美国网络空间态势感知系统之“爱因斯坦”

美国很早就意识到了网络空间装备的价值，目前已经形成了覆盖网络空间态势感知、监视、防御、攻击、指控以及初具规模的综合一体化网络空间装备体系。在网络空间态势感知系统方面，由于密级不同，美国的“态势感知体系”的防护范围划分为两部分：联邦政府网络以及军事网络，由此态势感知体系也分为两个子系统：“爱因斯坦”系统以及Tutelage系统，前者交由国土安全部（DHS）的国家网络通信整合中心、后者交由国家安全局（NSA）的威胁作战中心进行运行和管理。

图片来自外媒

一、EINSTEIN （爱因斯坦）简介

“爱因斯坦”，也称为国家网络安全保护系统 (National Cybersecurity Protection System，NCPS)，是美国“国家网络安全综合计划”（Comprehensive National Cybersecurity Initiative，简称CNCI）的关键组成部分。“爱因斯坦”从2003年开始，时间跨度很长，并分为了若干阶段，每个阶段都应对若干模块。从2009年开始，美国政府启动了国家网络安全综合计划（CNCI），“爱因斯坦”并入CNCI，并改名为NCPS（国家网络安全保护系统）。因此，NCPS等价于“爱因斯坦”。

二、CISA对“爱因斯坦”等的介绍

美国网络安全和基础设施安全局 (CISA) 称，其使命是为联邦文职行政部门 (FCEB) 提供一个通用的安全基线，并帮助各机构管理其网络风险。这一公共基线部分通过爱因斯坦系统提供。爱因斯坦在FCEB网络安全中扮演着两个关键角色。首先，爱因斯坦检测并阻止危害联邦机构的网络攻击；其次，爱因斯坦为CISA提供态势感知，以使用检测到的威胁信息来保护政府的其他部门并帮助私营部门保护自己。

概述

爱因斯坦的第一阶段，称为爱因斯坦1 (E1)，就像设施入口处的摄像头，记录汽车进出并识别汽车数量的异常变化。爱因斯坦 2 (E2) 增加了基于观察名单检测可疑汽车的能力。E2不会停车，但会发出警报。总之，E1和E2能检测到潜在的网络攻击。该计划的最新阶段称为EINSTEIN 3 Accelerated (E 3 A)，类似于通往多个政府设施的高速公路上的岗哨。E 3 A 使用机密信息查看汽车并将它们与观察名单进行比较，然后主动阻止违禁车辆进入设施。使用机密信息使E 3 A能够检测和阻止许多最重要的网络安全威胁。

爱因斯坦系统用于保护联邦文职行政部门 (FCEB) 机构。国防部或情报界并不使用它。爱因斯坦不是灵丹妙药，仅通过一种工具无法实现安全性，这就是为什么安全专业人员相信深度防御：结合使用多种工具来管理网络攻击的风险。爱因斯坦为FCEB 机构提供外围防御，但它永远无法阻止每一次网络攻击。出于这个原因，它必须与机构网络内的其他系统和工具相辅相成，并通过各机构的积极努力来实施网络安全最佳实践，例如多因素身份验证和员工培训。

爱因斯坦的第一次迭代是在2003年开发的。E1监控进出FCEB机构的网络流量。从技术上讲，E1记录和分析网络流量记录。此功能使 CISA 能够识别潜在的恶意活动并在事件发生后进行关键的取证分析。

图片来自外媒

E2于2008年首次部署，根据特定的已知特征识别联邦政府网络流量中的恶意或潜在有害计算机网络活动。从技术上讲，它是一种入侵检测系统。通常一天，E2 传感器会发出大约 30,000 个有关潜在网络攻击的警报。这些警报均由 CISA网络安全人员评估，以确定警报是否构成危害以及是否需要进一步补救。如果是这样，CISA 将与受害机构合作解决入侵问题。

E1和E2完全部署并筛查通过可信互联网连接（每个机构内部网络和互联网之间的安全网关）路由的所有FCEB流量。截至 2021年12月，已有 256 家 FCEB 机构参与 E1/E2，代表约 212.5万用户，占用户总数的 99%。

图片来自外媒

2010 年，CISA 开始规划设计和开发入侵防御能力（
以前称为爱因斯坦 3），以识别和阻止网络攻击。其目的是使用机密特征来保护政府网络。如前所述，使用分类指标可以让CISA检测和阻止许多最重要的网络攻击。

2012 年，CISA转变为一种新方法，主要互联网服务提供商使用广泛可用的商业技术为FCEB机构提供入侵防御安全服务。此功能称为E 3 A。E 3 A允许 CISA检测针对FCEB网络的攻击并主动防止潜在的危害。

E 3 A还用作聚合 FCEB 流量的平台，以便 CISA可以实施新的高级保护。换句话说，通过将所有联邦政府流量通过几个位置，CISA可以轻松地将安全工具添加到这些位置。为此，CISA正在试行保护措施，以自动识别可能的网络攻击以进行进一步分析，即使以前从未见过精确的攻击。CISA正在研究来自私营部门的技术，以发展到网络防御的下一阶段。

CISA称，国家网络安全保护系统 (NCPS) 是一个集成的系统，可提供一系列功能，例如入侵检测、分析、信息共享和入侵防御。这些能力提供了一个技术基础，使CISA能够保护和保护联邦文职行政部门 (FCEB) 机构的信息技术基础设施免受高级网络威胁。NCPS推进了CISA在国家网络安全综合计划 (CNCI) 中规定的职责。

CISA在NCPS中的一项关键技术是爱因斯坦，它是协助联邦网络防御的众多工具和功能之一。NCPS爱因斯坦的目标是为联邦政府提供预警系统，提高对 FCEB网络入侵威胁的态势感知，近乎实时的识别恶意网络活动，并预防恶意网络活动。

NCPS 能力的发展依赖于与跨联邦利益相关者的紧密合作和整合，以支持其底层网络的防御。通过这些关系，CISA 可以开发和提供分析产品和实时防御服务。这种合作提供了有价值的网络事件信息，并生成了事件响应团队、政府和关键基础设施组织以及国家领导层使用的态势感知和决策支持数据。

NCPS 能力跨越四个广泛的技术领域。

· 入侵检测

· 分析

· 信息共享

· 入侵防御

通过爱因斯坦1和爱因斯坦 2提供的NCPS入侵检测功能是一种基于特征的被动传感器网格，用于监控网络流量，以发现进出参与部门和机构 (D/A) 的恶意活动。此功能可以使用基于特征的入侵检测技术识别潜在的恶意活动和进出联邦网络的流量。入侵检测使用来自众多来源的特征，例如商业或公共计算机安全信息、向 CISA报告的事件、来自联邦合作伙伴的信息和/或CISA分析师的独立深入分析。这种能力使CISA网络安全分析师能够更好地了解网络环境，并提高解决网络弱点和漏洞的能力。

NCPS 分析功能使 CISA 网络安全分析师能够编译和分析有关多个安全区域中的网络活动的信息，并向政府机构、私营部门合作伙伴、基础设施所有者和运营商以及公众通报当前和潜在的网络安全威胁和漏洞。分析功能包括 NCPS 的安全信息和事件管理 (SIEM) 解决方案。SIEM 解决方案通过以下方式简化网络分析： 聚合类似事件，从而减少重复；关联可能被忽视的相关事件；并提供可视化功能，从而更容易查看关系。分析功能还包括数据包捕获工具、恶意软件分析实验室、流可视化工具、 事件管理和响应工具，以及允许分析大型数据集的高输入/输出数据库。

NCPS 信息共享功能建立了一套灵活的功能，在多个分类级别实施，允许 CISA 网络安全分析师及其网络安全合作伙伴之间快速交换网络威胁和网络事件信息。信息共享能力的目标是：（1）通过改进威胁信息共享来防止网络安全事件的发生；(2) 通过提高协调和协作能力来减少事件响应时间；(3) 通过更加自动化的信息共享和分析能力的披露来提高效率。信息共享旨在通过提高协调与协作能力、自动化信息共享和分析能力，以保护隐私和公民自由的方式防止网络安全事件的发生。信息共享下的其他功能将为 CISA 分析师提供从 D/A 数据集生成的 FCEB 网络威胁形势的通用操作图，最终实现高级可视化、分析和工作流功能。

NCPS入侵防御功能包括EINSTEIN 3 Accelerated，它通过提供主动网络防御功能以及防止和限制恶意活动渗透联邦网络和系统的能力，进一步推进了 FCEB D/A的保护。NCPS入侵防御功能的目标是识别和表征恶意网络流量，以增强网络安全分析、态势感知和安全响应。它包括自动检测网络威胁、对这些网络威胁做出适当响应以及支持 CISA与联邦 D/A增强信息共享的能力。

云接口参考架构

NCPS正在不断发展。为确保可以捕获和分析有关基于云的流量的安全信息，且CISA分析师可以继续为机构提供态势感知和支持，CISA正在开发一种基于云的架构来收集和分析机构云安全数据。此架构解释了机构如何与该系统进行交互，它包括有关云如何影响NCPS的背景，讨论需要在云中捕获哪些安全信息以及如何捕获，并提供报告模式来解释如何将这些信息发送到 CISA。

图片来自外媒

（来源：CISA等。本文参考内容均来源于网络，仅供读者了解和掌握相关情况参考，不用于任何商业用途。侵删）