前情回顧·美國(guó)國(guó)家網(wǎng)絡(luò)防御系統(tǒng)動(dòng)態(tài)

安全內(nèi)參3月23日消息,作為美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)2024財(cái)年預(yù)算申請(qǐng)的重點(diǎn),該機(jī)構(gòu)正在尋求建設(shè)新的“網(wǎng)絡(luò)分析和數(shù)據(jù)系統(tǒng)”(CADS),作為后愛(ài)因斯坦(EINSTEIN)時(shí)代國(guó)家網(wǎng)絡(luò)防御體系的中心

CISA希望在2024財(cái)年為CADS項(xiàng)目提供4.249億美元(約合人民幣28.96億元)。預(yù)算文件解釋稱,該項(xiàng)目的設(shè)想是打造一套“管理所有系統(tǒng)的系統(tǒng)”,提供“一個(gè)強(qiáng)大且可擴(kuò)展和分析環(huán)境,能夠集成任務(wù)可見(jiàn)性數(shù)據(jù)集,并為CISA網(wǎng)絡(luò)操作人員提供可視化工具與高級(jí)分析能力?!?

根據(jù)預(yù)算文件,這項(xiàng)新計(jì)劃也是美國(guó)國(guó)家網(wǎng)絡(luò)安全保護(hù)系統(tǒng)(NCPS,等同于愛(ài)因斯坦系統(tǒng))“重組”措施的一部分。愛(ài)因斯坦系統(tǒng)由國(guó)土安全部于2003年提出,長(zhǎng)期負(fù)責(zé)保護(hù)聯(lián)邦機(jī)構(gòu)的網(wǎng)絡(luò)體系。

國(guó)家網(wǎng)絡(luò)安全保護(hù)系統(tǒng)的核心基礎(chǔ)設(shè)施、分析和信息共享等功能,將通過(guò)此次重組過(guò)渡為新的CADS計(jì)劃。而入侵檢測(cè)與防御等功能則將在2024年繼續(xù)保留在愛(ài)因斯坦系統(tǒng)之下。

國(guó)土安全部前高級(jí)官員Chris Cummiskey表示,這份預(yù)算案是對(duì)過(guò)去幾年間圍繞愛(ài)因斯坦系統(tǒng)未來(lái)走向這一重大問(wèn)題做出的回應(yīng)。

“當(dāng)時(shí)的想法是,愛(ài)因斯坦系統(tǒng)終將轉(zhuǎn)化成其他形態(tài)。我想我們現(xiàn)在已經(jīng)有了答案?!^(guò)去15到20年間,我們?cè)诼?lián)邦政府層面所熟知的愛(ài)因斯坦系統(tǒng)將變得截然不同?!?

新系統(tǒng)為分析師提效賦能

CISA負(fù)責(zé)網(wǎng)絡(luò)安全的執(zhí)行助理主任Eric Goldstein在一封郵件聲明中表示,新的CADS系統(tǒng)將幫助CISA“在破壞性入侵發(fā)生之前,快速分析、關(guān)聯(lián)并行動(dòng)以解決網(wǎng)絡(luò)安全威脅和漏洞。”

Goldstein解釋道,該系統(tǒng)將整合來(lái)自多個(gè)來(lái)源的數(shù)據(jù),包括“公共與商業(yè)數(shù)據(jù)饋送;CISA自己的端點(diǎn)檢測(cè)與響應(yīng)傳感器、Protective[域名系統(tǒng)],以及覆蓋美國(guó)數(shù)千家注冊(cè)組織的漏洞掃描服務(wù);還有公共和私營(yíng)合作伙伴共享的數(shù)據(jù)?!?

CADS還將為CISA的網(wǎng)絡(luò)分析師提供統(tǒng)一的數(shù)據(jù)倉(cāng)庫(kù),讓他們不必像現(xiàn)在這樣,在不同系統(tǒng)之間切換手動(dòng)比較數(shù)據(jù)和威脅信息。

“CADS提供的工具和功能有助于數(shù)據(jù)的攝取、集成、協(xié)調(diào)和自動(dòng)化分析,將支持對(duì)惡意網(wǎng)絡(luò)活動(dòng)的快速識(shí)別、檢測(cè)、緩解和預(yù)防?!?

一位業(yè)內(nèi)消息人士指出,CADS計(jì)劃將為CISA建立一個(gè)工程與軟件開發(fā)中心,確保在CISA快速發(fā)展的同時(shí)滿足其對(duì)工具和分析的需求。

這位消息人士表示,“隨著CISA的發(fā)展成熟,這方面需求也在逐步升級(jí)。CISA希望成長(zhǎng)為一種強(qiáng)大、靈活的資源池,實(shí)現(xiàn)對(duì)軟件、工具和基礎(chǔ)設(shè)施的按需開發(fā)?!?

CISA還要求在2024年繼續(xù)向愛(ài)因斯坦系統(tǒng)劃撥6700萬(wàn)美元運(yùn)營(yíng)經(jīng)費(fèi),并計(jì)劃更換愛(ài)因斯坦中遺留的入侵檢測(cè)和預(yù)防工具。

預(yù)算文件提到,在入侵防御方面,CISA計(jì)劃在2024年將愛(ài)因斯坦的EINSTEIN Accelerated(E3A)郵件過(guò)濾工具“退役”,轉(zhuǎn)為使用其他非機(jī)密性的商業(yè)服務(wù),包括CISA的新Protective DNS服務(wù)。

文件還指出,CISA將繼續(xù)運(yùn)行愛(ài)因斯坦的入侵檢測(cè)功能,同時(shí)探索新方案以滿足在聯(lián)邦政府內(nèi)“擴(kuò)大云技術(shù)使用范圍”的目標(biāo)。

超越“愛(ài)因斯坦”

在過(guò)去二十年間,愛(ài)因斯坦計(jì)劃一直是國(guó)土安全部的核心任務(wù)之一,負(fù)責(zé)保衛(wèi)聯(lián)邦文職行政部門的網(wǎng)絡(luò)安全。該系統(tǒng)記錄進(jìn)出機(jī)構(gòu)網(wǎng)絡(luò)的數(shù)據(jù)流量,在識(shí)別到惡意流量時(shí)向機(jī)構(gòu)發(fā)出警報(bào),并會(huì)阻斷已知的網(wǎng)絡(luò)攻擊行為。

但美國(guó)國(guó)會(huì)研究服務(wù)處在2018年的一份報(bào)告中指出,愛(ài)因斯坦存在一個(gè)關(guān)鍵限制因素,即必須“之前看到并分析過(guò)惡意流量才能起效,無(wú)法在首次接觸新的惡意流量時(shí)進(jìn)行識(shí)別?!?

換句話說(shuō),愛(ài)因斯坦系統(tǒng)“只能阻止已知威脅”。

在2020年SolarWinds事件爆發(fā)后,美國(guó)國(guó)會(huì)開始認(rèn)真關(guān)注這個(gè)重大缺陷。

面對(duì)愛(ài)因斯坦耗資60億美元卻效果不佳的質(zhì)疑,CISA官員辯護(hù)稱,這套系統(tǒng)在設(shè)計(jì)之初就沒(méi)有考慮過(guò)阻止新型供應(yīng)鏈攻擊。

CISA代理局長(zhǎng)Brandon Wales在2021年3月的參議院聽(tīng)證會(huì)上表示,“我認(rèn)為最好能保留愛(ài)因斯坦系統(tǒng)中仍能發(fā)揮作用、提供重要價(jià)值的部分,并把那些缺乏實(shí)際作用的部分替換成新項(xiàng)目?!?

在本月初發(fā)布的報(bào)告中,國(guó)土安全部監(jiān)察長(zhǎng)辦公室發(fā)現(xiàn),SolarWinds漏洞“表明CISA的網(wǎng)絡(luò)可見(jiàn)性和威脅識(shí)別技術(shù)需要得到顯著改進(jìn)”。

作為對(duì)這份報(bào)告的回應(yīng),CISA強(qiáng)調(diào)稱正在開發(fā)CADS計(jì)劃,正在為“CADS的持續(xù)交付”整理成本估算和時(shí)間表,預(yù)計(jì)將在3月31日之前交由國(guó)土安全部的項(xiàng)目責(zé)任和風(fēng)險(xiǎn)管理辦公室審批。

雖然這項(xiàng)新計(jì)劃的部門內(nèi)審批正在推進(jìn),但CISA還要想辦法說(shuō)服國(guó)會(huì)。至于此前遺留的愛(ài)因斯坦計(jì)劃,將在2023財(cái)年末獲得重新授權(quán)。

監(jiān)察長(zhǎng)辦公室的報(bào)告還提到,CISA在2023年將擁有2500萬(wàn)美元的“過(guò)橋資金”以繼續(xù)投資基礎(chǔ)設(shè)施和分析能力,直到2024年預(yù)算獲得批準(zhǔn)。

關(guān)于CISA如何實(shí)現(xiàn)新CADS計(jì)劃的詳細(xì)信息尚未公開。Cummiskey表示,如果CISA能夠在2024年成功申請(qǐng)到經(jīng)費(fèi),可能會(huì)很快啟動(dòng)相關(guān)重大采購(gòu)。

“跟他們過(guò)去推進(jìn)持續(xù)診斷和緩解(CDM)計(jì)劃與愛(ài)因斯坦計(jì)劃類似,我認(rèn)為這將是網(wǎng)絡(luò)安全行業(yè)在此類特定計(jì)劃中發(fā)揮重要作用的又一關(guān)鍵機(jī)遇?!彼f(shuō)。

參考資料:https://federalnewsnetwork.com/cybersecurity/2023/03/cisa-lays-out-post-einstein-future-with-shift-to-cyber-analytics-and-data-system/

聲明:本文來(lái)自安全內(nèi)參,版權(quán)歸作者所有。