美國升級愛因斯坦系統，切換國家網絡防御系統后端大腦

2023年3月，在全新《美國國家網絡安全戰略》發布的背景下，拜登政府公布了2024財年的預算申請，包括了262億美元的網空預算，其中聯邦民事機構占127億美元，國防部占135億美元。而在聯邦民事機構的網空預算中，DHS下的CISA就占了31億美元，其中有4.25億美元用于一個新的計劃——網絡分析與數據系統（Cyber Analytics and Data System）。

從NCPS到CADS

根據CISA公布的部門詳細預算，從2024財年開始，將啟用一個全新計劃——聯合協作環境（JCE）——來支撐未來聯邦民事機構的態勢感知能力。

在JCE中，CISA將在遺留的國家網空安全保護系統（NCPS）計劃（也就是我們熟知的愛因斯坦計劃）的基礎上，為新的網絡分析和數據系統（CADS）提供4.25億美元，以增強CISA的內部分析系統能力并使NCPS現代化。在CADS計劃之下，CISA能夠開發一個一流的分析環境，集中與任務相關的數據，依托更高程度的自動化，實現更高效的分析。

【原文：Within the JCE, CISA will build upon the legacy National Cybersecurity Protection System (NCPS) program with $425M for the new Cyber Analytics and Data System (CADS) that will build out CISA’s internal analytical system capacity and modernize NCPS. This will enable CISA to develop a best-in-class analytic environment that centralizes mission-relevant data to enable more efficient analysis due to increased automation.】

在受到多年的質疑之后，美國政府終于開啟了一個新的系統（CADS）來重塑之前飽受詬病的NCPS。讓我們看看這些質疑，以及CADS的由來：

1）2016年1月，GAO的一份審計報告把NCPS推到了風口浪尖。這份報告直指NCPS進度嚴重偏離預期，且收效不佳。報告認為NCPS檢測能力存在缺陷，檢測種類缺失，未知威脅檢測能力太弱，在各大聯邦政府機構的部署范圍和程度層次不齊，用戶反饋普遍不高，等等。核心點是無法識別未知威脅。

2）2017年3月，GAO在給美國眾議院國安委的書面證詞中，再次指出了NCPS和CDM項目存在的諸多問題（包括不能識別未知威脅），并促使CISA開始全面重新評估NCPS項目。

3）2018年，美國國會研究服務處在一份報告中指出愛因斯坦存在一個關鍵限制因素，即必須“事先看到并分析過惡意流量才能起效，無法在首次接觸新的惡意流量時進行識別”。換句話說，就是無法識別未知惡意流量（未知威脅）。

4）2020年的Solarwinds攻擊事件使得美國聯邦政府蒙受損失。事后，人們紛紛質疑耗資60億美元【筆者注：該數字在2021年的時候變成了72億美元】的愛因斯坦系統為何沒能及時識別攻擊，成為促成NCPS真正開始變革的導火索。譬如Bruce Schneier就認為美國政府過于關注進攻（并且這個進攻性策略引發反噬，使得美國遭受了更多的攻擊，從而放大了自身防御的薄弱），卻在網絡防御方面做的太少，“2018年就指出來的缺陷，（至今）未能修復”。同時，還有不少人也在為愛因斯坦計劃進行辯護，認為識別solarwind等供應鏈攻擊本就不是一個愛因斯坦能干得到的，是一個系統工程。

4）2021年3月，CISA代理局長Brandon Wales在參議院聽證會上表示，“我認為最好能保留愛因斯坦系統中仍能發揮作用、提供重要價值的部分，并把那些缺乏實際作用的部分替換成新項目。”

5）2021年6月，CISA代理局長Brandon Wales在給參議員Ron Wyden的質詢回信中寫道：“隨著越來越多使用加密流量進出聯邦網絡，十年前發起的（基于簽名）的愛因斯坦E2（網絡檢測）技術已經不能再提供CISA所需的可見性”。

6）2023年3月3日，DHS的監察總長辦公室發布了一份審查報告，評估了EO14028的落實情況，認為“CISA需要顯著改進網絡可見性和威脅識別技術”，并“建議CISA下面的CSD（網絡安全部）對NCPS數據分析能力的組織、運行和維護做出并實施一項長期計劃”。也正是在這個報告中，CISA表示CSD下面具體負責NCPS的能力交付部提出了一項CADS計劃。這個計劃的一個重點就是把原NCPS中的數據分析做強。

7）在DHS發布預算后，DHS的前高級官員Chris Cummiskey表示，這份預算案是對過去幾年間圍繞愛因斯坦系統未來走向這一重大問題做出的回應。“當時的想法是，愛因斯坦系統終將轉化成其他形態。我想我們現在已經有了答案。……過去15到20年間，我們在聯邦政府層面所熟知的愛因斯坦系統已經變得截然不同。” 

CADS計劃介紹

概覽

CADS是一個系統之系統（system of system，是一個系統工程領域的術語），它提供了一個強大且可伸縮的分析環境，能夠集成數據集并提供工具和功能。CADS工具和能力將促進數據的攝取和集成，并通過對數據分析（過程）的編排和自動化，以支持快速識別、檢測、緩解和阻斷惡意網絡活動。

【原文：CADS is a system of systems that provides a robust and scalable analytic environment capable of integrating data sets and providing tools and capabilities. CADS tools and capabilities will facilitate the ingestion and integration of data as well as orchestrate and automate the analysis of data that supports the rapid identification, detection, mitigation, and prevention of malicious cyber activity. 】

我們知道，NCPS有四大核心能力：入侵檢測、入侵防御、安全分析和信息共享。

根據CISA的計劃，NCPS的一部分能力將遷移到CADS，剩下的能力則作為遺留NCPS繼續存在。其中，遺留的NCPS將繼續保留入侵檢測和入侵預防功能，主要包括愛因斯坦入侵檢測和預防傳感器套件（EINSTEIN1 [E1] / EINSTEIN2 [E2] / EINSTEIN3 Accelerated [E3A]）。而NCPS的信息共享能力、安全分析能力，以及核心基礎設施則將轉移到新的CADS計劃中，并將在“網絡任務IT基礎設施”、“網絡行動工具”和“網絡使命工程”的支撐下運行和維護。

經此一變，在未來，如果我們還把美國聯邦民事機構的態勢感知系統稱作愛因斯坦的話【姑且這么稱呼】，那么，（遺留）NCPS繼續充當愛因斯坦的前端傳感器，而新的CADS將充當愛因斯坦的后端大腦。在未來，CISA一方面會繼續對傳感器進行全棧升級，另一方面則會著力發展態勢感知大腦。

預算

在2023財年，NCPS的預算有4.11億美元，而到2024財年，為遺留NCPS申請的預算將縮減到6700萬美元。反觀CADS，2024財年預算達到4.25億美元。如果把2024財年的遺留NCPS和CADS預算加起來，將超過2023財年的NCPS預算，也就是說，總體上態勢感知系統的投入在繼續增加。

通常CISA將每個項目預算分為運行支撐和采購建設兩個部分。下表展示了CADS和遺留NCPS的運行支撐預算：

可以看出，從2024財年開始，原來NCPS的開發與工程、核心基礎設施、分析、信息共享預算已經清零，不再申請，并轉移到CADS中，改稱為“網絡任務IT基礎設施”、“網絡行動工具”、“項目管理辦公室”和“網絡使命工程”。加上其他此表未列出的運行支撐預算，2024財年為CADS申請的總運行支撐預算為2.58億美元。另外，作為遺留NCPS組成的入侵檢測和入侵防御預算則繼續有新申請，其中入侵檢測預算同比上一年還有所增加。此外，經此轉移，遺留NCPS+新CADS的2024財年預算相較于2023財年的NCPS預算總額少了2700萬美元。

下表顯示了遺留NCPS的采購建設預算：

可以看到僅入侵檢測方面還有采購建設預算，分析、信息共享和開發與工程轉移到CADS中去了。

針對這3000萬美元的入侵檢測的采購建設預算，主要用途是：進行入侵檢測新功能的探索和初步應用，以取代當前的愛因斯坦技術棧。這將涉及市場研究、項目和資源的重新調整、特定技術的探索、在本地網絡中潛在傳感器布局的探索、現有機構級數據與通過現有傳感器能力獲取的數據的結合，以及初始技術的購買、安裝與集成，數據路徑與分析工程。

下表顯示了新CADS的采購建設預算：

可以看到采購建設的申請預算是1.67億美元。這其中最關鍵的是“網絡運行工具”。這里的工具其實就是指網絡數據的攝取、管理、分析，以及信息共享工具。這正是整個愛因斯坦計劃的大腦，現在把他從NCPS中獨立出來單獨作為CADS，也足見其重要性。“網絡任務IT基礎設施”是承載愛因斯坦大腦的計算與網絡支撐，“網絡使命工程”是愛因斯坦大腦運行的各種服務、標準和最佳實踐等工程性支撐。

媒體聲音

以下內容來自外媒的報道。

CISA負責網絡安全的執行助理主任Eric Goldstein在一封郵件聲明中表示，新的CADS系統將幫助CISA“在破壞性入侵發生之前，快速分析、關聯并行動以解決網絡安全威脅和漏洞。”

Goldstein解釋道，該系統將整合來自多個來源的數據，包括“公共與商業數據饋送；CISA自己的端點檢測與響應傳感器、PDNS（保護性DNS），以及覆蓋美國數千家注冊組織的漏洞掃描服務；還有公共和私營合作伙伴共享的數據。”

“CADS還將為CISA的網絡分析師提供統一的數據倉庫，讓他們不必像現在這樣，在不同系統之間切換手動比較數據和威脅信息。”

“CADS提供的工具和功能有助于數據的攝取、集成、協調和自動化分析，將支持對惡意網絡活動的快速識別、檢測、緩解和預防。”

一位業內消息人士指出，CADS計劃將為CISA建立一個工程與軟件開發中心，確保在CISA快速發展的同時滿足其對工具和分析的需求。

這位消息人士表示，“隨著CISA的發展成熟，這方面需求也在逐步升級。CISA希望成長為一種強大、靈活的資源池，實現對軟件、工具和基礎設施的按需開發。”

新態勢感知系統分析

我們可以將CADS+（遺留）NCPS合稱為新態勢感知系統。那么這個新態勢感知系統新在哪里呢？

分拆和升級NCPS的原因分析

坦率地講，愛因斯坦無法檢測未知威脅這個問題至今依然是業界的難題，并沒有被很好的解決。人們一直寄希望于AI和ML驅動異常檢測技術，但正如CISA代理局長Brandon Wales在給參議員Ron Wyden的質詢回信所說，”盡管愛因斯坦也部署了一些基于AI和ML的網絡異常流量檢測技術（譬如LRA和NEST），也依然沒有及時檢測到Solarwinds攻擊“。CISA同時表示，使用非基于簽名的檢測技術的商業能力同樣沒有檢測到Solarwinds對政府和私營部門的攻擊。反而，基于簽名和指標的檢測技術有時候更加有效，前提是以最快的速度獲得相關的簽名和指標，而這就是威脅情報要干的【筆者注：DHS開始建設威脅情報體系的時候也是威脅情報技術在國際上走紅的時候】。愛因斯坦計劃為了將”情報+檢測“運行起來也是煞費苦心，包括建立廣泛的情報社區和快速分享機制，不斷強化自身的威脅獵捕團隊和能力，加大高級惡意軟件分析能力的投入，還大力建設保護性域名服務（pDNS）。事實上，在攻擊曝光后，CISA獲得了很多相關的IOC，并且通過愛因斯坦E1識別出了一些可能失陷的聯邦機構，盡管為時已晚，但還猶未為晚。

也因此，CISA認為僅僅依靠網絡側的威脅檢測是不夠的，因而”緊急將其檢測功能從互聯網出口轉移到機構網絡中以更多關注端點安全……額外的6.5億美元將使CISA能夠迅速實現（這一）轉變“【出自2021年6月，CISA代理局長Brandon Wales給參議員Ron Wyden的質詢回信】。在Solarwinds事件的教訓下，2021年5月美國政府頒布總統行政命令EO14028，其中要求在聯邦民事機構中部署EDR。也正是從這個時候開始，EDR技術變成了網紅。

再進一步研究，我們發現通過在態勢感知前端部署基于情報（IOC & IOA）驅動的傳感器，并增加對端點的遙測，再在后端大腦部署一張強大的情報網，憑此要想戰勝未知威脅依然不夠。基于AI/ML的未知威脅檢測能力雖不成熟，但方向正確，急需強化。這就需要升級前端的網絡遙測能力，并著力強化后端對遙測數據基于AI/ML和情報（TTP）的分析能力，包括編排自動化分析和“人在回路之上”的分析。

因此，CISA寄希望于后端大腦的升級版分析能力能夠在實戰化級別實現未知威脅的檢出與響應。也因此，CISA將原NCPS的分析部分分拆出來，單獨成一個計劃——CADS（網絡分析與數據系統）。這里的“數據”二字也很精辟，數據作為分析的對象，充分體現了數據驅動安全分析的思想。對CISA而言，這里的數據也空前的擴大化，不僅是網絡遙測數據，還包括端點遙測數據，CDM的數據，威脅情報數據，漏洞數據，以及其它各種情境數據。而這里的分析也不僅是算法，也包括人驅動的威脅獵捕。

從這個維度來看，這個態勢感知系統的確有新意。

新的檢測和分析能力的進一步分析

先看看前端檢測能力會有什么變化。很可惜，CISA表示，盡管目標是要替換現有的前端檢測技術棧，但2024財年在檢測這塊重點是探索和試點新技術，具體有哪些新技術，沒說。

再看看后端分析能力這塊。也就是CADS。新計劃，必然推出新架構。盡管我們看不到新的美國國家級態勢感知架構（老的其實也沒看到過），但有一點可以肯定，就是它一定是基于云的。其次，既然說他是一個system of system，就必然是一個多體系統，其核心在于如何整合其它既有或者新建的特定任務系統，實現涌現效果。然后，在能力方面，攻擊面、漏洞、威脅情報應用與分享、編排自動化，幾乎肯定會囊括其中。

這里需要特別強調一下的是，在CADS中明確提出了要做編排和自動化。CISA發布的《第四版戰略性技術路線圖》中就明確提出SOAR是2022年到2026間重點投資的18個技術能力之一。在那個路線圖報告中，CISA表示2021~2022年內SOAR技術在美國政府處于“證明”（demonstration）階段。同時，在2019~2021年間，CISA委托第三方在四個州進行了利用SOAR分發IOC以實現快速響應的試點，也取得了成功，并總結出了一系列最佳實現。結合這次CADS計劃，可以認為，SOAR技術在CISA的應用已經被證明有效，從2024財年（即2023年10月）開始，將進入采用（Adapt）階段了。筆者基于長期對SOAR的研究和推廣，認為以SOAR為代表的編排自動化技術已經成為安全態勢感知系統的必備組成部分。

最后，僅從現有信息來看，筆者并未發現在態勢感知能力建設方面2024財年相較于2023財年有太大的變化。上述變革，其實CISA也一直在推進中。這次提出CADS，倒是沒看出跟NCPS近些年一直在做的有多大實質性的不同，更多可能是因為NCPS的名聲已經無法支撐CISA未來的發展愿景了吧。