愛因斯坦計劃最新進展（201710）

在2017年的美國國家網絡安全意識月活動期間，DHS下的NPPD向國會出具了多份書面證詞，談及了包括愛因斯坦計劃和CDM（持續診斷與緩解）項目在内的相關進展情況。

作為DHS下面主管CyberSecurity的部門，證詞提到：“NPPD負責保護民用聯邦政府網絡【注：民用機構、民事設施跟軍用/軍事對應。愛因斯坦管不了美國軍事機關和設施，那由DoD管轄】，并與其他聯邦機構，州，地方，部落和地區政府（SLTT）以及私營部門合作，防範網絡威脅。 我們緻力于加強全球的網絡威脅資訊共享，在網絡事件開始之前阻止網絡事件，幫助企業和政府機構保護網絡系統，并在發生此類攻擊時迅速恢複。 通過彙集各級政府，私營部門，國際合作夥伴和公衆，我們正在采取行動，防範網絡安全風險，提高我們的整體事件響應能力，加強有關最佳實踐和網絡威脅的資訊共享， 并加強抵禦能力。”

證詞以WannaCry和NotPetya為例來說明威脅造成的經濟損失，并介紹了NPPD做了哪些預警和處置工作。又以Black Energy和Havex，以及烏克蘭CrashOverride為例講述了威脅對關鍵基礎設施的危害，并介紹了NPPD所作的努力，以及與能源部合作開展電力行業的安全評估與應急響應的案例。

在介紹NPPD2017年的優先事項時，首先提到了2017年5月份特朗普頒布的13800号總統令（Strengthening the Cybersecurity of Federal Networks and Critical Infrastructure《加強聯邦網絡和關鍵基礎設施的網絡安全》）【注：這個發文十分重要，對美國各部委機構提出了具體的、有時間點的要求，涵蓋政府網絡安全、關鍵基礎設施網絡安全和國家網絡安全三個層次。圍繞這個發文，美國政府各部門做了大量工作，送出了專門的報告】，并将其作為年度重點工作。其次，提及了執行FISMA2014的要求，做好對各聯邦結構的風險評估和合規性檢查。

證詞還提及了NPPD的主要工作内容，包括：

（1）通過包括“愛因斯坦”在内的國家網絡安全保護系統（NCPS）和連續診斷與緩解（CDM）計劃來防護民用政府設施；

（2）考核和激勵各個聯邦機構執行安全政策、指令 、标準和指南；

（3）作為資訊共享和事件報告的中心；

（4）提供營運和技術援助，包括威脅資訊傳播，風險和脆弱性評估以及事件響應服務。 NPPD的國家網絡安全和通信內建中心（NCCIC）作為政府網絡安全資訊共享，資産事件響應以及關鍵基礎設施和聯邦政府協調的樞紐。

在談及愛因斯坦計劃的時候，證詞表示，EINSTEIN作為聯邦政府的入侵檢測與防護套件，可以對各聯邦機構非涉密網絡的網際網路邊界進行防護。 EINSTEIN提供對民事聯邦部門網絡流量的态勢感覺，是以，在一個機構檢測到的威脅，可以快速與其他所有機構進行資訊相關共享和能力，進而更有效地管理網絡風險。

DHS在不斷改進愛因斯坦的技術架構和部署架構。目前，愛因斯坦裝置主要還是基于特征檢測的，但目前正在進行基于非特征的檢測試點，借助商業的、政府的和開源的相關技術，對擷取的資料進行快速的異常行為分析。通過這些試點也幫助NPPD積累将來運維這種非特征檢測和防護系統所需的人員技能、方法、技巧和流程。

此外，各地方-政府（SLTT）可以通過MS-ISAC（Multi-State Information Sharing and Analysis Center）來使用愛因斯坦服務，被稱作“Albert”。盡管目前版本的Albert系統尚無法實時阻斷網絡威脅，但卻可以對相關人員進行告警，以便進行深入排查。Albert将會成為國家和地方-政府之間共享網絡安全資訊的主要途徑。

DHS認為要進行有效地網絡安全風險管理需要進行縱深防禦，除了在邊界安全上部署愛因斯坦，還需要在聯邦政府網絡内部部署CDM（持續診斷與緩解，Continuous Diagnostics and Mitigation）。NPPD的持續診斷和緩解（CDM）計劃為所有參與機構提供網絡安全工具和內建服務，使其能夠通過減少其網絡的攻擊面來改善其各自的安全狀況，并借助統一的聯邦儀表闆來向DHS提供全國範圍的安全可見性（Visibility）。

CDM主要包括兩個作用：

1）使得各聯邦機構獲得對自身網絡的可見性。這裡的可見性就是對機構自身内部網絡的态勢感覺。幫助他們認清自己面臨的首要風險，并優先處置重要的安全問題。

2）NCCIC通過對這些各個聯邦結構的安全态勢感覺的摘要資訊的彙總，能夠更有效地、更實時地從國家層面來識别系統性的安全風險。

目前，NCCIC要想知道政府機構某個關鍵更新檔修複的情況，隻能通過他們的報告和手工的方式進行統計，而CDM将改變這種現狀，使得NCCIC能夠借助部署在機構的相關裝置和軟體，及時自動的采集相關資訊，快速掌握各個機構的更新檔修複情況，根據整體情況及時對各個機構提供有效指導。【注：看到這裡，我仍不住笑了一下】

對于DHS的意義，NPPD表示，Effective cybersecurity requires a robust measurement regime, and

robust measurement requires valid and timely data. CDM will provide this

baseline of cybersecurity risk data to drive improvement across the

civilian executive branch. 有效的網絡安全需要強大的度量機制，而健壯的度量需要有效和及時的資料【注：這句話說的很好，但要做到甚難！美國亦是如此，是警語，也是感歎】。 CDM将提供這個網絡安全風險資料的基線來推動整個民事政府部門的改進。

證詞還提及了NPPD針對高價值資産防護所做的工作，以及針對各個聯邦機構漏洞更新檔管理的推動和督促工作，其中NCCIC會對各機構暴露在網際網路上的漏洞進行掃描，并督促相關機構及時整改。還提到了Automated Indicator Sharing (AIS，自動名額共享)和ISAO。

此外，還提及了NPPD對卡巴斯基有關的産品的審查工作，并下發指令（BOD）要求各聯邦機構在30天内檢查出自己網絡中使用的卡巴斯基産品，在60天内拿出替換方案和計劃，并且如果沒有其他指令的話，要在90天内完成移除和替換工作。NPPD表示會給卡巴斯基一個申訴的機會。

還有一個有趣的事情，就是證詞中提到已經通過衆議院表決送出到參議院的Cybersecurity and Infrastructure Security Agency Act of 2017（網絡安全和基礎設施保護局法案）。法案提議将NPPD改名為CISA，并重組旗下部門變成三個：The Cybersecurity Division，The Infrastructure Security Division和The Emergency Communications Division。

在2017年3月份的另一份書面證詞中，NPPD下屬的CS&C辦公室還更詳細談及了愛因斯坦計劃和CDM計劃的進展情況。

NPPD表示，截至2015年，愛因斯坦的入侵檢測能力覆寫了聯邦政府90%的流量，典型一天所有檢測引擎會産生3萬個告警。這些告警會在NCCIC進行進一步評估和甄别。

目前，E3A都是通過跟政府簽約的ISP（稱作MTIPS）合作，以服務方式提供給各個聯邦機構。目前的服務就兩個：DNS sinkhole和郵件過濾（為了防止借助郵件的攻擊）。而目前，DHS正在跟那些ISP合作，不斷加入新的功能。E1和E2采用了不涉密的網絡威脅名額（特征），而E3使用的威脅名額（特征）既有不涉密的也有涉密的。E3使用了IoC來阻斷惡意流量。

根據2015年的網絡安全法（the Cybersecurity Act of 2015），在2016年12月18日之前，所有聯邦機構的網際網路進出流量都必須接入愛因斯坦。是以，愛因斯坦計劃的進度得到了大幅提升。在法案通過之前，隻有23%的機構用了E3A，而法案版本後，基本上23個最大的政府機構都上了E3A，絕大部分機構都至少使用了E3A的一個功能。但是，目前還不是100%覆寫。【可見全國鋪開來做個事情有多難】

在2016财年，NCCIC接報了30899件有影響性的安全事件（Incident），涉及8個攻擊向量。

【緻謝】感謝天際友盟謝濤提供線索。

【參考】

愛因斯坦計劃最新進展（201705）

重新審視美國愛因斯坦計劃(2016)

美國愛因斯坦計劃技術分析 

從愛因斯坦2到愛因斯坦3

美國愛因斯坦計劃最新動态201508

歐洲的民間版愛因斯坦計劃：歐洲龍蝦計劃技術初探

揭秘美國DHS下的國家網絡安全和通信整合中心（NCCIC）

參觀美國國土安全部的安全營運中心：NCCIC