美國愛因斯坦計劃跟蹤與解讀(2022版)

語言: CN / TW / HK

【引言】本文在 2021 年版本的基礎上進行了較大修訂,全面更新了愛因斯坦計劃的相關資料,反映了 2021 年以來的最新進展,主要涉及第 234 章。

1       專案概述

愛因斯坦計劃,其正式名稱為“國家網路空間安全保護系統”( National Cybersecurity Protection System ,簡稱 NCPS ),是美國“全面國家網路空間安全行動計劃”( Comprehensive National Cybersecurity Initiative ,簡稱 CNCI )的關鍵組成部分。 NCPSDFIDPIDCI 技術為抓手,以大資料技術為依託,以威脅情報為核心,實現對美國聯邦政府民事機構網際網路出口網路威脅的持續監測、預警、響應與資訊共享,以提升聯邦政府網路的態勢感知能力和可生存性。

NCPS 由美國國土安全部( DHS )下屬的網路安全與基礎設施安全域性( CISA )負責設計、執行和協調,大體上分為三個階段。

藉助 NCPS ,美國聯邦政府為其網際網路側態勢感知構建起了四大能力:入侵檢測、入侵防禦、安全分析和資訊共享。

1.1     入侵檢測

NCPS 的入侵檢測能力包括愛因斯坦 1 (簡稱 E1 )探針中基於 Flow 的檢測能力、愛因斯坦 2 (簡稱 E2 )和愛因斯坦 3A (簡稱 E3A )探針中基於特徵的檢測能力,以及 2015 年啟動的在 E1E2E3A 中基於機器學習的行為檢測能力(代號 LRA )。

NCPS 的檢測能力不追求檢測所有攻擊和入侵,而重點關注 APT 類高階威脅,因而其檢測特徵庫並不大,但很有針對性,並由美國國防部 / 國安局( DOD/NSA )提供部分特徵資訊。

1.2     入侵防禦

NCPS 的入侵防禦能力是從愛因斯坦 3A (簡稱 E3A )階段開始的。

NCPS 的入侵防禦也不是一般意義上的入侵防禦系統( IPS ),其功能設計更加聚焦,更有針對性,並且是由 NSA 協助(主導)設計的,主要包括 4 種能力:

  • 惡意流量阻斷:自動地對進出聯邦政府機構的惡意流量進行阻斷。這是依靠 ISP 來實現的。 ISP 部署了入侵防禦和基於威脅的決策判定機制,並使用 DHS 開發的惡意網路行為指標( Indicator )來進行惡意行為識別。

  • DNS 阻斷:也就是 DNS Sinkhole 技術,用於阻止已經被植入政府網路的惡意程式碼與外部的惡意域名之間的通訊。

  • 電子郵件過濾:對所有發給政府網路使用者的郵件進行掃描,識別含有惡意程式碼的附件、惡意 URL 等,並將其過濾掉。

  • Web 內容過濾( WCF ):這是 2016 年加入到 E3A 入侵防禦中的能力,可以阻斷可疑的 web 網站訪問、阻止 web 網站中惡意程式碼的執行,阻斷 web 釣魚。

值得一提的是, NSA 在協助 DHS 設計 E3A 入侵防禦系統的時候,將他們的 Tutelage 專案移植了過去,超越了一般意義上主動防禦的層次,具有很強的對抗性。

1.3     安全分析

如果說入侵檢測和入侵防禦構成了 NCPS 的前端系統,那麼 NCPS 的後端核心就是構建在大資料之上的安全分析能力,而這個分析結果的輸出就是網路安全威脅態勢。 NCPS 的分析能力主要包括:安全資訊與事件管理( SIEM )、數字媒體分析環境( Digital Media Analysis Environment )、高階惡意程式碼分析中心( AMAC )、各種分析工具視覺化工具,等等。

1.4     資訊共享

用時髦的話來說,資訊共享就是情報共享,這是 NCPS 的核心能力。藉助該能力, DHS 構建起一個資訊共享與協作環境( ISCE ),使得其下屬 CISA 中心的安全分析師能夠 24*7*365 按照不同的密級與他們的合作伙伴快速交換網路威脅和網路事件資訊,通過合作與協同以降低事件響應時間,通過自動化資訊分享與披露以提升工作效率。

NCPS 的資訊共享能力主要包括:自動指標共享( AIS )、指標管理平臺( IMP )、統一工作流、跨域解決方案( CDS ),等等。

20206 月份, CISA 將下面的國家網路安全與通訊整合中心( NCCIC )、國家基礎設施協調中心 (NICC) 和國家通訊協調中心 (NCC) 合併,成立了新一個新部門—— CISA 中心( CISA Central )。 CISA 中心是一個綜合的、針對全風險的、跨職能的中心,打破了傳統的煙囪,將 CISA 之下網路安全與基礎設施執行及資訊共享相關的各種人員、流程和技術整合為一支團隊,實現對網路安全活動更有效的理解、分享和協調,統一對外提供資訊共享和態勢感知的一站式服務。同時,參照聯邦應急管理局( FEMA )的辦公地點設定和管轄範圍,相應成立了 10CISA 分割槽( CISA Regions )。

2       專案經費和人員分析

2.1 當前經費分析

如下所示,是筆者自己根據 DHS 歷年的預算報告自行編制的 2008 財年到 2023 財年 NCPS 預算走勢圖,採用的資料可能與實際有差異,均為概數。其中, 2023 財年的 NCPS 預算申請達到 4.07 億美元。

透過上圖,可以發現美國政府對愛因斯坦專案的投入逐步穩定,並仍維持在高位。不少人以為美國政府因為其效果不佳( GAO 評價)而將其打入冷宮,上圖證明事實並非如此。

2.2 未來經費預測

2009 年的時候, CISA 首次預估了 NCPS 全生命週期的總投資額在 19.51 億美元,到 201810 年,重新預估總投資額可能到 59.08 億美元,而到了 20216 月的時候,估測總投資額將達到 71.85 億美元。

下圖展示了 CISA20223 月份預測的未來三年的 NCPS 預算情況。可以發現,未來三年預算將再上新臺階。

 

2.3 人員編制分析

2008 財年到 2023 財年的 NCPS 人員編制( Position )數量走勢如下圖所示:

可以發現, NCPS 的人員編制數量總體上也是穩步增長。

特別地, 2023 財年,在《美國救援計劃法案》的加持下增加了 19 個 編制,總的人員費用達到 4100 萬美元。

3       專案進展分析

1 20092 月, DHS 首次訂立了 NCPS 的採購專案基線( APB )。

2 20161 月, GAO 的一份審計報告把 NCPS 推到了風口浪尖。這份報告直指 NCPS 進度嚴重偏離預期,且收效不佳。報告認為 NCPS 檢測能力存在缺陷,檢測種類缺失,未知威脅檢測能力太弱,在各大聯邦政府機構的部署範圍和程度層次不齊,使用者反饋普遍不高,等等,並提出了 9 點建議。

3 20173 月, GAO 在給美國眾議院國安委的書面證詞中,再次指出了 NCPSCDM 專案存在的諸多問題。這也促使 CISA 開始全面重新審視 NCPS 專案。

4 201710 月, DHS 的測評辦啟動了對 NCPSBlock2.2 的評估。到 20181 月,測評辦負責人表示, Block2.2 根本達不到評估的啟動要求,在滿足客戶需求方面存在風險,並要求重新評審運營需求文件和概念執行圖( CONOPS )。 20182 月, Block2.2 通過了 ADE2C 評審(表示可以進入試執行環節,但還不能正式投產)。到 201912 月,有條件通過了架構評審,並要求對 NCPS 專案進行重組。評審中發現的主要技術問題包括:與政府網路架構貼合度不夠,沒有跟上網路安全風險的變化,不能識別加密網路流量,等。接下來, NCPS 專案辦確定了 Block2.2 的能力差距,調整了專案的能力組成。直到現在, Block2.2 仍未能提測。

5 20181 月, DHS 的測評辦完成了對 Block3.0E3A )的評估,並給出了達標的結論。基於該測試, 20182 月, DHS 正式通過 ADE3 里程碑( DHS 將採購類專案分為需求、論證、採購試執行、投產執行四個階段, ADE3 相當於完成了採購試執行環節的驗收,可以正式投產了)。儘管如此,測評辦認為 E3A 缺乏威脅資訊共享能力。 201812 月,測評辦對 E3A 進行了補測。目前,由於整體計劃調整,針對 E3A 的新的測評都暫停了。

6 20201 月, NCPS 被正式認定為專案延期,主要是 Block2.2 延期。

7 20214 月, DHS 完成了對 NCPS 的計劃重組,去掉了 Block2.2ADE3 (採購試執行驗收)評審環節,將其打包到後續計劃中。由此, NCPS 被移出延期專案清單,恢復正常。

8 20214 月, DHS 宣佈 NCPS 實現了全面執行( FOC )。

4       2023 財年專案預算分析

4.1   整體預算分析

下面是 DHS2023 財年預算中提供的針對 NCPS 投資的表格, 2023 財年的 NCPS 預算約合 4.07 億美元,與去年基本持平。

如上圖所示,截至 2022 財年,美國愛因斯坦計劃累計已經投入 40.2 億美元【 筆者注:在 2022 財年預算表中以往投資也是寫為 32.19 億美元,不知道是什麼原因。 另據筆者自己的估測,截至 2022 財年的歷史投資已經達到 48.47 億美元 】,目前已經進入了以運營為主、建設為輔的階段。在 2023 財年,運營與建設的比例升到了 3.5:1

4.2     執行支撐預算分析

首先,執行支撐人員的薪酬也是逐年見漲, 2023 財年的人員薪酬預算高達 4136.2 萬美元,人均 24.3 萬美元,高於去年的 23.7 萬美元。相較而言, CISA 的網路安全崗位的 2022 財年人均預算是 20.4 萬美元,基本與上一年持平。

其次,在 3.17 億執行支撐( Operations and Support )預算中,有 2.75 億是非支付性成本( Non Pay Budget ,都計入“諮詢與協助服務”科目),筆者估計包含了大量外包費用和諮詢費用,以及執行支撐的相關環境、工具和開發費用。

下表列舉了非支付性成本的支出項:

以上 6 部分支出說明如下:

專案

專案含義

2023 財年支出說明

核心基礎設施

包括後端資料儲存和處理環境,稱為使命執行環境( MOE ),包括網路裝置、儲存裝置、資料庫服務、應用程式託管服務、網路電路(頻寬)和安全控制

2023 財年,資金將支援利用通用 DHSCISA IT 基礎設施核心服務,為 CSD 【筆者注: CSD 是指 CISA 下面的網路安全部, NCPS 的主管機構】網路使命需求提供基礎設施即服務 (IaaS) 、平臺即服務 (PaaS) 和軟體即服務 (SaaS) 。核心基礎設施資金還支援硬體和軟體維護成本以及裝置的標準技術更新,包括分析人員用來訪問 NCPS 資料、分析和資訊共享功能的桌面裝置。資金還支援與網路通訊基礎設施相關的年度電路成本以及雲業務交換 (CBX) 的擴充套件,這是一種支援直接連線到雲和網際網路服務提供商環境的能力,從而提高了從聯邦民事行政部門( FCEB ) 機構獲取安全遙測資料的效率以及 NCPS 雲基礎設施的管理。

分析

使用本地和雲基礎設施以及相關工具套件提供可擴充套件的環境,使 CISA 分析師能夠關聯和視覺化資料集並快速得出結論,以應對高階威脅和漏洞

2023 財年,資金將用於現有分析工具和基礎設施的運營和維護,包括安全和事件管理、資料包捕獲、增強的分析資料庫和流視覺化、高階惡意軟體分析和雲分析環境。這筆資金還使戰術支援團隊( TST )和資料科學家能夠為 CISA 威脅獵捕分析師提供現場支援。資料科學家支援高階分析的持續開發和調整,以實現對多個數據集的快速分析。由於這些團隊一直在支援 CISA 對最近的網路入侵事件的響應,因此對資料科學家和戰術支援團隊的需求也在增加。在 2023 財年, NCPS 將繼續擴充套件雲分析環境,以支援額外資料集的儲存和處理。這些資料集需要被納入可擴充套件且強大的分析基礎架構,使分析師能夠快速理解資料並響應國家層面的高階威脅。分析環境是所有 CISA 網路安全操作的基石。為了跟上不斷髮展的技術,需要不斷改進

開發和工程

NCPS 計劃提供對需求收集、工程解決方案、功能測試、安全測試、安全認證和配置管理提供必不可少的工程支援,並支撐技術更新工作和其他必要的環境變化,以維持基礎設施和部署工具的可靠性、可訪問性和可維護性指標

2022 財年相比,由於 CISA 範圍內的設施轉移到 CISA 使命支撐環境,導致2023財年的預算有所減少 【筆者注: CISA 正在統建跨多部門的使命支撐環境】

資訊共享

NCPS 資訊共享工作是一組靈活的功能,允許在 CISA 網路安全分析師及其網路安全合作伙伴之間快速交換網路威脅和網路事件資訊

2023 財年,資金將用於運營和維護資訊共享工具和技術,使  CISA 能夠在安全的環境中與 CISA 的公共和私營部門合作伙伴快速共享網路威脅分析以及其他計算機網路安全資訊。資金支援部署在國土安全資訊網路 (HSIN) 上的 CISA 網路門戶的運營和維護,以及維護用於支援自動指標共享 (AIS) 、指標管理、跨域解決方案和統一工作流程的基礎設施和工具的成本

入侵防禦

NCPS 入侵防禦功能包括 E3A ,它通過提供主動網路防禦能力以及防止和限制惡意活動侵入聯邦網路和系統的能力,進一步推進對 FCEB 部門和機構的保護。該系統由向聯邦政府提供網際網路訪問的網際網路服務提供商部署為託管服務,利用涉密和非涉密指標來主動阻止已知的惡意流量

2023 財年,資金將支援運營和維持成本,以維持聯邦網路保護性服務( FNPS)   提供商提供的 DNS Sinkholing 和電子郵件過濾功能。 E3A 將過渡到商業、非機密服務,例如 CISA 的保護性 DNS (pDNS) 服務。傳統的 NCPS 計劃將繼續執行並維護現有的入侵防禦功能,直到商業服務投入執行

入侵檢測

支援獲取對 FCEB 雲安全遙測資料的訪問許可權,以提高保護雲中  FCEB 資料所需的可見性

隨著 FCEB 部門和機構將更多資料和功能遷移到雲中, NCPS   功能需要不斷髮展以保持可見性,併為 CISA 分析師提供檢測和響應對這些雲環境的威脅的能力。傳統 NCPS E1E2 能力繼續為 CISA 網路運營提供有用的能力,並將繼續執行和維護,同時 CISA 探索發展聯邦網路傳送能力的選項,以適應可信網際網路連線3.0(  TIC 3.0)  架構的採用,並擴大使用雲技術

4.3     採購實施與提升預算分析

進一步分析 2023 財年採購建設和提升( Procurement, Construction and Improvements )的預算( 0.9 億美元)的構成,與上一財年基本保持持平,如下表,包括 6 個部分:開發與工程、入侵檢測、入侵防禦、分析、資訊共享、使命系統工程環境( MSEE )。其中, MSEE 是在《美國救援計劃方案》下追加的專項。

這裡,入侵檢測和入侵防禦就是愛因斯坦的前端,相當於探針、感測器和閘道器;分析就是愛因斯坦的後端,是一個基於大資料分析技術的安全運營平臺;而資訊共享(代號 Albert )就是愛因斯坦的威脅情報平臺( TIP );開發與工程包括需求收集、工程方案、能力測試、績效評估等。

此外,藉助《美國救援計劃法案》, CISA 計劃投入 2100 萬美元對愛因斯坦計劃進行擴充套件,讓 NCPS 能夠採集和分析新的資料集(譬如 EDR 、保護性 DNS ),並將其命名為使命系統工程環境( MSEE )。

需要特別指出的是,從 2023 財年開始, NCPS 將過渡到新的計劃結構,通過對網路使命系統工程( MSEE )、任務資訊科技 (IT) 基礎設施和網路運營工具三方面的建設,使 CISA 網路運營商實現其使命目標。

下表揭示了 2023 財年採購實施與提升預算資金擬達成的目標:

領域

里程碑事件

分析

         NCPS 將繼續擴充套件雲分析環境(CAE)以支援更多資料集。可見性不斷增強的  CISA 利益相關者社群將為 CISA 提供更豐富的資料集,以進行分析並做出資料驅動的決策。需要將這些資料集引入可擴充套件且強大的分析基礎架構中,使分析師能夠快速理解這些資料並響應國家層面的高階威脅。

         實施對資料管理功能的增強,以應對資料量的必要增長,並應對與資料虛擬化和治理相關的多重挑戰。增強功能將提高 CISA 網路分析師跨多個數據集和資料儲存查詢和分析資料的能力。

         完成將當前託管的本地基礎設施的分析工具和資料遷移到 NCPS 雲分析環境。繼續增強並實施其他分析工具,進一步自動化網路威脅分析、獵捕和響應活動。具有自動分析、機器學習和人工智慧功能的高階工具將使分析師能夠跟上收到的資料量,並使用分析結果快速識別趨勢併為決策提供資訊。

資訊共享

         繼續在統一的工作流能力中實施和落實工作流。統一的工作流功能為跨獨立 CSD 業務和使命支撐應用程式自動化管理和運營工作流提供了一個單一平臺,以提高  CSD 運營的效率和有效性。

         實施增強功能以 支援機器對機器( M2M )的共享附加內容,包括簽名、分析、指令碼、結構化和非結構 化資料集。

任務系統工程環境 (MSEE)

         執行資料攝取 / 資料整合路線圖,以支援分析流程和跨 CSD 的可見性。支援整合其他資料集,包括事件資料和來自新 CSD 服務的資料,例如端點檢測和響應以及保護性域名服務。

         在雲分析環境中實施對資料管理平臺的增強。

         在雲分析環境中實施額外的分析和機器學習工具。

         在雲分析環境中開發新的分析,以支援對從跨 CSD 服務聚合的其他資料集進行分析。

         實施 CSD 需求管理流程,以支援 CSD 組織的需求接收、協調和優先順序排序。

4.4     主要合同分析

下圖展示了 2023 財年預算報告中列舉的合同資訊:

可以發現,目前 NCPS 最大的供應商(整合商)還是雷神公司,其三個合同的總值達到了 59.76 億美元,其中 2019 年最新簽署了一份高達 3.52 億美元的合同。並且,美國政府的合同通常都不是一年一簽的,而是一簽都是 3 年、 5 年的長期合同,更符合建設(含開發)工作的實際,但也對專案管理提出了更高要求。當然,這種方式也需要政府的預算管理機制提供相應的支撐。

5       總結和啟示

通過以上分析,結合其它材料,筆者談一談個人的幾點體會作為本文總結。

  1. NCPS 專案從一開始就是站在國家戰略高度來推進的,採用法規先行(法案、總統行政令、 NIST 標準等)、制度開道、統一建設、持續投入的方式,從一個 US-CERT 下面的初級態勢感知專案,在 CNCI 計劃的推動下,逐步成為了一個規模龐大的國家戰略級專案。

  2. 從專案定位上, NCPS 區別於各個聯邦民事機構自己的安全防護。二者不是替代關係,而是疊加關係。並且 NCPS 更加註重針對高階威脅的監測與響應,更加重視跨部門 / 廠商的協調聯動、資訊共享、集體防禦。

  3. NCPS 專案的投入時間很長,尤其是 2009CNCI 計劃出臺之後,資金和人員投入逐年穩步提升,並維持在較高的水平線上。可見國家級態勢感知系統的建設需要長期持續的投入。

  4. 從資金分佈上看, DHS 越來越重視 NCPS 的執行維護,技術和產品採購的比重越來越低。要想實現 NCPS 常態化的運營,就必須有持續的、大量的運營投入,並且需要大量的安全分析師。

  5. 從運營方式上看, NCPS 被儘可能地封裝為一系列託管服務和安全服務的形式,以服務的方法提供給各個聯邦機構,並且正在切換為單一的、統一的服務提供商。

  6. CISA 自己說過,“ 有效的網路安全需要強大的度量機制 ”。正如“沒有度量就沒有管理”,必須對 NCPS 的效果進行持續度量,才能持續改進。但如何度量始終是一個問題,至今 CISA 也沒有給出一套穩定的度量指標。

  7. 儘管經過了十幾年的持續建設,但 NCPS 仍然存在不少問題,拖延嚴重,正如 GAO 的報告所言,成效低於預期。但儘管如此,美國政府並沒有停止這個專案,而是持續加大投入。因為這個方向是正確的,技術路線是正確的。

  8. 從技術上看,過去人們大都認為 NCPS 主要是規模效應,技術含量並不高,譬如基本都是基於特徵和簽名的檢測。事實上, NCPS 還是比較注重新技術運用的。我們現在經常聽到的所謂高階威脅檢測、機器學習、行為畫像和異常行為分析、編排自動化響應、威脅情報、加密流量威脅檢測,等等,在 NCPS 中都有體現,並且都會經歷一個先試點再鋪開的過程。

  9. 在技術層面, NCPS 正在積極上雲,充分利用雲來降低整體投入的成本,提升服務能力,改進服務方式。最起碼,在資料中心的基礎設施建設方面,雲在可伸縮性、可用性和可靠性方面表現更佳。

  10. 我們常把愛因斯坦計劃指代美國政府的網路安全態勢感知專案,其實這是不完整的。美國聯邦政府的網路安全態勢感知是由一系列國家級大專案共同支撐起來的,至少包括 TIC (可信網際網路接入)、 NCPS (愛因斯坦計劃)、 CDM (持續診斷與緩解)計劃,以及共享態勢感知。

附錄 1 :重點技術介紹

1.1     LRA

LRA 的全名是“邏輯響應孔徑”( LogicalResponse Aperture ),是 DHS 開展的一項旨在提升安全分析與響應自動化的專案的內部代號。 LRA 能夠藉助智慧化的安全分析技術,在沒有簽名和特徵的情況下識別攻擊。

下圖展示了 LRA 的基本工作流程。

在聯邦部委機構( D/A )和網際網路( Internet )之間有一套部署在網際網路服務提供商( ISP )處的“ NEST ”設施。 NEST 會利用 TAP 將進出聯邦機構的的網際網路流量按需送給 LRALRA 的流量引擎利用 Zeek 做協議解析,並將解析後的流量日誌(流量元資料)連同原始的 pcap 包儲存到大資料儲存系統中(預設儲存 90 天)。儲存的資料內容包括: DNS 查詢的域名和響應的 IP 地址、域名 -IP 地址對的 TTL 、電子郵件附件中的可執行檔案、 http 請求的 user agent 資訊,等等。基於機器學習和統計分析演算法的分析引擎、惡意程式碼檢測裝置,及其它自動化工具會從大資料儲存中讀取這些資料,並結合通過其它方式獲得的各種情境資料(譬如域名和可執行檔案的黑白名單, GeoIP 等)進行復合安全分析,生成惡意流量的潛在指標,並存入潛在指標庫中。分析師通過互動性 UI 檢查潛在指標庫中的指標,對其進行研判和標註,一方面獲得有效的指標,另一方面為機器學習演算法提供改進。

1.2     Tutelage

Tutelage (現已改名,具體不詳)作為 NSA 號稱 21 世紀執行訊號情報( SIGINT )任務的核心繫統的 Turbulence 專案中的一個子系統,承擔主動防禦的任務。作為 NCPS 的重要諮詢方和協作方, NSATutelage 移植給了 E3A 。作為 NCPS 中涉密的部分,我們無從知曉 E3A 的入侵防禦系統設計有何玄機。

幸運的是,斯諾登洩密事件給了我們一窺 Tutelage 的機會,我們可以自行腦補 E3A 可能的設計。如下圖所示,展示了 Tutelage 專案在檢測到惡意流量和攻擊後可以採取的遏制 / 反制措施,十分豐富。

可以肯定的是, E3A 的入侵防禦系統絕非我們一般意義上的 IPS

5.3     WCF

WCF 的全名是 WEB 內容過濾( WEB Content Filtering,2016 年前後追加到 E3A 中的一個新防禦能力(最初的 E3A 入侵防禦能力包括 DNS sinkholingemail 過濾),重點阻斷可疑的 web 網站訪問、阻止 web 網站中惡意程式碼的執行,阻斷 web 釣魚。

WCF 具有四個功能: web 流量檢測與阻斷、 SSL 解密、惡意程式碼檢測、高階分析。

  • WCF 會對可疑的 web 流量按照 URL/URI 進行分類,允許系統管理員允許或者拒絕某類 web 訪問。 WCF 會根據高可信網路威脅指標和商業的簽名指標來進行研判並決定是告警還是阻斷,抑或其它遏制操作。 WCF 的技術原理就是一個 WEB 代理,由它來進行檢測,並執行重定向、阻斷或者告警操作。

  • WCF 支援對 SSLweb 流量解密,分析解密後的流量資料。

  • WCF 內建惡意程式碼檢測功能,使用政府提供的網路威脅指標來檢測惡意活動。

  • WCF 包括高階分析功能。這裡的高階分析是指基於行為的異常分析,也即 LRA

1.4     AIS

說到 NCPS 專案,而不提及威脅情報,那麼一定是對 NCPS 不甚瞭解,或者僅僅停留在愛因斯坦計劃早期的認知水平上。必須強調,威脅情報,或者說資訊共享是 NCPS 的核心能力之一,所有檢測、分析的能力最後都是為了能夠在 DHS 和其夥伴間實現高效的情報共享和協同聯動。美國政府實施 NCPS 的一個終極目標就是自動化地檢測威脅、共享情報和處置攻擊。這跟我們近些年談及從美國傳過來的 TIPSOAR 等理念是一致的。

AIS 全名是自動指標共享( AutomatedIndicator Sharing ),其目標就是在網路防禦行動中以機器速度( Machine-peed )快速廣泛地共享機讀( Machine-readable )網路威脅指標和防禦措施。 AIS 要能夠自動處理海量高速的共享指標,而這是人工操作無法達成的。

下圖展示了 AIS 的工作原理。

首先,各個 AIS 的參與機構(上圖右側灰色部分,包括各級地方政府、私營夥伴、聯邦機構、 ISACISAO )通過 TAXII 協議將 STIX 格式的威脅情報資訊送給 DHSTAXII 伺服器(上圖中間黃色部分)。接著,所有提交的情報資訊都會經過一個自動化的“資料增強過程”,進行資訊修訂、匿名化處理、隱私評估、資料增強。此外, DHS 也會接收商業的情報資訊源資訊(上圖上方綠色部分),並統一進行資料增強。然後, DHS 的分析師會對增強後的資料進行核驗【筆者注:人工操作還是不可缺少,不可能完全自動化】,並最終進行釋出。釋出的途徑包括放到 TAXII 伺服器上供各參與方獲取,或者可以供其它第三方訂閱(上圖上方藍灰色部分)。

截至 2018 年底,已經有 33 個聯邦機構, 215 家非聯邦政府實體(其中包括 18 家可以對共享資訊進行再分發的 ISACISAO11 家商業服務提供商)參與其中。

附錄 2   系列文章參考

以下是筆者以前撰寫的 NCPS 相關的文章,供大家參考,可以自行網路搜尋。

文章來源:專注安管平臺

點選下方卡片關注我們,

帶你一起讀懂網路安全 ↓