【引言】本文在2021年版本的基础上进行了较大修订,全面更新了爱因斯坦计划的相关数据,反映了2021年以来的最新进展,主要涉及第2、3、4章。
爱因斯坦计划,其正式名称为“国家网络空间安全保护系统”(National Cybersecurity
Protection System,简称NCPS),是美国“全面国家网络空间安全行动计划”(Comprehensive National Cybersecurity Initiative,简称CNCI)的关键组成部分。NCPS以DFI、DPI和DCI技术为抓手,以大数据技术为依托,以威胁情报为核心,实现对美国联邦政府民事机构互联网出口网络威胁的持续监测、预警、响应与信息共享,以提升联邦政府网络的态势感知能力和可生存性。NCPS由美国国土安全部(DHS)下属的网络安全与基础设施安全局(CISA)负责设计、运行和协调,大体上分为三个阶段。借助NCPS,美国联邦政府为其互联网侧态势感知构建起了四大能力:入侵检测、入侵防御、安全分析和信息共享。NCPS的入侵检测能力包括爱因斯坦1(简称E1)探针中基于Flow的检测能力、爱因斯坦2(简称E2)和爱因斯坦3A(简称E3A)探针中基于特征的检测能力,以及2015年启动的在E1、E2和E3A中基于机器学习的行为检测能力(代号LRA)。NCPS的检测能力不追求检测所有攻击和入侵,而重点关注APT类高级威胁,因而其检测特征库并不大,但很有针对性,并由美国国防部/国安局(DOD/NSA)提供部分特征信息。NCPS的入侵防御能力是从爱因斯坦3A(简称E3A)阶段开始的。NCPS的入侵防御也不是一般意义上的入侵防御系统(IPS),其功能设计更加聚焦,更有针对性,并且是由NSA协助(主导)设计的,主要包括4种能力:- 恶意流量阻断:自动地对进出联邦政府机构的恶意流量进行阻断。这是依靠ISP来实现的。ISP部署了入侵防御和基于威胁的决策判定机制,并使用DHS开发的恶意网络行为指标(Indicator)来进行恶意行为识别。
- DNS阻断:也就是DNS Sinkhole技术,用于阻止已经被植入政府网络的恶意代码与外部的恶意域名之间的通讯。
- 电子邮件过滤:对所有发给政府网络用户的邮件进行扫描,识别含有恶意代码的附件、恶意URL等,并将其过滤掉。
- Web内容过滤(WCF):这是2016年加入到E3A入侵防御中的能力,可以阻断可疑的web网站访问、阻止web网站中恶意代码的执行,阻断web钓鱼。
值得一提的是,NSA在协助DHS设计E3A入侵防御系统的时候,将他们的Tutelage项目移植了过去,超越了一般意义上主动防御的层次,具有很强的对抗性。如果说入侵检测和入侵防御构成了NCPS的前端系统,那么NCPS的后端核心就是构建在大数据之上的安全分析能力,而这个分析结果的输出就是网络安全威胁态势。NCPS的分析能力主要包括:安全信息与事件管理(SIEM)、数字媒体分析环境(Digital Media Analysis Environment)、高级恶意代码分析中心(AMAC)、各种分析工具可视化工具,等等。用时髦的话来说,信息共享就是情报共享,这是NCPS的核心能力。借助该能力,DHS构建起一个信息共享与协作环境(ISCE),使得其下属CISA中心的安全分析师能够24*7*365按照不同的密级与他们的合作伙伴快速交换网络威胁和网络事件信息,通过合作与协同以降低事件响应时间,通过自动化信息分享与披露以提升工作效率。NCPS的信息共享能力主要包括:自动指标共享(AIS)、指标管理平台(IMP)、统一工作流、跨域解决方案(CDS),等等。在2020年6月份,CISA将下面的国家网络安全与通讯集成中心(NCCIC)、国家基础设施协调中心 (NICC) 和国家通信协调中心 (NCC) 合并,成立了新一个新部门——CISA中心( CISA Central)。CISA中心是一个综合的、针对全风险的、跨职能的中心,打破了传统的烟囱,将CISA之下网络安全与基础设施运行及信息共享相关的各种人员、流程和技术整合为一支团队,实现对网络安全活动更有效的理解、分享和协调,统一对外提供信息共享和态势感知的一站式服务。同时,参照联邦应急管理局(FEMA)的办公地点设置和管辖范围,相应成立了10个CISA分区(CISA Regions)。如下所示,是笔者自己根据DHS历年的预算报告自行编制的2008财年到2023财年NCPS预算走势图,采用的数据可能与实际有差异,均为概数。其中,2023财年的NCPS预算申请达到4.07亿美元。透过上图,可以发现美国政府对爱因斯坦项目的投入逐步稳定,并仍维持在高位。不少人以为美国政府因为其效果不佳(GAO评价)而将其打入冷宫,上图证明事实并非如此。2009年的时候,CISA首次预估了NCPS全生命周期的总投资额在19.51亿美元,到2018年10年,重新预估总投资额可能到59.08亿美元,而到了2021年6月的时候,估测总投资额将达到71.85亿美元。下图展示了CISA在2022年3月份预测的未来三年的NCPS预算情况。可以发现,未来三年预算将再上新台阶。2008财年到2023财年的NCPS人员编制(Position)数量走势如下图所示:可以发现,NCPS的人员编制数量总体上也是稳步增长。特别地,2023财年,在《美国救援计划法案》的加持下增加了 19 个
编制,总的人员费用达到4100万美元。1)2009年2月,DHS首次订立了NCPS的采购项目基线(APB)。2)2016年1月,GAO的一份审计报告把NCPS推到了风口浪尖。这份报告直指NCPS进度严重偏离预期,且收效不佳。报告认为NCPS检测能力存在缺陷,检测种类缺失,未知威胁检测能力太弱,在各大联邦政府机构的部署范围和程度层次不齐,用户反馈普遍不高,等等,并提出了9点建议。3)2017年3月,GAO在给美国众议院国安委的书面证词中,再次指出了NCPS和CDM项目存在的诸多问题。这也促使CISA开始全面重新审视NCPS项目。4)2017年10月,DHS的测评办启动了对NCPS的Block2.2的评估。到2018年1月,测评办负责人表示,Block2.2根本达不到评估的启动要求,在满足客户需求方面存在风险,并要求重新评审运营需求文档和概念运行图(CONOPS)。2018年2月,Block2.2通过了ADE2C评审(表示可以进入试运行环节,但还不能正式投产)。到2019年12月,有条件通过了架构评审,并要求对NCPS项目进行重组。评审中发现的主要技术问题包括:与政府网络架构贴合度不够,没有跟上网络安全风险的变化,不能识别加密网络流量,等。接下来,NCPS项目办确定了Block2.2的能力差距,调整了项目的能力组成。直到现在,Block2.2仍未能提测。5)2018年1月,DHS的测评办完成了对Block3.0(E3A)的评估,并给出了达标的结论。基于该测试,2018年2月,DHS正式通过ADE3里程碑(DHS将采购类项目分为需求、论证、采购试运行、投产运行四个阶段,ADE3相当于完成了采购试运行环节的验收,可以正式投产了)。尽管如此,测评办认为E3A缺乏威胁信息共享能力。2018年12月,测评办对E3A进行了补测。目前,由于整体计划调整,针对E3A的新的测评都暂停了。6)2020年1月,NCPS被正式认定为项目延期,主要是Block2.2延期。7)2021年4月,DHS完成了对NCPS的计划重组,去掉了Block2.2的ADE3(采购试运行验收)评审环节,将其打包到后续计划中。由此,NCPS被移出延期项目清单,恢复正常。8)2021年4月,DHS宣布NCPS实现了全面运行(FOC)。下面是DHS在2023财年预算中提供的针对NCPS投资的表格,2023财年的NCPS预算约合4.07亿美元,与去年基本持平。如上图所示,截至2022财年,美国爱因斯坦计划累计已经投入40.2亿美元【笔者注:在2022财年预算表中以往投资也是写为32.19亿美元,不知道是什么原因。另据笔者自己的估测,截至2022财年的历史投资已经达到48.47亿美元】,目前已经进入了以运营为主、建设为辅的阶段。在2023财年,运营与建设的比例升到了3.5:1。首先,运行支撑人员的薪酬也是逐年见涨,2023财年的人员薪酬预算高达4136.2万美元,人均24.3万美元,高于去年的23.7万美元。相较而言,CISA的网络安全岗位的2022财年人均预算是20.4万美元,基本与上一年持平。其次,在3.17亿运行支撑(Operations and
Support)预算中,有2.75亿是非支付性成本(Non
Pay Budget,都计入“咨询与协助服务”科目),笔者估计包含了大量外包费用和咨询费用,以及运行支撑的相关环境、工具和开发费用。 | | |
| 包括后端数据存储和处理环境,称为使命运行环境(MOE),包括网络设备、存储设备、数据库服务、应用程序托管服务、网络电路(带宽)和安全控制 | 2023 财年,资金将支持利用通用 DHS 和 CISA IT 基础设施核心服务,为 CSD 【笔者注:CSD是指CISA下面的网络安全部,NCPS的主管机构】网络使命需求提供基础设施即服务 (IaaS)、平台即服务 (PaaS) 和软件即服务 (SaaS)。核心基础设施资金还支持硬件和软件维护成本以及设备的标准技术更新,包括分析人员用来访问 NCPS 数据、分析和信息共享功能的桌面设备。资金还支持与网络通信基础设施相关的年度电路成本以及云业务交换 (CBX) 的扩展,这是一种支持直接连接到云和互联网服务提供商环境的能力,从而提高了从联邦民事行政部门(FCEB) 机构获取安全遥测数据的效率以及 NCPS 云基础设施的管理。 |
| 使用本地和云基础设施以及相关工具套件提供可扩展的环境,使 CISA 分析师能够关联和可视化数据集并快速得出结论,以应对高级威胁和漏洞 | 在 2023 财年,资金将用于现有分析工具和基础设施的运营和维护,包括安全和事件管理、数据包捕获、增强的分析数据库和流可视化、高级恶意软件分析和云分析环境。这笔资金还使战术支持团队(TST)和数据科学家能够为 CISA 威胁猎捕分析师提供现场支持。数据科学家支持高级分析的持续开发和调整,以实现对多个数据集的快速分析。由于这些团队一直在支持 CISA 对最近的网络入侵事件的响应,因此对数据科学家和战术支持团队的需求也在增加。在 2023 财年,NCPS 将继续扩展云分析环境,以支持额外数据集的存储和处理。这些数据集需要被纳入可扩展且强大的分析基础架构,使分析师能够快速理解数据并响应国家层面的高级威胁。分析环境是所有 CISA 网络安全操作的基石。为了跟上不断发展的技术,需要不断改进 |
| 为 NCPS 计划提供对需求收集、工程解决方案、功能测试、安全测试、安全认证和配置管理提供必不可少的工程支持,并支撑技术更新工作和其他必要的环境变化,以维持基础设施和部署工具的可靠性、可访问性和可维护性指标 | 与 2022 财年相比,由于 CISA 范围内的设施转移到 CISA 使命支撑环境,导致2023财年的预算有所减少【笔者注:CISA正在统建跨多部门的使命支撑环境】 |
| NCPS 信息共享工作是一组灵活的功能,允许在 CISA 网络安全分析师及其网络安全合作伙伴之间快速交换网络威胁和网络事件信息 | 在 2023 财年,资金将用于运营和维护信息共享工具和技术,使
CISA 能够在安全的环境中与 CISA 的公共和私营部门合作伙伴快速共享网络威胁分析以及其他计算机网络安全信息。资金支持部署在国土安全信息网络 (HSIN) 上的 CISA 网络门户的运营和维护,以及维护用于支持自动指标共享 (AIS)、指标管理、跨域解决方案和统一工作流程的基础设施和工具的成本 |
| NCPS 入侵防御功能包括 E3A,它通过提供主动网络防御能力以及防止和限制恶意活动侵入联邦网络和系统的能力,进一步推进对 FCEB 部门和机构的保护。该系统由向联邦政府提供互联网访问的互联网服务提供商部署为托管服务,利用涉密和非涉密指标来主动阻止已知的恶意流量 | 在 2023 财年,资金将支持运营和维持成本,以维持联邦网络保护性服务( FNPS) 提供商提供的 DNS Sinkholing 和电子邮件过滤功能。 E3A 将过渡到商业、非机密服务,例如 CISA 的保护性 DNS (pDNS) 服务。传统的 NCPS 计划将继续运行并维护现有的入侵防御功能,直到商业服务投入运行 |
| 支持获取对 FCEB 云安全遥测数据的访问权限,以提高保护云中
FCEB 数据所需的可见性 | 随着 FCEB 部门和机构将更多数据和功能迁移到云中,NCPS 功能需要不断发展以保持可见性,并为 CISA 分析师提供检测和响应对这些云环境的威胁的能力。传统 NCPS E1 和 E2 能力继续为 CISA 网络运营提供有用的能力,并将继续运行和维护,同时 CISA 探索发展联邦网络发送能力的选项,以适应可信互联网连接3.0( TIC 3.0) 架构的采用,并扩大使用云技术 |
进一步分析2023财年采购建设和提升(Procurement, Construction
and Improvements)的预算(0.9亿美元)的构成,与上一财年基本保持持平,如下表,包括6个部分:开发与工程、入侵检测、入侵防御、分析、信息共享、使命系统工程环境(MSEE)。其中,MSEE是在《美国救援计划方案》下追加的专项。这里,入侵检测和入侵防御就是爱因斯坦的前端,相当于探针、传感器和网关;分析就是爱因斯坦的后端,是一个基于大数据分析技术的安全运营平台;而信息共享(代号Albert)就是爱因斯坦的威胁情报平台(TIP);开发与工程包括需求收集、工程方案、能力测试、绩效评估等。此外,借助《美国救援计划法案》,CISA计划投入2100万美元对爱因斯坦计划进行扩展,让NCPS能够采集和分析新的数据集(譬如EDR、保护性DNS),并将其命名为使命系统工程环境(MSEE)。需要特别指出的是,从2023 财年开始,NCPS将过渡到新的计划结构,通过对网络使命系统工程(MSEE)、任务信息技术 (IT) 基础设施和网络运营工具三方面的建设,使 CISA 网络运营商实现其使命目标。下表揭示了2023财年采购实施与提升预算资金拟达成的目标: | |
| • NCPS 将继续扩展云分析环境(CAE)以支持更多数据集。可见性不断增强的 CISA 利益相关者社区将为 CISA 提供更丰富的数据集,以进行分析并做出数据驱动的决策。需要将这些数据集引入可扩展且强大的分析基础架构中,使分析师能够快速理解这些数据并响应国家层面的高级威胁。• 实施对数据管理功能的增强,以应对数据量的必要增长,并应对与数据虚拟化和治理相关的多重挑战。增强功能将提高 CISA 网络分析师跨多个数据集和数据存储查询和分析数据的能力。• 完成将当前托管的本地基础设施的分析工具和数据迁移到 NCPS 云分析环境。继续增强并实施其他分析工具,进一步自动化网络威胁分析、猎捕和响应活动。具有自动分析、机器学习和人工智能功能的高级工具将使分析师能够跟上收到的数据量,并使用分析结果快速识别趋势并为决策提供信息。 |
| • 继续在统一的工作流能力中实施和落实工作流。统一的工作流功能为跨独立 CSD 业务和使命支撑应用程序自动化管理和运营工作流提供了一个单一平台,以提高
CSD 运营的效率和有效性。• 实施增强功能以支持机器对机器(M2M)的共享附加内容,包括签名、分析、脚本、结构化和非结构化数据集。 |
| • 执行数据摄取/数据集成路线图,以支持分析流程和跨 CSD 的可见性。支持集成其他数据集,包括事件数据和来自新 CSD 服务的数据,例如端点检测和响应以及保护性域名服务。• 在云分析环境中开发新的分析,以支持对从跨 CSD 服务聚合的其他数据集进行分析。• 实施 CSD 需求管理流程,以支持 CSD 组织的需求接收、协调和优先级排序。 |
可以发现,目前NCPS最大的供应商(集成商)还是雷神公司,其三个合同的总值达到了5年9.76亿美元,其中2019年最新签署了一份高达3.52亿美元的合同。并且,美国政府的合同通常都不是一年一签的,而是一签都是3年、5年的长期合同,更符合建设(含开发)工作的实际,但也对项目管理提出了更高要求。当然,这种方式也需要政府的预算管理机制提供相应的支撑。通过以上分析,结合其它材料,笔者谈一谈个人的几点体会作为本文总结。- NCPS项目从一开始就是站在国家战略高度来推进的,采用法规先行(法案、总统行政令、NIST标准等)、制度开道、统一建设、持续投入的方式,从一个US-CERT下面的初级态势感知项目,在CNCI计划的推动下,逐步成为了一个规模庞大的国家战略级项目。
- 从项目定位上,NCPS区别于各个联邦民事机构自己的安全防护。二者不是替代关系,而是叠加关系。并且NCPS更加注重针对高级威胁的监测与响应,更加重视跨部门/厂商的协调联动、信息共享、集体防御。
- NCPS项目的投入时间很长,尤其是2009年CNCI计划出台之后,资金和人员投入逐年稳步提升,并维持在较高的水平线上。可见国家级态势感知系统的建设需要长期持续的投入。
- 从资金分布上看,DHS越来越重视NCPS的运行维护,技术和产品采购的比重越来越低。要想实现NCPS常态化的运营,就必须有持续的、大量的运营投入,并且需要大量的安全分析师。
- 从运营方式上看,NCPS被尽可能地封装为一系列托管服务和安全服务的形式,以服务的方法提供给各个联邦机构,并且正在切换为单一的、统一的服务提供商。
- CISA自己说过,“有效的网络安全需要强大的度量机制”。正如“没有度量就没有管理”,必须对NCPS的效果进行持续度量,才能持续改进。但如何度量始终是一个问题,至今CISA也没有给出一套稳定的度量指标。
- 尽管经过了十几年的持续建设,但NCPS仍然存在不少问题,拖延严重,正如GAO的报告所言,成效低于预期。但尽管如此,美国政府并没有停止这个项目,而是持续加大投入。因为这个方向是正确的,技术路线是正确的。
- 从技术上看,过去人们大都认为NCPS主要是规模效应,技术含量并不高,譬如基本都是基于特征和签名的检测。事实上,NCPS还是比较注重新技术运用的。我们现在经常听到的所谓高级威胁检测、机器学习、行为画像和异常行为分析、编排自动化响应、威胁情报、加密流量威胁检测,等等,在NCPS中都有体现,并且都会经历一个先试点再铺开的过程。
- 在技术层面,NCPS正在积极上云,充分利用云来降低整体投入的成本,提升服务能力,改进服务方式。最起码,在数据中心的基础设施建设方面,云在可伸缩性、可用性和可靠性方面表现更佳。
- 我们常把爱因斯坦计划指代美国政府的网络安全态势感知项目,其实这是不完整的。美国联邦政府的网络安全态势感知是由一系列国家级大项目共同支撑起来的,至少包括TIC(可信互联网接入)、NCPS(爱因斯坦计划)、CDM(持续诊断与缓解)计划,以及共享态势感知。
LRA的全名是“逻辑响应孔径”(LogicalResponse Aperture),是DHS开展的一项旨在提升安全分析与响应自动化的项目的内部代号。LRA能够借助智能化的安全分析技术,在没有签名和特征的情况下识别攻击。在联邦部委机构(D/A)和互联网(Internet)之间有一套部署在互联网服务提供商(ISP)处的“NEST”设施。NEST会利用TAP将进出联邦机构的的互联网流量按需送给LRA。LRA的流量引擎利用Zeek做协议解析,并将解析后的流量日志(流量元数据)连同原始的pcap包存储到大数据存储系统中(默认存储90天)。存储的数据内容包括:DNS查询的域名和响应的IP地址、域名-IP地址对的TTL、电子邮件附件中的可执行文件、http请求的user agent信息,等等。基于机器学习和统计分析算法的分析引擎、恶意代码检测装置,及其它自动化工具会从大数据存储中读取这些数据,并结合通过其它方式获得的各种情境数据(譬如域名和可执行文件的黑白名单,GeoIP等)进行复合安全分析,生成恶意流量的潜在指标,并存入潜在指标库中。分析师通过交互性UI检查潜在指标库中的指标,对其进行研判和标注,一方面获得有效的指标,另一方面为机器学习算法提供改进。Tutelage(现已改名,具体不详)作为NSA号称21世纪执行信号情报(SIGINT)任务的核心系统的Turbulence项目中的一个子系统,承担主动防御的任务。作为NCPS的重要咨询方和协作方,NSA将Tutelage移植给了E3A。作为NCPS中涉密的部分,我们无从知晓E3A的入侵防御系统设计有何玄机。幸运的是,斯诺登泄密事件给了我们一窥Tutelage的机会,我们可以自行脑补E3A可能的设计。如下图所示,展示了Tutelage项目在检测到恶意流量和攻击后可以采取的遏制/反制措施,十分丰富。
可以肯定的是,E3A的入侵防御系统绝非我们一般意义上的IPS。WCF的全名是WEB内容过滤(WEB Content Filtering),是2016年前后追加到E3A中的一个新防御能力(最初的E3A入侵防御能力包括DNS sinkholing和email过滤),重点阻断可疑的web网站访问、阻止web网站中恶意代码的执行,阻断web钓鱼。WCF具有四个功能:web流量检测与阻断、SSL解密、恶意代码检测、高级分析。- WCF会对可疑的web流量按照URL/URI进行分类,允许系统管理员允许或者拒绝某类web访问。WCF会根据高可信网络威胁指标和商业的签名指标来进行研判并决定是告警还是阻断,抑或其它遏制操作。WCF的技术原理就是一个WEB代理,由它来进行检测,并执行重定向、阻断或者告警操作。
- WCF支持对SSLweb流量解密,分析解密后的流量数据。
- WCF内置恶意代码检测功能,使用政府提供的网络威胁指标来检测恶意活动。
- WCF包括高级分析功能。这里的高级分析是指基于行为的异常分析,也即LRA。
说到NCPS项目,而不提及威胁情报,那么一定是对NCPS不甚了解,或者仅仅停留在爱因斯坦计划早期的认知水平上。必须强调,威胁情报,或者说信息共享是NCPS的核心能力之一,所有检测、分析的能力最后都是为了能够在DHS和其伙伴间实现高效的情报共享和协同联动。美国政府实施NCPS的一个终极目标就是自动化地检测威胁、共享情报和处置攻击。这跟我们近些年谈及从美国传过来的TIP、SOAR等理念是一致的。AIS全名是自动指标共享(AutomatedIndicator Sharing),其目标就是在网络防御行动中以机器速度(Machine-peed)快速广泛地共享机读(Machine-readable)网络威胁指标和防御措施。AIS要能够自动处理海量高速的共享指标,而这是人工操作无法达成的。首先,各个AIS的参与机构(上图右侧灰色部分,包括各级地方政府、私营伙伴、联邦机构、ISAC和ISAO)通过TAXII协议将STIX格式的威胁情报信息送给DHS的TAXII服务器(上图中间黄色部分)。接着,所有提交的情报信息都会经过一个自动化的“数据增强过程”,进行信息修订、匿名化处理、隐私评估、数据增强。此外,DHS也会接收商业的情报信息源信息(上图上方绿色部分),并统一进行数据增强。然后,DHS的分析师会对增强后的数据进行核验【笔者注:人工操作还是不可缺少,不可能完全自动化】,并最终进行发布。发布的途径包括放到TAXII服务器上供各参与方获取,或者可以供其它第三方订阅(上图上方蓝灰色部分)。截至2018年底,已经有33个联邦机构,215家非联邦政府实体(其中包括18家可以对共享信息进行再分发的ISAC、ISAO和11家商业服务提供商)参与其中。以下是笔者以前撰写的NCPS相关的文章,供大家参考,可以自行网络搜索。
文章来源: https://mp.weixin.qq.com/s?__biz=MzUyNzMxOTAwMw==&mid=2247484480&idx=1&sn=e96e90e7bca8d22685bd3d2abd88ce39&chksm=fa002ef4cd77a7e21f5594e46e15213ec276c974d951d94843067a373a47fb810c5cce61fb7f&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh