2023年3月,在全新《美国国家网络安全战略》发布的背景下,拜登政府公布了2024财年的预算申请,包括了262亿美元的网空预算,其中联邦民事机构占127亿美元,国防部占135亿美元。而在联邦民事机构的网空预算中,DHS下的CISA就占了31亿美元,其中有4.25亿美元用于一个新的计划——网络分析与数据系统(Cyber Analytics and Data System)。
从NCPS到CADS
根据CISA公布的部门详细预算,从2024财年开始,将启用一个全新计划——联合协作环境(JCE)——来支撑未来联邦民事机构的态势感知能力。
在JCE中,CISA将在遗留的国家网空安全保护系统(NCPS)计划(也就是我们熟知的爱因斯坦计划)的基础上,为新的网络分析和数据系统(CADS)提供4.25亿美元,以增强CISA的内部分析系统能力并使NCPS现代化。在CADS计划之下,CISA能够开发一个一流的分析环境,集中与任务相关的数据,依托更高程度的自动化,实现更高效的分析。
【原文:Within the JCE, CISA will build upon the legacy National Cybersecurity Protection System (NCPS) program with $425M for the new Cyber Analytics and Data System (CADS) that will build out CISA’s internal analytical system capacity and modernize NCPS. This will enable CISA to develop a best-in-class analytic environment that centralizes mission-relevant data to enable more efficient analysis due to increased automation.】
在受到多年的质疑之后,美国政府终于开启了一个新的系统(CADS)来重塑之前饱受诟病的NCPS。让我们看看这些质疑,以及CADS的由来:
1)2016年1月,GAO的一份审计报告把NCPS推到了风口浪尖。这份报告直指NCPS进度严重偏离预期,且收效不佳。报告认为NCPS检测能力存在缺陷,检测种类缺失,未知威胁检测能力太弱,在各大联邦政府机构的部署范围和程度层次不齐,用户反馈普遍不高,等等。核心点是无法识别未知威胁。
2)2017年3月,GAO在给美国众议院国安委的书面证词中,再次指出了NCPS和CDM项目存在的诸多问题(包括不能识别未知威胁),并促使CISA开始全面重新评估NCPS项目。
3)2018年,美国国会研究服务处在一份报告中指出爱因斯坦存在一个关键限制因素,即必须“事先看到并分析过恶意流量才能起效,无法在首次接触新的恶意流量时进行识别”。换句话说,就是无法识别未知恶意流量(未知威胁)。
4)2020年的Solarwinds攻击事件使得美国联邦政府蒙受损失。事后,人们纷纷质疑耗资60亿美元【笔者注:该数字在2021年的时候变成了72亿美元】的爱因斯坦系统为何没能及时识别攻击,成为促成NCPS真正开始变革的导火索。譬如Bruce Schneier就认为美国政府过于关注进攻(并且这个进攻性策略引发反噬,使得美国遭受了更多的攻击,从而放大了自身防御的薄弱),却在网络防御方面做的太少,“2018年就指出来的缺陷,(至今)未能修复”。同时,还有不少人也在为爱因斯坦计划进行辩护,认为识别solarwind等供应链攻击本就不是一个爱因斯坦能干得到的,是一个系统工程。
4)2021年3月,CISA代理局长Brandon Wales在参议院听证会上表示,“我认为最好能保留爱因斯坦系统中仍能发挥作用、提供重要价值的部分,并把那些缺乏实际作用的部分替换成新项目。”
5)2021年6月,CISA代理局长Brandon Wales在给参议员Ron Wyden的质询回信中写道:“随着越来越多使用加密流量进出联邦网络,十年前发起的(基于签名)的爱因斯坦E2(网络检测)技术已经不能再提供CISA所需的可见性”。
6)2023年3月3日,DHS的监察总长办公室发布了一份审查报告,评估了EO14028的落实情况,认为“CISA需要显著改进网络可见性和威胁识别技术”,并“建议CISA下面的CSD(网络安全部)对NCPS数据分析能力的组织、运行和维护做出并实施一项长期计划”。也正是在这个报告中,CISA表示CSD下面具体负责NCPS的能力交付部提出了一项CADS计划。这个计划的一个重点就是把原NCPS中的数据分析做强。
7)在DHS发布预算后,DHS的前高级官员Chris Cummiskey表示,这份预算案是对过去几年间围绕爱因斯坦系统未来走向这一重大问题做出的回应。“当时的想法是,爱因斯坦系统终将转化成其他形态。我想我们现在已经有了答案。……过去15到20年间,我们在联邦政府层面所熟知的爱因斯坦系统已经变得截然不同。”
CADS计划介绍
概览
CADS是一个系统之系统(system of system,是一个系统工程领域的术语),它提供了一个强大且可伸缩的分析环境,能够集成数据集并提供工具和功能。CADS工具和能力将促进数据的摄取和集成,并通过对数据分析(过程)的编排和自动化,以支持快速识别、检测、缓解和阻断恶意网络活动。
【原文:CADS is a system of systems that provides a robust and scalable analytic environment capable of integrating data sets and providing tools and capabilities. CADS tools and capabilities will facilitate the ingestion and integration of data as well as orchestrate and automate the analysis of data that supports the rapid identification, detection, mitigation, and prevention of malicious cyber activity. 】
我们知道,NCPS有四大核心能力:入侵检测、入侵防御、安全分析和信息共享。
根据CISA的计划,NCPS的一部分能力将迁移到CADS,剩下的能力则作为遗留NCPS继续存在。其中,遗留的NCPS将继续保留入侵检测和入侵预防功能,主要包括爱因斯坦入侵检测和预防传感器套件(EINSTEIN1 [E1] / EINSTEIN2 [E2] / EINSTEIN3 Accelerated [E3A])。而NCPS的信息共享能力、安全分析能力,以及核心基础设施则将转移到新的CADS计划中,并将在“网络任务IT基础设施”、“网络行动工具”和“网络使命工程”的支撑下运行和维护。
经此一变,在未来,如果我们还把美国联邦民事机构的态势感知系统称作爱因斯坦的话【姑且这么称呼】,那么,(遗留)NCPS继续充当爱因斯坦的前端传感器,而新的CADS将充当爱因斯坦的后端大脑。在未来,CISA一方面会继续对传感器进行全栈升级,另一方面则会着力发展态势感知大脑。
预算
在2023财年,NCPS的预算有4.11亿美元,而到2024财年,为遗留NCPS申请的预算将缩减到6700万美元。反观CADS,2024财年预算达到4.25亿美元。如果把2024财年的遗留NCPS和CADS预算加起来,将超过2023财年的NCPS预算,也就是说,总体上态势感知系统的投入在继续增加。
通常CISA将每个项目预算分为运行支撑和采购建设两个部分。下表展示了CADS和遗留NCPS的运行支撑预算:
可以看出,从2024财年开始,原来NCPS的开发与工程、核心基础设施、分析、信息共享预算已经清零,不再申请,并转移到CADS中,改称为“网络任务IT基础设施”、“网络行动工具”、“项目管理办公室”和“网络使命工程”。加上其他此表未列出的运行支撑预算,2024财年为CADS申请的总运行支撑预算为2.58亿美元。另外,作为遗留NCPS组成的入侵检测和入侵防御预算则继续有新申请,其中入侵检测预算同比上一年还有所增加。此外,经此转移,遗留NCPS+新CADS的2024财年预算相较于2023财年的NCPS预算总额少了2700万美元。
下表显示了遗留NCPS的采购建设预算:
可以看到仅入侵检测方面还有采购建设预算,分析、信息共享和开发与工程转移到CADS中去了。
针对这3000万美元的入侵检测的采购建设预算,主要用途是:进行入侵检测新功能的探索和初步应用,以取代当前的爱因斯坦技术栈。这将涉及市场研究、项目和资源的重新调整、特定技术的探索、在本地网络中潜在传感器布局的探索、现有机构级数据与通过现有传感器能力获取的数据的结合,以及初始技术的购买、安装与集成,数据路径与分析工程。
下表显示了新CADS的采购建设预算:
可以看到采购建设的申请预算是1.67亿美元。这其中最关键的是“网络运行工具”。这里的工具其实就是指网络数据的摄取、管理、分析,以及信息共享工具。这正是整个爱因斯坦计划的大脑,现在把他从NCPS中独立出来单独作为CADS,也足见其重要性。“网络任务IT基础设施”是承载爱因斯坦大脑的计算与网络支撑,“网络使命工程”是爱因斯坦大脑运行的各种服务、标准和最佳实践等工程性支撑。
媒体声音
以下内容来自外媒的报道。
CISA负责网络安全的执行助理主任Eric Goldstein在一封邮件声明中表示,新的CADS系统将帮助CISA“在破坏性入侵发生之前,快速分析、关联并行动以解决网络安全威胁和漏洞。”
Goldstein解释道,该系统将整合来自多个来源的数据,包括“公共与商业数据馈送;CISA自己的端点检测与响应传感器、PDNS(保护性DNS),以及覆盖美国数千家注册组织的漏洞扫描服务;还有公共和私营合作伙伴共享的数据。”
“CADS还将为CISA的网络分析师提供统一的数据仓库,让他们不必像现在这样,在不同系统之间切换手动比较数据和威胁信息。”
“CADS提供的工具和功能有助于数据的摄取、集成、协调和自动化分析,将支持对恶意网络活动的快速识别、检测、缓解和预防。”
一位业内消息人士指出,CADS计划将为CISA建立一个工程与软件开发中心,确保在CISA快速发展的同时满足其对工具和分析的需求。
这位消息人士表示,“随着CISA的发展成熟,这方面需求也在逐步升级。CISA希望成长为一种强大、灵活的资源池,实现对软件、工具和基础设施的按需开发。”
新态势感知系统分析
我们可以将CADS+(遗留)NCPS合称为新态势感知系统。那么这个新态势感知系统新在哪里呢?
分拆和升级NCPS的原因分析
坦率地讲,爱因斯坦无法检测未知威胁这个问题至今依然是业界的难题,并没有被很好的解决。人们一直寄希望于AI和ML驱动异常检测技术,但正如CISA代理局长Brandon Wales在给参议员Ron Wyden的质询回信所说,”尽管爱因斯坦也部署了一些基于AI和ML的网络异常流量检测技术(譬如LRA和NEST),也依然没有及时检测到Solarwinds攻击“。CISA同时表示,使用非基于签名的检测技术的商业能力同样没有检测到Solarwinds对政府和私营部门的攻击。反而,基于签名和指标的检测技术有时候更加有效,前提是以最快的速度获得相关的签名和指标,而这就是威胁情报要干的【笔者注:DHS开始建设威胁情报体系的时候也是威胁情报技术在国际上走红的时候】。爱因斯坦计划为了将”情报+检测“运行起来也是煞费苦心,包括建立广泛的情报社区和快速分享机制,不断强化自身的威胁猎捕团队和能力,加大高级恶意软件分析能力的投入,还大力建设保护性域名服务(pDNS)。事实上,在攻击曝光后,CISA获得了很多相关的IOC,并且通过爱因斯坦E1识别出了一些可能失陷的联邦机构,尽管为时已晚,但还犹未为晚。
也因此,CISA认为仅仅依靠网络侧的威胁检测是不够的,因而”紧急将其检测功能从互联网出口转移到机构网络中以更多关注端点安全……额外的6.5亿美元将使CISA能够迅速实现(这一)转变“【出自2021年6月,CISA代理局长Brandon Wales给参议员Ron Wyden的质询回信】。在Solarwinds事件的教训下,2021年5月美国政府颁布总统行政命令EO14028,其中要求在联邦民事机构中部署EDR。也正是从这个时候开始,EDR技术变成了网红。
再进一步研究,我们发现通过在态势感知前端部署基于情报(IOC & IOA)驱动的传感器,并增加对端点的遥测,再在后端大脑部署一张强大的情报网,凭此要想战胜未知威胁依然不够。基于AI/ML的未知威胁检测能力虽不成熟,但方向正确,急需强化。这就需要升级前端的网络遥测能力,并着力强化后端对遥测数据基于AI/ML和情报(TTP)的分析能力,包括编排自动化分析和“人在回路之上”的分析。
因此,CISA寄希望于后端大脑的升级版分析能力能够在实战化级别实现未知威胁的检出与响应。也因此,CISA将原NCPS的分析部分分拆出来,单独成一个计划——CADS(网络分析与数据系统)。这里的“数据”二字也很精辟,数据作为分析的对象,充分体现了数据驱动安全分析的思想。对CISA而言,这里的数据也空前的扩大化,不仅是网络遥测数据,还包括端点遥测数据,CDM的数据,威胁情报数据,漏洞数据,以及其它各种情境数据。而这里的分析也不仅是算法,也包括人驱动的威胁猎捕。
从这个维度来看,这个态势感知系统的确有新意。
新的检测和分析能力的进一步分析
先看看前端检测能力会有什么变化。很可惜,CISA表示,尽管目标是要替换现有的前端检测技术栈,但2024财年在检测这块重点是探索和试点新技术,具体有哪些新技术,没说。
再看看后端分析能力这块。也就是CADS。新计划,必然推出新架构。尽管我们看不到新的美国国家级态势感知架构(老的其实也没看到过),但有一点可以肯定,就是它一定是基于云的。其次,既然说他是一个system of system,就必然是一个多体系统,其核心在于如何整合其它既有或者新建的特定任务系统,实现涌现效果。然后,在能力方面,攻击面、漏洞、威胁情报应用与分享、编排自动化,几乎肯定会囊括其中。
这里需要特别强调一下的是,在CADS中明确提出了要做编排和自动化。CISA发布的《第四版战略性技术路线图》中就明确提出SOAR是2022年到2026间重点投资的18个技术能力之一。在那个路线图报告中,CISA表示2021~2022年内SOAR技术在美国政府处于“证明”(demonstration)阶段。同时,在2019~2021年间,CISA委托第三方在四个州进行了利用SOAR分发IOC以实现快速响应的试点,也取得了成功,并总结出了一系列最佳实现。结合这次CADS计划,可以认为,SOAR技术在CISA的应用已经被证明有效,从2024财年(即2023年10月)开始,将进入采用(Adapt)阶段了。笔者基于长期对SOAR的研究和推广,认为以SOAR为代表的编排自动化技术已经成为安全态势感知系统的必备组成部分。
最后,仅从现有信息来看,笔者并未发现在态势感知能力建设方面2024财年相较于2023财年有太大的变化。上述变革,其实CISA也一直在推进中。这次提出CADS,倒是没看出跟NCPS近些年一直在做的有多大实质性的不同,更多可能是因为NCPS的名声已经无法支撑CISA未来的发展愿景了吧。
还有什么?让我们静待CADS逐步展开吧。
**感谢赵旭同学多年前提供的资料和与我的讨论**
【参考】
参考资料:初期投入29亿!美国国家网络防御体系将切换主防系统