|
2023 年 3 月,在美发布《美国国家网络安全战略》后,拜登政府公布了 2024 财年预算申请,包括了 262 亿美元的网络空间领域预算,其中联邦民事机构占 127 亿美元,国防部占 135 亿美元。而在联邦民事机构的网络空间领域预算中,国土安全部下的美国网络安全和基础设施安全局(CISA)就占了 31 亿美元,其中有 4.25 亿美元用于一个新的计划——网络分析与数据系统(Cyber Analytics and Data System,简称 CADS)。作为 CISA 2024财年预算申请的重点,该机构正在寻求建设新的“网络分析和数据系统”(CADS),作为后爱因斯坦(EINSTEIN)时代国家网络防御体系的中心。CISA 希望在 2024 财年为 CADS 项目提供 4.249 亿美元(约合人民币 28.96亿元)。该项目旨在今后为 CISA 打造一套“管理所有系统的系统”,提供“一个强大且可扩展和分析环境,能够集成任务可见性数据集,并为 CISA 网络操作人员提供可视化工具与高级分析能力。” 一 CADS 计划出台背景
1、美发布《国家网络安全战略》聚焦网络防御与网络弹性,强化网络霸权思想 众所周知,美拜登政府执政以来,频繁出台网络安全、网络供应链等方面政策文件,以确保本土关键设施网络安全,预防网络安全事件风险,重夺网络安全主动权。这一系列相关措施将加剧网络供应链逆全球化,将深刻影响全球网络安全形势和大国竞争格局,值得高度警惕。2023 年 3 月2 日,拜登政府发布了各方期待已久的《国家网络安全战略》,聚焦网络防御与网络弹性。新的网络安全战略将致力于使美国的数字生态系统可防御,网络防御更容易、更便宜、更有效。并且具有弹性,最大限度避免网络安全事件产生广泛或持久的影响。 该战略文件延续了此前小布什、奥巴马、特朗普历任美国政府围绕维护国家网络安全,巩固并强化网络霸权的核心思路,尝试构建一个包含捍卫关键基础设施、破坏和摧毁威胁行为者、塑造市场力量以便提高弹性、投资下一代技术以及建立国际伙伴关系等五大支柱的庞大国家网络安全战略体系,并以关键基础设施保障为抓手和切入点,突破强化政府监管能力与网络空间行动能力两大难题,聚焦进入动荡变革期的大国战略博弈,系统性谋求在网络空间贯彻落实此前公布的美国国家安全战略精神,在新时期打造出一个足以支撑起美国全球网络霸权的战略体系,获得全球网络空间的非对称优势。 2、美颁布一系列预算法案及文件确定网络安全优先事项,强调主动防御 美国总统拜登在 2022 年底接连签署通过了《2023 年综合拨款法案》以及《2023 财年詹姆斯·M·因霍夫国防授权法案》。这两部法案确定了美国2023 财年在国防及非国防方面的资金支出计划,同时明确提出美国在网络安全、国家安全等重点领域的优先事项。一是国防网络安全更加主动,强调“以攻为守”的网络作战方式。如《2023 授权法案》强调美国将持续推进“前出狩猎”(Hunt Forward)行动,这是美国网络司令部“持续交战”(Persistent Engagement)战略的重要组成部分,该行动采取主动追捕形式,在网络空间展开与对手的不断较量。二是非国防网络安全攻势趋缓,更加注重网络安全防护。拜登政府上台后,战略回调成为美网络安全发展的主基调。受其影响,网络安全防守态势也成为美及其盟友国家网络安全政策较为显著的特点之一。 3、CISA 全面重新评估爱因斯坦计划严重偏离预期,收效不佳 爱因斯坦计划,其正式名称为“国家网络空间安全保护系统”(National Cybersecurity Protection System,简称 NCPS),是美国“全面国家网络空间安全行动计划”的关键组成部分。在过去二十年间,爱因斯坦计划一直是国土安全部的核心任务之一,负责保卫联邦文职行政部门的网络安全。该系统记录进出机构网络的数据流量,在识别到恶意流量时向机构发出警报,并会阻断已知的网络攻击行为。近几年,爱因斯坦计划实施进度严重偏离预期。2016 年,GAO 的一份审计报告直指 NCPS 进度严重偏离预期,且收效不佳,把 NCPS 推到了风口浪尖。报告认为 NCPS 核心点是无法识别未知威胁。同时,检测能力存在缺陷,检测种类缺失,未知威胁检测能力太弱,在各大联邦政府机构的部署范围和程度层次不齐,用户反馈普遍不高等等。美国国会研究服务处在 2018 年的一份报告中指出,爱因斯坦存在一个关键限制因素,即必须“之前看到并分析过恶意流量才能起效,无法在首次接触新的恶意流量时进行识别。”,爱因斯坦系统“只能阻止已知威胁”。这一系列问题促使 CISA 开始全面重新评估 NCPS 项目。2020 年爆发的Solarwinds 攻击事件使得美国联邦政府蒙受损失,成为促成 NCPS 真正开始变革的导火索。2021 年 3 月,CISA 最终决定保留爱因斯坦系统中仍能发挥作用、提供重要价值的部分,并把那些缺乏实际作用的部分替换成新项目。 二 从 NCPS 计划到 CADS 计划的过渡
1、NCPS 计划是国家战略级项目,旨在实现入侵检测、入侵防御、安全分析和信息共享四大能力 NCPS 以 DFI、DPI 和 DCI 技术为抓手,以大数据技术为依托,以威胁情报为核心,实现对美国联邦政府民事机构互联网出口网络威胁的持续监测、预警、响应与信息共享,以提升联邦政府网络的态势感知能力和可生存性。借助 NCPS,美国联邦政府为其互联网侧态势感知构建起了入侵检测、入侵防御、安全分析和信息共享四大能力。从项目定位上,NCPS 区别于各个联邦民事机构自己的安全防护,二者不是替代关系,而是叠加关系。NCPS更加注重针对高级威胁的监测与响应,更加重视跨部门/厂商的协调联动、信息共享、集体防御。从运营方式上看,NCPS 被尽可能地封装为一系列托管服务和安全服务的形式,以服务的方法提供给各个联邦机构,并且正在切换为单一的、统一的服务提供商。从技术上看,大都认为 NCPS 主要是规模效应,技术含量并不高,譬如基本都是基于特征和签名的检测。事实上,NCPS 还是比较注重新技术运用。我们现在经常听到的所谓高级威胁检测、机器学习、行为画像和异常行为分析、编排自动化响应、威胁情报、加密流量威胁检测,等等,在 NCPS 中都有体现,并且都会经历一个先试点再铺开的过程。 2、CADS 计划是 NCPS“重组”措施的一部分,CADS+(遗留)NCPS合称为新态势感知系统 根据 CISA 的计划安排,NCPS 的一部分能力将迁移到 CADS,剩下的能力则作为遗留 NCPS 继续存在。其中,遗留的 NCPS 将继续保留入侵检测和入侵预防功能,主要包括爱因斯坦入侵检测和预防传感器套件(EINSTEIN1 [E1] / EINSTEIN2 [E2] / EINSTEIN3 Accelerated [E3A])。而NCPS 的信息共享能力、安全分析能力,以及核心基础设施则将转移到新的CADS 计划中,并将在“网络任务 IT 基础设施”、“网络行动工具”和“网络使命工程”的支撑下运行和维护。 CISA 将原 NCPS 的分析部分分拆出来,单独成一个 CADS 计划。CADS将数据作为分析的对象,充分体现了数据驱动安全分析的思想。对 CISA 而言,这里的数据也空前的扩大化,不仅是网络遥测数据,还包括端点遥测数据,CDM 的数据,威胁情报数据,漏洞数据,以及其它各种情境数据。而这里的分析也不仅是算法,也包括人驱动的威胁猎捕。总体而言,(遗留)NCPS 继续充当爱因斯坦的前端传感器,而新的 CADS 将充当爱因斯坦的后端大脑。在未来,CISA 一方面会继续对传感器进行全栈升级,另一方面则会着力发展态势感知大脑。 三 CADS 计划特点
1、 CADS 计划开发一流分析环境,依托更高程度的自动化,实现对数据更高效的整合 CADS 计划开发一个一流的分析环境,集中与任务相关的数据,依托更高程度的自动化,实现更高效的分析。该分析环境将整合来自多个来源的数据,包括公共与商业数据馈送、CISA 自己的端点检测与响应传感器、Protective 域名系统,以及覆盖美国数千家注册组织的漏洞扫描服务、还有公共和私营合作伙伴共享的数据。CADS 还将为 CISA 的网络分析师提供统一的数据仓库,让他们不用在不同系统之间切换,手动比较数据和威胁信息。CADS 提供的工具和功能有助于数据的摄取、集成、协调和自动化分析,将支持对恶意网络活动的快速识别、检测、缓解和预防。 2、CADS 计划以数据为主要对象,重在网络数据的摄取、管理、分析,以及信息共享工具 从 2024 财年开始,原来 NCPS 的开发与工程、核心基础设施、分析、信息共享预算已经清零,不再申请,并转移到 CADS 中,改称为“网络任务 IT 基础设施”、“网络行动工具”、“项目管理办公室”和“网络使命工程”。这其中最关键的是“网络运行工具”,其实就是指网络数据的摄取、管理、分析,以及信息共享工具。这正是整个爱因斯坦计划的大脑,现在把他从NCPS 中独立出来单独作为 CADS,也足见其重要性。“网络任务 IT 基础设施”是承载爱因斯坦大脑的计算与网络支撑,“网络使命工程”是爱因斯坦大脑运行的各种服务、标准和最佳实践等工程性支撑。 3、CADS 计划新建工程与软件开发中心,实现对软件、工具和基础设施的按需开发 按照计划安排,CADS 计划将为 CISA 建立一个工程与软件开发中心,确保在 CISA 快速发展的同时满足其对工具和分析的需求。随着 CISA 的发展成熟,这方面需求也在逐步升级。CISA 希望成长为一种强大、灵活的资源池,实现对软件、工具和基础设施的按需开发。 四 美军的网络防御体系未来发展趋势
1、防御思想上,从“攻防平衡”到“前置防御”转变 在国际局势经历深刻变化、全球数字化进程不断推进的大背景下,美国国家网络防御体系也历经调整演进。以美国的 NCPS 计划到 CADS 计划为例,爱因斯坦系统“只能阻止已知威胁”,即必须之前看到并分析过恶意流量才能起效。但随着 2020 年 SolarWinds 事件爆发,CISA 意识到不能仅仅去阻止已知的网络威胁,新的 CADS 计划旨在首次接触新的恶意流量时进行识别并阻止未知威胁,强调前置防御和主动防御。这从一定程度上反映出美国网络防御思想的转变。再者从 2018 年特朗普政府时期的《国家网络战略》到拜登政府《网络安全战略》,前者目标核心在于塑造美国在全球网络空间中的领导地位,维持美国网络攻防平衡及数字优势,而拜登政府《网络安全战略》体现出拜登政府的网络安全战略明显更具对抗与攻击性,重在前置防御,提出要整合外交、信息、军事、金融、情报和执法等在内的一切国家力量,以破坏瓦解威胁美国利益的行为者,并提前为美国打赢“网络战”做准备。 2、防御模式上,从从公私合作到平台体系化集体协作防御 在过去几年中,美国旧的公私合作网络防御模式已不足以应对网络威胁的规模和速度。尽管美国统一建设了能力较强的网络层和端点层体系化防御手段,联邦向私营企业共享网络安全威胁信息在理论上连接了双方的防御技术体系,但联邦和私营企业间界限清晰、泾渭分明,私营关基企业主要依靠自身技术体系进行防御,联邦和私营企业在技术体系上未能形成合力。2021 年 8 月,联合网络防御协作中心(JCDC)建立,通过将 FBI、NSA 和美国网络司令部等政府合作伙伴与私营部门合作伙伴联合起来,开发了一个新平台,从而大规模降低国家风险和关键基础设施网络安全。重要的是,这种模式不仅仅在于 CISA 受益,JCDC 之所以独一无二,正是因为它不仅在名称和意图上而且在执行上都是“协作“,还有 JCDC 只有通过每个参与组织的共同贡献才能取得成功,这带来了独特的能力、专业知识和创新。CISA 将 JCDC 扩大到包括工业控制系统 (ICS) 行业专家,并欢迎专题综述新的合作伙伴,从安全供应商到集成商再到分销商。JCDC-ICS 为整体 ICS/运营技术 (OT) 工作增添了新的专业知识和洞察力,正在 JCDC 现有平台的基础上,围绕控制系统的保护和防御制定计划;向美国政府提供有关ICS/OT 网络安全的指导,并为 ICS/OT 领域的私营和公共合作伙伴之间的实时运营融合做出贡献。JCDC 今年将继续发展这种伙伴关系模式,以便能够实现更大的共同态势感知、信息融合和分析,使公共和私人合作伙伴能够采取协调行动并最有效地保护职能和服务。 3、技术理念上,网络防御从传统的边界防御到零信任架构的落地 根据 2022 年 9 月提交给国会的 2021 财年 FISMA 报告,可以发现,随着联邦政府从基于边界的防御系统转向采用零信任架构,单纯从互联网出口来识别针对联邦政府的入侵和威胁是远远不够。同时,EDR 功能开始与NCPS 集成,以使联邦政府网络防御者能够自动化某些保护,并在恶意活动横向进入敏感的联邦系统之前被快速检测和阻止。当前,“零信任”提出数年有余,美国政府作为该理念的主推者,已经实现从概念论证到落地实施的转换。2022 年初,美国政府部门连发两份政策文件,分别是《关于改善国家安全、国防部和情报界系统网络安全的备忘录》和《推动美国政府走向零信任网络安全原则备忘录》,规划各部门实施零信任的时间表和路线图;2022 年底,美国防部发布《国防部零信任战略》及《国防部零信任能力实施路线图》,正式进入部署实施阶段;包括雷神、博思艾伦等企业已针对不同场景推出零信任解决方案,直接服务于美政府和军方部门。2023 年 4 月,CISA 发布《零信任成熟度模型》第二版,旨在通过跨网络检查点持续验证用户凭证,借此防止对政府数据及服务的未经授权或危险访问。对跨多个关键支柱(包括身份、网络、工作负载及数据等)的联邦机构实施指南进行了更新,同时更新了政府范围内采用零信任安全架构的关键定义和指标。这套模型是联邦机构在设计并实施零信任架构时可以采取的几种途径之一。 当前,随着时间推移,网络安全战略升级,安全技术革新,美国政府一定还在开发更先进的系统来强化其网络空间的安全防御能力体系建设乃至攻击能力体系建设。CISA 提出的 CADS 计划只是众多新计划中的一个,关于 CISA 如何实现新 CADS 计划的详细信息尚未公开,我们要紧跟项目相关进展并进行分析。我国要坚持积极防御、超前防御的理念,加强战略威慑,加快探索建设网络防御新项目,建设强大的网络空间攻防能力,维护我国关键基础设施网络安全及国家网络安全。(全文完) |
|
|
来自: 小飞侠cawdbof0 > 《网络》
