前情回顧·美國(guó)國(guó)家網(wǎng)絡(luò)防御系統(tǒng)動(dòng)態(tài)

安全內(nèi)參3月23日消息,作為美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)2024財(cái)年預(yù)算申請(qǐng)的重點(diǎn),該機(jī)構(gòu)正在尋求建設(shè)新的“網(wǎng)絡(luò)分析和數(shù)據(jù)系統(tǒng)”(CADS),作為后愛因斯坦(EINSTEIN)時(shí)代國(guó)家網(wǎng)絡(luò)防御體系的中心。

CISA希望在2024財(cái)年為CADS項(xiàng)目提供4.249億美元(約合人民幣28.96億元)。預(yù)算文件解釋稱,該項(xiàng)目的設(shè)想是打造一套“管理所有系統(tǒng)的系統(tǒng)”,提供“一個(gè)強(qiáng)大且可擴(kuò)展和分析環(huán)境,能夠集成任務(wù)可見性數(shù)據(jù)集,并為CISA網(wǎng)絡(luò)操作人員提供可視化工具與高級(jí)分析能力?!?

根據(jù)預(yù)算文件,這項(xiàng)新計(jì)劃也是美國(guó)國(guó)家網(wǎng)絡(luò)安全保護(hù)系統(tǒng)(NCPS,等同于愛因斯坦系統(tǒng))“重組”措施的一部分。愛因斯坦系統(tǒng)由國(guó)土安全部于2003年提出,長(zhǎng)期負(fù)責(zé)保護(hù)聯(lián)邦機(jī)構(gòu)的網(wǎng)絡(luò)體系。

國(guó)家網(wǎng)絡(luò)安全保護(hù)系統(tǒng)的核心基礎(chǔ)設(shè)施、分析和信息共享等功能,將通過此次重組過渡為新的CADS計(jì)劃。而入侵檢測(cè)與防御等功能則將在2024年繼續(xù)保留在愛因斯坦系統(tǒng)之下。

國(guó)土安全部前高級(jí)官員Chris Cummiskey表示,這份預(yù)算案是對(duì)過去幾年間圍繞愛因斯坦系統(tǒng)未來走向這一重大問題做出的回應(yīng)。

“當(dāng)時(shí)的想法是,愛因斯坦系統(tǒng)終將轉(zhuǎn)化成其他形態(tài)。我想我們現(xiàn)在已經(jīng)有了答案。……過去15到20年間,我們?cè)诼?lián)邦政府層面所熟知的愛因斯坦系統(tǒng)將變得截然不同。”

新系統(tǒng)為分析師提效賦能

CISA負(fù)責(zé)網(wǎng)絡(luò)安全的執(zhí)行助理主任Eric Goldstein在一封郵件聲明中表示,新的CADS系統(tǒng)將幫助CISA“在破壞性入侵發(fā)生之前,快速分析、關(guān)聯(lián)并行動(dòng)以解決網(wǎng)絡(luò)安全威脅和漏洞。”

Goldstein解釋道,該系統(tǒng)將整合來自多個(gè)來源的數(shù)據(jù),包括“公共與商業(yè)數(shù)據(jù)饋送;CISA自己的端點(diǎn)檢測(cè)與響應(yīng)傳感器、Protective[域名系統(tǒng)],以及覆蓋美國(guó)數(shù)千家注冊(cè)組織的漏洞掃描服務(wù);還有公共和私營(yíng)合作伙伴共享的數(shù)據(jù)?!?

CADS還將為CISA的網(wǎng)絡(luò)分析師提供統(tǒng)一的數(shù)據(jù)倉庫,讓他們不必像現(xiàn)在這樣,在不同系統(tǒng)之間切換手動(dòng)比較數(shù)據(jù)和威脅信息。

“CADS提供的工具和功能有助于數(shù)據(jù)的攝取、集成、協(xié)調(diào)和自動(dòng)化分析,將支持對(duì)惡意網(wǎng)絡(luò)活動(dòng)的快速識(shí)別、檢測(cè)、緩解和預(yù)防?!?

一位業(yè)內(nèi)消息人士指出,CADS計(jì)劃將為CISA建立一個(gè)工程與軟件開發(fā)中心,確保在CISA快速發(fā)展的同時(shí)滿足其對(duì)工具和分析的需求。

這位消息人士表示,“隨著CISA的發(fā)展成熟,這方面需求也在逐步升級(jí)。CISA希望成長(zhǎng)為一種強(qiáng)大、靈活的資源池,實(shí)現(xiàn)對(duì)軟件、工具和基礎(chǔ)設(shè)施的按需開發(fā)?!?

CISA還要求在2024年繼續(xù)向愛因斯坦系統(tǒng)劃撥6700萬美元運(yùn)營(yíng)經(jīng)費(fèi),并計(jì)劃更換愛因斯坦中遺留的入侵檢測(cè)和預(yù)防工具。

預(yù)算文件提到,在入侵防御方面,CISA計(jì)劃在2024年將愛因斯坦的EINSTEIN Accelerated(E3A)郵件過濾工具“退役”,轉(zhuǎn)為使用其他非機(jī)密性的商業(yè)服務(wù),包括CISA的新Protective DNS服務(wù)。

文件還指出,CISA將繼續(xù)運(yùn)行愛因斯坦的入侵檢測(cè)功能,同時(shí)探索新方案以滿足在聯(lián)邦政府內(nèi)“擴(kuò)大云技術(shù)使用范圍”的目標(biāo)。

超越“愛因斯坦”

在過去二十年間,愛因斯坦計(jì)劃一直是國(guó)土安全部的核心任務(wù)之一,負(fù)責(zé)保衛(wèi)聯(lián)邦文職行政部門的網(wǎng)絡(luò)安全。該系統(tǒng)記錄進(jìn)出機(jī)構(gòu)網(wǎng)絡(luò)的數(shù)據(jù)流量,在識(shí)別到惡意流量時(shí)向機(jī)構(gòu)發(fā)出警報(bào),并會(huì)阻斷已知的網(wǎng)絡(luò)攻擊行為。

但美國(guó)國(guó)會(huì)研究服務(wù)處在2018年的一份報(bào)告中指出,愛因斯坦存在一個(gè)關(guān)鍵限制因素,即必須“之前看到并分析過惡意流量才能起效,無法在首次接觸新的惡意流量時(shí)進(jìn)行識(shí)別?!?

換句話說,愛因斯坦系統(tǒng)“只能阻止已知威脅”。

在2020年SolarWinds事件爆發(fā)后,美國(guó)國(guó)會(huì)開始認(rèn)真關(guān)注這個(gè)重大缺陷。

面對(duì)愛因斯坦耗資60億美元卻效果不佳的質(zhì)疑,CISA官員辯護(hù)稱,這套系統(tǒng)在設(shè)計(jì)之初就沒有考慮過阻止新型供應(yīng)鏈攻擊。

CISA代理局長(zhǎng)Brandon Wales在2021年3月的參議院聽證會(huì)上表示,“我認(rèn)為最好能保留愛因斯坦系統(tǒng)中仍能發(fā)揮作用、提供重要價(jià)值的部分,并把那些缺乏實(shí)際作用的部分替換成新項(xiàng)目。”

在本月初發(fā)布的報(bào)告中,國(guó)土安全部監(jiān)察長(zhǎng)辦公室發(fā)現(xiàn),SolarWinds漏洞“表明CISA的網(wǎng)絡(luò)可見性和威脅識(shí)別技術(shù)需要得到顯著改進(jìn)”。

作為對(duì)這份報(bào)告的回應(yīng),CISA強(qiáng)調(diào)稱正在開發(fā)CADS計(jì)劃,正在為“CADS的持續(xù)交付”整理成本估算和時(shí)間表,預(yù)計(jì)將在3月31日之前交由國(guó)土安全部的項(xiàng)目責(zé)任和風(fēng)險(xiǎn)管理辦公室審批。

雖然這項(xiàng)新計(jì)劃的部門內(nèi)審批正在推進(jìn),但CISA還要想辦法說服國(guó)會(huì)。至于此前遺留的愛因斯坦計(jì)劃,將在2023財(cái)年末獲得重新授權(quán)。

監(jiān)察長(zhǎng)辦公室的報(bào)告還提到,CISA在2023年將擁有2500萬美元的“過橋資金”以繼續(xù)投資基礎(chǔ)設(shè)施和分析能力,直到2024年預(yù)算獲得批準(zhǔn)。

關(guān)于CISA如何實(shí)現(xiàn)新CADS計(jì)劃的詳細(xì)信息尚未公開。Cummiskey表示,如果CISA能夠在2024年成功申請(qǐng)到經(jīng)費(fèi),可能會(huì)很快啟動(dòng)相關(guān)重大采購。

“跟他們過去推進(jìn)持續(xù)診斷和緩解(CDM)計(jì)劃與愛因斯坦計(jì)劃類似,我認(rèn)為這將是網(wǎng)絡(luò)安全行業(yè)在此類特定計(jì)劃中發(fā)揮重要作用的又一關(guān)鍵機(jī)遇。”他說。

參考資料:https://federalnewsnetwork.com/cybersecurity/2023/03/cisa-lays-out-post-einstein-future-with-shift-to-cyber-analytics-and-data-system/

聲明:本文來自安全內(nèi)參,版權(quán)歸作者所有。