位于弗吉尼亞州阿靈頓的國家網絡安全與通信集成中心
根據一項由聯邦審訂機構發布的秘密調查,這套防火墻方案由國土安全部負責運行,旨在檢測并防止國家支持型黑客行為對美國政府職能進行侵擾。
愛因斯坦計劃(下面簡稱:EINSTEIN)利用攻擊模式(或者稱之為‘簽名’)以審查可疑流量,但在實際運行當中,高達94%的常規已知安全漏洞或者包含在網絡流量中的惡意內容都未被正確識別出來(詳細報告為PDF格式,在E安全微信公眾號回復 GAO2016即可下載)。
而這兩項缺陷還僅僅是此次“只限政府內部傳閱”之政府問責辦公室(簡稱GAO)報告披露的眾多問題中的一小部分。除此之外,該系統的預防功能僅在23個主要非防御機構中的5個得到切實部署。
2015年11月國會議員對EINSTEIN(現其正式名為國家網絡安全保護系統,或者簡稱NCPS)進行了保密審計,并證明這套黑客監控系統尚未準備好進行政府環境部署。
而此次最新發布的審計結論亦證實了這些觀點,并指出這個耗資高達60億次美元的防火墻開發項目存在大量未能實現的目標,且尚無法有力打擊黑客活動,審計人員表示。
“在NCPS的既定功能得到全面開發之前,國土安全部將不會允許其被部署至聯邦政府機構以提供與網絡安全相關的、行之有效的技術支持,”GAO信息安全問題主管Gregory C. Wilshusen與GAO技術與工程中心主管Nabajyoti Barkakati在于近期發布的審計報告當中表示。
審計人員此次研究目標主要針對能源部、退伍軍人事務部、總務管理局、國家科學基金會與美國核管理委員會。
無法應對來自民族國家的“高級持續性威脅”
“這套系統的總體目標在于保護政府免受民族國家發起的威脅活動,”本次審計報告指出,然而EINSTEIN并不能切實應對此類所謂高級持續性威脅。
此類攻擊活動屬于外國敵對方所采取的常見戰術,其中擁有大量資源可供調配的黑客集團會在目標系統中建立一個立足點,并潛伏長達數個月直到找到執行破壞目標的機會。
EINSTEIN“并不具備入侵檢測功能,這意味著其無法充分解決我們審查的各類高級持續性威脅,”報告作者表示。
在對報告草稿做出回應時,國土安全部官員表示EINSTEIN只是各部門用于保護其敏感數據的眾多技術方案之一。其職責在于幫助個別機關保障IT與數據安全,而國土安全部的任務則僅限于提供基礎性保護以及涵蓋政府層面的宏觀安全控制視角,他們解釋稱。
EINSTEIN在運作當中會將大量已知攻擊模式簽名推送至228個入侵檢測傳感裝置當中,而這些傳感器則分布于整套美國聯邦.gov網絡體系。這些傳感器負責對各機構網絡流量進行模式分析,并審查其是否與已知簽名相符合。
EINSTEIN無法識別多種常見安全漏洞
不過這些簽名“并不能解決由各類常見安全漏洞所引發的攻擊威脅,因此其實際效果非常有限,”審計人員們指出。
EINSTEIN的質量取決于其選用的漏洞簽名的質量。
“不過,用于支持NCPS入侵檢測功能的簽名只能夠識別出一部分與常用應用軟件相關聯的漏洞,”報告作者寫道。
在此次進行審查的五款消費級應用程序——Adobe Acrobat、Flash、IE、Java以及微軟Office——當中,該系統在某種程度上只能檢測出全部已知安全漏洞中的6%。具體來講,只識別出了489個已知安全漏洞中的29個。
之所以產生如此嚴重的盲區,根據審計人員們的分析,是因為EINSTEIN并沒有與由國家標準與技術研究所負責維護的標準國家安全漏洞數據庫進行同步。
國土安全部官方表示,他們在最初開發EINSTEIN時并沒有收到將其簽名庫同安全漏洞數據庫進行同步的要求。國土安全部“承認這方面存在不足”,并計劃未來對此加以解決,審計報告提到。
在正式“公布”之前,無法對未知零日漏洞進行識別
在本次人事管理辦公室遭遇黑客入侵之后的背景調查工作當中,國土安全部方面承認EINSTEIN無法處理其中涉及的惡意軟件。據稱此次黑客活動由中國所支持,且攻擊執行者使用的是尚未被正式發現、因此根本不可能存在相關“簽名”的零日漏洞。
“在零日漏洞利用方面,”國土安全部官方指出,“尚沒有辦法在其被正式公布前加以識別,”報告指出。一旦零日漏洞遭到披露,國土安全部可以馬上根據其攻擊模式建立簽名并將其導入至EINSTEIN當中。
有時候,情報界的各合作伙伴會在零日漏洞被公開披露之前向美國國土安全部提供消息,而其實際利用方式通常以惡意軟件為載體,審計報告表示。國土安全部官員則向審計人員們坦言,他們并不會為零日漏洞情報支付報酬。
EINSTEIN能夠以近實時方式在特定數據流內實現入侵預防。然而,該系統仍有相當一部分網絡流量無法確切把握。舉例來說,該系統能夠阻斷惡意“域名系統”服務器并實現電子郵件過濾,但“還存在著其它一些網絡流量類型(例如web內容),其同樣屬于常見的攻擊向量但卻無法被作為潛在惡意內容進行分析,”審計人員們解釋稱。
信息共享往往是種浪費
國土安全部正在努力克服重重障礙,而正是這些障礙導致目前23個政府機構中只有5個部署了EINSTEIN系統,GAO官員表示。這是因為各機構的IT基礎設施有所區別,EINSTEIN要想接入其業務流程,必須適應其具體配置。除此之外,并非所有機構都符合正確執行EINSTEIN的安全規范。總體來講,各機構都在關注電子郵件等關鍵性應用程序的正常運作。
信息共享屬于EINSTEIN高度關注的另一項目標,此次審計報告表示。
“國土安全部與其它各機構間的信息共享機制并不一定能夠起效,各方在關于通信發送與接收乃至具體使用等層面存在分歧,”GAO審計人員們解釋道。
根據國土安全部提供的2014財年內發出的總體通知數量來看,高達24%的通知內容根本未被各受審查機構所收到。而成功送達的相當一部分信息對于IT人員來說亦毫無價值,審計報告強調稱。在56條成功送抵的通知當中,有31條具備時效性與實用性,其余的則屬于遲緩、無用或者干脆屬于誤報——甚至與入侵檢測毫無關系。
與此同時,國土安全部還制定出一系列與EINSTEIN相關的指標。“從該系統功能中提取到的值根本得不到確切解釋,”審計人員指出。
京公網安備 11010502049343號