Einstein (US-CERT-program)

För annan användning, se Einstein (disambiguation) .
EINSTEIN
Utvecklare US-CERT
Initial release 2004
Typ nätverkssäkerhet och datorsäkerhet
Hemsida Analytiska verktyg och program på US-CERT för statliga användare

EINSTEIN (även känt som EINSTEIN-programmet ) var ursprungligen ett intrångsdetekteringssystem som övervakar nätverksgateways för statliga departement och myndigheter i USA för obehörig trafik. Mjukvaran har utvecklats av United States Computer Emergency Readiness Team (US-CERT), som är den operativa grenen av National Cyber ​​Security Division (NCSD) vid United States Department of Homeland Security (DHS). Programmet utvecklades ursprungligen för att ge " situationsmedvetenhet " för de civila myndigheterna. Medan den första versionen undersökte nätverkstrafik och efterföljande versioner undersökte innehållet, är den nuvarande versionen av EINSTEIN betydligt mer avancerad.

Mandat

red white and blue striped booklet cover
Den nationella strategin för att säkra cyberrymden (februari 2003) innehöll USA:s nya ministerium för inrikessäkerhet som den ledande byrån som skyddar IT .

EINSTEIN är produkten av USA:s kongress- och presidentaktioner i början av 2000-talet, inklusive E-Government Act från 2002 som försökte förbättra amerikanska myndigheters tjänster på Internet.

EINSTEINs mandat har sitt ursprung i Homeland Security Act och Federal Information Security Management Act , båda 2002, och Homeland Security Presidential Direktiv (HSPD) 7, som utfärdades den 17 december 2003.

Federal Computer Incident Response Capability (FedCIRC) var ett av fyra övervakningscenter som skyddade federal informationsteknologi när E-Government Act från 2002 utsåg det till det primära incidentresponscentret. Med FedCIRC i sin kärna bildades US-CERT 2003 som ett partnerskap mellan det nyskapade DHS och CERT Coordination Center som ligger vid Carnegie Mellon University och finansieras av det amerikanska försvarsdepartementet . US-CERT levererade EINSTEIN för att uppfylla lagstadgade och administrativa krav som DHS hjälper till att skydda federala datornätverk och leverans av viktiga statliga tjänster. EINSTEIN implementerades för att avgöra om regeringen var under cyberangrepp. EINSTEIN gjorde detta genom att samla in flödesdata från alla civila myndigheter och jämförde dessa flödesdata med en baslinje.

  1. Om en byrå rapporterade en cyberhändelse, kan 24/7 Watch på US-CERT titta på inkommande flödesdata och hjälpa till att lösa.
  2. Om en byrå var under attack kunde US-CERT Watch snabbt titta på andra byråflöden för att avgöra om den var övergripande eller isolerad.

Den 20 november 2007, "i enlighet med" ett memo från Office of Management and Budget (OMB), krävdes EINSTEIN version 2 för alla federala myndigheter , förutom försvarsdepartementet och United States Intelligence Community- byråer i den verkställande grenen .

Adoption

EINSTEIN utplacerades 2004 och var fram till 2008 frivillig. År 2005 deltog tre federala myndigheter och finansiering var tillgänglig för sex ytterligare utbyggnader. I december 2006 deltog åtta byråer i EINSTEIN och 2007 antog DHS själva programavdelningen över hela programmet. År 2008 var EINSTEIN utplacerad på femton av de nästan sexhundra byråer, avdelningar och webbresurser i den amerikanska regeringen.

Funktioner

När det skapades var EINSTEIN "en automatiserad process för att samla in, korrelera, analysera och dela datasäkerhetsinformation över den federala civila regeringen." EINSTEIN skyddar inte den privata sektorns nätverksinfrastruktur. Såsom beskrevs 2004 är dess syfte att "underlätta att identifiera och reagera på cyberhot och attacker, förbättra nätverkssäkerheten, öka motståndskraften hos kritiska, elektroniskt levererade statliga tjänster och förbättra internets överlevnadsförmåga."

EINSTEIN utformades för att lösa de sex vanliga säkerhetsbristerna som samlades in från federala myndigheters rapporter och identifierades av OMB i eller före dess rapport för 2001 till den amerikanska kongressen. Dessutom behandlar programmet upptäckt av datormaskar , anomalier i inkommande och utgående trafik, konfigurationshantering samt trendanalys i realtid som US-CERT erbjuder till amerikanska avdelningar och byråer på "health of the Federal.gov-domän". EINSTEIN utformades för att samla in sessionsdata inklusive:

US-CERT kan be om ytterligare information för att hitta orsaken till avvikelser EINSTEIN hittar. Resultaten av US-CERT:s analys lämnas sedan till myndigheten för disposition.

EINSTEIN 2

Under EINSTEIN 1 fastställdes det att de civila myndigheterna inte visste hela vad deras registrerade IPv4-utrymme inkluderade. Detta var uppenbarligen ett säkerhetsproblem. När väl en byrås IPv4-utrymme validerats stod det omedelbart klart att byrån hade fler externa Internetanslutningar eller gateways än vad som rimligen kunde instrumenteras och skyddas. Detta gav upphov till OMB:s TIC, Trusted Internet Connections" Initiative. Tre begränsningar för EINSTEIN som DHS försöker åtgärda är det stora antalet åtkomstpunkter till amerikanska byråer, det låga antalet byråer som deltar och programmets "bakåtblickande arkitektur". Ett OMB "Trusted Internet Connections"-initiativ förväntades minska regeringens 4 300 åtkomstpunkter till 50 eller färre i juni 2008. Efter att byråer minskat åtkomstpunkterna med över 60 % och begärt mer än sitt mål, återställde OMB sitt mål till senare delen av 2009 med antalet som ska fastställas. En ny version av EINSTEIN planerades för att "samla in nätverkstrafikflödesdata i realtid och även analysera innehållet i viss kommunikation, leta efter skadlig kod, till exempel i e-postbilagor. "Utbyggnaden är känd för att vara en av åtminstone nio åtgärder för att skydda federala nätverk.

Den nya versionen, kallad EINSTEIN 2, kommer att ha ett "system för att automatiskt upptäcka skadlig nätverksaktivitet och skapa varningar när den utlöses". EINSTEIN 2 kommer att använda "den minimala mängden" som krävs av fördefinierade attacksignaturer som kommer från interna, kommersiella och offentliga källor. EINSTEIN 2-sensorn övervakar varje deltagande byrås internetåtkomstpunkt, "inte strikt ... begränsad till" betrodda internetanslutningar, med både kommersiell och statligt utvecklad programvara. EINSTEIN skulle kunna förbättras för att skapa ett system för tidig varning för att förutsäga intrång.

US-CERT kan dela EINSTEIN 2-information med "federala verkställande organ" enligt "skrivna standardförfaranden" och endast "i sammanfattande form". Eftersom US-CERT inte har något underrättelse- eller brottsbekämpande uppdrag kommer det att meddela och tillhandahålla kontaktinformation till "lagsbekämpande, underrättelsetjänst och andra myndigheter" när en händelse inträffar som faller under deras ansvar.

EINSTEIN 3

Version 3.0 av EINSTEIN har diskuterats för att förhindra attacker genom att "skjuta ner en attack innan den träffar sitt mål." NSA går framåt för att starta ett program känt som "EINSTEIN 3", som kommer att övervaka "statlig datortrafik på privata webbplatser." (AT&T betraktas som den första webbplatsen för den privata sektorn.) Programplanen, som utarbetades under Bush-administrationen, är kontroversiell, med tanke på NSA:s historia och den avlyssningsskandalen som inte har rätt till. Många DHS-tjänstemän fruktar att programmet inte bör gå vidare på grund av "osäkerhet om huruvida privata data kan skyddas från obehörig granskning." Vissa tror att programmet kommer att invadera privatlivet för mycket.

Integritet

screenshot of a booklet PDF with seal and lettering
Integritetskonsekvensbedömningen för EINSTEIN version 2 beskriver programmet i detalj.

I Privacy Impact Assessment (PIA) för EINSTEIN 2 publicerad 2008, gav DHS ett allmänt meddelande till personer som använder amerikanska federala nätverk. DHS antar att internetanvändare inte förväntar sig sekretess i "Till"- och "Från"-adresserna i deras e-post eller i "IP-adresserna till de webbplatser de besöker" eftersom deras tjänsteleverantörer använder den informationen för routing. DHS förutsätter också att människor har åtminstone en grundläggande förståelse för hur datorer kommunicerar och känner till gränserna för deras integritetsrättigheter när de väljer att komma åt federala nätverk. Privacy Act från 1974 gäller inte för EINSTEIN 2-data eftersom dess registersystem i allmänhet inte innehåller personlig information och därför inte indexeras eller frågas efter namnen på enskilda personer. En PIA för den första versionen finns också tillgänglig från 2004.

DHS söker godkännande för ett EINSTEIN 2-lagringsschema där flödesposter, varningar och specifik nätverkstrafik relaterad till en varning kan bibehållas i upp till tre år, och om, till exempel i fallet med en falsk varning, data anses anses orelaterat eller potentiellt samlat in av misstag, kan det raderas. Enligt DHS integritetsbedömning för US-CERT:s 24x7 Incident Handling and Response Center 2007, tillhandahålls US-CERT-data endast till de auktoriserade användare som "behöver känna till sådana uppgifter för affärs- och säkerhetsändamål", inklusive säkerhetsanalytiker, systemadministratörer och vissa DHS-entreprenörer. Incidentdata och kontaktinformation delas aldrig utanför US-CERT och kontaktinformationen analyseras inte. För att säkra sina data påbörjade US-CERT:s centrum en DHS-certifierings- och ackrediteringsprocess i maj 2006 och förväntades slutföra den under första kvartalet av räkenskapsåret 2007. I mars 2007 hade centret inget lagringsschema som godkänts av National Archives och Records Administration och tills den gör det, har inget "dispositionsschema" - dess "poster måste anses permanenta och ingenting får raderas". I april 2013 hade DHS fortfarande inget lagringsschema men arbetade "med NPPD:s registeransvariga för att utveckla dispositionsscheman". En uppdatering publicerades i maj 2016.

2020 federala regeringens dataintrång

Einstein misslyckades med att upptäcka dataintrånget från USA:s federala regering 2020 .

Se även

externa länkar

Hämtad från " https://en.wikipedia.org/w/index.php?title=Einstein_(US-CERT_program)&oldid=1124680066 "