Из Википедии, свободной энциклопедии
Перейти к навигации Перейти к поиску
Для использования в других целях, см Эйнштейн (значения) .
ЭЙНШТЕЙН
Разработчики)US-CERT
Начальная версия2004 г.
Типсетевая безопасность и компьютерная безопасность
Веб-сайтАналитические инструменты и программы US-CERT для государственных пользователей

EINSTEIN (также известный как эйнштейновская программа ) была первоначально система обнаружения вторжений , которая контролирует сетевые шлюзы государственных ведомств и учреждений в Соединенных Штатах для неавторизованного трафика. Программное обеспечение было разработано Группой готовности к компьютерным чрезвычайным ситуациям США (US-CERT) [1], которая является оперативным подразделением Национального отдела кибербезопасности [2] (NCSD) Министерства внутренней безопасности США (DHS). [3] Программа изначально была разработана для обеспечения « ситуационной осведомленности."для гражданских агентств. В то время как первая версия проверяла сетевой трафик, а последующие версии проверяли контент, [4] текущая версия EINSTEIN значительно более продвинута.

Мандат [ править ]

обложка буклета в красную белую и синюю полоску
В Национальной стратегии защиты киберпространства (февраль 2003 г.) новое министерство внутренней безопасности США на уровне кабинета министров является ведущим агентством по защите информационных технологий . [5]

EINSTEIN - это продукт действий Конгресса и президента США в начале 2000-х годов, включая Закон об электронном правительстве 2002 года, направленный на улучшение государственных услуг США в Интернете.

Так откуда взялось название EINSTEIN? При первоначальном формировании программы она называлась SAP, что расшифровывалось как Программа ситуационной осведомленности. К сожалению, SAP - не лучший акроним для правительственной программы кибербезопасности, и нужно было изменить его на что-то другое. В офисе Роба Пейта в здании GSA Building в Вашингтоне, округ Колумбия, на 7-й и D-стрит (первоначальные офисы FedCIRC и недавно созданного US-CERT) висел плакат с изображением Альберта Эйнштейна. Команда искала новое имя, и решение использовать имя EINSTEIN было принято Робом Пейтом, Шоном Макаллистером и Майком Виттом.

Полномочия EINSTEIN основаны на Законе о внутренней безопасности и Федеральном законе об управлении информационной безопасностью, принятом в 2002 году, а также в Директиве президента о внутренней безопасности (HSPD) 7, [1] которая была издана 17 декабря 2003 года [6].

Федеральный центр реагирования на компьютерные инциденты (FedCIRC) был одним из четырех центров наблюдения, которые защищали федеральные информационные технологии [7], когда Закон об электронном правительстве от 2002 года назначил его основным центром реагирования на инциденты. [8] С FedCIRC в основе, US-CERT была создана в 2003 году как партнерство между недавно созданным DHS и Координационным центром CERT, который находится в Университете Карнеги-Меллона и финансируется Министерством обороны США . [7] US-CERT предоставил EINSTEIN в соответствии с законодательными и административными требованиями, которые DHS помогает защитить федеральные компьютерные сети и предоставление основных государственных услуг. [1]EINSTEIN был внедрен, чтобы определить, подвергалось ли правительство кибератаке. EINSTEIN добился этого, собрав данные о потоках от всех гражданских агентств и сравнив эти данные о потоках с исходными данными.

  1. Если одно агентство сообщило о киберсобытии, 24/7 Watch в US-CERT могло бы просмотреть данные о входящем потоке и помочь в разрешении.
  2. Если одно агентство подверглось атаке, US-CERT Watch мог бы быстро просмотреть каналы других агентств, чтобы определить, было ли оно повсеместным или изолированным.

20 ноября 2007 года, «в соответствии с» меморандумом Управления управления и бюджета (OMB), [9] EINSTEIN версии 2 требовался для всех федеральных агентств , кроме Министерства обороны и агентств разведывательного сообщества США в исполнительной власти. . [10]

Принятие [ править ]

EINSTEIN был развернут в 2004 году [1] и до 2008 года был добровольным. [11] К 2005 г. участвовали три федеральных агентства, и было выделено финансирование для шести дополнительных развертываний. К декабрю 2006 года в EINSTEIN участвовали восемь агентств, а к 2007 году DHS приняло программу на уровне всего департамента. [12] К 2008 году EINSTEIN был развернут в пятнадцати [13] из почти шестисот агентств, департаментов и веб-ресурсов правительства США. [14]

Особенности [ править ]

Когда он был создан, EINSTEIN представлял собой «автоматизированный процесс для сбора, сопоставления, анализа и обмена информацией о компьютерной безопасности в федеральном гражданском правительстве». [1] EINSTEIN не защищает сетевую инфраструктуру частного сектора. [15] Как описано в 2004 году, его цель состоит в том, чтобы «облегчить выявление киберугроз и атак и реагирование на них, повысить безопасность сети, повысить отказоустойчивость критически важных государственных услуг, доставляемых в электронном виде, и повысить выживаемость Интернета». [1]

EINSTEIN был разработан для устранения шести общих недостатков безопасности [1], которые были собраны из отчетов федеральных агентств и выявлены Управлением по бюджетным вопросам в его отчете Конгрессу США за 2001 год или до него. [16] Кроме того, программа направлена ​​на обнаружение компьютерных червей , аномалий во входящем и исходящем трафике, управление конфигурацией, а также анализ тенденций в реальном времени, который US-CERT предлагает департаментам и агентствам США на «работоспособности сайта Federal.gov». домен". [1] EINSTEIN был разработан для сбора данных сеанса, включая: [1]

  • Номера автономных систем (ASN)
  • Тип и код ICMP
  • Длина пакета
  • Протокол
  • Идентификация датчика и статус подключения (местонахождение источника данных)
  • Исходный и целевой IP-адрес
  • Источник и порт назначения
  • Информация о флаге TCP
  • Информация о времени и продолжительности

US-CERT может запросить дополнительную информацию, чтобы найти причину аномалий, обнаруженных EINSTEIN. Затем результаты анализа US-CERT передаются в агентство для рассмотрения. [1]

ЭЙНШТЕЙН 2 [ править ]

Во время EINSTEIN 1 было установлено, что гражданские агентства не знали полностью, что включает в себя их зарегистрированное пространство IPv4. Очевидно, это было проблемой безопасности. Как только пространство IPv4 Агентства было проверено, сразу стало ясно, что Агентство имеет больше внешних подключений к Интернету или шлюзов, чем можно было бы разумно оснастить и защитить. Это породило инициативу OMB TIC, Trusted Internet Connections. Три ограничения EINSTEIN, которые пытается устранить DHS, - это большое количество точек доступа к агентствам США, небольшое количество участвующих агентств и "ретроспективный взгляд" программы. архитектура ». [17] Инициатива OMB« Надежные подключения к Интернету » [9]Ожидалось, что к июню 2008 года правительство сократит 4300 точек доступа до 50 или меньше. [18] [19] После того, как агентства сократили количество точек доступа более чем на 60% и запросили больше, чем было запланировано , OMB изменило свою цель до второй половины 2009 года с число будет определено. [19] Новая версия EINSTEIN была запланирована для «сбора данных о потоках сетевого трафика в режиме реального времени, а также для анализа содержимого некоторых сообщений в поисках вредоносного кода, например, во вложениях электронной почты». [20] Известно, что расширение является одной из как минимум девяти мер по защите федеральных сетей. [21]

Новая версия, получившая название EINSTEIN 2, будет иметь «систему для автоматического обнаружения вредоносной сетевой активности и создания предупреждений при ее срабатывании». [22] EINSTEIN 2 будет использовать «минимальное количество» заранее определенных сигнатур атак, которые будут поступать из внутренних, коммерческих и общедоступных источников. Датчик EINSTEIN 2 контролирует точку доступа к Интернету каждого участвующего агентства, «не строго… ограничиваясь» надежными подключениями к Интернету, используя как коммерческое, так и разработанное государством программное обеспечение. [23] EINSTEIN можно улучшить, чтобы создать систему раннего предупреждения для прогнозирования вторжений. [17]

US-CERT может передавать информацию EINSTEIN 2 «федеральным органам исполнительной власти» в соответствии с «письменными стандартными операционными процедурами» и только «в краткой форме». Поскольку US-CERT не имеет разведывательной или правоохранительной миссии, он будет уведомлять и предоставлять контактную информацию «правоохранительным, разведывательным и другим ведомствам», когда происходит событие, за которое они несут ответственность. [23]

ЭЙНШТЕЙН 3 [ править ]

Версия 3.0 EINSTEIN обсуждалась для предотвращения атак путем «отстрела атаки до того, как она поразит цель». [24] АНБ готовится начать программу, известную как «EINSTEIN 3», которая будет отслеживать «правительственный компьютерный трафик на сайтах частного сектора». (AT&T считается первым сайтом частного сектора.) План программы, который был разработан при администрации Буша, вызывает споры, учитывая историю АНБ и скандал с необоснованным прослушиванием телефонных разговоров. Многие должностные лица DHS опасаются, что программа не должна продвигаться вперед из-за «неуверенности в том, можно ли защитить личные данные от несанкционированной проверки». [25] Некоторые считают, что программа будет слишком сильно нарушать частную жизнь людей. [26]

Конфиденциальность [ править ]

Оценка воздействия на конфиденциальность для EINSTEIN версии 2 подробно описывает программу. [23]

В оценке воздействия на конфиденциальность (PIA) для EINSTEIN 2, опубликованной в 2008 году, DHS направило общее уведомление людям, использующим федеральные сети США. [23] DHS предполагает, что пользователи Интернета не ожидают конфиденциальности в адресах «Кому» и «От» своей электронной почты или в «IP-адресах веб-сайтов, которые они посещают», потому что их поставщики услуг используют эту информацию для маршрутизации. DHS также предполагает, что люди имеют хотя бы базовое понимание того, как компьютеры общаются, и знают пределы своих прав на неприкосновенность частной жизни, когда они выбирают доступ к федеральным сетям. [23] Privacy Act 1974 года не применяется к Эйнштейну 2 данных , поскольку его система записи обычно не содержат личную информацию и поэтому не индексируются или запрошены именами отдельных лиц.[23] PIA для первой версии также доступен с 2004 года. [1]

DHS запрашивает одобрение графика хранения EINSTEIN 2, в котором записи потока, предупреждения и определенный сетевой трафик, связанный с предупреждением, могут храниться до трех лет, и если, например, в случае ложного предупреждения, данные считаются не связанный или потенциально собранный по ошибке, его можно удалить. [23]Согласно оценке конфиденциальности DHS для круглосуточного центра обработки и реагирования на инциденты US-CERT в 2007 году, данные US-CERT предоставляются только тем авторизованным пользователям, которым «необходимы эти данные для бизнеса и безопасности», включая аналитиков безопасности, системных администраторов и некоторые подрядчики DHS. Данные об инцидентах и ​​контактная информация никогда не передаются за пределы US-CERT, и контактная информация не анализируется. Чтобы обезопасить свои данные, центр US-CERT начал процесс сертификации и аккредитации DHS в мае 2006 года и, как ожидается, завершит его к первому кварталу 2007 финансового года. По состоянию на март 2007 года у центра не было графика хранения, утвержденного Национальными архивами и Управление записямии до тех пор, пока это не произойдет, у него нет «графика утилизации» - его «записи должны считаться постоянными, и ничто не может быть удалено». [27] По состоянию на апрель 2013 года у DHS все еще не было графика хранения, но оно работало «с менеджером документации NPPD над разработкой графиков удаления». [28] Обновление было выпущено в мае 2016 года. [29]

Нарушение данных федерального правительства от 2020 г. [ править ]

Эйнштейну не удалось обнаружить утечку данных федерального правительства США 2020 года . [30]

См. Также [ править ]

  • Директива о национальной безопасности
  • Управляемая надежная служба интернет-протокола
  • АДАМС , ЗОЛА (DARPA)

Ссылки [ править ]

  1. ^ a b c d e f g h i j k US-CERT (сентябрь 2004 г.). «Оценка воздействия на конфиденциальность: программа EINSTEIN» (PDF) . Министерство внутренней безопасности США, Управление национальной кибербезопасности . Проверено 13 мая 2008 .
  2. ^ "О US-CERT" . Министерство внутренней безопасности США. Архивировано из оригинала на 2008-05-25 . Проверено 18 мая 2008 .
  3. Миллер, Джейсон (21 мая 2007 г.). «Эйнштейн следит за агентскими сетями» . Федеральная компьютерная неделя . 1105 Media, Inc. Архивировано из оригинала 19 декабря 2007 года . Проверено 13 мая 2008 .
  4. Либерман, Джо и Сьюзан Коллинз (2 мая 2008 г.). «Либерман и Коллинз усиливают анализ инициативы по кибербезопасности» . Комитет Сената США по внутренней безопасности и делам правительства. Архивировано из оригинала на 12 января 2009 года . Проверено 14 мая 2008 .
  5. ^ «Национальная стратегия защиты киберпространства» (PDF) . Правительство США через Министерство внутренней безопасности. Февраль 2003. с. 16. Архивировано из оригинального (PDF) 12 февраля 2008 года . Проверено 18 мая 2008 .
  6. Буш, Джордж У. (17 декабря 2003 г.). "Директива президента по национальной безопасности / Hspd-7" (пресс-релиз). Офис пресс-секретаря через whitehouse.gov . Проверено 18 мая 2008 .
  7. ^ Б Gail Repsher Эмери и Уилсон П. Dizard III (15 сентября 2003). «Национальная безопасность представляет новую команду ИТ-безопасности» . Правительственные компьютерные новости . 1105 Media, Inc. архивации с оригинала на 23 января 2013 года . Проверено 16 мая 2008 .
  8. ^ «Об электронном правительстве: Закон об электронном правительстве 2002 года» . Управление управления и бюджета США . Проверено 16 мая 2008 .
  9. ^ a b Джонсон, Клей III (20 ноября 2007 г.). «Внедрение надежных подключений к Интернету (TIC), Меморандум для руководителей исполнительных департаментов и агентств (M-08-05)» (PDF) . Управление управления и бюджета . Проверено 18 октября 2010 .
  10. US-CERT (19 мая 2008 г.). «Оценка воздействия на конфиденциальность для EINSTEIN 2» (PDF) . Министерство внутренней безопасности США. п. 4 . Проверено 12 июня 2008 .
  11. ^ Виджаян, Jaikumar (29 февраля 2008). «Вопросы и ответы: Эванс говорит, что федералы продвигаются вперед по плану кибербезопасности, но с учетом конфиденциальности» . Компьютерный мир . IDG. Архивировано из оригинала на 2 мая 2008 года . Проверено 13 мая 2008 .
  12. Офис генерального инспектора (июнь 2007 г.). «Проблемы остаются в защите кибер-инфраструктуры страны» (PDF) . Министерство внутренней безопасности США. п. 12. Архивировано из оригинального (PDF) 15 мая 2008 года . Проверено 18 мая 2008 .
  13. ^ «Информационный бюллетень: прогресс и приоритеты пятилетней годовщины Министерства внутренней безопасности США» (пресс-релиз). Министерство внутренней безопасности США. 6 марта 2008 года Архивировано из оригинального 14 мая 2008 года . Проверено 18 мая 2008 .
  14. ^ Помимо 106 списков для «Веб-сайта» или «Домашней страницы», 486 списков появляются в «Индексе Аризоны правительственных ведомств и агентств США» . Администрация общих служб США . Проверено 18 мая 2008 .
  15. ^ Накашима, Эллен (26 января 2008). «Приказ Буша расширяет мониторинг сети: разведывательные агентства для отслеживания вторжений» . Вашингтон Пост . Проверено 18 мая 2008 .
  16. ^ Управление управления и бюджета (nd). «Отчет Конгрессу за 2001 финансовый год о реформе информационной безопасности федерального правительства» (PDF) . Управление информации и регулирования. п. 11 . Проверено 14 мая 2008 .
  17. ^ a b «Выступления министра внутренней безопасности Майкла Чертоффа на конференции RSA 2008» (пресс-релиз). Министерство внутренней безопасности США. 8 апреля 2008 года Архивировано из оригинального 14 мая 2008 года . Проверено 13 мая 2008 .
  18. ^ Виджаян, Jaikumar (28 февраля 2008). «Федералы преуменьшают опасения по поводу конфиденциальности в плане расширения мониторинга правительственных сетей» . Компьютерный мир . IDG. Архивировано из оригинального 16 февраля 2009 года . Проверено 13 мая 2008 .
  19. ^ a b Москера, Мэри (10 июля 2008 г.). «OMB: агентства должны избавиться от дополнительных шлюзов» . Федеральная компьютерная неделя . Media, Inc. Архивировано из оригинального 13 июля 2008 года . Проверено 10 июля 2008 .
  20. Уотерман, Шон (8 марта 2008 г.). «Анализ: Эйнштейн и кибербезопасность США» . United Press International . Проверено 13 мая 2008 .
  21. ^ «Информационный бюллетень: Защита наших федеральных сетей от кибератак» (пресс-релиз). Министерство внутренней безопасности США. 8 апреля 2008 года Архивировано из оригинального 14 мая 2008 года . Проверено 13 мая 2008 .
  22. ^ "EPICA ler t" . 15 (11). Электронный информационный центр конфиденциальности. 30 мая 2008 . Проверено 13 июня 2008 . Цитировать журнал требует |journal=( помощь )
  23. ^ Б с д е е г US-CERT (19 мая 2008 г.). «Оценка воздействия на конфиденциальность для EINSTEIN 2» (PDF) . Министерство внутренней безопасности США . Проверено 12 июня 2008 .
  24. ^ «Национальная безопасность ищет систему кибер-контратаки» . CNN . Радиовещательная система Тернера. 4 октября 2008 . Проверено 7 октября 2008 .
  25. ^ Накашима, Эллен (2009-07-03). «План кибербезопасности DHS будет включать в себя АНБ и телекоммуникации» . Вашингтон Пост . Проверено 1 мая 2010 .
  26. ^ Radack, Jesselyn (2009-07-14). «Cyber ​​Overkill от АНБ: проект по защите правительственных компьютеров, которым управляет АНБ, - слишком большая угроза для конфиденциальности американцев» . Лос-Анджелес Таймс .
  27. ^ «Оценка воздействия на конфиденциальность для круглосуточного центра обработки и реагирования на инциденты» (PDF) . Министерство внутренней безопасности США. 29 марта 2007 . Проверено 14 мая 2008 .
  28. ^ «Оценка воздействия на конфиденциальность для EINSTEIN 3 - Accelerated (E3A)» (PDF) . Министерство внутренней безопасности США. 19 апреля 2013 . Проверено 29 декабря 2013 .
  29. ^ «Обновление оценки воздействия на конфиденциальность для EINSTEIN 3 - Accelerated (E3A)» (PDF) . Проверено 17 августа 2016 .
  30. ^ "Русские перехитрили систему обнаружения хакеров правительства США" . Независимый . 16 декабря 2020.

Внешние ссылки [ править ]

  • «Ори, Уильям Л. - Анализ системы обнаружения вторжений EINSTEIN III группы США по обеспечению готовности к компьютерным чрезвычайным ситуациям (US CERT) и ее влияние на конфиденциальность» (PDF) .
  • US-CERT (19 мая 2008 г.). «Оценка воздействия на конфиденциальность для EINSTEIN 2» (PDF) . Министерство внутренней безопасности США . Проверено 12 июня 2008 .
  • «Спасибо за оценку конфиденциальности». Отсутствует или пусто |url=( справка )
  • «Оценка воздействия на конфиденциальность для круглосуточного центра обработки и реагирования на инциденты» (PDF) . Министерство внутренней безопасности США. 29 марта 2007 . Проверено 14 мая 2008 .
  • «Эйнштейн» . TechTarget . Проверено 14 мая 2008 .