编者按
美国防部网络犯罪中心(DC3)正在扩大规模,包括漏洞披露计划(VDP)和国防工业基础协作信息共享环境(DCISE)的覆盖范围,以应对日益增多的网络攻击和漏洞。DC3是一家美国联邦网络中心,为美国防部和国防工业基础(DIB)提供创新能力和专业知识,并帮助执法、网络安全和国家安全合作伙伴了解威胁和漏洞。除VDP和DCISE外,DC3还设有网络培训学院、运营支持部门和网络取证实验室、信息技术部门等机构。
VDP由美国防部2016年设立,旨在通过纵深防御网络安全策略加强美国防部信息网络的安全性。VDP的使命是充当接收漏洞报告和与支持美国防部信息网络的众包网络安全研究人员互动的唯一焦点。根据美国防部2021年的一项指令,VDP范围扩大到所有可公开访问的国防部信息网络和系统,“从约2400个单位跃升至2400万个单位”。VDP研究并识别漏洞,分类并验证漏洞报告,然后将相关信息发送给美国网络司令部所属的联合部队总部-国防部信息网络(JFHQ-DODIN),以确定需要采取行动修复网络漏洞的特定系统所有者,在得到漏洞完全修复的反馈后才会结束漏洞报告流程。VDP利用名为“漏洞报告管理网络”的跟踪系统实施漏洞修复管理工作,根据通用漏洞评分系统设定不同等级漏洞的修复时间。在经过试点工作后,VDP于2024年将范围扩大到国防工业基础(DIB),以纳入约30万家国防承包商,初期目标是在头1至3年内让大约1500家公司加入。VDP的DIB计划还单独创建了“DIB漏洞报告管理网络”,以避免与美国防部漏洞数据相混淆。
DCISE是美国防DIB网络安全计划的运营中心,负责保护非机密承包商网络上的知识产权和国防部内容。DCISE促进公私网络威胁信息共享,提供免费的网络安全即服务功能,并与政府/行业合作活动开展协作。DCISE为各种规模的DIB行为体提供威胁分析、缓解策略、最佳实践和信息交流。DCISE于2024年4月将未经批准的国防承包商也纳入覆盖范围,即任何存储受控、非机密信息或其他敏感、非机密技术军事数据的公司,使所服务的公司数量达到约80000家。DCISE目前支持超过1100家公司,目标是为上述公司提供该机构提供的所有功能,并支持美国防部的网络安全成熟度模型认证2.0计划。DCISE已创建了多种创新工具来支持小企业,例如:DCISE³系统可分析公司防火墙日志以检测恶意活动,该程序与第三方供应商合作进行分析,包括自动和手动检查网络流量;对手模拟测试可实施定制的渗透测试;“增强型网络传感器和智能威胁枚举”(ENSITE)正探索使用网络传感器来检测威胁。
奇安网情局编译有关情况,供读者参考。
美国防部网络犯罪中心(DC3)正在扩大规模,以应对日益增多的网络攻击和漏洞。
未来几年,DC3的漏洞披露计划(VDP)将呈指数级增长,以应对美国防部网站和网络上的网络漏洞。此外,美国防部的国防工业基础(DIB)协作信息共享环境(DCISE)也在不断发展,以保护支持美国军事技术的大型和小型公司的复杂网络。
DC3是一家独特的美国联邦网络中心,总部位于马里兰州林西科姆,为美国防部和国防工业基础提供创新能力和专业知识,并帮助执法、网络安全和国家安全合作伙伴了解威胁和漏洞。除漏洞披露计划和DCISE外,DC3还包括网络培训学院、运营支持理事会和网络取证实验室等机构。
DC3的漏洞披露计划(VDP)由美国防部2016年设立,旨在通过为纵深防御网络安全策略提供额外一层来加强国防部信息网络(DoDIN)的安全性。VDP的使命是充当接收漏洞报告和与支持美国防部信息网络的众包网络安全研究人员互动的唯一焦点。
DC3漏洞披露计划主管梅丽莎·维斯表示,该计划现在是世界上最大的联邦漏洞披露计划。她称,“我认为一开始他们以为我们会自己解决问题。但如你所知,总是有新的漏洞需要解决。而且由于这是美国防部长级别的组织和计划,因此没有‘选择加入或选择退出’。因此,任何触及美国防部网络并符合我们研究范围的东西都会自动进入研究范围。”
该计划最初的范围是解决美国防部面向公众的网站上的漏洞。随着互联网的发展,该计划自然而然地发现“很多东西都存在”,尤其是组织或公司创建的网站上,他们以为自己已经消除了,但实际上并没有。
然而,时任美国防部长吉姆·马蒂斯于2021年发布的一项命令改变了漏洞披露计划,将范围扩大到所有可公开访问的国防部信息网络和系统。
梅丽莎·维斯解释称,“我们基本上是联合部队总部-国防部信息网络(JFHQ-DODIN)和美国网络司令部漏洞的唯一焦点。”一夜之间,该计划的范围从约2400个单位跃升至2400万个单位。她称,“对于美国防部来说,这是一个非常庞大和广泛的资产范围,我们的道德黑客必须日复一日地进行研究,以减少这些漏洞空间。”
为了发现数字弱点,项目官员研究并识别漏洞,分类并验证漏洞报告,然后将相关信息发送给联合部队总部-国防部信息网络(JFHQ-DODIN),以确定需要采取行动修复网络漏洞的特定系统所有者。
梅丽莎·维斯表示,“一旦修复完成,就会反馈给我们的内部团队,我们会重新验证修复操作是否正确,如果不正确,则重复上述步骤,向他们提供更多信息,做我们需要做的任何事情。但我们不会关闭这些漏洞报告,直到它们100%修复完成。这就是这个持久计划的价值,我们会在任何敌对攻击前修复这些漏洞。”
官员们依靠一种名为“漏洞报告管理网络”的跟踪系统,该系统通过机密的秘密互联网协议路由器网络(SIPRNET)发送。系统所有者修复漏洞的时间取决于该计划的通用漏洞评分系统,该系统应用了严重性。梅丽莎·维斯称,严重漏洞需要在7天内解决。中级漏洞需要21天,而低级漏洞需要60天。
随着私营部门和来自国防工业基础(DIB)的公司对美国防部的支持,以及越来越多地采用数字化、基于互联网或网络化的解决方案,DC3的漏洞披露计划已经扩大到包括DIB。
2022年,在美国防部国防反情报与安全局的帮助下,该计划的官员与卡内基梅隆大学软件工程研究所进行了为期9个月的可行性研究,并开展了为期一年的试点工作,以加强对DIB的保护。约有40家公司参与其中,提交了有关其美国防部相关网络和数字资产的信息。漏洞披露计划官员和道德黑客随后搜索任何漏洞并帮助修复任何问题。该试点主要针对中小型公司。
梅丽莎·维斯表示,“建立一个新的联邦计划是一项挑战,这需要资金,而且还要经过很多其他流程。试点结束后,我们做了一个行动后报告。我们提交了1000多份漏洞报告,其中403份是可操作的。这真的很成功。”
根据IBM的研究结果,针对发现的403个漏洞实施保护措施后,梅丽莎·维斯估计,基于每次漏洞可避免430万美元的成本估算,该试点项目可节省6100万美元。
梅丽莎·维斯强调,“我们发现,不仅要确保国防工业基础得到保护,还要帮助企业,尤其是中小型企业了解网络安全知识,这具有真正的价值。”
因此,漏洞披露计划于2024年6月根据试点建立了完整的DIB计划。在乔治梅森大学的帮助下进行的一项可行性研究帮助证实,该计划可以合理地从41家公司发展到DIB预计的30万家公司。官员们还了解到,专门用于注册过程的人工智能和机器学习工具将减轻增加更多公司的人工负担和时间限制,从而使该计划能够更快地扩展。
梅丽莎·维斯表示,“他们发现,大约需要2名联邦雇员每天花8小时来收集公司加入的所有细节。我们会考虑很多因素——是否合适,他们是否拥有公开资产以及这些资产是什么。然后我们会在将它们用于漏洞研究前对其进行测试。这是一个非常手动且耗时的过程,即使只是与公司来回发送电子邮件和对话,确定和解释什么是漏洞披露计划,然后进入加入阶段。”
该计划创建了一个单独的“DIB漏洞报告管理网络”,以避免混淆任何美国防部漏洞数据。官员们汇总漏洞详细信息,以完全匿名化公司信息,从而保护公司。
梅丽莎·维斯表示,目标是在头1至3年内让大约1500家公司加入,然后在此之后进一步扩大规模。她称,“我们真的很高兴能够将其带入国防工业基础。”
与此同时,在美国防部的国防工业基础(DIB)协作信息共享环境(DCISE),该组织努力保护非机密承包商网络上的知识产权和军事信息。DCISE是美国防部国防工业基础(DIB)网络安全计划的运营中心,负责保护非机密承包商网络上的知识产权和国防部内容。DCISE促进公私网络威胁信息共享,提供免费的网络安全即服务功能,并与政府/行业合作活动开展协作。DCISE为各种规模的DIB行为体提供威胁分析、缓解策略、最佳实践和信息交流。
DCISE主任特里·卡尔卡表示,该组织还促进公私网络威胁信息共享和与行业和政府的合作活动,并免费向DIB提供网络安全即服务工具。
特里·卡尔卡长期致力于推动改进和创新,以加强军事数据和DIB网络,包括他曾在美国陆军通信电子司令部(CECOM)担任CECOM指挥官的高级网络专业顾问。他看到了DCISE的威胁分析、缓解策略、最佳实践和信息交换对整个DIB产生的巨大影响。
特里·卡尔卡称,“16年前,我们刚开始时只有16家公司,现在我们支持超过1100家公司,而且我们每个月都会增加新公司。这些国防承包商为美国防部的各种工作提供支持——大公司、小公司,以及介于两者间的所有公司。我们在DCISE所做的工作的基础是共享网络威胁信息,以便他们能够帮助自己抵御网络威胁。”
特里·卡尔卡强调,DIB公司负责开发和制造从武器系统到电子产品的所有产品,它们被视为对手急切寻求攻克的国家关键基础设施和重要技术的一部分。
就像漏洞披露计划需要大幅扩展一样,DCISE的授权在2024年4月进一步发展,将未经批准的国防承包商也纳入其中。这意味着任何存储受控、非机密信息或其他敏感、非机密技术军事数据的公司。
特里·卡尔卡表示,“几年前,美国防部就认识到需要扩大对未获批准的国防社区的宣传,因为他们是供应链中同样重要的一部分,他们与已获批准的公司一样都是攻击目标。”此次扩张将使DCISE所服务的公司数量达到约80000家。
特里·卡尔卡在2025年的目标是为这些公司带来DCISE提供的所有功能,此外还支持美国防部的网络安全成熟度模型认证2.0计划(CMMC2.0)。
特里·卡尔卡称,“在我看来,CMMC2.0代表了我们需要每家公司都达到的安全控制基准,而我们从传闻中得知,目前大多数公司都未达到这些要求。这是CMMC诞生的原因之一,这些要求是网络安全旅程的开始。如果一家公司不满足这些要求,他们将无法与政府开展业务。因此,我们现在问自己,我们的产品组合中已经有什么,我们可以引入什么来帮助我们的合作伙伴公司达到基准水平,以便他们能够继续开展业务并支持作战人员。”
与最初针对中小型公司的漏洞披露计划试点类似,DCISE的目标是帮助小型企业(员工人数不超过250人的公司)。DCISE已经创建了多种创新工具来支持这些小型企业,这些企业通常缺乏资源来实施强大的网络安全措施。
DCISE³就是这样一款产品,它是一款分析公司防火墙日志以检测恶意活动的系统。该程序与第三方供应商合作进行分析,包括自动和手动检查网络流量。
特里·卡尔卡表示,“当公司注册时,他们会将防火墙日志发送到一个安全的存储库。我们可以很好地了解进出公司网络的情况。我们看不到网络内部,但我们可以看到之前发生的事情,然后我们就可以将其与已知的敌对活动联系起来。而且我们能够帮助公司实时识别其网络中发生的恶意活动。”
特里·卡尔卡表示,该工具为美国防部提供了有关网络安全形势的大量见解,并使DCISE能够向公司发出早期警告。该服务易于使用,每家公司都有自己的仪表板,可以自动阻止可疑活动。
另一项针对DIB公司的产品是对手模拟测试,这是一种定制的渗透测试。官员们还会查看外部数字资产和网络以查找漏洞。此外,DCISE最近启动的试点项目(称为“增强型网络传感器和智能威胁枚举”,ENSITE)正在探索使用网络传感器来检测威胁。
特里·卡尔卡称,“这对我们来说是一个新领域,我们开始研究可以发现哪些恶意流量。”
展望未来,特里·卡尔卡认为公私合作伙伴关系的持续发展对于防范未来的网络威胁至关重要。他称,“政府并没有万全之策来保护所有人,行业本身并不拥有所需的所有信息。公私合作伙伴关系是解决敏感信息恶意盗窃问题的关键。”
特里·卡尔卡鼓励各公司也关注美国家安全局(NSA)的网络安全协作中心,该中心在机密加密方面为网络安全提供帮助。他称,“我知道,想到这些事情需要两个不同的国防机构来处理可能会很奇怪,但这就是我们现在的情况。NSA和DC3的合作非常密切,尽管我们是两个不同的机构,但我们提供的服务并不重复,因此两种服务都有优势。”
特里·卡尔卡表示,对于国防工业基础的公司来说,信息很明确:你们在国家安全中发挥着至关重要的作用,而且有资源可以帮助你们抵御网络威胁。
特里·卡尔卡表示,“如果你是美国防部供应链的一部分,如果你是美国防部的承包商或分包商,那么你就是我们国家关键基础设施的一部分。我认为这是一项重大责任,我希望我们的公司能够意识到这一点并牢记在心。”
网络国防知识库
产业发展前哨站
开源情报信息源
奇安网情局
原文始发于微信公众号(奇安网情局):美国防部扩大VDP和DCISE规模以应对日益增长的网络威胁
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论