從 CADS 計劃看美國網絡防御體系發展
2023 年 3 月,在美發布《美國國家網絡安全戰略》后,拜登政府公布了 2024 財年預算申請,包括了 262 億美元的網絡空間領域預算,其中聯邦民事機構占 127 億美元,國防部占 135 億美元。而在聯邦民事機構的網絡空間領域預算中,國土安全部下的美國網絡安全和基礎設施安全局(CISA)就占了 31 億美元,其中有 4.25 億美元用于一個新的計劃——網絡分析與數據系統(Cyber Analytics and Data System,簡稱 CADS)。作為 CISA 2024財年預算申請的重點,該機構正在尋求建設新的“網絡分析和數據系統”(CADS),作為后愛因斯坦(EINSTEIN)時代國家網絡防御體系的中心。CISA 希望在 2024 財年為 CADS 項目提供 4.249 億美元(約合人民幣 28.96億元)。該項目旨在今后為 CISA 打造一套“管理所有系統的系統”,提供“一個強大且可擴展和分析環境,能夠集成任務可見性數據集,并為 CISA 網絡操作人員提供可視化工具與高級分析能力。”
一、CADS 計劃出臺背景
1、美發布《國家網絡安全戰略》聚焦網絡防御與網絡彈性,強化網絡霸權思想
眾所周知,美拜登政府執政以來,頻繁出臺網絡安全、網絡供應鏈等方面政策文件,以確保本土關鍵設施網絡安全,預防網絡安全事件風險,重奪網絡安全主動權。這一系列相關措施將加劇網絡供應鏈逆全球化,將深刻影響全球網絡安全形勢和大國競爭格局,值得高度警惕。2023 年 3 月2 日,拜登政府發布了各方期待已久的《國家網絡安全戰略》,聚焦網絡防御與網絡彈性。新的網絡安全戰略將致力于使美國的數字生態系統可防御,網絡防御更容易、更便宜、更有效。并且具有彈性,最大限度避免網絡安全事件產生廣泛或持久的影響。
該戰略文件延續了此前小布什、奧巴馬、特朗普歷任美國政府圍繞維護國家網絡安全,鞏固并強化網絡霸權的核心思路,嘗試構建一個包含捍衛關鍵基礎設施、破壞和摧毀威脅行為者、塑造市場力量以便提高彈性、投資下一代技術以及建立國際伙伴關系等五大支柱的龐大國家網絡安全戰略體系,并以關鍵基礎設施保障為抓手和切入點,突破強化政府監管能力與網絡空間行動能力兩大難題,聚焦進入動蕩變革期的大國戰略博弈,系統性謀求在網絡空間貫徹落實此前公布的美國國家安全戰略精神,在新時期打造出一個足以支撐起美國全球網絡霸權的戰略體系,獲得全球網絡空間的非對稱優勢。
2、美頒布一系列預算法案及文件確定網絡安全優先事項,強調主動防御
美國總統拜登在 2022 年底接連簽署通過了《2023 年綜合撥款法案》以及《2023 財年詹姆斯·M·因霍夫國防授權法案》。這兩部法案確定了美國2023 財年在國防及非國防方面的資金支出計劃,同時明確提出美國在網絡安全、國家安全等重點領域的優先事項。一是國防網絡安全更加主動,強調“以攻為守”的網絡作戰方式。如《2023 授權法案》強調美國將持續推進“前出狩獵”(Hunt Forward)行動,這是美國網絡司令部“持續交戰”(Persistent Engagement)戰略的重要組成部分,該行動采取主動追捕形式,在網絡空間展開與對手的不斷較量。二是非國防網絡安全攻勢趨緩,更加注重網絡安全防護。拜登政府上臺后,戰略回調成為美網絡安全發展的主基調。受其影響,網絡安全防守態勢也成為美及其盟友國家網絡安全政策較為顯著的特點之一。
3、CISA 全面重新評估愛因斯坦計劃嚴重偏離預期,收效不佳
愛因斯坦計劃,其正式名稱為“國家網絡空間安全保護系統”(National Cybersecurity Protection System,簡稱 NCPS),是美國“全面國家網絡空間安全行動計劃”的關鍵組成部分。在過去二十年間,愛因斯坦計劃一直是國土安全部的核心任務之一,負責保衛聯邦文職行政部門的網絡安全。該系統記錄進出機構網絡的數據流量,在識別到惡意流量時向機構發出警報,并會阻斷已知的網絡攻擊行為。近幾年,愛因斯坦計劃實施進度嚴重偏離預期。2016 年,GAO 的一份審計報告直指 NCPS 進度嚴重偏離預期,且收效不佳,把 NCPS 推到了風口浪尖。報告認為 NCPS 核心點是無法識別未知威脅。同時,檢測能力存在缺陷,檢測種類缺失,未知威脅檢測能力太弱,在各大聯邦政府機構的部署范圍和程度層次不齊,用戶反饋普遍不高等等。美國國會研究服務處在 2018 年的一份報告中指出,愛因斯坦存在一個關鍵限制因素,即必須“之前看到并分析過惡意流量才能起效,無法在首次接觸新的惡意流量時進行識別。”,愛因斯坦系統“只能阻止已知威脅”。這一系列問題促使 CISA 開始全面重新評估 NCPS 項目。2020 年爆發的Solarwinds 攻擊事件使得美國聯邦政府蒙受損失,成為促成 NCPS 真正開始變革的導火索。2021 年 3 月,CISA 最終決定保留愛因斯坦系統中仍能發揮作用、提供重要價值的部分,并把那些缺乏實際作用的部分替換成新項目。
二、從 NCPS 計劃到 CADS 計劃的過渡
1、NCPS 計劃是國家戰略級項目,旨在實現入侵檢測、入侵防御、安全分析和信息共享四大能力
NCPS 以 DFI、DPI 和 DCI 技術為抓手,以大數據技術為依托,以威脅情報為核心,實現對美國聯邦政府民事機構互聯網出口網絡威脅的持續監測、預警、響應與信息共享,以提升聯邦政府網絡的態勢感知能力和可生存性。借助 NCPS,美國聯邦政府為其互聯網側態勢感知構建起了入侵檢測、入侵防御、安全分析和信息共享四大能力。從項目定位上,NCPS 區別于各個聯邦民事機構自己的安全防護,二者不是替代關系,而是疊加關系。NCPS更加注重針對高級威脅的監測與響應,更加重視跨部門/廠商的協調聯動、信息共享、集體防御。從運營方式上看,NCPS 被盡可能地封裝為一系列托管服務和安全服務的形式,以服務的方法提供給各個聯邦機構,并且正在切換為單一的、統一的服務提供商。從技術上看,大都認為 NCPS 主要是規模效應,技術含量并不高,譬如基本都是基于特征和簽名的檢測。事實上,NCPS 還是比較注重新技術運用。我們現在經常聽到的所謂高級威脅檢測、機器學習、行為畫像和異常行為分析、編排自動化響應、威脅情報、加密流量威脅檢測,等等,在 NCPS 中都有體現,并且都會經歷一個先試點再鋪開的過程。
2、CADS 計劃是 NCPS“重組”措施的一部分,CADS+(遺留)NCPS合稱為新態勢感知系統
根據 CISA 的計劃安排,NCPS 的一部分能力將遷移到 CADS,剩下的能力則作為遺留 NCPS 繼續存在。其中,遺留的 NCPS 將繼續保留入侵檢測和入侵預防功能,主要包括愛因斯坦入侵檢測和預防傳感器套件(EINSTEIN1 [E1] / EINSTEIN2 [E2] / EINSTEIN3 Accelerated [E3A])。而NCPS 的信息共享能力、安全分析能力,以及核心基礎設施則將轉移到新的CADS 計劃中,并將在“網絡任務 IT 基礎設施”、“網絡行動工具”和“網絡使命工程”的支撐下運行和維護。
CISA 將原 NCPS 的分析部分分拆出來,單獨成一個 CADS 計劃。CADS將數據作為分析的對象,充分體現了數據驅動安全分析的思想。對 CISA 而言,這里的數據也空前的擴大化,不僅是網絡遙測數據,還包括端點遙測數據,CDM 的數據,威脅情報數據,漏洞數據,以及其它各種情境數據。而這里的分析也不僅是算法,也包括人驅動的威脅獵捕。總體而言,(遺留)NCPS 繼續充當愛因斯坦的前端傳感器,而新的 CADS 將充當愛因斯坦的后端大腦。在未來,CISA 一方面會繼續對傳感器進行全棧升級,另一方面則會著力發展態勢感知大腦。
三、CADS 計劃特點
1、 CADS 計劃開發一流分析環境,依托更高程度的自動化,實現對數據更高效的整合
CADS 計劃開發一個一流的分析環境,集中與任務相關的數據,依托更高程度的自動化,實現更高效的分析。該分析環境將整合來自多個來源的數據,包括公共與商業數據饋送、CISA 自己的端點檢測與響應傳感器、Protective 域名系統,以及覆蓋美國數千家注冊組織的漏洞掃描服務、還有公共和私營合作伙伴共享的數據。CADS 還將為 CISA 的網絡分析師提供統一的數據倉庫,讓他們不用在不同系統之間切換,手動比較數據和威脅信息。CADS 提供的工具和功能有助于數據的攝取、集成、協調和自動化分析,將支持對惡意網絡活動的快速識別、檢測、緩解和預防。
2、CADS 計劃以數據為主要對象,重在網絡數據的攝取、管理、分析,以及信息共享工具
從 2024 財年開始,原來 NCPS 的開發與工程、核心基礎設施、分析、信息共享預算已經清零,不再申請,并轉移到 CADS 中,改稱為“網絡任務 IT 基礎設施”、“網絡行動工具”、“項目管理辦公室”和“網絡使命工程”。這其中最關鍵的是“網絡運行工具”,其實就是指網絡數據的攝取、管理、分析,以及信息共享工具。這正是整個愛因斯坦計劃的大腦,現在把他從NCPS 中獨立出來單獨作為 CADS,也足見其重要性。“網絡任務 IT 基礎設施”是承載愛因斯坦大腦的計算與網絡支撐,“網絡使命工程”是愛因斯坦大腦運行的各種服務、標準和最佳實踐等工程性支撐。
3、CADS 計劃新建工程與軟件開發中心,實現對軟件、工具和基礎設施的按需開發
按照計劃安排,CADS 計劃將為 CISA 建立一個工程與軟件開發中心,確保在 CISA 快速發展的同時滿足其對工具和分析的需求。隨著 CISA 的發展成熟,這方面需求也在逐步升級。CISA 希望成長為一種強大、靈活的資源池,實現對軟件、工具和基礎設施的按需開發。
四、美軍的網絡防御體系未來發展趨勢
1、防御思想上,從“攻防平衡”到“前置防御”轉變
在國際局勢經歷深刻變化、全球數字化進程不斷推進的大背景下,美國國家網絡防御體系也歷經調整演進。以美國的 NCPS 計劃到 CADS 計劃為例,愛因斯坦系統“只能阻止已知威脅”,即必須之前看到并分析過惡意流量才能起效。但隨著 2020 年 SolarWinds 事件爆發,CISA 意識到不能僅僅去阻止已知的網絡威脅,新的 CADS 計劃旨在首次接觸新的惡意流量時進行識別并阻止未知威脅,強調前置防御和主動防御。這從一定程度上反映出美國網絡防御思想的轉變。再者從 2018 年特朗普政府時期的《國家網絡戰略》到拜登政府《網絡安全戰略》,前者目標核心在于塑造美國在全球網絡空間中的領導地位,維持美國網絡攻防平衡及數字優勢,而拜登政府《網絡安全戰略》體現出拜登政府的網絡安全戰略明顯更具對抗與攻擊性,重在前置防御,提出要整合外交、信息、軍事、金融、情報和執法等在內的一切國家力量,以破壞瓦解威脅美國利益的行為者,并提前為美國打贏“網絡戰”做準備。
2、防御模式上,從從公私合作到平臺體系化集體協作防御
在過去幾年中,美國舊的公私合作網絡防御模式已不足以應對網絡威脅的規模和速度。盡管美國統一建設了能力較強的網絡層和端點層體系化防御手段,聯邦向私營企業共享網絡安全威脅信息在理論上連接了雙方的防御技術體系,但聯邦和私營企業間界限清晰、涇渭分明,私營關基企業主要依靠自身技術體系進行防御,聯邦和私營企業在技術體系上未能形成合力。2021 年 8 月,聯合網絡防御協作中心(JCDC)建立,通過將 FBI、NSA 和美國網絡司令部等政府合作伙伴與私營部門合作伙伴聯合起來,開發了一個新平臺,從而大規模降低國家風險和關鍵基礎設施網絡安全。重要的是,這種模式不僅僅在于 CISA 受益,JCDC 之所以獨一無二,正是因為它不僅在名稱和意圖上而且在執行上都是“協作“,還有 JCDC 只有通過每個參與組織的共同貢獻才能取得成功,這帶來了獨特的能力、專業知識和創新。CISA 將 JCDC 擴大到包括工業控制系統 (ICS) 行業專家,并歡迎專題綜述新的合作伙伴,從安全供應商到集成商再到分銷商。JCDC-ICS 為整體 ICS/運營技術 (OT) 工作增添了新的專業知識和洞察力,正在 JCDC 現有平臺的基礎上,圍繞控制系統的保護和防御制定計劃;向美國政府提供有關ICS/OT 網絡安全的指導,并為 ICS/OT 領域的私營和公共合作伙伴之間的實時運營融合做出貢獻。JCDC 今年將繼續發展這種伙伴關系模式,以便能夠實現更大的共同態勢感知、信息融合和分析,使公共和私人合作伙伴能夠采取協調行動并最有效地保護職能和服務。
3、技術理念上,網絡防御從傳統的邊界防御到零信任架構的落地
根據 2022 年 9 月提交給國會的 2021 財年 FISMA 報告,可以發現,隨著聯邦政府從基于邊界的防御系統轉向采用零信任架構,單純從互聯網出口來識別針對聯邦政府的入侵和威脅是遠遠不夠。同時,EDR 功能開始與NCPS 集成,以使聯邦政府網絡防御者能夠自動化某些保護,并在惡意活動橫向進入敏感的聯邦系統之前被快速檢測和阻止。當前,“零信任”提出數年有余,美國政府作為該理念的主推者,已經實現從概念論證到落地實施的轉換。2022 年初,美國政府部門連發兩份政策文件,分別是《關于改善國家安全、國防部和情報界系統網絡安全的備忘錄》和《推動美國政府走向零信任網絡安全原則備忘錄》,規劃各部門實施零信任的時間表和路線圖;2022 年底,美國防部發布《國防部零信任戰略》及《國防部零信任能力實施路線圖》,正式進入部署實施階段;包括雷神、博思艾倫等企業已針對不同場景推出零信任解決方案,直接服務于美政府和軍方部門。2023 年 4 月,CISA 發布《零信任成熟度模型》第二版,旨在通過跨網絡檢查點持續驗證用戶憑證,借此防止對政府數據及服務的未經授權或危險訪問。對跨多個關鍵支柱(包括身份、網絡、工作負載及數據等)的聯邦機構實施指南進行了更新,同時更新了政府范圍內采用零信任安全架構的關鍵定義和指標。這套模型是聯邦機構在設計并實施零信任架構時可以采取的幾種途徑之一。
當前,隨著時間推移,網絡安全戰略升級,安全技術革新,美國政府一定還在開發更先進的系統來強化其網絡空間的安全防御能力體系建設乃至攻擊能力體系建設。CISA 提出的 CADS 計劃只是眾多新計劃中的一個,關于 CISA 如何實現新 CADS 計劃的詳細信息尚未公開,我們要緊跟項目相關進展并進行分析。我國要堅持積極防御、超前防御的理念,加強戰略威懾,加快探索建設網絡防御新項目,建設強大的網絡空間攻防能力,維護我國關鍵基礎設施網絡安全及國家網絡安全。(全文完)
