美國搬出“愛因斯坦”拯救網絡安全
1.國土安全部主導“愛因斯坦計劃”
“愛因斯坦計劃”是美國國土安全部(DHS - Department of Homeland Security)主導的一個網絡安全自動監測項目,由國土安全部下屬的美國計算機應急響應中心(US-CERT)開發,用于監測針對政府網絡的入侵行為,保護政府非涉密網絡系統的安全。“愛因斯坦計劃”最早起因于2002年的《國土安全法》和《聯邦信息安全管理法案》(FISMA),2003年12月17日由國土安全總統令(HSPD 7)正式提出。2009年美國政府啟動“國家網絡空間安全全面創新計劃”(CNCI- Comprehensive National Cybersecurity Initiative),國土安全部響應計劃要求,提出建設“國家網絡空間安全保護系統”(NCPS - National Cybersecurity Protection System),“愛因斯坦計劃”作為執行層面的具體項目納入到NCPS中。
國土安全部的重要使命之一是負責美國聯邦政府非密信息系統的安全,面向聯邦民口政府機構提供基本的安全保障(安全基線-security baseline),協助政府機構有效管理網絡安全風險,所提供的基本安全保障能力就是部分通過“愛因斯坦”系統實現的。“愛因斯坦”系統在聯邦政府網絡空間安全方面有兩個重要作用:一是“愛因斯坦”系統檢測并防止聯邦機構免受網絡攻擊;二是為國土安全部提供威脅情報態勢感知能力,如檢測到一個機構受到網絡攻擊威脅,能及時響應保護其余的機構,并幫助保護民營部門,也就是“一人發燒感冒,大家吃藥預防”的思想。
NCPS已經在美國政府機構中除國防部門之外的23個聯邦政府機構中部署運行。國土安全部在弗吉尼亞州阿靈頓市興建了一個運營中心(NCCIC - National Cybersecurity and Communications Integration Center),7×24小時監測針對美國重要/關鍵基礎設施的網絡攻擊和針對美國國家安全的網絡威脅。
2.與“愛因斯坦計劃”相關的項目
NCPS計劃是一個龐大的計劃,除了 “愛因斯坦計劃”之外,還有兩個落地項目是“可信互聯網接入(TIC-Trusted Internet Connection)”和“持續診斷與緩解 (CDM - Continuous Diagnostics and Mitigation) ”。CDM是國土安全部牽頭負責集中開發的項目,具體落實NIST提出的信息安全持續監測(ISCM)策略(關注中國保密協會科技分會官微,了解“美國信息安全持續監測(ISCM)簡介”)。
TIC計劃由國土安全部、美國行政管理和預算局(OMB)牽頭。根據OMB備忘錄(OMB Memorandum M-08-05),TIC的目標是優化和標準化當前聯邦機構在用的包括互聯網在內的外部網絡連接。該項目通過減少和加固外部網絡連接,提升聯邦政府安全態勢和應急響應能力,同時提供對外部網絡連接的強大監視和態勢感知能力。具體操作上,將聯邦政府各部門網絡合并成單一的、接入TIC的政府網絡,為聯邦政府網絡提供一個共同的安全解決方案。
3.“愛因斯坦計劃”的基本架構
愛因斯坦計劃實際上是一個入侵檢測系統,可監視美國政府機關各部門網絡關口的非授權流量。2013年DHS下屬的網絡安全部門(NSD)開始實施具有初步入侵防御能力的“EINSTEIN 3A”,可提供 .gov網站的主動防護能力。其中有一個支持主動防御功能的主要模塊稱為“鳥巢(Nest)”,該模塊是一個保密設備,部署在每個.gov網絡的出入口,有惡意流量阻斷、域名服務器阻斷和郵件過濾等功能。DHS將惡意活動的專用指示信息(specific indicators)共享給互聯網服務提供商(ISP),ISP依此檢測和特征匹配已知惡意網絡流量模式。該計劃如果全面部署,就能發揮出“國家網絡空間安全保護系統(NCPS)”的作用,一旦根據特征檢測到已知或受質疑的網絡攻擊威脅,NCPS應該可以阻止網絡威脅并防止破壞攻擊目標,也可以借助來自商業界和政府的資源為所有聯邦機構提供在線的防護措施。
4.“愛因斯坦計劃”進展
“愛因斯坦計劃”從2003年開始,已經經歷了兩次重大升級,從EINSTEIN 1、EINSTEIN 2到目前的EINSTEIN 3A,目標和功能都有了調整,錢也花了不少。根據2015年4月美國審計署(GAO)的報告,截至2014年,該計劃已經累計花費了12.5億美元。經費投入總體呈現增長趨勢,投入比例從早期關注入侵檢測逐步轉向關注入侵防御、分析和共享能力建設。
5.對“愛因斯坦計劃”的詬病
2015年6月初,美國人事管理局(OPM)的電腦遭到大規模網絡攻擊,導致400萬現任和前任員工個人信息被盜。這件事情引起官方和社會輿論對國土安全部花費上百億美元打造的網絡安全計劃NCPS的普遍質疑。人事管理局(OPM)也是國土安全部部署“愛因斯坦計劃”和“持續診斷與緩解CDM”的部門,這兩個項目曾號稱是能夠實時對抗此類攻擊的基石。不幸的是,這個“基石”用了5個月時間才發現這次大規模網絡攻擊,而攻擊的影響還在進行評估分析中。
來自GAO的批評:2016年1月,美國審計署(GAO,General Accounting Office)提交的一份給國會的報告《DHS Needs to Enhance Capabilities, Improve Planning, and Support Greater Adoption of Its National Cybersecurity Protection System》,該報告對“愛因斯坦計劃”項目提出了嚴厲的批評,稱該系統“言過其實”,沒有達到其原來聲稱的目標,僅“部分達標”。該系統在入侵檢測、入侵防御、分析能力和信息共享等方面都存在較大差距。
根據GAO報告,NCPS僅僅能從2014年CVE報告的489個漏洞里檢測出來其中的29個,檢測成功率不到6%,94%的漏洞檢測失效。另外,國土安全部雖然研究了NCPS性能的測試方法,但是并沒有給出該系統入侵檢測和防御等方面在質量、準確度和有效性上的指標。結果是國土安全部不能描述NCPS的貢獻和價值。需要支持的23家聯邦機構,只有5家能夠獲得入侵防御的服務。因此,這套系統的實效性非常有限。
來自民間的批評:人事管理局(OPM)遭到大規模網絡攻擊,也引起社會輿論和民間對“愛因斯坦計劃”和“持續診斷與緩解CDM”項目的廣泛批評。
【本文為51CTO專欄作者“中國保密協會科學技術分會”原創稿件,轉載請聯系原作者】
