美国新任国土安全部长亚历杭德罗·马约卡斯(Alejandro Mayorkas)近期的日子不好过,他得尽快给国会一个说法——联邦政府的网络安全措施,为什么没能提前发现网管软件SolarWinds Orion引发的最大软件供应链投毒案。
在国会听证会上,马约卡斯表示,将对国土安全部下辖的各大网络安全计划进行全面审查,包括作为国家网络安全保护系统核心组成部分的爱因斯坦(Einstein)项目。
早在去年12月发现违规迹象之前,立法者们已经提出了警告,要求对原有网络防御项目做出调整。在最近的预算法案中,国会建议国土安全部及下辖的网络安全与基础设施安全局(CISA)向爱因斯坦项目引入更多安全功能。
爱因斯坦项目负责持续跟踪联邦政府网络的出入流量,帮助政府配合已知恶意病毒数据库及时发现各类威胁。但有分析人士指出,爱因斯坦恐怕很难发现SolarWinds Orion中植入的恶意软件。事实上,指望这类入侵检测系统解决未知或零日安全威胁,既不现实、也不经济。网络安全专家们强调,最靠谱的方向应该是不断引入新功能,充分运用私营企业的技术优势与支持服务。
增强国家网络安全委员会前执行董事Kiersten Todt对爱因斯坦的软弱无力直言不讳。她提到,“爱因斯坦项目几乎没什么拿得出手的战绩。对比之下,甚至SolarWinds的观测效果都比爱因斯坦更好。”
全球网络联盟总裁兼CEO Philip Reitinger表示,“SolarWinds违规事件之所以难以发现,是因为黑客已经对实际传播的恶意软件进行了「合法授权」。”
在这种情况下,防御系统要么拒绝所有未被明确列入白名单的通信流量、要么建立起能够识别各类异常状况以供调查人员深入研究的系统,否则根本无法检测到这类恶意软件。他补充道,“这些方法实施起来相当困难,而且会占用大量资源。”
政府协调委员会前副主席Michael Hamilton一直负责关键基础设施的保护工作。他认为,国土安全部应该通过不断引入新功能的方式改善爱因斯坦项目的实际表现。虽然拥有比较明确的功能划分,但Hamilton推测爱因斯坦项目已经相当陈旧(最初立项于2003年),因此恐怕根本无法基于用户日常行为模式建立起有效的异常检测基准。
Hamilton认为,“管理方不太可能彻底放弃爱因斯坦项目,从零开始另行构建。根据我的估算,整个项目的开发成本恐怕在60亿美元左右。”
对于上述意见,本文采访了一位CISA官员,但对方拒绝就此发表评论。
该官员表示,“爱因斯坦项目的入侵检测与防御功能,主要基于现有商业(COTS)入侵检测功能,配合CISA的网络威胁情报数据,检测并酌情阻止一切可疑的恶意网络活动。”
在Todt看来,无论国土安全部制定怎样的新功能或新计划,都应该更充分地发挥私营企业的作用。
她强调,“政府不应该、也没有能力独立实现安全保护。我认为爱因斯坦就是政府独自开发的结果。”
安全与技术研究院联合创始人兼主席Mike McNerney认为,爱因斯坦项目面临的另一大挑战,在于它很难应对政府机构向云环境的全面过渡。
“虽然爱因斯坦项目未来可能会继续在政府安全体系中发挥作用,但明显其他一些产品和技术更适合云计算需求。而在这种更全面的访问控制场景下,单纯基于网络的爱因斯坦将失去实际意义。”
除了听取Mayorkas的审查证言之外,白宫还在考虑如何收拾SolarWinds Orion事件留下的残局。在宣誓就职的几天之内,拜登马上命令新任国家情报总监Avril Haines对此次事件做出全面调查。
负责监督国土安全部工作的参议院委员会成员Maggie Hassan表示,拜登政府必须“从头开始全面审查此次事件的始末、为何很长一段时间未被发现,以及如何有针对性地加强联邦政府网络安全水平。”
原文链接:
https://fcw.com/articles/2021/02/01/einstein-rethink-supply-chain-hack.aspx
声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
