前情回顧·美國國家網(wǎng)絡(luò)防御系統(tǒng)動態(tài)

安全內(nèi)參3月23日消息,作為美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)2024財年預(yù)算申請的重點,該機(jī)構(gòu)正在尋求建設(shè)新的“網(wǎng)絡(luò)分析和數(shù)據(jù)系統(tǒng)”(CADS),作為后愛因斯坦(EINSTEIN)時代國家網(wǎng)絡(luò)防御體系的中心。

CISA希望在2024財年為CADS項目提供4.249億美元(約合人民幣28.96億元)。預(yù)算文件解釋稱,該項目的設(shè)想是打造一套“管理所有系統(tǒng)的系統(tǒng)”,提供“一個強大且可擴(kuò)展和分析環(huán)境,能夠集成任務(wù)可見性數(shù)據(jù)集,并為CISA網(wǎng)絡(luò)操作人員提供可視化工具與高級分析能力?!?

根據(jù)預(yù)算文件,這項新計劃也是美國國家網(wǎng)絡(luò)安全保護(hù)系統(tǒng)(NCPS,等同于愛因斯坦系統(tǒng))“重組”措施的一部分。愛因斯坦系統(tǒng)由國土安全部于2003年提出,長期負(fù)責(zé)保護(hù)聯(lián)邦機(jī)構(gòu)的網(wǎng)絡(luò)體系。

國家網(wǎng)絡(luò)安全保護(hù)系統(tǒng)的核心基礎(chǔ)設(shè)施、分析和信息共享等功能,將通過此次重組過渡為新的CADS計劃。而入侵檢測與防御等功能則將在2024年繼續(xù)保留在愛因斯坦系統(tǒng)之下。

國土安全部前高級官員Chris Cummiskey表示,這份預(yù)算案是對過去幾年間圍繞愛因斯坦系統(tǒng)未來走向這一重大問題做出的回應(yīng)。

“當(dāng)時的想法是,愛因斯坦系統(tǒng)終將轉(zhuǎn)化成其他形態(tài)。我想我們現(xiàn)在已經(jīng)有了答案?!^去15到20年間,我們在聯(lián)邦政府層面所熟知的愛因斯坦系統(tǒng)將變得截然不同?!?

新系統(tǒng)為分析師提效賦能

CISA負(fù)責(zé)網(wǎng)絡(luò)安全的執(zhí)行助理主任Eric Goldstein在一封郵件聲明中表示,新的CADS系統(tǒng)將幫助CISA“在破壞性入侵發(fā)生之前,快速分析、關(guān)聯(lián)并行動以解決網(wǎng)絡(luò)安全威脅和漏洞?!?/span>

Goldstein解釋道,該系統(tǒng)將整合來自多個來源的數(shù)據(jù),包括“公共與商業(yè)數(shù)據(jù)饋送;CISA自己的端點檢測與響應(yīng)傳感器、Protective[域名系統(tǒng)],以及覆蓋美國數(shù)千家注冊組織的漏洞掃描服務(wù);還有公共和私營合作伙伴共享的數(shù)據(jù)?!?

CADS還將為CISA的網(wǎng)絡(luò)分析師提供統(tǒng)一的數(shù)據(jù)倉庫,讓他們不必像現(xiàn)在這樣,在不同系統(tǒng)之間切換手動比較數(shù)據(jù)和威脅信息。

“CADS提供的工具和功能有助于數(shù)據(jù)的攝取、集成、協(xié)調(diào)和自動化分析,將支持對惡意網(wǎng)絡(luò)活動的快速識別、檢測、緩解和預(yù)防?!?

一位業(yè)內(nèi)消息人士指出,CADS計劃將為CISA建立一個工程與軟件開發(fā)中心,確保在CISA快速發(fā)展的同時滿足其對工具和分析的需求。

這位消息人士表示,“隨著CISA的發(fā)展成熟,這方面需求也在逐步升級。CISA希望成長為一種強大、靈活的資源池,實現(xiàn)對軟件、工具和基礎(chǔ)設(shè)施的按需開發(fā)?!?

CISA還要求在2024年繼續(xù)向愛因斯坦系統(tǒng)劃撥6700萬美元運營經(jīng)費,并計劃更換愛因斯坦中遺留的入侵檢測和預(yù)防工具。

預(yù)算文件提到,在入侵防御方面,CISA計劃在2024年將愛因斯坦的EINSTEIN Accelerated(E3A)郵件過濾工具“退役”,轉(zhuǎn)為使用其他非機(jī)密性的商業(yè)服務(wù),包括CISA的新Protective DNS服務(wù)。

文件還指出,CISA將繼續(xù)運行愛因斯坦的入侵檢測功能,同時探索新方案以滿足在聯(lián)邦政府內(nèi)“擴(kuò)大云技術(shù)使用范圍”的目標(biāo)。

超越“愛因斯坦”

在過去二十年間,愛因斯坦計劃一直是國土安全部的核心任務(wù)之一,負(fù)責(zé)保衛(wèi)聯(lián)邦文職行政部門的網(wǎng)絡(luò)安全。該系統(tǒng)記錄進(jìn)出機(jī)構(gòu)網(wǎng)絡(luò)的數(shù)據(jù)流量,在識別到惡意流量時向機(jī)構(gòu)發(fā)出警報,并會阻斷已知的網(wǎng)絡(luò)攻擊行為。

但美國國會研究服務(wù)處在2018年的一份報告中指出,愛因斯坦存在一個關(guān)鍵限制因素,即必須“之前看到并分析過惡意流量才能起效,無法在首次接觸新的惡意流量時進(jìn)行識別?!?

換句話說,愛因斯坦系統(tǒng)“只能阻止已知威脅”。

在2020年SolarWinds事件爆發(fā)后,美國國會開始認(rèn)真關(guān)注這個重大缺陷。

面對愛因斯坦耗資60億美元卻效果不佳的質(zhì)疑,CISA官員辯護(hù)稱,這套系統(tǒng)在設(shè)計之初就沒有考慮過阻止新型供應(yīng)鏈攻擊。

CISA代理局長Brandon Wales在2021年3月的參議院聽證會上表示,“我認(rèn)為最好能保留愛因斯坦系統(tǒng)中仍能發(fā)揮作用、提供重要價值的部分,并把那些缺乏實際作用的部分替換成新項目?!?

在本月初發(fā)布的報告中,國土安全部監(jiān)察長辦公室發(fā)現(xiàn),SolarWinds漏洞“表明CISA的網(wǎng)絡(luò)可見性和威脅識別技術(shù)需要得到顯著改進(jìn)”。

作為對這份報告的回應(yīng),CISA強調(diào)稱正在開發(fā)CADS計劃,正在為“CADS的持續(xù)交付”整理成本估算和時間表,預(yù)計將在3月31日之前交由國土安全部的項目責(zé)任和風(fēng)險管理辦公室審批

雖然這項新計劃的部門內(nèi)審批正在推進(jìn),但CISA還要想辦法說服國會。至于此前遺留的愛因斯坦計劃,將在2023財年末獲得重新授權(quán)。

監(jiān)察長辦公室的報告還提到,CISA在2023年將擁有2500萬美元的“過橋資金”以繼續(xù)投資基礎(chǔ)設(shè)施和分析能力,直到2024年預(yù)算獲得批準(zhǔn)。

關(guān)于CISA如何實現(xiàn)新CADS計劃的詳細(xì)信息尚未公開。Cummiskey表示,如果CISA能夠在2024年成功申請到經(jīng)費,可能會很快啟動相關(guān)重大采購。

“跟他們過去推進(jìn)持續(xù)診斷和緩解(CDM)計劃與愛因斯坦計劃類似,我認(rèn)為這將是網(wǎng)絡(luò)安全行業(yè)在此類特定計劃中發(fā)揮重要作用的又一關(guān)鍵機(jī)遇?!彼f。

參考資料:https://federalnewsnetwork.com/cybersecurity/2023/03/cisa-lays-out-post-einstein-future-with-shift-to-cyber-analytics-and-data-system/

聲明:本文來自安全內(nèi)參,版權(quán)歸作者所有。