美國愛因斯坦計劃4

時間 2019-12-07

原文原文鏈接

在2017年的美國國家網絡安全意識月活動期間，DHS下的NPPD向國會出具了多份書面證詞，談及了包括愛因斯坦計劃和CDM（持續診斷與緩解）項目在內的相關進展狀況。安全

做爲DHS下面主管CyberSecurity的部門，證詞提到：「NPPD負責保護民用聯邦政府網絡【注：民用機構、民事設施跟軍用/軍事對應。愛因斯坦管不了美國軍事機關和設施，那由DoD管轄】，並與其餘聯邦機構，州，地方，部落和地區政府（SLTT）以及私營部門合做，防範網絡威脅。咱們致力於增強全球的網絡威脅信息共享，在網絡事件開始以前阻止網絡事件，幫助企業和政府機構保護網絡系統，並在發生此類攻擊時迅速恢復。經過聚集各級政府，私營部門，國際合做夥伴和公衆，咱們正在採起行動，防範網絡安全風險，提升咱們的總體事件響應能力，增強有關最佳實踐和網絡威脅的信息共享，並增強抵禦能力。」網絡

證詞以WannaCry和NotPetya爲例來講明威脅形成的經濟損失，並介紹了NPPD作了哪些預警和處置工做。又以Black Energy和Havex，以及烏克蘭CrashOverride爲例講述了威脅對關鍵基礎設施的危害，並介紹了NPPD所做的努力，以及與能源部合做開展電力行業的安全評估與應急響應的案例。架構

在介紹NPPD2017年的優先事項時，首先提到了2017年5月份特朗普頒佈的13800號總統令（Strengthening the Cybersecurity of Federal Networks and Critical Infrastructure《增強聯邦網絡和關鍵基礎設施的網絡安全》）【注：這個發文十分重要，對美國各部委機構提出了具體的、有時間點的要求，涵蓋政府網絡安全、關鍵基礎設施網絡安全和國家網絡安全三個層次。圍繞這個發文，美國政府各部門作了大量工做，提交了專門的報告】，並將其做爲年度重點工做。其次，說起了執行FISMA2014的要求，作好對各聯邦結構的風險評估和合規性檢查。運維

證詞還說起了NPPD的主要工做內容，包括：ide

（1）經過包括「愛因斯坦」在內的國家網絡安全保護系統（NCPS）和連續診斷與緩解（CDM）計劃來防禦民用政府設施；工具

（2）考覈和激勵各個聯邦機構執行安全政策、指令、標準和指南；測試

（3）做爲信息共享和事件報告的中心；ui

（4）提供運營和技術援助，包括威脅信息傳播，風險和脆弱性評估以及事件響應服務。 NPPD的國家網絡安全和通訊集成中心（NCCIC）做爲政府網絡安全信息共享，資產事件響應以及關鍵基礎設施和聯邦政府協調的樞紐。this

在談及愛因斯坦計劃的時候，證詞表示，EINSTEIN做爲聯邦政府的入侵檢測與防禦套件，能夠對各聯邦機構非涉密網絡的互聯網邊界進行防禦。 EINSTEIN提供對民事聯邦部門網絡流量的態勢感知，所以，在一個機構檢測到的威脅，能夠快速與其餘全部機構進行信息相關共享和能力，從而更有效地管理網絡風險。
spa

DHS在不斷改進愛因斯坦的技術架構和部署架構。目前，愛因斯坦設備主要仍是基於特徵檢測的，但目前正在進行基於非特徵的檢測試點，藉助商業的、政府的和開源的相關技術，對獲取的數據進行快速的異常行爲分析。經過這些試點也幫助NPPD積累未來運維這種非特徵檢測和防禦系統所需的人員技能、方法、技巧和流程。

此外，各地方-政府（SLTT）能夠經過MS-ISAC（Multi-State Information Sharing and Analysis Center）來使用愛因斯坦服務，被稱做「Albert」。儘管目前版本的Albert系統尚沒法實時阻斷網絡威脅，但卻能夠對相關人員進行告警，以便進行深刻排查。Albert將會成爲國家和地方-政府之間共享網絡安全信息的主要途徑。

DHS認爲要進行有效地網絡安全風險管理須要進行縱深防護，除了在邊界安全上部署愛因斯坦，還須要在聯邦政府網絡內部部署CDM（持續診斷與緩解，Continuous Diagnostics and Mitigation）。NPPD的持續診斷和緩解（CDM）計劃爲全部參與機構提供網絡安全工具和集成服務，使其可以經過減小其網絡的攻擊面來改善其各自的安全情況，並藉助統一的聯邦儀表板來向DHS提供全國範圍的安全可見性（Visibility）。

CDM主要包括兩個做用：

1）使得各聯邦機構得到對自身網絡的可見性。這裏的可見性就是對機構自身內部網絡的態勢感知。幫助他們認清本身面臨的首要風險，並優先處置重要的安全問題。

2）NCCIC經過對這些各個聯邦結構的安全態勢感知的摘要信息的彙總，可以更有效地、更實時地從國家層面來識別系統性的安全風險。

目前，NCCIC要想知道政府機構某個關鍵補丁修復的狀況，只能經過他們的報告和手工的方式進行統計，而CDM將改變這種現狀，使得NCCIC可以藉助部署在機構的相關設備和軟件，及時自動的採集相關信息，快速掌握各個機構的補丁修復狀況，根據總體狀況及時對各個機構提供有效指導。【注：看到這裏，我仍不住笑了一下】

對於DHS的意義，NPPD表示，Effective cybersecurity requires a robust measurement regime, and robust measurement requires valid and timely data. CDM will provide this baseline of cybersecurity risk data to drive improvement across the civilian executive branch. 有效的網絡安全須要強大的度量機制，而健壯的度量須要有效和及時的數據【注：這句話說的很好，但要作到甚難！美國亦是如此，是警語，也是感嘆】。 CDM將提供這個網絡安全風險數據的基線來推進整個民事政府部門的改進。

證詞還說起了NPPD針對高價值資產防禦所作的工做，以及針對各個聯邦機構漏洞補丁管理的推進和督促工做，其中NCCIC會對各機構暴露在互聯網上的漏洞進行掃描，並督促相關機構及時整改。還提到了Automated Indicator Sharing (AIS，自動指標共享)和ISAO。

此外，還說起了NPPD對卡巴斯基有關的產品的審查工做，並下發指令（BOD）要求各聯邦機構在30天內檢查出本身網絡中使用的卡巴斯基產品，在60天內拿出替換方案和計劃，而且若是沒有其餘指令的話，要在90天內完成移除和替換工做。NPPD表示會給卡巴斯基一個申訴的機會。

還有一個有趣的事情，就是證詞中提到已經經過衆議院表決提交到參議院的Cybersecurity and Infrastructure Security Agency Act of 2017（網絡安全和基礎設施保護局法案）。法案提議將NPPD更名爲CISA，並重組旗下部門變成三個：The Cybersecurity Division，The Infrastructure Security Division和The Emergency Communications Division。

在2017年3月份的另外一份書面證詞中，NPPD下屬的CS&C辦公室還更詳細談及了愛因斯坦計劃和CDM計劃的進展狀況。

NPPD表示，截至2015年，愛因斯坦的入侵檢測能力覆蓋了聯邦政府90%的流量，典型一天全部檢測引擎會產生3萬個告警。這些告警會在NCCIC進行進一步評估和甄別。

目前，E3A都是經過跟政府簽約的ISP（稱做MTIPS）合做，以服務方式提供給各個聯邦機構。目前的服務就兩個：DNS sinkhole和郵件過濾（爲了防止藉助郵件的攻擊）。而目前，DHS正在跟那些ISP合做，不斷加入新的功能。E1和E2採用了不涉密的網絡威脅指標（特徵），而E3使用的威脅指標（特徵）既有不涉密的也有涉密的。E3使用了IoC來阻斷惡意流量。

根據2015年的網絡安全法（the Cybersecurity Act of 2015），在2016年12月18日以前，全部聯邦機構的互聯網進出流量都必須接入愛因斯坦。所以，愛因斯坦計劃的進度獲得了大幅提高。在法案經過以前，只有23%的機構用了E3A，而法案版本後，基本上23個最大的政府機構都上了E3A，絕大部分機構都至少使用了E3A的一個功能。可是，目前還不是100%覆蓋。【可見全國鋪開來作個事情有多難】

在2016財年，NCCIC接報了30899件有影響性的安全事件（Incident），涉及8個攻擊向量。