Jump to content

Эйнштейн (программа US-CERT)

Чтобы узнать о других значениях, см. Эйнштейн (значения) .
система ЭЙНШТЕЙН
Оригинальный автор(ы) США-CERT
Разработчик(и) СНГА
Первоначальный выпуск 2004
Тип сетевая безопасность и компьютерная безопасность
Веб-сайт www .cisa .gov /Эйнштейн

Система EINSTEIN (часть Национальной системы защиты от кибербезопасности ) — это система обнаружения и предотвращения сетевых вторжений , которая контролирует сети департаментов и агентств федерального правительства США . Система разрабатывается и управляется Агентством кибербезопасности и безопасности инфраструктуры (ранее NPPD/ Группа готовности к компьютерным чрезвычайным ситуациям США (US-CERT). [ 1 ] ) в Министерстве внутренней безопасности США (DHS). [ 2 ]

Первоначально программа была разработана для обеспечения « ситуационной осведомленности » для гражданских агентств и для «облегчения выявления киберугроз и атак и реагирования на них, улучшения сетевой безопасности, повышения устойчивости критически важных государственных услуг, предоставляемых в электронном виде, а также повышения живучести Интернета». ." [ 1 ] Первая версия исследовала основной сетевой трафик, а последующие версии исследовали контент. [ 3 ]

ЭЙНШТЕЙН не защищает сетевую инфраструктуру частного сектора. [ 4 ]

История

[ редактировать ]

Федеральная служба реагирования на компьютерные инциденты (FedCIRC) была одним из четырех наблюдательных центров, защищавших федеральные информационные технологии. [ 5 ] когда Закон об электронном правительстве 2002 года назначил его основным центром реагирования на инциденты. [ 6 ] US-CERT, в основе которого лежит FedCIRC, был сформирован в 2003 году как партнерство между недавно созданным DHS и Координационным центром CERT , который находится в Университете Карнеги-Меллона и финансируется Министерством обороны США . [ 5 ] US-CERT предоставил EINSTEIN для удовлетворения законодательных и административных требований, согласно которым DHS помогает защищать федеральные компьютерные сети и предоставлять основные государственные услуги. [ 1 ] ЭЙНШТЕЙН был применен, чтобы определить, подверглось ли правительство кибератаке. ЭЙНШТЕЙН делает это, собирая данные о потоках от всех гражданских агентств и сравнивая эти данные с базовым уровнем.

  1. Если бы одно агентство сообщило о киберсобытии, круглосуточная служба наблюдения в US-CERT могла бы просмотреть данные о входящих потоках и помочь в разрешении проблемы.
  2. Если одно агентство подвергалось атаке, US-CERT Watch могла быстро просмотреть каналы других агентств, чтобы определить, было ли оно повсеместным или изолированным.

Во время EINSTEIN 1 было установлено, что гражданские агентства не знали всего, что включает в себя их зарегистрированное пространство IPv4. Очевидно, это было связано с безопасностью. Как только пространство IPv4 агентства было проверено, сразу стало ясно, что у агентства больше внешних подключений к Интернету или шлюзов, чем можно разумно оснастить и защитить. Это положило начало Инициативе «Надежные подключения к Интернету» (TIC) Управления управления и бюджета . Ожидается, что в рамках этой инициативы к июню 2008 года количество правительственных точек доступа сократится с 4300 до 50 или меньше. [ 7 ] [ 8 ]

Поэтому новая версия EINSTEIN планировалась для «сбора данных о потоках сетевого трафика в реальном времени, а также для анализа содержимого некоторых сообщений в поисках вредоносного кода, например, во вложениях электронной почты». [ 9 ] Три препятствия для EINSTEIN, которые DHS пытается устранить, — это большое количество точек доступа к агентствам США, небольшое количество участвующих агентств и «обратная архитектура» программы. [ 10 ] Известно, что расширение является одной из как минимум девяти мер по защите федеральных сетей. [ 11 ]

Мандат

[ редактировать ]
Обложка буклета в красно-бело-синюю полоску
Национальная стратегия по обеспечению безопасности киберпространства (февраль 2003 г.) определила новое министерство внутренней безопасности США на уровне кабинета министров в качестве ведущего агентства по защите ИТ . [ 12 ]

ЭЙНШТЕЙН является продуктом действий Конгресса и президента США в начале 2000-х годов, включая Закон об электронном правительстве 2002 года , который был направлен на улучшение государственных услуг США в Интернете.

Закон о консолидированных ассигнованиях 2016 года [ 13 ] добавлен раздел 6 USC 663(b)(1), который требует от министра внутренней безопасности «развертывать, эксплуатировать и поддерживать» возможности обнаружения и предотвращения рисков кибербезопасности в сетевом трафике в федеральных информационных системах. [ 14 ]

Использование этих систем предписано федеральным агентствам в соответствии с разделом 6 USC 663 «Обязанности агентства». Агентства должны принять обновления системы в течение 6 месяцев. Министерство обороны, разведывательное сообщество и другие «системы национальной безопасности» освобождены от ответственности.

Принятие

[ редактировать ]

ЭЙНШТЕЙН был развернут в 2004 году. [ 1 ] и до 2008 года было добровольным. [ 15 ] К 2005 году в проекте приняли участие три федеральных агентства, и было выделено финансирование для шести дополнительных развертываний. К декабрю 2006 года в EINSTEIN участвовали восемь агентств, а к 2007 году DHS само приняло программу на уровне всего департамента. [ 16 ] К 2008 году Эйнштейн работал в пятнадцати [ 17 ] из почти шестисот агентств, департаментов и веб-ресурсов правительства США. [ 18 ]

По состоянию на сентябрь 2022 года 248 федеральных агентств используют EINSTEIN 1 и 2, «представляя примерно 2,095 миллиона пользователей, или 99% от общего числа пользователей», а 257 агентств используют E3A. [ 19 ]

ЭЙНШТЕЙН 1

[ редактировать ]

На момент своего создания EINSTEIN представлял собой «автоматизированный процесс сбора, сопоставления, анализа и обмена информацией о компьютерной безопасности среди федерального гражданского правительства». [ 1 ]

EINSTEIN 1 был разработан для устранения шести распространенных недостатков безопасности. [ 1 ] которые были собраны из отчетов федеральных агентств и выявлены OMB в или до его отчета Конгрессу США за 2001 год. [ 20 ] Кроме того, программа предназначена для обнаружения компьютерных червей , аномалий во входящем и исходящем трафике, управления конфигурацией, а также анализа тенденций в реальном времени, которые CISA предлагает департаментам и агентствам США по вопросам «здоровья домена Federal.gov». [ 1 ] EINSTEIN был разработан для сбора данных сеанса , включая: [ 1 ]

Примерно в 2019 году CISA расширила систему, включив в нее информацию уровня приложения , такую ​​как URL-адреса HTTP и заголовки SMTP . [ 21 ]

CISA может запросить дополнительную информацию, чтобы найти причину аномалий, обнаруженных Эйнштейном. Результаты анализа CISA затем передаются агентству на рассмотрение. [ 1 ]

ЭЙНШТЕЙН 2

[ редактировать ]

EINSTEIN 2 был развернут в 2008 году и «выявляет вредоносную или потенциально опасную активность компьютерных сетей в сетевом трафике федерального правительства на основе конкретных известных сигнатур» и генерирует около 30 000 предупреждений в день. [ 19 ]

Датчик EINSTEIN 2 контролирует точку доступа в Интернет каждого участвующего агентства, «не строго… ограничиваясь» доверенными подключениями к Интернету, используя как коммерческое, так и программное обеспечение, разработанное государством. [ 22 ] EINSTEIN можно усовершенствовать, чтобы создать систему раннего предупреждения для прогнозирования вторжений. [ 10 ]

CISA может передавать информацию EINSTEIN 2 «федеральным исполнительным органам» в соответствии с «записанными стандартными рабочими процедурами». CISA не имеет разведывательной или правоохранительной миссии, но будет уведомлять и предоставлять контактную информацию «правоохранительным, разведывательным и другим органам», когда происходит событие, подпадающее под их ответственность. [ 22 ]

ЭЙНШТЕЙН 3

[ редактировать ]

Обсуждалось, что версия 3.0 ЭЙНШТЕЙНА предотвращает атаки, «сбивая атаку до того, как она достигнет цели». [ 23 ] АНБ продвигается вперед, чтобы начать программу, известную как «ЭЙНШТЕЙН 3», которая будет отслеживать «правительственный компьютерный трафик на сайтах частного сектора». (AT&T считается первым объектом частного сектора.) План программы, разработанный при администрации Буша, вызывает споры, учитывая историю АНБ и скандал с несанкционированным прослушиванием телефонных разговоров. Многие чиновники DHS опасаются, что программу не следует продвигать из-за «неуверенности в том, можно ли защитить частные данные от несанкционированного изучения». [ 24 ] Некоторые считают, что программа слишком сильно вторгнется в частную жизнь людей. [ 25 ]

Конфиденциальность

[ редактировать ]
скриншот буклета PDF с печатью и надписью
Программа «Оценка воздействия на конфиденциальность EINSTEIN версии 2» подробно описывает программу. [ 22 ]

В «Оценке воздействия на конфиденциальность (PIA) для EINSTEIN 2», опубликованной в 2008 году, DHS сделало общее предупреждение людям, использующим федеральные сети США. [ 22 ] DHS предполагает, что пользователи Интернета не ожидают конфиденциальности в адресах «Кому» и «От» своей электронной почты или в «IP-адресах веб-сайтов, которые они посещают», поскольку их поставщики услуг используют эту информацию для маршрутизации. DHS также предполагает, что люди имеют хотя бы базовое представление о том, как компьютеры взаимодействуют, и знают пределы своих прав на конфиденциальность, когда они решают получить доступ к федеральным сетям. [ 22 ] Закон о конфиденциальности 1974 года не применяется к данным EINSTEIN 2, поскольку его система записей обычно не содержит личной информации и поэтому не индексируется и не запрашивается по именам отдельных лиц. [ 22 ] PIA для первой версии также доступен с 2004 года. [ 1 ]

DHS добивается одобрения графика хранения EINSTEIN 2, согласно которому записи потоков, оповещения и конкретный сетевой трафик, связанный с оповещением, могут храниться на срок до трех лет, и если, например, в случае ложного оповещения, данные считаются несвязанные или потенциально собранные по ошибке, их можно удалить. [ 22 ] Согласно оценке конфиденциальности DHS для круглосуточного Центра обработки инцидентов и реагирования на инциденты US-CERT в 2007 году, данные US-CERT предоставляются только тем авторизованным пользователям, которым «необходимо знать такие данные для целей бизнеса и безопасности», включая аналитиков безопасности, системных администраторов и некоторые подрядчики DHS. Данные об инцидентах и ​​контактная информация никогда не передаются за пределы US-CERT, а контактная информация не анализируется. Чтобы обеспечить безопасность своих данных, центр US-CERT начал процесс сертификации и аккредитации DHS в мае 2006 года и планировал завершить его к первому кварталу 2007 финансового года. По состоянию на март 2007 года у центра не было графика хранения, утвержденного Национальным архивом и Администрация документации , и до тех пор, пока она этого не сделает, не имеет «графика утилизации» - ее «записи должны считаться постоянными, и ничто не может быть удалено». [ 26 ] По состоянию на апрель 2013 года у DHS все еще не было графика хранения, но он работал «с менеджером документации NPPD над разработкой графиков утилизации». [ 27 ] Обновление было выпущено в мае 2016 года. [ 28 ]

Утечка данных федерального правительства в 2020 году

[ редактировать ]

Эйнштейну не удалось обнаружить утечку данных федерального правительства США в 2020 году . [ 29 ]

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ Перейти обратно: а б с д и ж г час я дж US-CERT (сентябрь 2004 г.). «Оценка воздействия на конфиденциальность: программа ЭЙНШТЕЙН» (PDF) . Министерство внутренней безопасности США, Отдел национальной кибербезопасности. Архивировано (PDF) из оригинала 14 мая 2008 г. Проверено 13 мая 2008 г.
  2. ^ Миллер, Джейсон (21 мая 2007 г.). «Эйнштейн следит за агентурными сетями» . Федеральная компьютерная неделя . 1105 Media, Inc. Архивировано из оригинала 19 декабря 2007 года . Проверено 13 мая 2008 г.
  3. ^ Либерман, Джо и Сьюзен Коллинз (2 мая 2008 г.). «Либерман и Коллинз усиливают контроль над инициативой по кибербезопасности» . Комитет Сената США по внутренней безопасности и делам правительства. Архивировано из оригинала 12 января 2009 года . Проверено 14 мая 2008 г.
  4. ^ Накашима, Эллен (26 января 2008 г.). «Приказ Буша расширяет мониторинг сети: разведывательные агентства отслеживают вторжения» . Вашингтон Пост . Архивировано из оригинала 24 июня 2017 г. Проверено 18 мая 2008 г.
  5. ^ Перейти обратно: а б Гейл Репшер Эмери и Уилсон П. Дизард III (15 сентября 2003 г.). «Национальная безопасность представляет новую команду ИТ-безопасности» . Правительственные компьютерные новости . 1105 Media, Inc. Архивировано из оригинала 23 января 2013 года . Проверено 16 мая 2008 г.
  6. ^ «Об электронном правительстве: Закон об электронном правительстве 2002 года» . Управление управления и бюджета США. Архивировано из оригинала 05 марта 2016 г. Проверено 16 мая 2008 г.
  7. ^ Виджаян, Джайкумар (28 февраля 2008 г.). «Федералы преуменьшают опасения по поводу конфиденциальности в отношении плана по расширению мониторинга правительственных сетей» . Компьютерный мир . ИДГ. Архивировано из оригинала 16 февраля 2009 года . Проверено 13 мая 2008 г.
  8. ^ Москера, Мэри (10 июля 2008 г.). «OMB: Агентства должны отказаться от большего количества шлюзов» . Федеральная компьютерная неделя . Media, Inc. Архивировано из оригинала 13 июля 2008 года . Проверено 10 июля 2008 г.
  9. ^ Уотерман, Шон (8 марта 2008 г.). «Анализ: Эйнштейн и кибербезопасность США» . Юнайтед Пресс Интернешнл. Архивировано из оригинала 5 июня 2008 г. Проверено 13 мая 2008 г.
  10. ^ Перейти обратно: а б «Выступление министра внутренней безопасности Майкла Чертоффа на конференции RSA 2008 года» (пресс-релиз). Министерство внутренней безопасности США. 8 апреля 2008 года. Архивировано из оригинала 14 мая 2008 года . Проверено 13 мая 2008 г.
  11. ^ «Информационный бюллетень: защита наших федеральных сетей от кибератак» (пресс-релиз). Министерство внутренней безопасности США. 8 апреля 2008 года. Архивировано из оригинала 14 мая 2008 года . Проверено 13 мая 2008 г.
  12. ^ «Национальная стратегия по обеспечению безопасности киберпространства» (PDF) . Правительство США через Министерство внутренней безопасности. Февраль 2003. с. 16. Архивировано из оригинала (PDF) 12 февраля 2008 г. Проверено 18 мая 2008 г.
  13. ^ «Публичное право 114-113» (PDF) . Конгресс.gov . 18 декабря 2015 г. п. 724. Архивировано (PDF) из оригинала 20 июля 2023 г. Проверено 16 июля 2023 г.
  14. ^ «6 USC 663: Федеральная система обнаружения и предотвращения вторжений» . Палата представителей США . Архивировано из оригинала 16 июля 2023 г. Проверено 16 июля 2023 г.
  15. ^ Виджаян, Джайкумар (29 февраля 2008 г.). «Вопросы и ответы: Эванс говорит, что федералы активно продвигают план кибербезопасности, но с учетом конфиденциальности» . Компьютерный мир . ИДГ. Архивировано из оригинала 2 мая 2008 года . Проверено 13 мая 2008 г.
  16. ^ Управление генерального инспектора (июнь 2007 г.). «Сохраняются проблемы в обеспечении безопасности национальной киберинфраструктуры» (PDF) . Министерство внутренней безопасности США. п. 12. Архивировано из оригинала (PDF) 15 мая 2008 г. Проверено 18 мая 2008 г.
  17. ^ «Информационный бюллетень: Прогресс и приоритеты Министерства внутренней безопасности США в честь пятилетнего юбилея» (пресс-релиз). Министерство внутренней безопасности США. 6 марта 2008 года. Архивировано из оригинала 14 мая 2008 года . Проверено 18 мая 2008 г.
  18. ^ Помимо 106 списков «Веб-сайт» или «Домашняя страница», 486 списков появляются в «Индекс правительственных департаментов и агентств США от AZ» . Управление общих служб США. Архивировано из оригинала 18 марта 2019 г. Проверено 18 мая 2008 г.
  19. ^ Перейти обратно: а б «ЭЙНШТЕЙН | CISA» . www.cisa.gov . Архивировано из оригинала 16 июля 2023 г. Проверено 16 июля 2023 г.
  20. ^ Управление управления и бюджета (nd). «Отчет Конгрессу за 2001 финансовый год о реформе информационной безопасности федерального правительства» (PDF) . Управление информации и регулирования. п. 11 . Проверено 14 мая 2008 г.
  21. ^ «Оценка воздействия на конфиденциальность Национальной системы защиты кибербезопасности (NCPS) — Обнаружение вторжений — DHS/CISA/PIA-033» (PDF) . cisa.gov . 25 сентября 2019 г. с. 4. Архивировано (PDF) из оригинала 18 июля 2023 г. Проверено 18 июля 2023 г.
  22. ^ Перейти обратно: а б с д и ж г US-CERT (19 мая 2008 г.). «Оценка воздействия на конфиденциальность EINSTEIN 2» (PDF) . Министерство внутренней безопасности США. Архивировано (PDF) из оригинала 12 июня 2008 г. Проверено 12 июня 2008 г.
  23. ^ «Национальная безопасность ищет систему кибер-контратаки» . CNN . Радиовещательная система Тернера. 4 октября 2008 г. Архивировано из оригинала 15 октября 2008 г. Проверено 7 октября 2008 г.
  24. ^ Накашима, Эллен (3 июля 2009 г.). «План кибербезопасности DHS будет включать АНБ и телекоммуникации» . Вашингтон Пост . Архивировано из оригинала 4 февраля 2011 г. Проверено 1 мая 2010 г.
  25. ^ Радак, Джесселин (14 июля 2009 г.). «Кибер-перебор АНБ: проект по защите правительственных компьютеров, реализуемый АНБ, представляет собой слишком большую угрозу конфиденциальности американцев» . Лос-Анджелес Таймс . Архивировано из оригинала 19 июля 2009 г. Проверено 27 июля 2009 г.
  26. ^ «Оценка воздействия на конфиденциальность круглосуточного центра обработки и реагирования на инциденты» (PDF) . Министерство внутренней безопасности США. 29 марта 2007 г. Архивировано (PDF) из оригинала 14 мая 2008 г. Проверено 14 мая 2008 г.
  27. ^ «Оценка воздействия на конфиденциальность EINSTEIN 3 — ускоренная версия (E3A)» (PDF) . Министерство внутренней безопасности США. 19 апреля 2013 г. Архивировано (PDF) из оригинала 13 мая 2013 г. Проверено 29 декабря 2013 г.
  28. ^ «Обновление оценки воздействия на конфиденциальность для EINSTEIN 3 — ускоренное (E3A)» (PDF) . Архивировано (PDF) из оригинала 26 августа 2016 г. Проверено 17 августа 2016 г.
  29. ^ «Русские перехитрили правительственную систему обнаружения хакеров США» . Независимый . 16 декабря 2020 года. Архивировано из оригинала 18 декабря 2020 года . Проверено 16 декабря 2020 г.
[ редактировать ]
В Викиновостях есть связанные новости:
Retrieved from "https://en.wikipedia.org/w/index.php?title=Einstein_(US-CERT_program)&oldid=1226135241"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 46ba686775f2deec03212b8cb76bd990__1716913140
URL1:https://arc.ask3.ru/arc/aa/46/90/46ba686775f2deec03212b8cb76bd990.html
Заголовок, (Title) документа по адресу, URL1:
Einstein (US-CERT program) - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)