美國國土安全部近年網絡空間安全領域主要項目梳理
前言
2021年5月18日,《美國創新與競爭法案》(United States Innovation and Competition Act of 2021)通過,由芯片和ORAN5G緊急撥款、《無盡前沿法案》、《2021戰略競爭法案》、國土安全和政府事務委員會相關條款、《2021迎接中國挑戰法案》和其他事項六部分構成。該法案進一步強化了《無盡前沿法案》提出的在科技領域贏得與中國的競爭的目標,提出了十大科技創新領域,其中包括網絡空間安全。基于此背景,編者梳理了美國防部、DARPA、國土安全部近年網絡空間安全領域的主要項目,以此厘清美在網絡空間安全領域的研發部署重點,供參閱。
在網絡安全領域,國土安全部承擔著對美國聯邦民事機構的物理及網絡關鍵基礎設施的安全保衛職責,近年來國土安全部在網絡態勢感知、移動通信網絡基礎設施安全、應急通訊網絡安全、利用人工智能促進安全的網絡基礎設施方面部署了一些典型計劃項目。
一 “愛因斯坦”項目(Einstein)
“愛因斯坦”計劃是美國國土安全部(DHS)下屬的計算機應急響應小組(US-CERT)開發的一個網絡安全自動監測項目,用于監測針對政府網絡的入侵行為,保護政府網絡系統安全。該項目始于2003年,于2009年并入美國政府的國家網絡空間安全計劃(CNCI),并改名為國家網絡空間安全保護系統(NCPS)。愛因斯坦計劃分為三個階段[1] ,主要聚焦四種能力,包括入侵檢測、入侵防御、數據分析和信息共享。
1.1項目階段
第一階段始于2003年,DHS開發愛因斯坦1(EINSTEIN1),即入侵監測系統,主要任務是監聽、分析、共享安全信息,主要特點是信息采集,技術本質是基于流量分析技術(DFI深度流檢測)對異常行為的檢測與總體趨勢進行分析,US-CERT通過采集、分析各聯邦政府機構的流量信息,進而獲悉網絡態勢。
第二階段是2008年,DHS實施愛因斯坦2(EINSTEIN2),該系統在原來對異常行為分析的基礎上,增加了對惡意行為的分析能力,本質上依然是入侵檢測系統(IDS)。愛因斯坦2的技術本質是IDS技術,對TCP/IP通訊的數據包進行深度包檢測(DPI),進而發現攻擊和入侵等惡意行為。
第三階段是2010年,DHS計劃設計與部署入侵防御系統愛因斯坦3(EINSTEIN3)來識別和阻止網絡攻擊,2012年DHS使用互聯網服務提供商(ISPs)的商業技術為聯邦政府機構提供入侵防御安全服務,被稱為愛因斯坦3加速(EINSTEIN3 Accelerated,E3A)
1.2技術能力
入侵檢測
NCPS的入侵檢測能力包括愛因斯坦1探針中基于Flow的檢測能力、愛因斯坦2和愛因斯坦3探針中基于特征的檢測能力,以及2015年啟動的基于機器學習的行為檢測能力(代號LRA)。NCPS的檢測能力不追求檢測所有攻擊和入侵,而重點關注APT類高級威脅,因而其檢測特征庫并不大,但很有針對性,并由美國國防部/國安局(DOD/NSA)提供部分特征信息。
入侵防御
NCPS的入侵防御能力是從愛因斯坦3A(簡稱E3A)階段開始的,主要包括4種能力:①惡意流量阻斷,即自動地對進出聯邦政府機構的惡意流量進行阻斷。這依靠ISP來實現,ISP部署了入侵防御和基于威脅的決策判定機制,并使用DHS開發的惡意網絡行為指標來進行惡意行為識別。②DNS阻斷,即DNS Sinkhole技術,用于阻止已經被植入政府網絡的惡意代碼與外部的惡意域名之間的通訊。③電子郵件過濾,即對所有發給政府網絡用戶的郵件進行掃描,識別含有惡意代碼的附件、惡意URL等,并將其過濾掉。④Web內容過濾(WCF),即阻斷可疑的web網站訪問、阻止web網站中惡意代碼的執行,阻斷web釣魚。
安全分析
入侵檢測和入侵防御構成了類似NCPS的前端系統,其后端核心是構建在大數據之上的安全分析能力,而這個分析結果的輸出就是網絡安全威脅態勢。NCPS的分析能力主要包括:安全信息與事件管理(SIEM)、數字媒體分析環境(Digital Media Analysis Environment)、高級惡意代碼分析中心(AMAC)、各種分析工具可視化工具等。
信息共享
信息共享是NCPS的核心能力,DHS構建起一個信息共享與協作環境(ISCE),使得其下屬國家網絡空間安全和通信集成中心(NCCIC)能夠按照不同的密級與合作伙伴快速交換網絡威脅和網絡事件信息,通過合作與協同以降低事件響應時間,通過自動化信息分享與披露以提升效率。NCPS的信息共享主要包括:自動指標共享(AIS)、指標管理平臺(IMP)、統一工作流、跨域解決方案(CDS)等。
二 “安全與彈性移動網絡基礎設施”計劃(SRMNI)
美國國土安全部(DHS)下屬的網絡安全和基礎設施安全局(CISA)負責整個聯邦政府的網絡安全工作,并承擔提高關鍵基礎設施安全性和網絡彈性,識別和解決國家關鍵機能的重大風險,提供無縫和安全的應急通信的職責。CISA致力于將利益攸關方串聯起來為決策提供信息,并推進創新和情報共享。CISA當前的五項工作重點包括:5G安全、選舉安全、軟目標安全、聯邦網絡安全和工業控制系統安全。
為支撐以上工作重點,CISA公開披露了“安全和彈性移動網絡基礎設施”(SRMNI)計劃,旨在提供準確、及時和有效的5G、移動安全研發解決方案,以支撐傳統和下一代移動通信網絡基礎設施安全。SRMNI還支持白宮發布的“5G安全國家戰略”和CISA的“5G戰略”。SRMNI計劃下包含9個分支項目:
2.1 SRMNI計劃分支項目[3]
“GoSecure and EchoPTT Pro:安全語音及因后端協議和無線攻擊引起的信息傳送威脅防范”項目(SecureVoice and Messaging Threat Mitigation from Backend Protocol andOver-the-Air-Attacks),160萬美元,由4K解決方案有限公司承擔。該項目將開發和完善兩種主要的安全語音通信軟件解決方案,包括GovSecure,一個集中管理的安全語音功能,適用于iOS和Android平臺;EchoPTT Pro,一個無服務器Push-To-Talk和語音會議互聯網語音協議應用程序。這兩種解決方案的結合,可與現有的基于Internet協議的語音系統和5G實現互操作,無需專門硬件或召回設備,快速完成集中管理、控制,此外,不需要受控的密碼項目存儲、保護或協議。
“5G網絡安全項目”(Fifth Generation Network Security),200萬美元,由Commdex有限公司承擔。該項目為5G設備、5G無線接入網、核心網、傳輸網架構開發和評估不同的端到端安全控制,包括分布式拒絕服務(DDoS)緩解、政府通信的端到端安全。探索開放的硬件/軟件和系統,以減輕來自高風險供應商、公共部門及5G優先服務共存應用程序的供應鏈威脅。該項目還將專門解決如何確保在5G基礎設施擁塞事件期間為緊急通信提供優先服務,并通過擁塞識別DDoS/大規模物聯網攻擊的解決方案。
“政府安全語音架構”項目(Government Secure Voice Architecture),110萬美元,由德州農工大學承擔,該項目旨在開發一個安全數據和語音網絡架構,支持安全的固定電話到固定電話、固定電話到移動電話、以及移動電話到移動電話的通信。
“通過氣隙硬件驗證和代碼執行跟蹤來保護移動核心網絡元件”項目(Protectingthe Mobile Core Network Elements Via Air-Gapped Hardware Verification and CodeExecution Tracking),140萬美元,由AetherArgus公司承擔,開發5G基礎設施組件的固件異常檢測系統,通過監測設備射頻發射情況檢測操作運行是否異常,保護傳統和5G移動核心網絡元件和物聯網設備免受框架軟件供應鏈攻擊,并檢測運行時的(軟件)利用。該系統的關鍵優勢之一是不需要在設備上安裝軟件,并且對經過審查的設備的監控是無損和帶外進行的。
“利用AWARE試驗臺部署蜂窩網絡防御系統”項目(DeployingDefenses for Cellular Networks Using the AWARE Testbed),170萬美元,由佛羅里達大學承擔,該項目將開發試驗臺原型解決方案,支持4G長期演進(LTE)功能的呼叫設備,包括安全距離綁定協議、針對核心長期演進協議優化的模糊基礎設施、設備鏈路位置測量和加密系統。
“移動網絡基礎設施的共生集成”項目(Symbiote Integration for Mobile Network Infrastructure),75萬美元,由紅氣球安全公司承擔。該項目將紅氣球公司專利的框架軟件加固和運行時保護技術Symbiote和Autotomic Binary Structure Randomization (ABSR)集成到移動網絡基礎設施的嵌入式設備中,以減少對廣泛的攻擊鏈的暴露,抵御移動網絡基礎設施固件攻擊,如緩沖區/堆溢出、涉及任何嵌入式設備或物聯網設備的rootkit攻擊、攻擊鏈。Symbiote是基于主機的直接注入固件二進制文件的防御,Symbiote與正常的設備執行并行運行,提供運行時保護以檢測攻擊并實時響應。ABSR通過自動攻擊面縮減以及二進制級別的內存和代碼隨機化提供固件加固。
“網絡威脅檢測和保護”項目(Threat Detection and Protection of Networks),120萬美元,由AdaptiveMobile安全公司承擔。該項目使用Adaptive Mobile公司開發的三管齊下的解決方案來防御跨協議/多協議威脅,包括信令防火墻、以安全為重點的高級分析算法、以及全球威脅情報服務,從而確保移動網絡邊界安全。該項目將解決組織在保護移動基礎設施時面臨的檢測、分析和響應規劃問題,對移動網絡基礎設施威脅進行優先排序和計劃響應。
“企業移動網絡流量可見性”項目(Mobile Network TrafficVisibility for the Enterprise)由GuidePoint安全有限公司承擔,該項目正在設計和實現一種解決方案,以實現聯邦民事行政機構管理的移動設備上的保護性域名系統(DNS)功能和服務提供。該項目強制將移動DNS流量路由到由CISA管理的保護性DNS解析器中,并將DNS流量歸屬于擁有它們的設備和機構。這種方法將減少對物理空間和額外硬件的需求以及成本。
“大規模移動流量智能”項目(Mobile Traffic Intelligence at Scale)由AppCensus公司承擔,該項目旨在增強移動設備上政府DNS流量的保護,以識別潛在的惡意軟件、攻擊或試圖通過設備提取敏感數據的行為。通過對移動DNS流量的控制,建立設備上的流量攔截和控制,使移動客戶端與CISA管理的受保護的DNS服務進行安全通信。此外,項目將探索用于控制加密DNS協議的解決方案,并研究用于驗證和保護iOS和安卓設備的設備DNS設置的解決方案。
三 應急通訊計劃
應急通訊計劃[4]旨在保護美國國家應急部門關鍵通信系統安全,包括以下 三項研發重點 :加強應急通信中心的網絡安全保護;創建更有效和可信的聯邦身份、認證和訪問管理功能;為計算機輔助調度系統制定互用性標準,以促進跨司法管轄區和響應方更有效地共享數據和信息。
“信息共享、保護和聯合身份、認證和訪問管理”項目(InformationSharing,Safeguarding, and Federated ICAM),由佐治亞理工學院應用研究公司承擔。該項目的目標是推進支持信任標志框架的一套關鍵開源軟件工具的成熟開發。促進公共安全實體實現聯邦身份、認證和訪問管理(ICAM)功能。允許以可靠、嚴格、靈活和可擴展的方式共享信息。
“CAD-to-CAD互操作性”項目(CAD-to-CADInteroperability),由IJIS研究所承擔。該項目將聯合公共安全從業人員、CAD解決方案供應商和標準開發組織,在協作的環境中促進需求和標準開發,并進行技術試點測試,以確保成功解決互操作性方面的挑戰。項目采用分階段的方法來減少風險,并通過基于步驟的共識構建來解決復雜的技術環境。提高響應人員的態勢感知能力,優化對事件的響應。
“創建具有網絡彈性的公共安全基礎設施”項目(CreatingA Cyber-Resilient Public Safety Infrastructure),由SecuLore解決方案有限公司承擔。該項目通過預測分析為應急通信中心/公共服務應答點提供網絡安全保護,以快速響應已識別的網絡攻擊。執行者通過分析2級網絡流量,使用長短期記憶遞歸神經網絡來識別某些類型的惡意流量。執行者的Guardian服務允許它暫時阻止非常特定的流量,等待PSAP員工的審查和補救。項目開發的應急通信中心網絡安全解決方案可以實現區分加密暴力攻擊的成功與失敗,并確保數據流量或吞吐量不會成為應急工作的阻礙。
四 人工智能與機器學習戰略計劃
2021年8月,DHS科學技術局發布《人工智能機器學習戰略計劃》[5] ,開展人工智能和機器學習(AI/ML)的研究、開發、測試和評估活動,以支持國土安全部的任務需求。AI/ML戰略計劃提出推動下一代AI/ML技術發展,實現跨領域的國土安全能力,并明確了三個優先研發領域。
4.1發展先進可靠的人工智能
主要研究并為可解釋的人工智能、隱私保護和反對抗性機器學習等問題提供可行的解決方案。
可解釋的人工智能
科學與技術局將通過投資、合作和知識共享,支持可解釋人工智能的研究。AI/ML的有效使用需要解釋系統如何工作,需要對如何有效地評估AI/ML系統進行技術研究,包括確保技術評估納入社會、行為和道德考慮,以及法律、政策和DHS的隱私要求。
隱私保護
許多AI/ML模型都經過大量數據的訓練和處理。隱私保護新方法的研究可確保數據的收集、使用、維護和傳播遵循隱私法律、法規和國土安全部政策,同時保持公眾信任。科學與技術局的研究將包括政策、業務規則和創新隱私增強如何最好地確保AI/ML功能的隱私,還將研究新的隱私增強和保護,以及如何訓練AI/ML模型以保護個人隱私的方式處理數據。
反對抗性機器學習
AI/ML在帶來巨大益處的同時也創造了獨特的攻擊載體。AI/ML模型植根于它的訓練數據,如果這些數據被泄露,人工智能/ML系統可能會以導致負面結果的方式被訓練。另一方面,AI/ML模型也可以被攻擊、竊取、欺騙或修改。研究反對抗性機器學習對于DHS開發可靠的人工智能至關重要。
4.2促進人機合作
主要研究AI/ML如何最有效地增強人類決策能力,優化人機交互并限制其弱點。
優化Human-in-the-Loop架構
考慮到DHS組件的敏感性以及AI/ML系統的脆弱性,構建充分發揮人類能力的系統,以獲得人類認知和計算處理的最佳效果。
支持用戶與異構體系結構之間的協作
傳感器和數據爆炸式增長,特別是隨著物聯網(IoT)和邊緣計算的出現,為DHS使用數據創造了新的機會。然而這些數據在不同的體系結構中存在,為充分利用數據,將研究開發能夠在不同架構上實時操作的AI/ML系統。
4.3利用AI/ML發展安全的網絡基礎設施
主要研究允許跨系統數據共享和處理的能力,有效管理AI/ML模型,以及實現威脅檢測和響應的AI/ML能力。
表征模型生命周期
研究并評估AI/ML模型的效果,以便提出建議,并告知利益攸關方如何在整個生命周期中有效管理AI/ML。
快速威脅檢測和響應
考慮到網絡威脅的出現、傳播和演進的速度,將研究、開發、測試和評估能夠實時識別和跟蹤新出現的網絡威脅的AI/ML能力。
實時和安全共享計算
對分析網絡威脅和保護網絡基礎設施至關重要的許多數據和系統都具有安全分類、PII或專有信息等敏感性。研究允許跨系統共享和處理數據的技術能力,同時確保經過授權的訪問和使用,并且不暴露敏感信息。
五 其他資源平臺
除專門的研發項目外,DHS下屬機構CISA為促進各機構間的情報共享,提升平時防御能力,建立開發了資源市場、防御協作中心等資源平臺,為聯邦機構、私營部門、州和地方政府提供“網絡安全工具箱”。
5.1“網絡質量服務管理市場”(Cyber QSMO)[6]
CyberQSMO市場是一個集成高質量、成本效益網絡安全服務的在線平臺,以幫助聯邦民用企業減少在采購和維護網絡安全中產生的時間和成本。除了CISA提供的解決方案外,Cyber QSMO 還與聯邦服務供應商合作,提供符合或超過政府標準和要求的額外網絡安全服務。主要服務包括:漏洞披露政策平臺(VDP),VDP平臺通過改進機構跟蹤、分析、報告、管理和交流潛在漏洞的方式,增強聯邦企業間的信息共享,使機構接收到可采取行動的漏洞信息,并與公眾合作,提高其互聯網訪問系統的安全性。安全運營服務,CISA與美國司法部合作,以網絡安全最佳實踐為基礎,為各機構提供情報主導、專家驅動、全天候威脅檢測和事件響應服務。提高網絡漏洞、事件發現和信息共享的可見性。保護DNS解析器服務,也稱DNS防火墻服務,中和網絡攻擊中使用的惡意DNS內容,使用先進的DNS技術和威脅情報來源,阻止政府查詢流量到達惡意域,并在發生事故時向機構內的安全組織發出警報。同時,CISA還會不定時發布報告、指南,為機構提供網絡安全工作指導。如聯邦機構應對勒索軟件的CISAInsight報告,以及MITRE ATT&CK 框架技術實踐指南等。
5.2網絡防御協作中心
2021年8月5月,CISA宣布成立“聯合網絡防御協作中心”(JCDC),旨在通過全面的網絡防御計劃與聯合演習方案,促進聯邦機構、私營部門、州和地方政府建立有效網絡防御合作,將“公私合作”轉化為“公私運營協同”。已有多家網絡公司加入中心建設工作,包括亞馬遜云科技、AT&T、Crowdstrike、FireEye Mandiant、谷歌Cloud、Lumen、微軟、帕洛阿爾托網絡和Verizon。[7]
(全文完)
參考文獻:
[1] https://www.cisa.gov/einstein
[2] FreeBuf《 “愛因斯坦”(EINSTEIN)計劃綜述》,https://cloud.tencent.com/developer/article/1040584
[3] CISA,Homeland Security,“Secure & Resilient Mobile Network Infrastructure & EmergencyComms Program R&D Guidebook”,2021.7.20, https://www.dhs.gov/sites/default/files/publications/21_0720_st_srmni_ec_rd_program_guidebook_final_508.pdf
[4] Ibid
[5] https://www.dhs.gov/publication/st-artificial-intelligence-and-machine-learning-strategic-plan
[6] CISA,“CYBER QSMO MARKETPLACE”,2021.7.16, https://www.cisa.gov/cyber-qsmo-marketplace.
[7]互聯網安全內參,“應對超大型網絡攻擊,美國將組建聯合網絡防御協作中心”,2021.8.6,https://www.secrss.com/articles/33263
