美國愛因斯坦計劃跟蹤與解讀（2020）

【引言】本文在2019年版本的基礎上進行了較大幅度修訂，重點是全面更新了愛因斯坦計劃的相關資料和2020年以來的最新進展（包括第2、3、4、6章）。此外，第7章增加了對營運模式的分析。

1      項目概述

愛因斯坦計劃，其正式名稱為“國家網絡空間安全保護系統”（National Cybersecurity Protection System，簡稱NCPS），是美國“全面國家網絡空間安全行動計劃”（Comprehensive National Cybersecurity Initiative，簡稱CNCI）的關鍵組成部分。NCPS以DFI、DPI和DCI技術為抓手，以大資料技術為依托，以threat情報為核心，實作對美國聯邦政府網際網路出口網絡threat的持續監測、預警與響應，以提升聯邦政府網絡的态勢感覺能力和可生存性。

NCPS由美國國土安全部（DHS）負責設計、運作和協調，大體上分為三個階段。

借助NCPS，美國聯邦政府為其網際網路側态勢感覺建構起了四大能力：入|侵檢測、入|侵防禦、安全分析和資訊共享。

1.1    入|侵檢測

NCPS的入|侵檢測能力包括愛因斯坦1（簡稱E1）探針中基于Flow的檢測能力、愛因斯坦2（簡稱E2）和愛因斯坦3A（簡稱E3A）探針中基于特征的檢測能力，以及2015年啟動的在E1、E2和E3A中基于機器學習的行為檢測能力（代号LRA）。

NCPS的檢測能力不追求檢測所有攻|擊和入|侵，而重點關注APT類進階threat，因而其檢測特征庫并不大，但很有針對性，并由美國DOD/NSA提供部分特征資訊。

1.2    入|侵防禦

NCPS的入|侵防禦能力是從愛因斯坦3A（簡稱E3A）階段開始的。

NCPS的入|侵防禦也不是一般意義上的入|侵防禦系統（IPS），其功能設計更加聚焦，更有針對性，并且是由NSA協助（主導）設計的，主要包括4種能力：

• 惡意流量阻斷：自動地對進出聯邦政府機構的惡意流量進行阻斷。這是依靠ISP來實作的。ISP部署了入|侵防禦和基于threat的決策判定機制，并使用DHS開發的惡意網絡行為名額（Indicator）來進行惡意行為識别。
• DNS阻斷：也就是DNS Sinkhole技術，用于阻止已經被植入政府網絡的惡意代碼與外部的惡意域名之間的通訊。
• 電子郵件過濾：對所有發給政府網絡使用者的郵件進行掃描，識别含有惡意代碼的附件、惡意URL等，并将其過濾掉。
• Web内容過濾（WCF）：這是2016年加入到E3A入|侵防禦中的能力，可以阻斷可疑的web網站通路、阻止web網站中惡意代碼的執行，阻斷web釣魚。

值得一提的是，NSA在協助DHS設計E3A入|侵防禦系統的時候，将他們的Tutelage項目移植了過去，超越了一般意義上主動防禦的層次，具有很強的對抗性。

1.3    安全分析

如果說入|侵檢測和入|侵防禦構成了NCPS的前端系統，那麼NCPS的後端核心就是建構在大資料之上的安全分析能力，而這個分析結果的輸出就是網絡安全threat态勢。NCPS的分析能力主要包括：安全資訊與事件管理（SIEM）、數字媒體分析環境（Digital Media Analysis Environment）、進階惡意代碼分析中心（AMAC）、各種分析工具可視化工具，等等。

1.4    資訊共享

用時髦的話來說，資訊共享就是情報共享，這是NCPS的核心能力。借助該能力，DHS建構起一個資訊共享與協作環境（ISCE），使得其下屬國家網絡空間安全和通信內建中心（National Cybersecurity and Communications Integration Center，簡稱NCCIC）的安全分析師能夠按照不同的密級與他們的合作夥伴快速交換網絡threat和網絡事件資訊，通過合作與協同以降低事件響應時間，通過自動化資訊分享與披露以提升工作效率。

NCPS的資訊共享能力主要包括：自動名額共享（AIS）、名額管理平台（IMP）、統一工作流、跨域解決方案（CDS），等等。

2      項目走勢

如下所示，是筆者自己根據DHS曆年的預算報告自行編制的2008财年到2021财年NCPS預算走勢圖，采用的資料可能與實際有差異，均為概數。

透過上圖，可以發現美國政府對愛因斯坦項目的投入總體上呈現逐年上升的态勢，隻是在最近4年有所下降，但仍維持在高位。進一步觀察，筆者還隐約感覺到項目投資可能有大小年之分。此外，不少人以為美國政府因為其效果不佳（GAO評價）而将其打入冷宮，事實證明并非如此。

根據DHS官方的資料，截至2018年财年（含），NCPS的資金投入累計已經達到了32.19億美元。

同期的NCPS全職從業人員預算編制數量走勢如下圖所示：

可以發現，NCPS的專職管理人員的數量也是穩步增長。

3      最新進展

根據2020年5月底OMB釋出的送出給國會的2019财年的FISMA報告，目前愛因斯坦項目總體上處于E3A階段。截至2019年9月30日，在104個聯邦民事機構中，有76個（2018财年是70個）已經完全實作了三階段NCPS能力，包括列入CFO Action的所有23個機構。   

如上圖所示，仍有28個機構尚未實作E1和E2，還有4個機構在實施E3A的過程中遇到阻礙。

4      2021财年項目預算與計劃分析

下面是DHS在2021财年預算中提供的針對NCPS投資的表格。

據此我們可以發現，在2018财年（含）之前的總投資達到了32.19億美元，2019财年的投資是3.92億美元，2020财年的投資是4.66億美元，而2021财年的投資預算是3.7億美元，最近三年投資額都保持在高位。

NCPS項目的預算總體上包括兩部分：運作維護（O&S）、采購建設與提升（PC&I）。從上表可以發現，運維投資都要遠高于采購建設投資，兩部分的比例在2019年是3:1，2020财年降到了2:1，2021财年回到了3:1。此外，如果翻看2020财年釋出的預算，可以看到當時計劃2020财年的NCPS預算比例也是3:1，隻是後來采購建設實際花費多出了6000萬美元。

在2017财年（含）以前，NCPS的預算則主要是采購建設與提升，運維部分的預算比例較低，2017财年（含）之前的運維總預算還不及2018~2020三年的運維預算之和多。這也說明，近些年開始，NCPS項目主要是運維，采購實施和更新工作逐漸減少。

4.1    運維預算分析

以下針對2021财年的運維（Operations and Support）預算進行分析。

在2.79億運維預算中，有2.47億是非支付性成本（Non Pay Budget，都計入“咨詢與協助服務”科目）；人員成本（支付性成本）是3200萬美元，共計151人，人均成本較2020财年有所提升，達到21萬美元每人年。

此外，根據筆者的估計，非支付性成本應該包括了DOD對NCPS的各種幫助，以及大量的運維外包服務。很顯然，全國性的這麼一個大系統，僅靠預算編制内的151人是不可能運維的起來的。

4.2    采購實施與提升預算分析

進一步分析2021财年采購建設和提升（Procurement, Construction and Improvements）的預算（0.91億美元）的構成，如下表，包括6個部分：開發與工程、入|侵檢測、入|侵防禦、分析、資訊共享、聯邦DNS解析。

這裡，入|侵檢測和入|侵防禦就是愛因斯坦的前端，相當于探針和傳感器；分析就是愛因斯坦的後端，相當于一個基于大資料分析技術的SOC平台；而資訊共享就是愛因斯坦的threat情報平台（TIP）；開發與工程包括需求收集、工程方案、能力測試、績效評估等。聯邦DNS解析服務是2020财年的一項附加工作，旨在為聯邦國内機構提供統一的DNS解析服務，以阻斷借助DNS的threat，在2020财年規劃的是440萬美元，結果做成了6000萬美元的大項目，導緻NCPS全年的建設采購實際花費多出了6000萬美元！下圖是2020财年的NCPS采購建設預算表：

進一步對比2020财年的開銷和2021年的預算，還可以發現，除掉DNS解析服務的那6000萬美元，資訊共享和入|侵防禦的投入都有較明顯地減少。

此外，雖然DNS解析投資都在2020财年完成了，2021财年還要繼續深化DNS防禦的服務能力，包括通過動态規則，以及來自政府的和商業的threat情報來阻斷DNSthreat。

4.3    主要合同分析

如下所示：

上表顯示了近幾年來NCPS主要的采購合同，可以看到最大的供應商（內建商）是雷神公司，其三個合同的總值達到了5年9.76億美元，其中2019年最新簽署了一份高達3.52億美元的合同。并且，美國政府的合同通常都不是一年一簽的，而是一簽都是3年、5年的長期合同，更符合建設（含開發）工作的實際，但也對項目管理提出了更高要求。當然，這種方式也需要政府的預算管理機制提供相應的支撐。

4.4    項目計劃

2021财年NCPS的主要計劃和裡程碑事件包括：

• 入|侵檢測與防禦
  • 完成将現有IPSS（入|侵防禦安全服務）遷移到2020财年授予的總務局（GSA）EIS合同的工作；
  • 其中包括降低DHS資料中心的基礎設施投資成本
  • 提高商業雲能力支撐NCPS入|侵檢測與防禦能力的使用率，以提升CISA為滿足任務所需的基礎設施、工具和能力的可伸縮性、可用性和可靠性【筆者注：NCPS正在積極擁抱雲】；
  • 繼續擴大從部委的雲服務提供商處抓取安全事件資訊與網絡遙測資料的工作；
• 分析
  • 提高商業雲能力支撐NCPS分析能力的使用率，以提升CISA為滿足任務所需的基礎設施、工具和能力的可伸縮性、可用性和可靠性；
  • 繼續增強分析工具和過程以進一步提升網絡threat分析的自動化水準；
  • 增強分析架構的能力，使得CISA分析師能夠實作跨NCPS資料集的資訊查詢和分析；
  • 資料科學家将繼續與CISA網絡分析師合作，不斷開發和優化分析能力，提高基于行為特征的惡意流量檢測模型的能力，提升基于置信度評分的潛在入|侵告警能力；
  • 繼續增強重構的AMAC（進階惡意代碼分析中心），提升CISA分析師的多方面能力，包括接收資訊、執行分析、共享資訊的能力，以及對在事件響應時獲得的惡意代碼樣本和從公私合作夥伴處獲得的惡意代碼樣本進行逆向的能力。
• 資訊共享
  • 擴充CDS（跨域解決方案）的采用，以支撐從低安全級别網絡向高安全級别網絡傳輸資料。
  • 提高商業雲能力支撐NCPS資訊共享能力的使用率，以提升CISA為滿足任務所需的基礎設施、工具和能力的可伸縮性、可用性和可靠性；
  • 繼續增強統一工作流（Unified Workflow）能力，為CSD（網絡安全部）【筆者注：網絡安全部是CISA下面主管網絡安全，使用NCPS系統的部門】下各個獨立的業務和任務支撐應用提供一個單一的工作流自動化平台，并将他們統一到一個統一視圖中去，進而提升CSD跟蹤、協調和報告安全事件的能力；

5      重點技術介紹

5.1    LRA

LRA的全名是“邏輯響應孔徑”（Logical Response Aperture），是DHS開展的一項旨在提升安全分析與響應自動化的項目的内部代号。LRA能夠借助智能化的安全分析技術，在沒有簽名和特征的情況下識别攻|擊。

下圖展示了LRA的基本工作流程。

在聯邦部委機構（D/A）和網際網路（Internet）之間有一套部署在網際網路服務提供商（ISP）處的“NEST”設施。NEST會利用TAP将進出聯邦機構的的網際網路流量按需送給LRA。LRA的流量引擎利用Zeek做協定解析，并将解析後的流量日志（流量中繼資料）連同原始的pcap包存儲到大資料存儲系統中（預設存儲90天）。存儲的資料内容包括：DNS查詢的域名和響應的IP位址、域名-IP位址對的TTL、電子郵件附件中的可執行檔案、http請求的user agent資訊，等等。基于機器學習和統計分析算法的分析引擎、惡意代碼檢測裝置，及其它自動化工具會從大資料存儲中讀取這些資料，并結合通過其它方式獲得的各種情境資料（譬如域名和可執行檔案的黑白名單，GeoIP等）進行複合安全分析，生成惡意流量的潛在名額，并存入潛在名額庫中。分析師通過互動性UI檢查潛在名額庫中的名額，對其進行研判和标注，一方面獲得有效的名額，另一方面為機器學習算法提供改進。

5.2    Tutelage

Tutelage（現已改名，具體不詳）作為NSA号稱21世紀執行信号情報（SIGINT）任務的核心系統的Turbulence項目中的一個子系統，承擔主動防禦的任務。作為NCPS的重要咨詢方和協作方，NSA将Tutelage移植給了E3A。作為NCPS中涉密的部分，我們無從知曉E3A的入|侵防禦系統設計有何玄機。

幸運的是，斯諾登洩密事件給了我們一窺Tutelage的機會，我們可以自行腦補E3A可能的設計。如下圖所示，展示了Tutelage項目在檢測到惡意流量和攻|擊後可以采取的遏制/反制措施，十分豐富。

可以肯定的是，E3A的入|侵防禦系統絕非我們一般意義上的IPS。

5.3    WCF

WCF的全名是WEB内容過濾（WEB Content Filtering）,是2016年前後追加到E3A中的一個新防禦能力（最初的E3A入|侵防禦能力包括DNS sinkholing和email過濾），重點阻斷可疑的web網站通路、阻止web網站中惡意代碼的執行，阻斷web釣魚。

WCF具有四個功能：web流量檢測與阻斷、SSL解密、惡意代碼檢測、進階分析。

1. WCF會對可疑的web流量按照URL/URI進行分類，允許系統管理者允許或者拒絕某類web通路。WCF會根據高可信網絡threat名額和商業的簽名名額來進行研判并決定是告警還是阻斷，抑或其它遏制操作。WCF的技術原理就是一個WEB代理，由它來進行檢測，并執行重定向、阻斷或者告警操作。
2. WCF支援對SSL web流量解密，分析解密後的流量資料。
3. WCF内置惡意代碼檢測功能，使用政府提供的網絡threat名額來檢測惡意活動。
4. WCF包括進階分析功能。這裡的進階分析是指基于行為的異常分析，也即LRA。

5.4    AIS

說到NCPS項目，而不提及threat情報，那麼一定是對NCPS不甚了解，或者僅僅停留在愛因斯坦計劃早期的認知水準上。必須強調，threat情報，或者說資訊共享是NCPS的核心能力之一，所有檢測、分析的能力最後都是為了能夠在DHS和其夥伴間實作高效的情報共享和協同關聯。美國政府實施NCPS的一個終極目标就是自動化地檢測threat、共享情報和處置攻|擊。這跟我們近些年談及從美國傳過來的TIP、SOAR等理念是一緻的。

AIS全名是自動名額共享（Automated Indicator Sharing），其目标就是在網絡防禦行動中以機器速度（Machine-peed）快速廣泛地共享機讀（Machine-readable）網絡threat名額和防禦措施。AIS要能夠自動處理海量高速的共享名額，而這是人工操作無法達成的。

下圖展示了AIS的工作原理。

首先，各個AIS的參與機構（上圖右側灰色部分，包括各級地方政府、私營夥伴、聯邦機構、ISAC和ISAO）通過TAXII協定将STIX格式的threat情報資訊送給DHS的TAXII伺服器（上圖中間黃色部分）。接着，所有送出的情報資訊都會經過一個自動化的“資料增強過程”，進行資訊修訂、匿名化處理、隐私評估、資料增強。此外，DHS也會接收商業的情報資訊源資訊（上圖上方綠色部分），并統一進行資料增強。然後，DHS的分析師會對增強後的資料進行核驗【筆者注：人工操作還是不可缺少，不可能完全自動化】，并最終進行釋出。釋出的途徑包括放到TAXII伺服器上供各參與方擷取，或者可以供其它第三方訂閱（上圖上方藍灰色部分）。

截至2018年底，已經有33個聯邦機構，215家非聯邦政府實體（其中包括18家可以對共享資訊進行再分發的ISAC、ISAO和11家商業服務提供商）參與其中。

6      關鍵考核名額

根據DHS釋出的《2019~2021财年年度績效報告》，在2019~2021财年設定了幾個跟愛因斯坦相關的KPI。

1）從最早檢測到潛在的惡意活動就将其通知給相應機構的平均時長。這個名額可以簡單地了解為NCPS發現攻|擊後通知到受害部委的平均時長，如下圖所示：

不幸的是，由于難以獲得這個資料，該名額從2020财年開始被廢棄。根據DHS的計劃，該名額将為替換為：在指定時間範圍内向受影響的部委發出潛在惡意網絡行為的通知的比重。

2021财年和2022财年的達标比重是75%，即要求有75%的部委能夠在期望時間内收到遭受攻|擊的通知。至于這個期望值，2020财年是18小時，2021财年則是12小時。這個名額跟之前名額目的是相同的，但可操作性提升了。

2）愛因斯坦檢測與防禦系統檢測到的或者阻斷的可以溯源到國家級别的安全事件比重，如下圖所示：

從2019财年來看，該名額并未達标，預期是21%，實際是17%。DHS表示，對愛因斯坦而言，檢測比溯源更重要，投入了更多精力在檢測上，因而名額未能達标。此外，由于該名額對于控制來自國家行為體的threat作用有限，從2020财年開始被廢棄，不再考核。DHS表示會内部繼續跟蹤這個名額，但會淡化threat來源，而更注重及時性和準确性。

7      總結和啟示

通過以上分析，筆者談一談個人的幾點體會作為本文總結。

1. NCPS項目從一開始就是站在國家戰略高度來推進的，采用法規先行、制度開道、統一建設、持續投入的方式，從一個US-CERT下面的初級态勢感覺項目，在CNCI計劃的推動下，逐漸成為了一個規模龐大的國家戰略級項目。
2. 從項目定位上，NCPS差別于各個聯邦機構自己的安全防護。二者不是替代關系，而是疊加關系。并且NCPS更加注重針對進階threat的監測與響應，更加重視跨部門/廠商的協調關聯、資訊共享、群防群治。
3. 從建設過程來看，NCPS明顯以合規為出發點進行建設，但強調以實戰對抗為最終目标。
4. NCPS項目的投入時間很長，尤其是2009年CNCI計劃出台之後，資金和人員投入逐年穩步提升，并維持在較高的水準線上。可見國家級态勢感覺系統的建設需要長期持續的投入。
5. 從資金分布上看，DHS越來越重視NCPS的運作維護，技術和産品采購的比重越來越低。要想實作NCPS常态化的營運，就必須有持續的、大量的營運投入，并且需要大量的安全分析師。
6. 從營運方式上看，NCPS被盡可能地封裝為一系列托管服務和安全服務的形式，以服務的方法提供給各個聯邦機構。
7. 盡管經過了十幾年的持續建設，但NCPS仍然存在不少問題，拖延嚴重，正如GAO的報告所言，成效低于預期。但盡管如此，美國政府并沒有停止這個項目，而是持續加大投入。因為這個方向是正确的，技術路線是正确的。
8. 從技術上看，過去人們大都認為NCPS主要是規模效應，技術含量并不高，譬如基本都是基于特征和簽名的檢測。事實上，NCPS還是比較注重新技術運用的。我們現在經常聽到的所謂進階threat檢測、機器學習、行為畫像和異常行為行為、編排自動化響應、threat情報等，在NCPS中都有展現，并且都會經曆一個先試點再鋪開的過程。
9. 在技術層面，NCPS正在積極上雲，充分利用雲來降低整體投入的成本，提升服務能力，改進服務方式。最起碼，在資料中心的基礎設施建設方面，雲在可伸縮性、可用性和可靠性方面表現更佳。
10. 我們常把愛因斯坦計劃指代美國政府的網絡安全态勢感覺項目，其實這是不完整的。美國聯邦政府的網絡安全态勢感覺是由一系列國家級大項目共同支撐起來的，至少包括TIC（可信網際網路接入）、NCPS（愛因斯坦計劃）、CDM（持續診斷與緩解）計劃，以及共享态勢感覺。

8      系列文章參考

以下是筆者以前撰寫的NCPS相關的文章，供大家參考，可以自行網絡搜尋。

1. 美國愛因斯坦計劃技術分析，2011
2. 從愛因斯坦2到愛因斯坦3，2014
3. 重新審視美國愛因斯坦計劃(2016)
4. 美國愛因斯坦計劃最新動态201508
5. 愛因斯坦計劃最新進展（201705）