美国国土安全部60亿美元防火墙不能防黑客

　　位于弗吉尼亚州阿灵顿的国家网络安全与通信集成中心

根据一项由联邦审订机构发布的秘密调查，这套防火墙方案由国土安全部负责运行，旨在检测并防止国家支持型黑客行为对美国政府职能进行侵扰。

爱因斯坦计划（下面简称：EINSTEIN）利用攻击模式（或者称之为‘签名’）以审查可疑流量，但在实际运行当中，高达94%的常规已知安全漏洞或者包含在网络流量中的恶意内容都未被正确识别出来（详细报告为PDF格式，在E安全微信公众号回复 GAO2016即可下载）。

而这两项缺陷还仅仅是此次“只限政府内部传阅”之政府问责办公室（简称GAO）报告披露的众多问题中的一小部分。除此之外，该系统的预防功能仅在23个主要非防御机构中的5个得到切实部署。

2015年11月国会议员对EINSTEIN（现其正式名为国家网络安全保护系统，或者简称NCPS）进行了保密审计，并证明这套黑客监控系统尚未准备好进行政府环境部署。

而此次最新发布的审计结论亦证实了这些观点，并指出这个耗资高达60亿次美元的防火墙开发项目存在大量未能实现的目标，且尚无法有力打击黑客活动，审计人员表示。

“在NCPS的既定功能得到全面开发之前，国土安全部将不会允许其被部署至联邦政府机构以提供与网络安全相关的、行之有效的技术支持，”GAO信息安全问题主管Gregory C. Wilshusen与GAO技术与工程中心主管Nabajyoti Barkakati在于近期发布的审计报告当中表示。

审计人员此次研究目标主要针对能源部、退伍军人事务部、总务管理局、国家科学基金会与美国核管理委员会。

无法应对来自民族国家的“高级持续性威胁”

“这套系统的总体目标在于保护政府免受民族国家发起的威胁活动，”本次审计报告指出，然而EINSTEIN并不能切实应对此类所谓高级持续性威胁。

此类攻击活动属于外国敌对方所采取的常见战术，其中拥有大量资源可供调配的黑客集团会在目标系统中建立一个立足点，并潜伏长达数个月直到找到执行破坏目标的机会。

EINSTEIN“并不具备入侵检测功能，这意味着其无法充分解决我们审查的各类高级持续性威胁，”报告作者表示。

在对报告草稿做出回应时，国土安全部官员表示EINSTEIN只是各部门用于保护其敏感数据的众多技术方案之一。其职责在于帮助个别机关保障IT与数据安全，而国土安全部的任务则仅限于提供基础性保护以及涵盖政府层面的宏观安全控制视角，他们解释称。

EINSTEIN在运作当中会将大量已知攻击模式签名推送至228个入侵检测传感装置当中，而这些传感器则分布于整套美国联邦.gov网络体系。这些传感器负责对各机构网络流量进行模式分析，并审查其是否与已知签名相符合。

EINSTEIN无法识别多种常见安全漏洞

不过这些签名“并不能解决由各类常见安全漏洞所引发的攻击威胁，因此其实际效果非常有限，”审计人员们指出。

EINSTEIN的质量取决于其选用的漏洞签名的质量。

“不过，用于支持NCPS入侵检测功能的签名只能够识别出一部分与常用应用软件相关联的漏洞，”报告作者写道。

在此次进行审查的五款消费级应用程序——Adobe Acrobat、Flash、IE、Java以及微软Office——当中，该系统在某种程度上只能检测出全部已知安全漏洞中的6%。具体来讲，只识别出了489个已知安全漏洞中的29个。

之所以产生如此严重的盲区，根据审计人员们的分析，是因为EINSTEIN并没有与由国家标准与技术研究所负责维护的标准国家安全漏洞数据库进行同步。

国土安全部官方表示，他们在最初开发EINSTEIN时并没有收到将其签名库同安全漏洞数据库进行同步的要求。国土安全部“承认这方面存在不足”，并计划未来对此加以解决，审计报告提到。

在正式“公布”之前，无法对未知零日漏洞进行识别

在本次人事管理办公室遭遇黑客入侵之后的背景调查工作当中，国土安全部方面承认EINSTEIN无法处理其中涉及的恶意软件。据称此次黑客活动由中国所支持，且攻击执行者使用的是尚未被正式发现、因此根本不可能存在相关“签名”的零日漏洞。

“在零日漏洞利用方面，”国土安全部官方指出，“尚没有办法在其被正式公布前加以识别，”报告指出。一旦零日漏洞遭到披露，国土安全部可以马上根据其攻击模式建立签名并将其导入至EINSTEIN当中。

有时候，情报界的各合作伙伴会在零日漏洞被公开披露之前向美国国土安全部提供消息，而其实际利用方式通常以恶意软件为载体，审计报告表示。国土安全部官员则向审计人员们坦言，他们并不会为零日漏洞情报支付报酬。

EINSTEIN能够以近实时方式在特定数据流内实现入侵预防。然而，该系统仍有相当一部分网络流量无法确切把握。举例来说，该系统能够阻断恶意“域名系统”服务器并实现电子邮件过滤，但“还存在着其它一些网络流量类型（例如web内容），其同样属于常见的攻击向量但却无法被作为潜在恶意内容进行分析，”审计人员们解释称。

信息共享往往是种浪费

国土安全部正在努力克服重重障碍，而正是这些障碍导致目前23个政府机构中只有5个部署了EINSTEIN系统，GAO官员表示。这是因为各机构的IT基础设施有所区别，EINSTEIN要想接入其业务流程，必须适应其具体配置。除此之外，并非所有机构都符合正确执行EINSTEIN的安全规范。总体来讲，各机构都在关注电子邮件等关键性应用程序的正常运作。

信息共享属于EINSTEIN高度关注的另一项目标，此次审计报告表示。

“国土安全部与其它各机构间的信息共享机制并不一定能够起效，各方在关于通信发送与接收乃至具体使用等层面存在分歧，”GAO审计人员们解释道。

根据国土安全部提供的2014财年内发出的总体通知数量来看，高达24%的通知内容根本未被各受审查机构所收到。而成功送达的相当一部分信息对于IT人员来说亦毫无价值，审计报告强调称。在56条成功送抵的通知当中，有31条具备时效性与实用性，其余的则属于迟缓、无用或者干脆属于误报——甚至与入侵检测毫无关系。

与此同时，国土安全部还制定出一系列与EINSTEIN相关的指标。“从该系统功能中提取到的值根本得不到确切解释，”审计人员指出。

本文转自d1net（转载）