前情回顧·美國國家網(wǎng)絡防御系統(tǒng)動態(tài)

安全內參3月23日消息,作為美國網(wǎng)絡安全和基礎設施安全局(CISA)2024財年預算申請的重點,該機構正在尋求建設新的“網(wǎng)絡分析和數(shù)據(jù)系統(tǒng)”(CADS),作為后愛因斯坦(EINSTEIN)時代國家網(wǎng)絡防御體系的中心。

CISA希望在2024財年為CADS項目提供4.249億美元(約合人民幣28.96億元)。預算文件解釋稱,該項目的設想是打造一套“管理所有系統(tǒng)的系統(tǒng)”,提供“一個強大且可擴展和分析環(huán)境,能夠集成任務可見性數(shù)據(jù)集,并為CISA網(wǎng)絡操作人員提供可視化工具與高級分析能力?!?

根據(jù)預算文件,這項新計劃也是美國國家網(wǎng)絡安全保護系統(tǒng)(NCPS,等同于愛因斯坦系統(tǒng))“重組”措施的一部分。愛因斯坦系統(tǒng)由國土安全部于2003年提出,長期負責保護聯(lián)邦機構的網(wǎng)絡體系。

國家網(wǎng)絡安全保護系統(tǒng)的核心基礎設施、分析和信息共享等功能,將通過此次重組過渡為新的CADS計劃。而入侵檢測與防御等功能則將在2024年繼續(xù)保留在愛因斯坦系統(tǒng)之下。

國土安全部前高級官員Chris Cummiskey表示,這份預算案是對過去幾年間圍繞愛因斯坦系統(tǒng)未來走向這一重大問題做出的回應。

“當時的想法是,愛因斯坦系統(tǒng)終將轉化成其他形態(tài)。我想我們現(xiàn)在已經(jīng)有了答案?!^去15到20年間,我們在聯(lián)邦政府層面所熟知的愛因斯坦系統(tǒng)將變得截然不同?!?

新系統(tǒng)為分析師提效賦能

CISA負責網(wǎng)絡安全的執(zhí)行助理主任Eric Goldstein在一封郵件聲明中表示,新的CADS系統(tǒng)將幫助CISA“在破壞性入侵發(fā)生之前,快速分析、關聯(lián)并行動以解決網(wǎng)絡安全威脅和漏洞?!?/span>

Goldstein解釋道,該系統(tǒng)將整合來自多個來源的數(shù)據(jù),包括“公共與商業(yè)數(shù)據(jù)饋送;CISA自己的端點檢測與響應傳感器、Protective[域名系統(tǒng)],以及覆蓋美國數(shù)千家注冊組織的漏洞掃描服務;還有公共和私營合作伙伴共享的數(shù)據(jù)?!?

CADS還將為CISA的網(wǎng)絡分析師提供統(tǒng)一的數(shù)據(jù)倉庫,讓他們不必像現(xiàn)在這樣,在不同系統(tǒng)之間切換手動比較數(shù)據(jù)和威脅信息。

“CADS提供的工具和功能有助于數(shù)據(jù)的攝取、集成、協(xié)調和自動化分析,將支持對惡意網(wǎng)絡活動的快速識別、檢測、緩解和預防?!?

一位業(yè)內消息人士指出,CADS計劃將為CISA建立一個工程與軟件開發(fā)中心,確保在CISA快速發(fā)展的同時滿足其對工具和分析的需求。

這位消息人士表示,“隨著CISA的發(fā)展成熟,這方面需求也在逐步升級。CISA希望成長為一種強大、靈活的資源池,實現(xiàn)對軟件、工具和基礎設施的按需開發(fā)?!?

CISA還要求在2024年繼續(xù)向愛因斯坦系統(tǒng)劃撥6700萬美元運營經(jīng)費,并計劃更換愛因斯坦中遺留的入侵檢測和預防工具。

預算文件提到,在入侵防御方面,CISA計劃在2024年將愛因斯坦的EINSTEIN Accelerated(E3A)郵件過濾工具“退役”,轉為使用其他非機密性的商業(yè)服務,包括CISA的新Protective DNS服務。

文件還指出,CISA將繼續(xù)運行愛因斯坦的入侵檢測功能,同時探索新方案以滿足在聯(lián)邦政府內“擴大云技術使用范圍”的目標。

超越“愛因斯坦”

在過去二十年間,愛因斯坦計劃一直是國土安全部的核心任務之一,負責保衛(wèi)聯(lián)邦文職行政部門的網(wǎng)絡安全。該系統(tǒng)記錄進出機構網(wǎng)絡的數(shù)據(jù)流量,在識別到惡意流量時向機構發(fā)出警報,并會阻斷已知的網(wǎng)絡攻擊行為。

但美國國會研究服務處在2018年的一份報告中指出,愛因斯坦存在一個關鍵限制因素,即必須“之前看到并分析過惡意流量才能起效,無法在首次接觸新的惡意流量時進行識別。”

換句話說,愛因斯坦系統(tǒng)“只能阻止已知威脅”。

在2020年SolarWinds事件爆發(fā)后,美國國會開始認真關注這個重大缺陷。

面對愛因斯坦耗資60億美元卻效果不佳的質疑,CISA官員辯護稱,這套系統(tǒng)在設計之初就沒有考慮過阻止新型供應鏈攻擊。

CISA代理局長Brandon Wales在2021年3月的參議院聽證會上表示,“我認為最好能保留愛因斯坦系統(tǒng)中仍能發(fā)揮作用、提供重要價值的部分,并把那些缺乏實際作用的部分替換成新項目?!?

在本月初發(fā)布的報告中,國土安全部監(jiān)察長辦公室發(fā)現(xiàn),SolarWinds漏洞“表明CISA的網(wǎng)絡可見性和威脅識別技術需要得到顯著改進”

作為對這份報告的回應,CISA強調稱正在開發(fā)CADS計劃,正在為“CADS的持續(xù)交付”整理成本估算和時間表,預計將在3月31日之前交由國土安全部的項目責任和風險管理辦公室審批

雖然這項新計劃的部門內審批正在推進,但CISA還要想辦法說服國會。至于此前遺留的愛因斯坦計劃,將在2023財年末獲得重新授權。

監(jiān)察長辦公室的報告還提到,CISA在2023年將擁有2500萬美元的“過橋資金”以繼續(xù)投資基礎設施和分析能力,直到2024年預算獲得批準。

關于CISA如何實現(xiàn)新CADS計劃的詳細信息尚未公開。Cummiskey表示,如果CISA能夠在2024年成功申請到經(jīng)費,可能會很快啟動相關重大采購。

“跟他們過去推進持續(xù)診斷和緩解(CDM)計劃與愛因斯坦計劃類似,我認為這將是網(wǎng)絡安全行業(yè)在此類特定計劃中發(fā)揮重要作用的又一關鍵機遇。”他說。

參考資料:https://federalnewsnetwork.com/cybersecurity/2023/03/cisa-lays-out-post-einstein-future-with-shift-to-cyber-analytics-and-data-system/

聲明:本文來自安全內參,版權歸作者所有。