位于弗吉尼亞州阿靈頓的國(guó)家網(wǎng)絡(luò)安全與通信集成中心

根據(jù)一項(xiàng)由聯(lián)邦審訂機(jī)構(gòu)發(fā)布的秘密調(diào)查，這套防火墻方案由國(guó)土安全部負(fù)責(zé)運(yùn)行，旨在檢測(cè)并防止國(guó)家支持型黑客行為對(duì)美國(guó)政府職能進(jìn)行侵?jǐn)_。

愛因斯坦計(jì)劃（下面簡(jiǎn)稱：EINSTEIN）利用攻擊模式（或者稱之為‘簽名’）以審查可疑流量，但在實(shí)際運(yùn)行當(dāng)中，高達(dá)94%的常規(guī)已知安全漏洞或者包含在網(wǎng)絡(luò)流量中的惡意內(nèi)容都未被正確識(shí)別出來(lái)（詳細(xì)報(bào)告為PDF格式，在E安全微信公眾號(hào)回復(fù) GAO2016即可下載）。

而這兩項(xiàng)缺陷還僅僅是此次“只限政府內(nèi)部傳閱”之政府問責(zé)辦公室（簡(jiǎn)稱GAO）報(bào)告披露的眾多問題中的一小部分。除此之外，該系統(tǒng)的預(yù)防功能僅在23個(gè)主要非防御機(jī)構(gòu)中的5個(gè)得到切實(shí)部署。

2015年11月國(guó)會(huì)議員對(duì)EINSTEIN（現(xiàn)其正式名為國(guó)家網(wǎng)絡(luò)安全保護(hù)系統(tǒng)，或者簡(jiǎn)稱NCPS）進(jìn)行了保密審計(jì)，并證明這套黑客監(jiān)控系統(tǒng)尚未準(zhǔn)備好進(jìn)行政府環(huán)境部署。

而此次最新發(fā)布的審計(jì)結(jié)論亦證實(shí)了這些觀點(diǎn)，并指出這個(gè)耗資高達(dá)60億次美元的防火墻開發(fā)項(xiàng)目存在大量未能實(shí)現(xiàn)的目標(biāo)，且尚無(wú)法有力打擊黑客活動(dòng)，審計(jì)人員表示。

“在NCPS的既定功能得到全面開發(fā)之前，國(guó)土安全部將不會(huì)允許其被部署至聯(lián)邦政府機(jī)構(gòu)以提供與網(wǎng)絡(luò)安全相關(guān)的、行之有效的技術(shù)支持，”GAO信息安全問題主管Gregory C. Wilshusen與GAO技術(shù)與工程中心主管Nabajyoti Barkakati在于近期發(fā)布的審計(jì)報(bào)告當(dāng)中表示。

審計(jì)人員此次研究目標(biāo)主要針對(duì)能源部、退伍軍人事務(wù)部、總務(wù)管理局、國(guó)家科學(xué)基金會(huì)與美國(guó)核管理委員會(huì)。

無(wú)法應(yīng)對(duì)來(lái)自民族國(guó)家的“高級(jí)持續(xù)性威脅”

“這套系統(tǒng)的總體目標(biāo)在于保護(hù)政府免受民族國(guó)家發(fā)起的威脅活動(dòng)，”本次審計(jì)報(bào)告指出，然而EINSTEIN并不能切實(shí)應(yīng)對(duì)此類所謂高級(jí)持續(xù)性威脅。

此類攻擊活動(dòng)屬于外國(guó)敵對(duì)方所采取的常見戰(zhàn)術(shù)，其中擁有大量資源可供調(diào)配的黑客集團(tuán)會(huì)在目標(biāo)系統(tǒng)中建立一個(gè)立足點(diǎn)，并潛伏長(zhǎng)達(dá)數(shù)個(gè)月直到找到執(zhí)行破壞目標(biāo)的機(jī)會(huì)。

EINSTEIN“并不具備入侵檢測(cè)功能，這意味著其無(wú)法充分解決我們審查的各類高級(jí)持續(xù)性威脅，”報(bào)告作者表示。

在對(duì)報(bào)告草稿做出回應(yīng)時(shí)，國(guó)土安全部官員表示EINSTEIN只是各部門用于保護(hù)其敏感數(shù)據(jù)的眾多技術(shù)方案之一。其職責(zé)在于幫助個(gè)別機(jī)關(guān)保障IT與數(shù)據(jù)安全，而國(guó)土安全部的任務(wù)則僅限于提供基礎(chǔ)性保護(hù)以及涵蓋政府層面的宏觀安全控制視角，他們解釋稱。

EINSTEIN在運(yùn)作當(dāng)中會(huì)將大量已知攻擊模式簽名推送至228個(gè)入侵檢測(cè)傳感裝置當(dāng)中，而這些傳感器則分布于整套美國(guó)聯(lián)邦.gov網(wǎng)絡(luò)體系。這些傳感器負(fù)責(zé)對(duì)各機(jī)構(gòu)網(wǎng)絡(luò)流量進(jìn)行模式分析，并審查其是否與已知簽名相符合。

EINSTEIN無(wú)法識(shí)別多種常見安全漏洞

不過這些簽名“并不能解決由各類常見安全漏洞所引發(fā)的攻擊威脅，因此其實(shí)際效果非常有限，”審計(jì)人員們指出。

EINSTEIN的質(zhì)量取決于其選用的漏洞簽名的質(zhì)量。

“不過，用于支持NCPS入侵檢測(cè)功能的簽名只能夠識(shí)別出一部分與常用應(yīng)用軟件相關(guān)聯(lián)的漏洞，”報(bào)告作者寫道。

在此次進(jìn)行審查的五款消費(fèi)級(jí)應(yīng)用程序——Adobe Acrobat、Flash、IE、Java以及微軟Office——當(dāng)中，該系統(tǒng)在某種程度上只能檢測(cè)出全部已知安全漏洞中的6%。具體來(lái)講，只識(shí)別出了489個(gè)已知安全漏洞中的29個(gè)。

之所以產(chǎn)生如此嚴(yán)重的盲區(qū)，根據(jù)審計(jì)人員們的分析，是因?yàn)镋INSTEIN并沒有與由國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所負(fù)責(zé)維護(hù)的標(biāo)準(zhǔn)國(guó)家安全漏洞數(shù)據(jù)庫(kù)進(jìn)行同步。

國(guó)土安全部官方表示，他們?cè)谧畛蹰_發(fā)EINSTEIN時(shí)并沒有收到將其簽名庫(kù)同安全漏洞數(shù)據(jù)庫(kù)進(jìn)行同步的要求。國(guó)土安全部“承認(rèn)這方面存在不足”，并計(jì)劃未來(lái)對(duì)此加以解決，審計(jì)報(bào)告提到。

在正式“公布”之前，無(wú)法對(duì)未知零日漏洞進(jìn)行識(shí)別

在本次人事管理辦公室遭遇黑客入侵之后的背景調(diào)查工作當(dāng)中，國(guó)土安全部方面承認(rèn)EINSTEIN無(wú)法處理其中涉及的惡意軟件。據(jù)稱此次黑客活動(dòng)由中國(guó)所支持，且攻擊執(zhí)行者使用的是尚未被正式發(fā)現(xiàn)、因此根本不可能存在相關(guān)“簽名”的零日漏洞。

“在零日漏洞利用方面，”國(guó)土安全部官方指出，“尚沒有辦法在其被正式公布前加以識(shí)別，”報(bào)告指出。一旦零日漏洞遭到披露，國(guó)土安全部可以馬上根據(jù)其攻擊模式建立簽名并將其導(dǎo)入至EINSTEIN當(dāng)中。

有時(shí)候，情報(bào)界的各合作伙伴會(huì)在零日漏洞被公開披露之前向美國(guó)國(guó)土安全部提供消息，而其實(shí)際利用方式通常以惡意軟件為載體，審計(jì)報(bào)告表示。國(guó)土安全部官員則向?qū)徲?jì)人員們坦言，他們并不會(huì)為零日漏洞情報(bào)支付報(bào)酬。

EINSTEIN能夠以近實(shí)時(shí)方式在特定數(shù)據(jù)流內(nèi)實(shí)現(xiàn)入侵預(yù)防。然而，該系統(tǒng)仍有相當(dāng)一部分網(wǎng)絡(luò)流量無(wú)法確切把握。舉例來(lái)說(shuō)，該系統(tǒng)能夠阻斷惡意“域名系統(tǒng)”服務(wù)器并實(shí)現(xiàn)電子郵件過濾，但“還存在著其它一些網(wǎng)絡(luò)流量類型（例如web內(nèi)容），其同樣屬于常見的攻擊向量但卻無(wú)法被作為潛在惡意內(nèi)容進(jìn)行分析，”審計(jì)人員們解釋稱。

信息共享往往是種浪費(fèi)

國(guó)土安全部正在努力克服重重障礙，而正是這些障礙導(dǎo)致目前23個(gè)政府機(jī)構(gòu)中只有5個(gè)部署了EINSTEIN系統(tǒng)，GAO官員表示。這是因?yàn)楦鳈C(jī)構(gòu)的IT基礎(chǔ)設(shè)施有所區(qū)別，EINSTEIN要想接入其業(yè)務(wù)流程，必須適應(yīng)其具體配置。除此之外，并非所有機(jī)構(gòu)都符合正確執(zhí)行EINSTEIN的安全規(guī)范?？傮w來(lái)講，各機(jī)構(gòu)都在關(guān)注電子郵件等關(guān)鍵性應(yīng)用程序的正常運(yùn)作。

信息共享屬于EINSTEIN高度關(guān)注的另一項(xiàng)目標(biāo)，此次審計(jì)報(bào)告表示。

“國(guó)土安全部與其它各機(jī)構(gòu)間的信息共享機(jī)制并不一定能夠起效，各方在關(guān)于通信發(fā)送與接收乃至具體使用等層面存在分歧，”GAO審計(jì)人員們解釋道。

根據(jù)國(guó)土安全部提供的2014財(cái)年內(nèi)發(fā)出的總體通知數(shù)量來(lái)看，高達(dá)24%的通知內(nèi)容根本未被各受審查機(jī)構(gòu)所收到。而成功送達(dá)的相當(dāng)一部分信息對(duì)于IT人員來(lái)說(shuō)亦毫無(wú)價(jià)值，審計(jì)報(bào)告強(qiáng)調(diào)稱。在56條成功送抵的通知當(dāng)中，有31條具備時(shí)效性與實(shí)用性，其余的則屬于遲緩、無(wú)用或者干脆屬于誤報(bào)——甚至與入侵檢測(cè)毫無(wú)關(guān)系。

與此同時(shí)，國(guó)土安全部還制定出一系列與EINSTEIN相關(guān)的指標(biāo)。“從該系統(tǒng)功能中提取到的值根本得不到確切解釋，”審計(jì)人員指出。