智能合约的普及 。1DeFi可以定义为区块链技术，数字资产，去中心化应用程序（dApp）和分布式账本（DLT ）的折衷组合的总称。有许多产品和服务采用这种技术，包括加密货币和稳定币交易所，衍生品 ，信贷和保险服务。 特别是加密货币由于其可访问性和较低的交易费用而享有显着的采用率，所有这些都不需要像传统银行那样的中介机构。企业和个人也越来越多地接受加密货币作为一种支付形式。然而，加密货币可能是不稳定的，往往缺乏一致的法规、治理和政府支持。也许最令人担忧的是已知和未知的安全漏洞，这是这个生态系统所独有的，源于新技术的使用以及缺乏经过验证的安全设计和实现。 作为解决这些问题的一部分，许多中央银行都有兴趣开发中央银行数字货币（CBDC）作为私人加密货币的替代品。CBDC只是法定货币的一种数字形式。尽管通常使用与加密货币相同的技术，但它们得到了中央银行的支持。与传统银行系统相比，CBDC提供了更安全，更稳定的数字货币的承诺，这也可以支持金融包容性并减少现金使用，同时允许更高效，更快，更便宜的交易。与旨在实现利润最大化的私人加密货币相比，CBDC是满足公众需求的替代方案。 截至2022年底，全球共有3个实施CBDC，其他几个试点项目的规模和规模各不相同。2据了解 ，目前还没有针对CBDC系统的成功网络攻击。然而，DeFi领域出现了许多备受瞩目的网络攻击，例如利用共识机制中的弱点以及能够攻击加密货币交易所和钱包的智能合约。根据Elliptic的一份报告，DeFi用户在2021年因盗窃损失了105亿美元。3由于CBDC可能并且在某些实现或导频中使用新技术，例如DLT和智能 1智能合约的概念由NickSzabo于1994年提出。 2见中央银行数字货币（CBDC）追踪器（www.cbdctracker.org）：牙买加、巴哈马和尼日利亚都启动了CBDC的实施。一些规模较大的CBDC试点项目包括覆盖东加勒比经济和货币联盟以及中国的电子人民币。 3 合同，它们也可能暴露在DeFi域中成功进行的攻击类型中。 为了说明这一点，使用MITREATT&CK®框架分析了DeFi域中的几种值得注意的DLT攻击。MITREATT＆CK®，或简称ATT＆CK框架，代表对抗战术，技术和常识（ATT＆CK）。它是基于现实世界观察的全球可访问的对手战术和技术知识库，可用作开发特定威胁模型和方法以识别和分析对手行为的基础。4ATT＆CK是一个全面而灵活的框架，广泛用于网络安全社区，并根据观察到的对抗性威胁定期更新。 此分析显示，现有的威胁建模技术存在差距，这些技术可能无法充分解决威胁和相关的安全控制 ，无法正确保护利用新技术(例如DLT、智能合约)的CBDC免受战术、技术和程序(TTP5)由DeFi空间中的威胁行为者使用。具体地,尽管大多数现有的TTP可以用于对攻击进行建模,但是一些将需要轻微的修改,同时存在新的攻击向量,其不适合在框架内并且将需要创建新的TTP。提供了可用于对新型攻击进行建模的新TTP的示例，并提出了使用众包的方法，以进一步分析如何使用MITREATT和CK框架对使用DLT作为其参考架构一部分的CBDC进行攻击进行充分建模。此外，“平均攻击时间”（基于本分析中研究的DLT攻击）在启动DeFi实施和成功妥协之间大约有10个月的时间。对于即将推出CBDC的中央银行来说，这是一个需要注意的关键点-他们必须做好充分的准备 ，以充分监控和排斥广为人知和新颖的TTP。此外，此初步分析支持以下论点：可能需要对MITREATT＆CK框架进行正式扩展，以帮助正确地对针对支持DLT的系统的攻击进行建模。该分析使用DLT作为起点，开始CBDC的威胁建模和差距分析。即使对于不打算使用DLT的CBDC实施，围绕其他相关DeFi概念（如智能合约）的分析可能仍然相关。更广泛地说，无论技术如何 ，将MITREATT和CK框架更广泛地应用于CBDC都可能是任何希望启动大规模试点或全面实施 CBDC的中央银行的关键步骤。 4attack.mitre.org/。 5TTP:“演员的行为。战术是对这种行为的最高级别描述，而技术则在战术的背景下对行为进行更详细的描述，并在技术的背景下进行更低级，高度详细的描述”（NIST（2016））。 2.Introduction 2.1网络威胁景观 网络威胁格局在不断演变。网络威胁从根本上说是不对称的威胁，具有多种动机的高技能个人可能会造成不成比例的损害。威胁行为者可以从国家资助的对手，网络罪犯，黑客雇佣和黑客主义者，都具有不同的能力和目标（ENISA（2022））。就整体活动而言，与2021年同期相比，2022年第三季度全球网络攻击增加了28%(ChecPoit(2022))。 更具体地说，民族国家行为者在网络空间中变得越来越激进。这些是为政府工作的黑客，他们拥有大量资金来破坏或破坏关键组织，以获取有价值的情报或数据。在2021年7月至2022年6月期 间，针对关键基础设施的国家实施的网络攻击比例从20%增加到40%(微软(2022))。自乌克兰冲突开始以来，民族国家的威胁活动总体上也大大增加。 随着网络犯罪经济的工业化通过提供对恶意工具和基础设施的更多访问来降低技能进入壁垒，网络犯罪正在稳步增加。根据微软（2022）的数据，仅在去年，估计每秒密码攻击的数量就增加了74％。考虑到身份或特权访问凭证已被标记为新的安全边界，即获得访问权限类似于获得“王国的钥匙”，这是相关的。通过利用可信身份，攻击者可以秘密操作并窃取数据，而不会引发任何警钟 。《云计算新闻》的作者路易斯·哥伦布（LoisColmbs）惊人地总结了这一点：“黑客团队没有闯入安全系统；他们正在登录”（Colmbs（2018））。 随着对加密货币的兴趣增加，网络犯罪分子和威胁行为者并没有忽视这一点。在DeFi平台中发现了漏洞，这些漏洞使威胁行为者成功窃取了比2021年前八个月所有其他网络攻击加起来更多的资产(见图1)。根据CoiGeico（Lim（2023））的一份报告，2022年，超过28亿美元的加密货币资产被盗，是2013年以来的最高水平。 除了民族国家和网络犯罪的网络攻击之外，CBDC的网络威胁格局还包括常见威胁（例如SIM交换，中间人攻击），新兴威胁，如量子计算，以及其他攻击面，例如与其他中央银行/金融机构系统或支持相应CBDC资产的计算基础设施（包括电力，网络连接）的集成（BISIovatioHb（2023））。 图1-从De-Fi相关黑客中窃取的资金的指数增长6 这一趋势继续存在，2022年超过28亿美元的加密货币资产被盗，这与CoinGecko（Lim（2023））的数据相应。 2.2中央银行数字货币 CBDC是一种数字形式的中央银行货币，不同于传统储备或结算账户的余额（CPMIMarketsCommittee（2018））。与比特币等分散的加密货币不同，CBDC由政府发行和管理，目的是将数字货币的好处与传统法定货币的稳定性和监管相结合。 各国央行对采用CBDC持谨慎态度，因为它们提出了各种技术、法律和金融挑战，需要仔细考虑，特别是考虑到与DeFi相关的网络攻击的急剧增加。由于对CBDC技术领域的潜在威胁和漏洞缺乏明确性，中央银行需要在推出CBDC之前识别并减轻一些网络安全风险。 为了确保CBDC系统的适当信息安全管理，需要为CBDC制定额外的预防性和预防性安全控制指南。 6请参阅云安全联盟2021。 2.3范围和目标 在CBDC的背景下，现有的网络安全框架和/或网络威胁模型中存在差距，需要解决这些差距，以充分描述威胁并正确得出相关的安全控制以保护CBDC系统。在本节（第2节）中，简要介绍了主题以及本文的目标和范围。 本文的方法侧重于映射DeFi攻击中使用的针对MITREATT和CK框架的实际策略和技术，以确定使用类似于DeFi（例如DLT）的技术将该框架应用于针对CBDC实施的威胁的潜在差距。虽然这代表了CBDC领域这种分析的起点，但通过使用MITREATT&CK框架在此应用的技术和方法可以应用于任何CBDC实现，无论技术如何。对于任何正在考虑大规模试点或启动CBDC的中央银行来说，这可能是重要的一步。 值得注意的是，本文的目标仅限于通过应用MITREATT和CK框架对DeFi威胁进行威胁建模。威胁行为者针对DeFi采用的方法可以适用于现有或拟议的CBDC实施。通过利用公共领域的信息来限制分析。此外，尽管本文的重点不是缓解，但对潜在的检测和缓解措施进行了研究，以防范已分析的CBDC/DeFi攻击的一部分（见附件A）。尽管已尽一切努力确保所提供信息的准确性和完整性，但应根据这些规定的局限性考虑调查结果和结论。 本技术网络安全报告的目标受众包括具有网络安全、DeFi和相关领域技术背景的专业人士。 在第3节中，描述了有关DeFi，分布式分类帐技术（DLT），CBDC的概念和技术，以及当前网络安全标准和框架的示例。介绍了MITREATT＆CK框架，以及如何将其用于针对CBDC域的威胁建模。在第4节中，分析了几种引人注目的DeFi攻击，并将其映射到MITREATT和CK框架。第5节最后总结了调查结果和未来工作的拟议方向。 3.背景 3.1加密货币概念和技术-DeFi、DLT和CBDC 去中心化金融（DeFi） DeFi使用技术将中介机构从金融交易中移除，允许组织、商家和用户更快地处理资金，并使这些资金更容易获得和可控。这是通过采用对等（P2P）网络，治理令牌，智能合约和DeFi协议（也称为分布式账本技术（DLT））等新技术的基础技术基础设施来实现的。 分布式账本技术(DLT) DLT仍在不断发展。在本文中，DLT被定义为协议和支持基础设施，允许不同位置的计算机在网络上以同步的方式提出和验证交易并更新记录（Bech和Rodey（2017））。与DLT相关的威胁以及设计或实施缺陷可能不像传统IT那样被很好地理解。再加上系统实施的加速交付和区块链人才的全球技能短缺，在紧急漏洞方面带来了另一组挑战，这些漏洞给IT和安全性带来了运营挑战。例如,一些基于DLT的方案采用可以利用图灵完备语言(使用条件语句和循环的组合来编程智能合约)的智能合约。7尽管这允许开发复杂的智能合约，但它需要严格的安全代码审查和严格的测试来消除编码缺陷并实现安全代码更新。这将确保满足操作逻辑和安全编码标准，并且还将有助于防止在系统中引入意外漏洞。 随着DLT系统的变化，它们使用不同的应用程序和框架作为其参考体系结构的一部分。实际上，在设计安全参考体系结构时，系统设计人员和集成商无法参考标准化的DLT技术系统/平台。DLT技术堆栈的这种复杂性使得完全采用现有的网络安全标准具有挑战性，这些标准可能无法与所有DLT架构类型完全一致，以确保已经考虑到所有相关的安全漏洞并减轻相关风险。 中央银行数字货币（CBDC） 世界上有几个国家正在越来越多地探索发行自己的