美國國土安全部60億美元防火牆不能防黑客

　　位於弗吉尼亞州阿靈頓的國家網路安全與通訊整合中心

根據一項由聯邦審訂機構釋出的祕密調查，這套防火牆方案由國土安全部負責執行，旨在檢測並防止國家支援型黑客行為對美國政府職能進行侵擾。

愛因斯坦計劃（下面簡稱：EINSTEIN）利用攻擊模式（或者稱之為‘簽名’）以審查可疑流量，但在實際執行當中，高達94%的常規已知安全漏洞或者包含在網路流量中的惡意內容都未被正確識別出來（詳細報告為PDF格式，在E安全微信公眾號回覆 GAO2016即可下載）。

而這兩項缺陷還僅僅是此次“只限政府內部傳閱”之政府問責辦公室（簡稱GAO）報告披露的眾多問題中的一小部分。除此之外，該系統的預防功能僅在23個主要非防禦機構中的5個得到切實部署。

2015年11月國會議員對EINSTEIN（現其正式名為國家網路安全保護系統，或者簡稱NCPS）進行了保密審計，並證明這套黑客監控系統尚未準備好進行政府環境部署。

而此次最新發布的審計結論亦證實了這些觀點，並指出這個耗資高達60億次美元的防火牆開發專案存在大量未能實現的目標，且尚無法有力打擊黑客活動，審計人員表示。

“在NCPS的既定功能得到全面開發之前，國土安全部將不會允許其被部署至聯邦政府機構以提供與網路安全相關的、行之有效的技術支援，”GAO資訊保安問題主管Gregory
C. Wilshusen與GAO技術與工程中心主管Nabajyoti Barkakati在於近期釋出的審計報告當中表示。

審計人員此次研究目標主要針對能源部、退伍軍人事務部、總務管理局、國家科學基金會與美國核管理委員會。

無法應對來自民族國家的“高階持續性威脅”

“這套系統的總體目標在於保護政府免受民族國家發起的威脅活動，”本次審計報告指出，然而EINSTEIN並不能切實應對此類所謂高階持續性威脅。

此類攻擊活動屬於外國敵對方所採取的常見戰術，其中擁有大量資源可供調配的黑客集團會在目標系統中建立一個立足點，並潛伏長達數個月直到找到執行破壞目標的機會。

EINSTEIN“並不具備入侵檢測功能，這意味著其無法充分解決我們審查的各類高階持續性威脅，”報告作者表示。

在對報告草稿做出回應時，國土安全部官員表示EINSTEIN只是各部門用於保護其敏感資料的眾多技術方案之一。其職責在於幫助個別機關保障IT與資料安全，而國土安全部的任務則僅限於提供基礎性保護以及涵蓋政府層面的巨集觀安全控制視角，他們解釋稱。

EINSTEIN在運作當中會將大量已知攻擊模式簽名推送至228個入侵檢測感測裝置當中，而這些感測器則分佈於整套美國聯邦.gov網路體系。這些感測器負責對各機構網路流量進行模式分析，並審查其是否與已知簽名相符合。

EINSTEIN無法識別多種常見安全漏洞

不過這些簽名“並不能解決由各類常見安全漏洞所引發的攻擊威脅，因此其實際效果非常有限，”審計人員們指出。

EINSTEIN的質量取決於其選用的漏洞簽名的質量。

“不過，用於支援NCPS入侵檢測功能的簽名只能夠識別出一部分與常用應用軟體相關聯的漏洞，”報告作者寫道。

在此次進行審查的五款消費級應用程式——Adobe Acrobat、Flash、IE、Java以及微軟Office——當中，該系統在某種程度上只能檢測出全部已知安全漏洞中的6%。具體來講，只識別出了489個已知安全漏洞中的29個。

之所以產生如此嚴重的盲區，根據審計人員們的分析，是因為EINSTEIN並沒有與由國家標準與技術研究所負責維護的標準國家安全漏洞資料庫進行同步。

國土安全部官方表示，他們在最初開發EINSTEIN時並沒有收到將其簽名庫同安全漏洞資料庫進行同步的要求。國土安全部“承認這方面存在不足”，並計劃未來對此加以解決，審計報告提到。

在正式“公佈”之前，無法對未知零日漏洞進行識別

在本次人事管理辦公室遭遇黑客入侵之後的背景調查工作當中，國土安全部方面承認EINSTEIN無法處理其中涉及的惡意軟體。據稱此次黑客活動由中國所支援，且攻擊執行者使用的是尚未被正式發現、因此根本不可能存在相關“簽名”的零日漏洞。

“在零日漏洞利用方面，”國土安全部官方指出，“尚沒有辦法在其被正式公佈前加以識別，”報告指出。一旦零日漏洞遭到披露，國土安全部可以馬上根據其攻擊模式建立簽名並將其匯入至EINSTEIN當中。

有時候，情報界的各合作伙伴會在零日漏洞被公開披露之前向美國國土安全部提供訊息，而其實際利用方式通常以惡意軟體為載體，審計報告表示。國土安全部官員則向審計人員們坦言，他們並不會為零日漏洞情報支付報酬。

EINSTEIN能夠以近實時方式在特定資料流內實現入侵預防。然而，該系統仍有相當一部分網路流量無法確切把握。舉例來說，該系統能夠阻斷惡意“域名系統”伺服器並實現電子郵件過濾，但“還存在著其它一些網路流量型別（例如web內容），其同樣屬於常見的攻擊向量但卻無法被作為潛在惡意內容進行分析，”審計人員們解釋稱。

資訊共享往往是種浪費

國土安全部正在努力克服重重障礙，而正是這些障礙導致目前23個政府機構中只有5個部署了EINSTEIN系統，GAO官員表示。這是因為各機構的IT基礎設施有所區別，EINSTEIN要想接入其業務流程，必須適應其具體配置。除此之外，並非所有機構都符合正確執行EINSTEIN的安全規範。總體來講，各機構都在關注電子郵件等關鍵性應用程式的正常運作。

資訊共享屬於EINSTEIN高度關注的另一專案標，此次審計報告表示。

“國土安全部與其它各機構間的資訊共享機制並不一定能夠起效，各方在關於通訊傳送與接收乃至具體使用等層面存在分歧，”GAO審計人員們解釋道。

根據國土安全部提供的2014財年內發出的總體通知數量來看，高達24%的通知內容根本未被各受審查機構所收到。而成功送達的相當一部分資訊對於IT人員來說亦毫無價值，審計報告強調稱。在56條成功送抵的通知當中，有31條具備時效性與實用性，其餘的則屬於遲緩、無用或者乾脆屬於誤報——甚至與入侵檢測毫無關係。

與此同時，國土安全部還制定出一系列與EINSTEIN相關的指標。“從該系統功能中提取到的值根本得不到確切解釋，”審計人員指出。

本文轉自d1net（轉載）