-
恶意流量阻断:自动地对进出联邦政府机构的恶意流量进行阻断。这是依靠ISP来实现的。ISP部署了入侵防御和基于威胁的决策判定机制,并使用DHS开发的恶意网络行为指标(Indicator)来进行恶意行为识别。 -
DNS阻断:也就是DNS Sinkhole技术,用于阻止已经被植入政府网络的恶意代码与外部的恶意域名之间的通讯。 -
电子邮件过滤:对所有发给政府网络用户的邮件进行扫描,识别含有恶意代码的附件、恶意URL等,并将其过滤掉。 -
Web内容过滤(WCF):这是2016年加入到E3A入侵防御中的能力,可以阻断可疑的web网站访问、阻止web网站中恶意代码的执行,阻断web钓鱼。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-
NCPS项目从一开始就是站在国家战略高度来推进的,采用法规先行(法案、总统行政令、NIST标准等)、制度开道、统一建设、持续投入的方式,从一个US-CERT下面的初级态势感知项目,在CNCI计划的推动下,逐步成为了一个规模庞大的国家战略级项目。 -
从项目定位上,NCPS区别于各个联邦民事机构自己的安全防护。二者不是替代关系,而是叠加关系。并且NCPS更加注重针对高级威胁的监测与响应,更加重视跨部门/厂商的协调联动、信息共享、集体防御。 -
NCPS项目的投入时间很长,尤其是2009年CNCI计划出台之后,资金和人员投入逐年稳步提升,并维持在较高的水平线上。可见国家级态势感知系统的建设需要长期持续的投入。 -
从资金分布上看,DHS越来越重视NCPS的运行维护,技术和产品采购的比重越来越低。要想实现NCPS常态化的运营,就必须有持续的、大量的运营投入,并且需要大量的安全分析师。 -
从运营方式上看,NCPS被尽可能地封装为一系列托管服务和安全服务的形式,以服务的方法提供给各个联邦机构,并且正在切换为单一的、统一的服务提供商。 -
CISA自己说过,“有效的网络安全需要强大的度量机制”。正如“没有度量就没有管理”,必须对NCPS的效果进行持续度量,才能持续改进。但如何度量始终是一个问题,至今CISA也没有给出一套稳定的度量指标。 -
尽管经过了十几年的持续建设,但NCPS仍然存在不少问题,拖延严重,正如GAO的报告所言,成效低于预期。但尽管如此,美国政府并没有停止这个项目,而是持续加大投入。因为这个方向是正确的,技术路线是正确的。 -
从技术上看,过去人们大都认为NCPS主要是规模效应,技术含量并不高,譬如基本都是基于特征和签名的检测。事实上,NCPS还是比较注重新技术运用的。我们现在经常听到的所谓高级威胁检测、机器学习、行为画像和异常行为分析、编排自动化响应、威胁情报、加密流量威胁检测,等等,在NCPS中都有体现,并且都会经历一个先试点再铺开的过程。 -
在技术层面,NCPS正在积极上云,充分利用云来降低整体投入的成本,提升服务能力,改进服务方式。最起码,在数据中心的基础设施建设方面,云在可伸缩性、可用性和可靠性方面表现更佳。 -
我们常把爱因斯坦计划指代美国政府的网络安全态势感知项目,其实这是不完整的。美国联邦政府的网络安全态势感知是由一系列国家级大项目共同支撑起来的,至少包括TIC(可信互联网接入)、NCPS(爱因斯坦计划)、CDM(持续诊断与缓解)计划,以及共享态势感知。
-
WCF会对可疑的web流量按照URL/URI进行分类,允许系统管理员允许或者拒绝某类web访问。WCF会根据高可信网络威胁指标和商业的签名指标来进行研判并决定是告警还是阻断,抑或其它遏制操作。WCF的技术原理就是一个WEB代理,由它来进行检测,并执行重定向、阻断或者告警操作。 -
WCF支持对SSLweb流量解密,分析解密后的流量数据。 -
WCF内置恶意代码检测功能,使用政府提供的网络威胁指标来检测恶意活动。 -
WCF包括高级分析功能。这里的高级分析是指基于行为的异常分析,也即LRA。
-
美国爱因斯坦计划技术分析,2011 -
从爱因斯坦2到爱因斯坦3,2014 -
重新审视美国爱因斯坦计划(2016) -
美国爱因斯坦计划最新动态201508 -
爱因斯坦计划最新进展(201705) -
爱因斯坦计划最新进展(201710) -
美国国家网络空间安全保护系统“爱因斯坦计划”技术综述 -
美国政府持续深入开展爱因斯坦项目以提升网络威胁感知能力(2019) -
美国爱因斯坦计划跟踪与解读(2021)
原文始发于微信公众号(专注安管平台):美国爱因斯坦计划跟踪与解读(2022v1版)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论