CISA选择Crowd Strike公司的猎鹰平台保护美国政府网络

本期关键词：美国 CISA 猎鹰 网络安全

据外媒报道，美国网络安全与基础设施安全局（CISA）已与多个联邦机构合作，选择Crowd Strike公司的“Falcon（猎鹰）”平台作为支持行政命令 (EO)端点检测和响应 (EDR) 计划的主要平台之一。这是落实2021年5月12日美国总统拜登签发的《改善国家网络安全行政令》的举措。该行政令要求推进EDR的部署，谋求提升网络安全保障中的事先发现能力。

Crowd Strike 的联合创始人兼首席执行官乔治·库尔茨 (George Kurtz) 指出，提高国家的防御和网络弹性需要政府和私营部门之间的密切合作。这种合作伙伴关系将为CISA和其他政府机构提供Crowd Strike强大的技术和精英人才的专业知识，以阻止复杂的攻击并保护关键基础设施。

Crowd Strike公司标志（图片来源于互联网）

一、全球网安领域市值冠军Crowd Strike公司

Crowd Strike公司是全球市值第一的网络安全公司，在网络安全赛道可谓一骑绝尘，冠领全球。Crowd Strike由安全软件公司迈克菲(McAfee)的两名前高管于2011年共同创立，团队成员均来自信息安全公司和美国情报机关，包括苹果、Google、亚马逊、微软以及美国联邦调查局（FBI）等。该公司位于美国加利福尼亚州森尼韦尔，提供端点安全、威胁情报和网络攻击等安全服务，并重点研究网络攻击行为，与美国政府关系密切。该公司主席肖恩·亨利（Shawn Henry）是FBI前高层官员，副主席温迪·拉费蒂（WendiRaffety）曾长期在美国军方供职，技术总监查得·蒂尔伯里（ChadTilbury）作为美国空军特别调查办公室的特工，长期在五角大楼处理网络安全事务，而该公司的服务总监克里斯托弗·普莱斯（Christopher Price）则是网络安全公司Mandiant的前经理。Crowd Strike近年处于高速复合增长阶段，市值也从上市之初的83亿美元，攀升至2021年1月的近500亿美元。2020 年 9 月，Crowd Strike还以9600万美元的价格收购了零信任和条件访问技术提供商 Preempt Security。

Crowd Strike公司参与了对几起备受瞩目的网络攻击的调查，包括2014年索尼影业遭黑客攻击事件、2015-2016年民主党全国委员会(DNC)遭网络攻击事件以及2016年涉及DNC的电子邮件泄露事件。

Crowd Strike有其特有的APT组织命名方法，喜欢使用具有地理特征的动物来命名APT组织。比如熊是俄罗斯，千里马是朝鲜，小猫是伊朗，水牛是越南，老虎是印度，猎豹是巴基斯坦，而蜘蛛一般代表网络犯罪集团。

2019年6月Crowd Strike IPO上市登录纳斯达克（图片来源于互联网）

Crowd Strike的产品线

Crowd Strike以威胁情报和EDR产品起家，目前已经构建了完整的终端安全产品体系。2012年推出威胁情报模块Falcon X；2013年6月推出EDR产品Falcon Inshight，8月推出威胁狩猎模块Falcon OverWatch；公司自2017年开始迅速丰富产品线，先后推出下一代防病毒产品、IT资产管理系统、恶意软件搜索(Malware Search)模块、漏洞管理(Vulnerability management)、沙盒(Sand box)模块；2018年推出Falcon Complete和设备控制(Device Control)模块。CrowdStrike公司还于2020年推出了PaaS安全平台CrowdStrike Store，从SaaS向下层PaaS延伸。Crowd Strike Store能够整合第三方安全厂商等相关合作伙伴，为客户提供一整套基于安全云的解决方案，并且打通基于PaaS平台的安全威胁大数据。平台使客户可以迅捷地发现、试用和购买来自Crowd Strike或合作伙伴的应用程序，而无需部署和管理其他代理和基础架构，也无需经过漫长的销售、集成或实施流程。Crowd Strike Store允许合作伙伴将新的安全应用程序推向市场并有效地定位客户群。

Crowd Strike的明星产品是Falcon平台。Falcon平台是基于大数据分析的终端防御平台，可监控企业数据流量，检测0 day威胁，并防止针对性攻击对企业安全造成破坏。根据Crowd Strike高管的说法，这个大数据分析云平台帮助Crowd Strike跟踪了解世界各地黑客团体的活动，助力Crowd Strike定位发起攻击的组织并制止黑客攻击活动。Falcon平台采用的是云端与用户端点相结合的体系架构，主要由Falcon Sensor、Falcon Management Console、Threat Graph、Falcon APPS、Falcon APIs等模块组成。Falcon Sensor部署在用户端点，其他模块位于Falcon Cloud端。

（1）Falcon Sensor模块：Crowd Strike公司在Falcon平台中设计了一个代理（Agent），它是一个轻量化的传感器，部署在用户环境中。这个传感器不仅能够阻止已知特征的恶意攻击，还可以阻挡未知恶意攻击，同时记录所有相关端点的活动信息，确保可以清晰地了解环境中的每一个环节。

（2）Threat Graph模块：具有强大的图形分析能力，并关联Crowd Strike全球客户数十亿的安全事件。它存储分析海量（达到PB级）历史资料，使用先进的算法与智能处理来检测“一切未知的事件”。

（3）Falcon APIs模块。Crowd Strike针对其平台架构提供非常丰富的API接口让其他企业能够基于既有的安全架构来整合其他网络安全防护系统（例如：SIEMs, IPS/IDS...等）。

（4）Falcon Management Console模块：Falcon Management Console接口通过管理界面提供所有事件的完整信息以及图表，以及及时的警报和详细的搜索功能。

（5）Falcon APPS模块：Falcon APPS模块具备网络安全防御、端点防护与响应、主动防御威胁事件等能力。

Crowd Strike的Falcon系列产品针对不同的客户需求提供专业版、企业版、高级版以及完整版（具备所有功能）四个版本，且较往期模式中增加了功能选择，提升用户体验。公司产品均按照部署终端的数量及服务时间收费，专业版、企业版、高级版价格分别为8.99、15.99、18.99美元每月/每台终端。

Crowd Strike通过SaaS模式在其云平台Falcon上为176多个国家的客户提供端点安全、威胁情报和事件响应服务，每天搜集和分析全球超过300亿终端事件。

“Falcon（猎鹰）”平台（图片来源于互联网）

二、CISA概况

CISA全称为“网络安全和基础设施安全局”（Cybersecurity and Infrastructure Security Agency），隶属于国土安全部，是美国六大网络相关机构之一。CISA主要任务是保护关键基础设施网络安全，同时负责监督联邦保护服务（FPS）、网络和基础设施分析办公室（OCIA）、网络安全和通信办公室（OC＆C）以及基础设施保护办公室（OIP）。

CISA是基于2018年的《网络安全和基础设施安全局法案》而创建的，该法案于2018年11月16日正式获得签署成为法律。《网络安全和基础设施安全局法案》将美国国土安全部下属的国家保护与计划局（简称NPPD）重组为网络安全与基础设施安全局，并将NPPD的资源和职能全部转移到了新成立的机构。据悉，在该法案通过之前，NPPD负责管理国土安全部几乎所有的网络安全相关事务。 CISA成立后，担负起保护美国的关键基础设施免受物理和网络威胁的职责。其使命是“建立防御网络攻击的国家能力，并与联邦政府合作，提供网络安全工具、事件响应服务和评估功能等，以保护支持合作伙伴部门和机构基本运营的网络安全。” 在CISA内部有两个主要中心，这是该机构实现其职能的关键所在：第一个是国家网络安全和通信集成中心（简称NCCIC），主要负责为联邦政府、州以及地区政府、私营部门以及国际合作伙伴等提供二十四小时全年无休的网络态势感知、分析、事件响应和网络防御能力；第二个主要中心即美国国家风险管理中心（简称NRMC），该中心是一个规划、分析和协作部门，致力于识别和解决美国国家关键基础设施面临的最重大安全风险。

三、拜登签署《改善国家网络安全行政令》要求部署EDR

2021年5月12日，美国总统拜登签发了《改善国家网络安全行政令》（Executive Order on Improving the Nation’s Cybersecurity）（以下简称“行政令”）。该行政令共十一条，其中第1条到第8条是行政令的核心部分，集中详细阐述了拜登政府对加强和完善美国网络安全管理的总体思路和具体要求。第1条到第8条的主要内容分别是：第1条 政策原则；第2条 共享威胁信息；第3条 联邦政府网络安全的现代化；第4条 加强软件供应链安全；第5条 成立网络安全审查委员会；第6条 规范联邦政府的网络安全漏洞和事件的应对方案；第7条 加强对联邦政府网络上网络安全漏洞和事件的检测；第8条 提高联邦政府的调查和补救能力。

《改善国家网络安全行政令》部分内容

行政令要求推进EDR的部署，谋求提升网络安全保障中的事先发现能力。其要点主要包括三方面，一是主推EDR，“部署端点检测和响应（EDR）计划，支持对联邦政府基础架构内网络安全事件的主动检测、主动的网络捕获、遏制和补救措施以及事件响应”。二是强调“体系化”部署推进，不仅部署了EDR“工作方案”（以主机级别识别、归因和响应为重点），也对相关机构推进部署提出“工作要求”，还对推进过程中相关机构数据的访问共享权限机制提出了重要关注。三是实现民用和军用“全覆盖”。在部署民间主管机构系统全面推进EDR的同时，行政指令还通过意见协同、会商协同的方式，加强国防系统在EDR部署方面特殊性的关注，主要涉及系统机密性、信息机密性考虑等。“为确保国防部信息网络（DODIN）指令与FCEB信息系统指令之间的一致性，国防部长和国土安全部长必须与行政管理和预算局长进行协商”、“根据有关机密信息共享的法规，评估是否采纳其他部门发布的命令或指令中包含的指南”。

（参考来源：部分外媒及美国政府网站）