美国网络空间态势感知系统之“爱因斯坦”(二)

关于美国国家网络安全保护系统 (NCPS)，美国国土安全部（DHS）曾对其作过简介。现摘译如下，仅供读者参考：

一、国家网络安全保护系统 (NCPS)-入侵检测

2019年9月，美国国土安全部发布了名为《DHS/CISA/PIA-033 国家网络安全保护系统 (NCPS)-入侵检测》的文件，最后更新时间为 2021 年 11 月 12 日。

文中称，国土安全部（DHS）网络安全和基础设施安全局（CISA）领导联邦政府努力保护和捍卫联邦民事执行分支机构网络免受网络威胁。这些工作一部分是通过国家网络安全保护系统（NCPS）的入侵检测能力进行的——以前称为爱因斯坦1号和爱因斯坦2号。

网络安全和基础设施安全局（CISA）网络安全司（CSD）负责设计、开发、维护和运营NCPS。NCPS是一个集成系统，提供一系列功能，包括入侵检测、分析、入侵预防和信息共享功能，用于保护联邦文职政府的信息技术基础设施（以下简称“联邦网络”）免受网络威胁。

NCPS入侵检测功能提醒CSD网络安全分析师关于联邦网络流量中存在恶意或潜在有害的计算机网络活动。NCPS入侵检测功能包括被动观察进出参与联邦执行机构网络的网络流量、以及入侵检测系统（IDS）功能。后者当检测到预定义的特定网络威胁时会发出警报。

网络流（netflow）和元数据收集

NCPS入侵检测功能包括一个自动过程，用于收集与联邦民事执行分支部门和机构之间的通信流量相关的计算机网络安全信息。此功能通过收集网络流记录来工作。网络流是网络工程师和安全分析师广泛使用的网络流量摘要格式。它总结了通过Internet进行通信的两台主机之间的通信。网络流记录的收集在机构级别进行，并允许联邦部门和机构监控自己的网络活动。最近增强的功能提供了收集额外数据包元数据的能力，如通信协议和其他属性。

CISA的网络流集合与传统入侵检测集合的不同之处在于，所选元数据被收集并保留90天，即使与可疑或已确认的网络安全威胁无关，CISA网络安全分析师也可以根据已知威胁查询数据。

迄今为止，从网络流记录和数据包检查中收集的数据包括：

•自治系统编号（ASN）

•互联网控制消息协议（ICMP）类型/代码

•数据包长度

•传感器识别和连接状态

•源和目的IP地址

•通信协议

•源端口和目的端口

•TCP标志信息

•时间戳和持续时间信息

为了更好地关联恶意软件和网络威胁参与者的已知信息，CSD正在扩展网络流数据和元数据字段的收集，以包括应用层协议信息。

这类协议信息不包括电子邮件正文或web搜索的有效负载，而是包括为机器提供数据交换能力的伴随信息。收集的应用层协议可能包括以下元数据字段：

•HTTP请求中的统一资源定位器（URL）：URL信息可能包括组织名称、计算机名称、文件名。

•用户代理字符串：用户代理字符串是用户代理发送以在HTTP请求中标识自身的数据元素。此信息在组织级别共享或公开，而不是在最终用户级别。

•服务器自标识字符串：服务器字符串可以包括主机名、域名和IP地址等信息。

•电子邮件标题和电子邮件交易信息（即SMTP标题）：电子邮件标题信息可能包括发件人、收件人、日期、发件人、抄送、发件人/收件人用户ID或电子邮件地址、电子邮件主题、 IP地址和域名。

•域名系统（DNS）查询/响应数据：DNS查询（也称为DNS请求）是对从用户计算机（DNS客户端）发送到DNS服务器的信息的需求。在大多数情况下，会发送DNS请求，以请求与域名关联的IP地址。尝试访问域实际上是DNS客户端查询DNS服务器以获取与该域相关的IP地址。

•安全套接字层（SSL）/传输层安全性（TLS）证书：SSL/TSL证书信息可能包括“通用名称”（即被识别的网站名称）、运行网站的组织、证书颁发者（当证书有效时）以及证书的唯一指纹。

使用从网络流记录收集的数据以及增强的网络流收集数据，CSD网络安全分析师可以评估和检测某些类型的网络威胁（如受损系统或主机），并与相应的联邦执行部门和机构协调，以缓解其网络上的潜在威胁和漏洞。例如，CSD网络安全分析师使用分析工具可以检测通过网络通信的恶意软件、联邦网络数据的过滤、分布式和非分布式拒绝服务攻击、异常网络活动以及网络流数据中的配置管理问题。

跨不同检测方法关联相似数据的能力仅限于：如果数据精确匹配，并且使用不同方法获取的数据字段之间具有等效含义，则执行此操作。额外网络流数据字段集合的扩展将在网络层观察到的网络威胁和端点观察到的网络威胁之间产生强大的联系。然后，可以根据CSD网络安全分析师或其他政府网络安全中心、私营部门和商业数据源等外部来源识别的已知网络威胁验证可疑流量。

入侵检测系统（IDS）

除了被动观察进出联邦网络的网络流量外，NCPS还包括一个入侵检测系统（IDS），当检测到特定的恶意网络活动时，该系统会生成警报。IDS为CSD网络安全分析师提供了更多关于该活动性质的见解。CSD网络安全分析师利用IDS的警报数据，能够分析联邦网络中发生的恶意活动，从而提高态势感知能力。然后，这些信息可以与联邦部门和机构共享，以减轻其网络上的潜在网络威胁和漏洞。

IDS采用“基于特征码的入侵检测”来检测进出联邦网络的潜在恶意流量。该入侵检测方法将网络流量与一组预定义的特征码进行比较，并在检测到匹配时触发警报。当IDS传感器观察到已知特征或可疑威胁时，CSD网络安全分析师会收到警报，此时会分析信息并与适当的合作伙伴共享，然后在必要时协调响应、缓解和恢复。

美国国土安全部logo

二、DHS官员在会议上提到的相关内容

2018年4月，国土安全部的国家保护和计划局 (NPPD) 网络安全和通信办公室助理部长珍妮特·曼弗拉，在参议院会议上曾提到爱因斯坦系统有关内容，具体如下：

尽管联邦机构对自己的网络安全负有主要责任，但DHS提供了一套通用的安全工具来帮助机构管理其网络风险。NPPD对联邦机构的援助包括 (1) 通过国家网络安全保护系统 (NCPS) 提供工具来保护民事行政部门网络，其中包括“爱因斯坦”和持续诊断和缓解 (CDM) 计划；(2) 衡量和激励机构实施政策、指令、标准和指南；(3) 作为信息共享和事件报告的中心，(4) 提供运营和技术援助，包括威胁信息传播和风险和脆弱性评估及事件响应服务.

爱因斯坦（EINSTEIN） 指的是联邦政府的一套基于签名的入侵检测和预防功能，可保护每个机构周边的非机密网络。爱因斯坦提供对民用行政部门网络流量的态势感知，因此在一个机构检测到的威胁会与所有其他机构共享，从而为机构提供信息和相应的能力以更有效地管理其网络风险。联邦政府无法仅通过个别机构的努力来实现这种态势感知。

爱因斯坦是联邦政府处理周边安全问题的工具，它不会阻止所有威胁；因此，它必须辅以在机构网络内运行的系统和工具——因为有效的网络安全风险管理需要深度防御策略，而仅通过一种工具无法实现。CDM计划为所有参与机构提供网络安全工具和集成服务，使他们能够通过减少其网络的攻击面以及为 DHS提供机构范围内的可见性来改善各自的安全状况。

作为保护高价值资产工作的一部分，国土安全部对优先级较高的机构资产进行深入的漏洞评估，以确定对手如何渗透系统、在机构网络中移动以访问敏感数据以及在不被发现的情况下泄露此类数据。这些评估包括渗透测试、无线安全分析和“网络钓鱼”评估等服务，在这些评估中，国土安全部黑客向机构人员发送电子邮件并测试收件人是否点击了潜在的恶意链接。国土安全部将这些评估重点放在了对手可能特别感兴趣或支持独特重要数据或服务的联邦系统上。这些评估为系统所有者提供了处理已识别漏洞的建议。

（来源：美DHS官网等。本文参考内容均来源于网络，仅供读者了解和掌握相关情况参考，不用于任何商业用途。侵删）