美国国土安全部(Department of Homeland Security)正在检测来自外国对手的网络攻击的新模式,其中一些针对特定机构,另一些针对整个美国政府,原因是2010年将在联邦网络中广泛部署一套专用入侵检测系统。
只有少数几个机构——包括国土安全部、农业部、国务院和内政部——有网络流量通过IDSs爱因斯坦2。
的美国计算机应急准备小组(US-CERT)正在监控IDSs和爱因斯坦1设备,后者从所有联邦机构和支持它们的运营商那里收集路由器网络流量数据。
美国国土安全部国家网络安全部门副主任尼科尔·迪恩(Nicole Dean)表示:“爱因斯坦2号非常具有启发性……看看他们实际上看到了哪些入侵集,以及某些入侵集是如何针对特定部门和机构的,以及其他你可以看到我们目前运行的每个地方的入侵集。”
爱因斯坦2的部署与联邦可信互联网连接(TIC)计划密切相关,这是一项持续努力,以确保联邦机构运行的外部互联网连接的安全。(参见“美国互联网安全计划修订”)。
爱因斯坦计划和TIC倡议共同旨在增强联邦机构的能力,以发现和应对不断上升的艾滋病浪潮网络攻击。
Einstein 2已经被9个联邦机构部署,这些机构计划运营自己的符合井控标准的互联网接入点,以及三家运营商:AT&T、Qwest和Sprint。迪安说,威瑞森正在部署爱因斯坦2。
美国电话电报公司与联邦贸易委员会达成500万美元网络安全协议|
美国电话电报公司、威瑞森公司和其他运营商都在关注联邦政府的网络安全协议
所有美国联邦机构和运营商都计划在年底前部署Einstein 2。
迪恩说,国土安全部每周通过“爱因斯坦装置”检测到针对每个联邦机构的100到1万次网络攻击。
Dean说,Einstein 2“允许我们监控以前没有被监控的入侵集,并通过us - cert提供实际发生了什么以及我们以前可能不知道的各种类型的活跃入侵集的信息。”
爱因斯坦2号系统没有使用商业上可用的入侵检测签名。
Dean表示:“我们的签名是高度专业化的,是根据US-CERT分析师从通过我们的外国对手发送的非常特殊的攻击中收集到的信息开发的。”“我们与国防部合作……我们根据与他们共享的信息开发了签名。”
爱因斯坦2是一个无源网络数据收集系统,不能实时运行。
“当流量进入一个部门或机构时,一个镜像副本会被发送到Einstein 2,而Einstein 2已经加载了签名集,其中一些流量会触发一个签名,向US-CERT分析师发送警报。一旦签名被解除,US-CERT将与该部门合作应对攻击,”迪恩表示。
爱因斯坦2没有检测新的网络攻击;相反,它显示的是已知恶意活动的模式。
迪安说:“每当这些签名集出现时,我们就与部门或机构合作,清理那台机器,并从他们的网络中删除它,这样它就可以重新镜像,并以未受感染的状态恢复在线。”
国土安全部的下一个网络安全议程是部署Einstein 3,它将为联邦网络增加防御入侵的能力。
有了“爱因斯坦3号”,联邦机构将拥有近实时防御网络攻击的能力,其中包括分布式拒绝服务攻击这一数字正在上升。
“爱因斯坦是一个螺旋发展项目,”迪恩说。“这意味着我们将继续增加新功能。”
Dean建议所有网络运营商部署类似Einstein 2的安全能力。
行业“需要做一些类似于我们为。gov环境所做的事情,”迪恩说。“他们需要监控自己的流量,然后查看趋势数据。趋势数据让人大开眼界。由此,你可以判断你当前的防御措施是否有效。现在我们有了爱因斯坦2号收集数据,我们可以看看同样的入侵设备是否在继续扩散,或者机构的内部机制是否在阻止这种情况发生。”