前情回顾·美国国家网络防御系统动态

• 美国政府发布安全日志强制留存规定，提升事件响应能力

• 美国土安全部研究下一代网络安全分析平台

• 美国土安全部研究商用“网络攻击自动化检测系统”

安全内参3月23日消息，作为美国网络安全和基础设施安全局（CISA）2024财年预算申请的重点，该机构正在寻求建设新的“网络分析和数据系统”（CADS），作为后爱因斯坦（EINSTEIN）时代国家网络防御体系的中心。

CISA希望在2024财年为CADS项目提供4.249亿美元（约合人民币28.96亿元）。预算文件解释称，该项目的设想是打造一套“管理所有系统的系统”，提供“一个强大且可扩展和分析环境，能够集成任务可见性数据集，并为CISA网络操作人员提供可视化工具与高级分析能力。”

根据预算文件，这项新计划也是美国国家网络安全保护系统（NCPS，等同于爱因斯坦系统）“重组”措施的一部分。爱因斯坦系统由国土安全部于2003年提出，长期负责保护联邦机构的网络体系。

国家网络安全保护系统的核心基础设施、分析和信息共享等功能，将通过此次重组过渡为新的CADS计划。而入侵检测与防御等功能则将在2024年继续保留在爱因斯坦系统之下。

国土安全部前高级官员Chris Cummiskey表示，这份预算案是对过去几年间围绕爱因斯坦系统未来走向这一重大问题做出的回应。

“当时的想法是，爱因斯坦系统终将转化成其他形态。我想我们现在已经有了答案。……过去15到20年间，我们在联邦政府层面所熟知的爱因斯坦系统将变得截然不同。”

新系统为分析师提效赋能

CISA负责网络安全的执行助理主任Eric Goldstein在一封邮件声明中表示，新的CADS系统将帮助CISA“在破坏性入侵发生之前，快速分析、关联并行动以解决网络安全威胁和漏洞。”

Goldstein解释道，该系统将整合来自多个来源的数据，包括“公共与商业数据馈送；CISA自己的端点检测与响应传感器、Protective[域名系统]，以及覆盖美国数千家注册组织的漏洞扫描服务；还有公共和私营合作伙伴共享的数据。”

CADS还将为CISA的网络分析师提供统一的数据仓库，让他们不必像现在这样，在不同系统之间切换手动比较数据和威胁信息。

“CADS提供的工具和功能有助于数据的摄取、集成、协调和自动化分析，将支持对恶意网络活动的快速识别、检测、缓解和预防。”

一位业内消息人士指出，CADS计划将为CISA建立一个工程与软件开发中心，确保在CISA快速发展的同时满足其对工具和分析的需求。

这位消息人士表示，“随着CISA的发展成熟，这方面需求也在逐步升级。CISA希望成长为一种强大、灵活的资源池，实现对软件、工具和基础设施的按需开发。”

CISA还要求在2024年继续向爱因斯坦系统划拨6700万美元运营经费，并计划更换爱因斯坦中遗留的入侵检测和预防工具。

预算文件提到，在入侵防御方面，CISA计划在2024年将爱因斯坦的EINSTEIN Accelerated(E3A)邮件过滤工具“退役”，转为使用其他非机密性的商业服务，包括CISA的新Protective DNS服务。

文件还指出，CISA将继续运行爱因斯坦的入侵检测功能，同时探索新方案以满足在联邦政府内“扩大云技术使用范围”的目标。

超越“爱因斯坦”

在过去二十年间，爱因斯坦计划一直是国土安全部的核心任务之一，负责保卫联邦文职行政部门的网络安全。该系统记录进出机构网络的数据流量，在识别到恶意流量时向机构发出警报，并会阻断已知的网络攻击行为。

但美国国会研究服务处在2018年的一份报告中指出，爱因斯坦存在一个关键限制因素，即必须“之前看到并分析过恶意流量才能起效，无法在首次接触新的恶意流量时进行识别。”

换句话说，爱因斯坦系统“只能阻止已知威胁”。

在2020年SolarWinds事件爆发后，美国国会开始认真关注这个重大缺陷。

面对爱因斯坦耗资60亿美元却效果不佳的质疑，CISA官员辩护称，这套系统在设计之初就没有考虑过阻止新型供应链攻击。

CISA代理局长Brandon Wales在2021年3月的参议院听证会上表示，“我认为最好能保留爱因斯坦系统中仍能发挥作用、提供重要价值的部分，并把那些缺乏实际作用的部分替换成新项目。”

在本月初发布的报告中，国土安全部监察长办公室发现，SolarWinds漏洞“表明CISA的网络可见性和威胁识别技术需要得到显著改进”。

作为对这份报告的回应，CISA强调称正在开发CADS计划，正在为“CADS的持续交付”整理成本估算和时间表，预计将在3月31日之前交由国土安全部的项目责任和风险管理办公室审批。

虽然这项新计划的部门内审批正在推进，但CISA还要想办法说服国会。至于此前遗留的爱因斯坦计划，将在2023财年末获得重新授权。

监察长办公室的报告还提到，CISA在2023年将拥有2500万美元的“过桥资金”以继续投资基础设施和分析能力，直到2024年预算获得批准。

关于CISA如何实现新CADS计划的详细信息尚未公开。Cummiskey表示，如果CISA能够在2024年成功申请到经费，可能会很快启动相关重大采购。

“跟他们过去推进持续诊断和缓解（CDM）计划与爱因斯坦计划类似，我认为这将是网络安全行业在此类特定计划中发挥重要作用的又一关键机遇。”他说。

参考资料：https://federalnewsnetwork.com/cybersecurity/2023/03/cisa-lays-out-post-einstein-future-with-shift-to-cyber-analytics-and-data-system/

声明：本文来自安全内参，版权归作者所有。