爱因斯坦计划最新进展(201710)

在2017年的美国国家网络安全意识月活动期间,DHS下的NPPD向国会出具了多份书面证词,谈及了包括爱因斯坦计划和CDM(持续诊断与缓解)项目在内的相关进展情况。

作为DHS下面主管CyberSecurity的部门,证词提到:“NPPD负责保护民用联邦政府网络【注:民用机构、民事设施跟军用/军事对应。爱因斯坦管不了美国军事机关和设施,那由DoD管辖】,并与其他联邦机构,州,地方,部落和地区政府(SLTT)以及私营部门合作,防范网络威胁。 我们致力于加强全球的网络威胁信息共享,在网络事件开始之前阻止网络事件,帮助企业和政府机构保护网络系统,并在发生此类攻击时迅速恢复。 通过汇集各级政府,私营部门,国际合作伙伴和公众,我们正在采取行动,防范网络安全风险,提高我们的整体事件响应能力,加强有关最佳实践和网络威胁的信息共享, 并加强抵御能力。”

证词以WannaCry和NotPetya为例来说明威胁造成的经济损失,并介绍了NPPD做了哪些预警和处置工作。又以Black Energy和Havex,以及乌克兰CrashOverride为例讲述了威胁对关键基础设施的危害,并介绍了NPPD所作的努力,以及与能源部合作开展电力行业的安全评估与应急响应的案例。

在介绍NPPD2017年的优先事项时,首先提到了2017年5月份特朗普颁布的13800号总统令(Strengthening the Cybersecurity of Federal Networks and Critical Infrastructure加强联邦网络和关键基础设施的网络安全》)【注:这个发文十分重要,对美国各部委机构提出了具体的、有时间点的要求,涵盖政府网络安全、关键基础设施网络安全和国家网络安全三个层次。围绕这个发文,美国政府各部门做了大量工作,提交了专门的报告】,并将其作为年度重点工作。其次,提及了执行FISMA2014的要求,做好对各联邦结构的风险评估和合规性检查。

证词还提及了NPPD的主要工作内容,包括:

(1)通过包括“爱因斯坦”在内的国家网络安全保护系统(NCPS)和连续诊断与缓解(CDM)计划来防护民用政府设施;

(2)考核和激励各个联邦机构执行安全政策、指令 、标准和指南;

(3)作为信息共享和事件报告的中心;

(4)提供运营和技术援助,包括威胁信息传播,风险和脆弱性评估以及事件响应服务。 NPPD的国家网络安全和通信集成中心(NCCIC)作为政府网络安全信息共享,资产事件响应以及关键基础设施和联邦政府协调的枢纽。

在谈及爱因斯坦计划的时候,证词表示,EINSTEIN作为联邦政府的入侵检测与防护套件,可以对各联邦机构非涉密网络的互联网边界进行防护。 EINSTEIN提供对民事联邦部门网络流量的态势感知,因此,在一个机构检测到的威胁,可以快速与其他所有机构进行信息相关共享和能力,从而更有效地管理网络风险。

DHS在不断改进爱因斯坦的技术架构和部署架构。目前,爱因斯坦设备主要还是基于特征检测的,但目前正在进行基于非特征的检测试点,借助商业的、政府的和开源的相关技术,对获取的数据进行快速的异常行为分析。通过这些试点也帮助NPPD积累将来运维这种非特征检测和防护系统所需的人员技能、方法、技巧和流程。

此外,各地方-政府(SLTT)可以通过MS-ISAC(Multi-State Information Sharing and Analysis Center)来使用爱因斯坦服务,被称作“Albert”。尽管目前版本的Albert系统尚无法实时阻断网络威胁,但却可以对相关人员进行告警,以便进行深入排查。Albert将会成为国家和地方-政府之间共享网络安全信息的主要途径。

DHS认为要进行有效地网络安全风险管理需要进行纵深防御,除了在边界安全上部署爱因斯坦,还需要在联邦政府网络内部部署CDM(持续诊断与缓解,Continuous Diagnostics and Mitigation)。NPPD的持续诊断和缓解(CDM)计划为所有参与机构提供网络安全工具和集成服务,使其能够通过减少其网络的攻击面来改善其各自的安全状况,并借助统一的联邦仪表板来向DHS提供全国范围的安全可见性(Visibility)。

CDM主要包括两个作用:

1)使得各联邦机构获得对自身网络的可见性。这里的可见性就是对机构自身内部网络的态势感知。帮助他们认清自己面临的首要风险,并优先处置重要的安全问题。

2)NCCIC通过对这些各个联邦结构的安全态势感知的摘要信息的汇总,能够更有效地、更实时地从国家层面来识别系统性的安全风险。

目前,NCCIC要想知道政府机构某个关键补丁修复的情况,只能通过他们的报告和手工的方式进行统计,而CDM将改变这种现状,使得NCCIC能够借助部署在机构的相关设备和软件,及时自动的采集相关信息,快速掌握各个机构的补丁修复情况,根据整体情况及时对各个机构提供有效指导。【注:看到这里,我仍不住笑了一下】

对于DHS的意义,NPPD表示,Effective cybersecurity requires a robust measurement regime, and
robust measurement requires valid and timely data. CDM will provide this
baseline of cybersecurity risk data to drive improvement across the
civilian executive branch. 有效的网络安全需要强大的度量机制,而健壮的度量需要有效和及时的数据【注:这句话说的很好,但要做到甚难!美国亦是如此,是警语,也是感叹】CDM将提供这个网络安全风险数据的基线来推动整个民事政府部门的改进。

证词还提及了NPPD针对高价值资产防护所做的工作,以及针对各个联邦机构漏洞补丁管理的推动和督促工作,其中NCCIC会对各机构暴露在互联网上的漏洞进行扫描,并督促相关机构及时整改。还提到了Automated Indicator Sharing (AIS,自动指标共享)和ISAO。

此外,还提及了NPPD对卡巴斯基有关的产品的审查工作,并下发指令(BOD)要求各联邦机构在30天内检查出自己网络中使用的卡巴斯基产品,在60天内拿出替换方案和计划,并且如果没有其他指令的话,要在90天内完成移除和替换工作。NPPD表示会给卡巴斯基一个申诉的机会。

还有一个有趣的事情,就是证词中提到已经通过众议院表决提交到参议院的Cybersecurity and Infrastructure Security Agency Act of 2017(网络安全和基础设施保护局法案)。法案提议将NPPD改名为CISA,并重组旗下部门变成三个:The Cybersecurity Division,The Infrastructure Security Division和The Emergency Communications Division。

在2017年3月份的另一份书面证词中,NPPD下属的CS&C办公室还更详细谈及了爱因斯坦计划和CDM计划的进展情况。

NPPD表示,截至2015年,爱因斯坦的入侵检测能力覆盖了联邦政府90%的流量,典型一天所有检测引擎会产生3万个告警。这些告警会在NCCIC进行进一步评估和甄别。

目前,E3A都是通过跟政府签约的ISP(称作MTIPS)合作,以服务方式提供给各个联邦机构。目前的服务就两个:DNS sinkhole和邮件过滤(为了防止借助邮件的攻击)。而目前,DHS正在跟那些ISP合作,不断加入新的功能。E1和E2采用了不涉密的网络威胁指标(特征),而E3使用的威胁指标(特征)既有不涉密的也有涉密的。E3使用了IoC来阻断恶意流量。

根据2015年的网络安全法(the Cybersecurity Act of 2015),在2016年12月18日之前,所有联邦机构的互联网进出流量都必须接入爱因斯坦。因此,爱因斯坦计划的进度得到了大幅提升。在法案通过之前,只有23%的机构用了E3A,而法案版本后,基本上23个最大的政府机构都上了E3A,绝大部分机构都至少使用了E3A的一个功能。但是,目前还不是100%覆盖。【可见全国铺开来做个事情有多难】

在2016财年,NCCIC接报了30899件有影响性的安全事件(Incident),涉及8个攻击向量。

【致谢】感谢天际友盟谢涛提供线索。

【参考】

爱因斯坦计划最新进展(201705)

重新审视美国爱因斯坦计划(2016)

美国爱因斯坦计划技术分析 

从爱因斯坦2到爱因斯坦3

美国爱因斯坦计划最新动态201508


欧洲的民间版爱因斯坦计划:欧洲龙虾计划技术初探

揭秘美国DHS下的国家网络安全和通信整合中心(NCCIC)

参观美国国土安全部的安全运营中心:NCCIC

原文地址:http://blog.51cto.com/yepeng/2062038

时间: 2024-10-07 09:30:43

爱因斯坦计划最新进展(201710)的相关文章

爱因斯坦计划最新进展(201705)

美国时间2017年5月15日,美国国土安全部发布了一份2017财年国土安全部预算的情况说明.简报指出,根据特朗普总统在5月5日签署的<2017强化拨款法案>( Consolidated Appropriations Act of 2017),DHS获得了424亿美元的预算资金,用于执行五项主要任务,其中就包括保卫网络空间.这一预算比2016年增加了15亿美元. 其中,根据该法案,DHS下属的NPPD(国家保护和计划局)将获得2.25亿美元的资金用于CDM项目,以保护联邦机构免受未授权和不可控的

美国爱因斯坦计划最新动态201508

引言 爱因斯坦计划是美国政府为了加强对其联邦政府网络出口安全而进行的一项长期的安全监测与防护计划,核心目标就是保护美国联邦政府的网络空间基础设施安全,提升其防御网络空间安全威胁的能力. 借助爱因斯坦计划,美国国土安全部(DHS)建立了一套系统,能够自动地收集.关联.分析和共享美国联邦政府之间的计算机安全信息,从而使得各联邦机构能够接近实时地感知其网络基础设施面临的威胁,并更迅速地采取恰当的对策.通过收集参与该计划的联邦政府机构的信息,国土安全部所属的US-CERT(美国计算机应急响应小组)能够建

SQL on Hadoop系统的最新进展(1)

转自:http://blog.jobbole.com/47892/ 为什么非要把SQL放到Hadoop上? SQL易于使用.那为什么非得基于Hadoop呢?the robust and scalable architecture of Hadoop 目前SQL on Hadoop产品主要有以下几种:Hive, Tez/Stinger, Impala, Shark/Spark, Phoenix, Hawq/Greenplum, HadoopDB, Citusdata等.本文主要讨论Hive, Te

物理学和天文学的最新进展

by http://blog.csdn.net/shendl 科幻大片<星际穿越>正在热映中,作为一名经常看科普图书的青年,在这里给大家汇报一下近几年物理学和天文学的最新进展.由于本人是物理学和天文学小白,本文定有很多错误,请大家原谅. 关于宇宙起源的猜想很多,最近几年M理论正在获得物理圈内的广泛认同.包括霍金大师.霍金大师前些年的观点还是,宇宙大爆炸之前的宇宙不可知,不可问.最近他写的<大设计>一书显示霍金已经接受了M理论. M理论源于弦论,是一种宇宙起源的假说.目前还没有得到证

重新审视美国爱因斯坦计划(2016)

重新审视美国爱因斯坦计划(2016) --三谈美国爱因斯坦计划 1      前言 得益于美国审计总署在2016年初提交给美国国会的一份报告,让我们又有机会再次深入了解一下美国国土安全部主导的这套国家网络空间安全保护系统,也就是我们常说的爱因斯坦计划.此外,本文还结合了一些其它材料.有关爱因斯计划的详细技术说明参见本人另两篇文章<美国爱因斯坦计划技术分析>(2011)和<从爱因斯坦2到爱因斯坦3>(2014).本文中提及的"目前"一般都是指2015年底及2016

《推荐系统》--最新进展:比如攻击、在线消费决策、普适环境等

<Recommender System An Introduction>,第九章,针对协同推荐系统的攻击 <Recommender System An Introduction>,第十章,在线消费决策 <Recommender System An Introduction>,第十一章,推荐系统和下一代互联网 <Recommender System An Introduction>,第十二章,普适环境中的推荐 应对攻击的对策 (1)使用基于模型的技术和额外的信

【超分辨率专题】—基于深度学习的图像超分辨率最新进展与趋势

1.简介 图像超分辨率是计算机视觉和图像处理领域一个非常重要的研究问题,在医疗图像分析.生物特征识别.视频监控与安全等实际场景中有着广泛的应用.随着深度学习技术的发展,基于深度学习的图像超分方法在多个测试任务上,取得了目前最优的性能和效果.本文介绍的一篇综述(Deep Learning for Image Super-resolution:A Survey)给出了一个统一的深度学习视角,来回顾最近的超分技术进展,主要包括三个方面: 给出了综合性的基于深度学习的图像超分技术综述,包括问题设置.数据

目标检测最全论文集锦引用地址 最新进展和研究成果 2019最火目标检测算法centernet 拓展想法以及拓展研究的思路

目标检测最全论文集锦引用地址 最新进展和研究成果 2019最火目标检测算法centernet 拓展想法以及拓展研究的思路 待办 经典论文集锦 https://zhuanlan.zhihu.com/p/36818086 https://handong1587.github.io/deep_learning/2015/10/09/object-detection.html 目标检测最新进展与研究 https://zhuanlan.zhihu.com/p/96115519 centernet思路梳理

日益融合的德国工业4.0最新进展 ——2019年汉诺威工博会观感

本文作者:SAP全球高级副总裁.中国区总经理李强 融合是德国工业4.0不变的主题 自从德国政府在2013年汉诺威工博会上发布工业4.0概念以来,每一届汉诺威工博会的主题都被定格为「融合的工业(Integrated Industry)」,其差异反映在副标题的选择上.例如,2014年紧跟着的副标题是「未来趋势」,2015-2018年分别是「加入网络大家庭」.「发现解决方案」.「创造价值」.「连接与协作」,而到了2019年,则是「工业智能」.沿着这些副标题的发展脉络,我们可以充分了解作为全球工业4.0