美國搬出“愛因斯坦”拯救網(wǎng)絡安全

卡勒沃爾夫 2017-03-30

展開全文

1

　　國土安全部主導“愛因斯坦計劃”

　　“愛因斯坦計劃”是美國國土安全部（DHS - Department of Homeland Security）主導的一個網(wǎng)絡安全自動監(jiān)測項目，由國土安全部下屬的美國計算機應急響應中心（US-CERT）開發(fā)，用于監(jiān)測針對政府網(wǎng)絡的入侵行為，保護政府非涉密網(wǎng)絡系統(tǒng)的安全?！皭垡蛩固褂媱潯弊钤缙鹨蛴?002年的《國土安全法》和《聯(lián)邦信息安全管理法案》（FISMA），2003年12月17日由國土安全總統(tǒng)令（HSPD 7）正式提出。2009年美國政府啟動“國家網(wǎng)絡空間安全全面創(chuàng)新計劃”（CNCI- Comprehensive National Cybersecurity Initiative），國土安全部響應計劃要求，提出建設“國家網(wǎng)絡空間安全保護系統(tǒng)”（NCPS - National Cybersecurity Protection System），“愛因斯坦計劃”作為執(zhí)行層面的具體項目納入到NCPS中。

　　國土安全部的重要使命之一是負責美國聯(lián)邦政府非密信息系統(tǒng)的安全，面向聯(lián)邦民口政府機構提供基本的安全保障（安全基線-security baseline），協(xié)助政府機構有效管理網(wǎng)絡安全風險，所提供的基本安全保障能力就是部分通過“愛因斯坦”系統(tǒng)實現(xiàn)的?！皭垡蛩固埂毕到y(tǒng)在聯(lián)邦政府網(wǎng)絡空間安全方面有兩個重要作用：一是“愛因斯坦”系統(tǒng)檢測并防止聯(lián)邦機構免受網(wǎng)絡攻擊；二是為國土安全部提供威脅情報態(tài)勢感知能力，如檢測到一個機構受到網(wǎng)絡攻擊威脅，能及時響應保護其余的機構，并幫助保護民營部門，也就是“一人發(fā)燒感冒，大家吃藥預防”的思想。

　　NCPS已經(jīng)在美國政府機構中除國防部門之外的23個聯(lián)邦政府機構中部署運行。國土安全部在弗吉尼亞州阿靈頓市興建了一個運營中心（NCCIC - National Cybersecurity and Communications Integration Center），7×24小時監(jiān)測針對美國重要/關鍵基礎設施的網(wǎng)絡攻擊和針對美國國家安全的網(wǎng)絡威脅。

　　2

　　與“愛因斯坦計劃”相關的項目

　　NCPS計劃是一個龐大的計劃，除了 “愛因斯坦計劃”之外，還有兩個落地項目是“可信互聯(lián)網(wǎng)接入（TIC-Trusted Internet Connection）”和“持續(xù)診斷與緩解 (CDM - Continuous Diagnostics and Mitigation) ”。CDM是國土安全部牽頭負責集中開發(fā)的項目，具體落實NIST提出的信息安全持續(xù)監(jiān)測（ISCM）策略（關注中國保密協(xié)會科技分會官微，了解“美國信息安全持續(xù)監(jiān)測（ISCM）簡介”）。

　　TIC計劃由國土安全部、美國行政管理和預算局（OMB）牽頭。根據(jù)OMB備忘錄（OMB Memorandum M-08-05），TIC的目標是優(yōu)化和標準化當前聯(lián)邦機構在用的包括互聯(lián)網(wǎng)在內的外部網(wǎng)絡連接。該項目通過減少和加固外部網(wǎng)絡連接，提升聯(lián)邦政府安全態(tài)勢和應急響應能力，同時提供對外部網(wǎng)絡連接的強大監(jiān)視和態(tài)勢感知能力。具體操作上，將聯(lián)邦政府各部門網(wǎng)絡合并成單一的、接入TIC的政府網(wǎng)絡，為聯(lián)邦政府網(wǎng)絡提供一個共同的安全解決方案。

　　3

　　“愛因斯坦計劃”的基本架構

　　愛因斯坦計劃實際上是一個入侵檢測系統(tǒng)，可監(jiān)視美國政府機關各部門網(wǎng)絡關口的非授權流量。2013年DHS下屬的網(wǎng)絡安全部門（NSD）開始實施具有初步入侵防御能力的“EINSTEIN 3A”，可提供 .gov網(wǎng)站的主動防護能力。其中有一個支持主動防御功能的主要模塊稱為“鳥巢（Nest）”，該模塊是一個保密設備，部署在每個.gov網(wǎng)絡的出入口，有惡意流量阻斷、域名服務器阻斷和郵件過濾等功能。DHS將惡意活動的專用指示信息（specific indicators）共享給互聯(lián)網(wǎng)服務提供商（ISP），ISP依此檢測和特征匹配已知惡意網(wǎng)絡流量模式。該計劃如果全面部署，就能發(fā)揮出“國家網(wǎng)絡空間安全保護系統(tǒng)（NCPS）”的作用，一旦根據(jù)特征檢測到已知或受質疑的網(wǎng)絡攻擊威脅，NCPS應該可以阻止網(wǎng)絡威脅并防止破壞攻擊目標，也可以借助來自商業(yè)界和政府的資源為所有聯(lián)邦機構提供在線的防護措施。

　　4

　　“愛因斯坦計劃”進展

　　“愛因斯坦計劃”從2003年開始，已經(jīng)經(jīng)歷了兩次重大升級，從EINSTEIN 1、EINSTEIN 2到目前的EINSTEIN 3A，目標和功能都有了調整，錢也花了不少。根據(jù)2015年4月美國審計署（GAO）的報告，截至2014年，該計劃已經(jīng)累計花費了12.5億美元。經(jīng)費投入總體呈現(xiàn)增長趨勢，投入比例從早期關注入侵檢測逐步轉向關注入侵防御、分析和共享能力建設。

　　5

　　對“愛因斯坦計劃”的詬病

　　2015年6月初，美國人事管理局(OPM)的電腦遭到大規(guī)模網(wǎng)絡攻擊，導致400萬現(xiàn)任和前任員工個人信息被盜。這件事情引起官方和社會輿論對國土安全部花費上百億美元打造的網(wǎng)絡安全計劃NCPS的普遍質疑。人事管理局(OPM)也是國土安全部部署“愛因斯坦計劃”和“持續(xù)診斷與緩解CDM”的部門，這兩個項目曾號稱是能夠實時對抗此類攻擊的基石。不幸的是，這個“基石”用了5個月時間才發(fā)現(xiàn)這次大規(guī)模網(wǎng)絡攻擊，而攻擊的影響還在進行評估分析中。

　　來自GAO的批評：2016年1月，美國審計署（GAO，General Accounting Office）提交的一份給國會的報告《DHS Needs to Enhance Capabilities, Improve Planning, and Support Greater Adoption of Its National Cybersecurity Protection System》，該報告對“愛因斯坦計劃”項目提出了嚴厲的批評，稱該系統(tǒng)“言過其實”，沒有達到其原來聲稱的目標，僅“部分達標”。該系統(tǒng)在入侵檢測、入侵防御、分析能力和信息共享等方面都存在較大差距。

　　根據(jù)GAO報告，NCPS僅僅能從2014年CVE報告的489個漏洞里檢測出來其中的29個，檢測成功率不到6%，94%的漏洞檢測失效。另外，國土安全部雖然研究了NCPS性能的測試方法，但是并沒有給出該系統(tǒng)入侵檢測和防御等方面在質量、準確度和有效性上的指標。結果是國土安全部不能描述NCPS的貢獻和價值。需要支持的23家聯(lián)邦機構，只有5家能夠獲得入侵防御的服務。因此，這套系統(tǒng)的實效性非常有限。

　　來自民間的批評：人事管理局(OPM)遭到大規(guī)模網(wǎng)絡攻擊，也引起社會輿論和民間對“愛因斯坦計劃”和“持續(xù)診斷與緩解CDM”項目的廣泛批評。