Эйнштейн (программа US-CERT) - Einstein (US-CERT program)

ЭЙНШТЕЙН
Разработчики)US-CERT
изначальный выпуск2004
Типсетевая безопасность и компьютерная безопасность
Интернет сайтАналитические инструменты и программы в US-CERT для государственных пользователей

ЭЙНШТЕЙН (также известный как Программа EINSTEIN) изначально был Система обнаружения вторжений который контролирует сетевые шлюзы государственные ведомства и агентства в Соединенные Штаты за несанкционированный трафик. Программное обеспечение было разработано Группа готовности к компьютерным чрезвычайным ситуациям США (US-CERT),[1] который является оперативным подразделением Управление национальной кибербезопасности[2] (NCSD) Министерство внутренней безопасности США (DHS).[3] Программа изначально была разработана для обеспечения "Осведомленность о ситуации "для гражданских агентств. В то время как первая версия проверяла сетевой трафик, а последующие версии проверяли контент,[4] текущая версия EINSTEIN значительно более продвинута.

Мандат

обложка буклета в красно-белую и синюю полоску
Национальная стратегия защиты киберпространства (Февраль 2003 г.) представлен новый уровень кабинета Министерство внутренней безопасности США в качестве ведущего агентства, защищающего ЭТО.[5]

EINSTEIN - продукт действий Конгресса и президента США в начале 2000-х годов, включая Закон об электронном правительстве 2002 г. который был направлен на улучшение государственных услуг США в Интернете.

Итак, откуда взялось название EINSTEIN? Во время первоначального формирования программы она называлась SAP, что расшифровывалось как Программа ситуационной осведомленности. К сожалению, SAP - не лучший акроним для правительственной программы кибербезопасности, и нужно было изменить это на что-то другое. В офисе Роба Пейта в здании GSA Building в Вашингтоне, округ Колумбия, на 7-й и D-стрит (первоначальные офисы как FedCIRC, так и недавно созданного US-CERT) висел плакат с изображением Альберта Эйнштейна. Команда искала новое имя, и решение использовать имя EINSTEIN было принято Робом Пейтом, Шоном Макаллистером и Майком Виттом.

Мандат EINSTEIN возник в Закон о внутренней безопасности и Федеральный закон об управлении информационной безопасностью, как в 2002 году, так и Министерство внутренней безопасности Президентская директива (HSPD) 7,[1] который был выпущен 17 декабря 2003 г.[6]

Федеральная служба реагирования на компьютерные инциденты (FedCIRC) была одним из четырех центров наблюдения, которые защищали федеральные информационные технологии.[7] когда Закон об электронном правительстве 2002 года назначил его главным центром реагирования на инциденты.[8] Компания US-CERT, в основе которой лежит FedCIRC, была создана в 2003 году как партнерство между недавно созданным DHS и Координационный центр CERT который находится в Университет Карнеги Меллон и финансируется Министерство обороны США.[7] US-CERT предоставил EINSTEIN в соответствии с законодательными и административными требованиями, которые DHS помогает защитить федеральные компьютерные сети и предоставление основных государственных услуг.[1] EINSTEIN был внедрен, чтобы определить, подвергалось ли правительство кибератаке. EINSTEIN добился этого, собирая данные о потоках от всех гражданских агентств и сравнивая эти данные о потоках с исходными данными.

  1. Если одно агентство сообщило о киберсобытии, 24/7 Watch в US-CERT могло бы просмотреть данные о входящем потоке и помочь в разрешении.
  2. Если одно агентство подверглось атаке, US-CERT Watch мог бы быстро просмотреть каналы других агентств, чтобы определить, было ли оно повсеместным или изолированным.

20 ноября 2007 г. "в соответствии с" Управление управления и бюджета (OMB) памятка,[9] EINSTEIN версии 2 требовался для всех федеральные агентства, за исключением Министерства обороны и Разведывательное сообщество США агентства в исполнительная власть.[10]

Принятие

EINSTEIN был запущен в 2004 г.[1] и до 2008 года был добровольным.[11] К 2005 г. участвовали три федеральных агентства, и было выделено финансирование для шести дополнительных развертываний. К декабрю 2006 года в EINSTEIN приняли участие восемь агентств, а к 2007 году DHS приняло программу на уровне всего департамента.[12] К 2008 году число сотрудников EINSTEIN составляло пятнадцать.[13] из почти шестисот агентств, департаментов и веб-ресурсов правительства США.[14]

Функции

На момент создания EINSTEIN представлял собой «автоматизированный процесс для сбора, сопоставления, анализа и обмена информацией о компьютерной безопасности в федеральном гражданском правительстве».[1] EINSTEIN не защищает сетевую инфраструктуру частного сектора.[15] Как было описано в 2004 году, его цель состоит в том, чтобы «облегчить выявление киберугроз и атак и реагирование на них, повысить безопасность сети, повысить отказоустойчивость критически важных государственных услуг, предоставляемых в электронном виде, и повысить выживаемость Интернета».[1]

EINSTEIN был разработан для устранения шести общих недостатков безопасности.[1] которые были собраны из отчетов федерального агентства и идентифицированы OMB в его отчете за 2001 год Конгрессу США или ранее.[16] Кроме того, программа обращается к обнаружению компьютерные черви, аномалии во входящем и исходящем трафике, управление конфигурацией, а также анализ тенденций в реальном времени, который US-CERT предлагает департаментам и агентствам США по «работоспособности домена Federal.gov».[1] EINSTEIN был разработан, чтобы собирать сессия данные, включая:[1]

US-CERT может запросить дополнительную информацию, чтобы найти причину аномалий, обнаруженных EINSTEIN. Затем результаты анализа US-CERT передаются в агентство на рассмотрение.[1]

ЭЙНШТЕЙН 2

Во время EINSTEIN 1 было установлено, что гражданские агентства не знали полностью, что включает в себя их зарегистрированное пространство IPv4. Очевидно, это было проблемой безопасности. Как только пространство IPv4 Агентства было проверено, сразу стало ясно, что Агентство имеет больше внешних подключений к Интернету или шлюзов, чем можно было бы разумно оснастить и защитить. Это привело к появлению инициативы TIC (TIC, Trusted Internet Connections), разработанной OMB. DHS пытается устранить три ограничения для EINSTEIN: большое количество точек доступа к агентствам США, небольшое количество участвующих агентств и "ретроспективный взгляд" программы. архитектура".[17] Инициатива OMB "Надежные подключения к Интернету"[9] ожидалось, что к июню 2008 года количество государственных точек доступа сократится до 50 или меньше.[18][19] После того, как агентства сократили количество точек доступа более чем на 60% и запросили больше, чем было запланировано, OMB изменило свою цель на вторую половину 2009 года с количеством, которое предстоит определить.[19] Новая версия EINSTEIN была запланирована для «сбора данных о потоках сетевого трафика в режиме реального времени, а также для анализа содержимого некоторых сообщений в поисках вредоносного кода, например, во вложениях электронной почты».[20] Известно, что расширение является одной из как минимум девяти мер по защите федеральных сетей.[21]

Новая версия, получившая название EINSTEIN 2, будет иметь «систему для автоматического обнаружения вредоносной сетевой активности и создания предупреждений при ее запуске».[22] EINSTEIN 2 будет использовать «минимальное количество» заранее определенных сигнатур атак, поступающих из внутренних, коммерческих и общедоступных источников. Датчик EINSTEIN 2 контролирует точку доступа к Интернету каждого участвующего агентства, "не строго ... ограничиваясь" надежными подключениями к Интернету, используя как коммерческое, так и разработанное государством программное обеспечение.[23] EINSTEIN можно улучшить, чтобы создать систему раннего предупреждения для прогнозирования вторжений.[17]

US-CERT может передавать информацию EINSTEIN 2 «федеральным органам исполнительной власти» в соответствии с «письменными стандартными операционными процедурами» и только «в краткой форме». Поскольку US-CERT не имеет разведывательной или правоохранительной миссии, он будет уведомлять и предоставлять контактную информацию «правоохранительным, разведывательным и другим ведомствам», когда происходит событие, за которое они несут ответственность.[23]

ЭЙНШТЕЙН 3

Версия 3.0 EINSTEIN обсуждалась для предотвращения атак путем «отстрела атаки до того, как она поразит цель».[24]АНБ готовится начать программу, известную как «EINSTEIN 3», которая будет отслеживать «правительственный компьютерный трафик на сайтах частного сектора». (AT&T считается первым сайтом частного сектора.) План программы, который был разработан при администрации Буша, является спорным, учитывая историю АНБ и скандал с необоснованным прослушиванием телефонных разговоров. Многие официальные лица DHS опасаются, что программа не должна продвигаться вперед из-за «неуверенности в том, можно ли защитить личные данные от несанкционированной проверки».[25]Некоторые считают, что программа будет слишком сильно нарушать частную жизнь людей.[26]

Конфиденциальность

скриншот буклета PDF с печатью и тиснением
Оценка воздействия на конфиденциальность для EINSTEIN версии 2 подробно описывает программу.[23]

В оценке воздействия на конфиденциальность (PIA) EINSTEIN 2, опубликованной в 2008 году, DHS направило общее уведомление людям, использующим федеральные сети США.[23] DHS предполагает, что пользователи Интернета не ожидают конфиденциальности в адресах «Кому» и «От» своей электронной почты или в «IP-адресах веб-сайтов, которые они посещают», потому что их поставщики услуг используют эту информацию для маршрутизации. DHS также предполагает, что люди имеют хотя бы базовое представление о том, как компьютеры общаются, и знают пределы своих прав на конфиденциальность, когда они выбирают доступ к федеральным сетям.[23] В Закон о конфиденциальности 1974 г. не применяется к данным EINSTEIN 2, потому что его система записей обычно не содержит личной информации и поэтому не индексируется или не запрашивается по именам отдельных лиц.[23] PIA для первой версии также доступен с 2004 года.[1]

DHS запрашивает одобрение графика хранения EINSTEIN 2, в котором записи о потоках, предупреждения и определенный сетевой трафик, связанный с предупреждением, могут храниться до трех лет, и если, например, в случае ложного предупреждения, данные считаются не связанный или потенциально собранный по ошибке, его можно удалить.[23]Согласно оценке конфиденциальности DHS для круглосуточного центра обработки и реагирования на инциденты US-CERT в 2007 году, данные US-CERT предоставляются только тем авторизованным пользователям, которым «необходимы эти данные для бизнеса и безопасности», включая аналитиков безопасности, системных администраторов и некоторые подрядчики DHS. Данные об инцидентах и ​​контактная информация никогда не передаются за пределы US-CERT, и контактная информация не анализируется. Чтобы обезопасить свои данные, центр US-CERT начал процесс сертификации и аккредитации DHS в мае 2006 года и должен был завершить его к первому кварталу 2007 финансового года. По состоянию на март 2007 года у центра не было графика хранения, утвержденного Национальное управление архивов и документации и до тех пор, пока это не произойдет, у него нет «графика утилизации» - его «записи должны считаться постоянными, и ничто не может быть удалено».[27] По состоянию на апрель 2013 года у DHS все еще не было графика хранения, но он работал «с менеджером документации NPPD над разработкой графиков удаления».[28] Обновление было выпущено в мае 2016 года.[29]

Смотрите также

Примечания

  1. ^ а б c d е ж грамм час я j k US-CERT (сентябрь 2004 г.). «Оценка воздействия на конфиденциальность: программа EINSTEIN» (PDF). Министерство внутренней безопасности США, Отдел национальной кибербезопасности. Получено 2008-05-13.
  2. ^ «О US-CERT». Министерство внутренней безопасности США. Архивировано из оригинал на 2008-05-25. Получено 2008-05-18.
  3. ^ Миллер, Джейсон (21 мая 2007 г.). «Эйнштейн следит за агентскими сетями». Федеральная компьютерная неделя. 1105 Media, Inc. Архивировано с оригинал 19 декабря 2007 г.. Получено 2008-05-13.
  4. ^ Либерман, Джо и Сьюзан Коллинз (2 мая 2008 г.). «Либерман и Коллинз активизируют проверку инициативы по кибербезопасности». Комитет Сената США по внутренней безопасности и делам правительства. Архивировано из оригинал 12 января 2009 г.. Получено 2008-05-14.
  5. ^ «Национальная стратегия защиты киберпространства» (PDF). Правительство США через Министерство внутренней безопасности. Февраль 2003. с. 16. Архивировано из оригинал (PDF) на 2008-02-12. Получено 2008-05-18.
  6. ^ Буш, Джордж У. (17 декабря 2003 г.). "Директива президента о национальной безопасности / Hspd-7" (Пресс-релиз). Офис пресс-секретаря через whitehouse.gov. Получено 2008-05-18.
  7. ^ а б Гейл Репшер Эмери и Уилсон П. Дизард III (15 сентября 2003 г.). «Homeland Security представляет новую команду по ИТ-безопасности». Государственные компьютерные новости. 1105 Media, Inc. Архивировано с оригинал 23 января 2013 г.. Получено 2008-05-16.
  8. ^ «Об электронном правительстве: Закон об электронном правительстве 2002 г.». Управление управления и бюджета США. Получено 2008-05-16.
  9. ^ а б Джонсон, Клей III (20 ноября 2007 г.). «Внедрение надежных подключений к Интернету (TIC), Меморандум для руководителей исполнительных департаментов и агентств (M-08-05)» (PDF). Управление управления и бюджета. Получено 2010-10-18.
  10. ^ US-CERT (19 мая 2008 г.). «Оценка воздействия на конфиденциальность для EINSTEIN 2» (PDF). Министерство внутренней безопасности США. п. 4. Получено 2008-06-12.
  11. ^ Виджаян, Джайкумар (29 февраля 2008 г.). «Вопросы и ответы: Эванс говорит, что федералы продвигаются вперед по плану кибербезопасности, но с учетом конфиденциальности». Computerworld. IDG. Архивировано из оригинал 2 мая 2008 г.. Получено 2008-05-13.
  12. ^ Офис генерального инспектора (июнь 2007 г.). «Проблемы сохраняются в защите кибер-инфраструктуры страны» (PDF). Министерство внутренней безопасности США. п. 12. Архивировано из оригинал (PDF) на 2008-05-15. Получено 2008-05-18.
  13. ^ "Информационный бюллетень: Прогресс и приоритеты пятилетней годовщины Министерства внутренней безопасности США" (Пресс-релиз). Министерство внутренней безопасности США. 6 марта 2008 г. Архивировано с оригинал 14 мая 2008 г.. Получено 2008-05-18.
  14. ^ Помимо 106 объявлений для "Веб-сайт" или "Домашняя страница", 486 объявлений появляются в «Индекс от А до Я правительственных ведомств и агентств США». Управление общих служб США. Получено 2008-05-18.
  15. ^ Накашима, Эллен (26 января 2008 г.). "Приказ Буша расширяет мониторинг сети: разведывательные агентства отслеживают вторжения". Вашингтон Пост. The Washington Post Company. Получено 2008-05-18.
  16. ^ Офис управления и бюджета (без даты). «Отчет Конгрессу за 2001 финансовый год о реформе информационной безопасности федерального правительства» (PDF). Управление информации и регулирования. п. 11. Получено 2008-05-14.
  17. ^ а б "Выступление министра внутренней безопасности Майкла Чертоффа на конференции RSA 2008 г." (Пресс-релиз). Министерство внутренней безопасности США. 8 апреля 2008 г. Архивировано с оригинал 14 мая 2008 г.. Получено 2008-05-13.
  18. ^ Виджаян, Джайкумар (28 февраля 2008 г.). «Федеральные резервы преуменьшают опасения по поводу конфиденциальности в плане расширения мониторинга государственных сетей». Computerworld. IDG. Архивировано из оригинал 16 февраля 2009 г.. Получено 2008-05-13.
  19. ^ а б Москера, Мэри (10 июля 2008 г.). «OMB: агентства должны избавиться от дополнительных шлюзов». Федеральная компьютерная неделя. Media, Inc. Архивировано с оригинал 13 июля 2008 г.. Получено 2008-07-10.
  20. ^ Уотерман, Шон (8 марта 2008 г.). «Анализ: Эйнштейн и кибербезопасность США». United Press International. Получено 2008-05-13.
  21. ^ «Информационный бюллетень: защита наших федеральных сетей от кибератак» (Пресс-релиз). Министерство внутренней безопасности США. 8 апреля 2008 г. Архивировано с оригинал 14 мая 2008 г.. Получено 2008-05-13.
  22. ^ "E P I C A l e r t". 15 (11). Электронный информационный центр конфиденциальности. 30 мая 2008 г.. Получено 2008-06-13. Цитировать журнал требует | журнал = (помощь)
  23. ^ а б c d е ж грамм US-CERT (19 мая 2008 г.). «Оценка воздействия на конфиденциальность для EINSTEIN 2» (PDF). Министерство внутренней безопасности США. Получено 2008-06-12.
  24. ^ «Национальная безопасность стремится к системе кибернетического противодействия». CNN. Радиовещательная система Тернера. 4 октября 2008 г.. Получено 2008-10-07.
  25. ^ Накашима, Эллен (3 июля 2009 г.). «План кибербезопасности DHS будет включать в себя АНБ и телекоммуникационные компании». Вашингтон Пост. Получено 2010-05-01.
  26. ^ Радак, Джесселин (14 июля 2009 г.). «Cyber ​​Overkill от АНБ: проект по защите правительственных компьютеров, которым управляет АНБ, представляет собой слишком большую угрозу для конфиденциальности американцев». Лос-Анджелес Таймс.
  27. ^ «Оценка воздействия на конфиденциальность для круглосуточного центра обработки и реагирования на инциденты» (PDF). Министерство внутренней безопасности США. 29 марта 2007 г.. Получено 2008-05-14.
  28. ^ «Оценка воздействия на конфиденциальность для EINSTEIN 3 - ускоренная (E3A)» (PDF). Министерство внутренней безопасности США. 19 апреля 2013 г.. Получено 2013-12-29.
  29. ^ «Обновление оценки воздействия на конфиденциальность для EINSTEIN 3 - Accelerated (E3A)» (PDF). Получено 2016-08-17.

внешняя ссылка