文章目录
前言
爱因斯坦计划,其正式名称为“国家网络空间安全保护系统”(National Cybersecurity Protection System,简称NCPS),由美国国土安全部(DHS)下属的网络安全与基础设施安全局(CISA)负责设计、运行和协调。以DFI、DPI和DCI技术为抓手,以大数据技术为依托,以威胁情报为核心,实现对美国联邦政府民事机构互联网出口网络威胁的持续监测、预警、响应与信息共享,以提升联邦政府网络的态势感知能力和可生存性。
借助NCPS,美国联邦政府为其互联网侧态势感知构建起了四大能力:入侵检测、入侵防御、安全分析和信息共享。
一、CADS项目概述
随着攻击面日益扩大,攻击手法日趋复杂,现有的NCPS系统功能已经落后,架构也再难以扩展以满足新的需求。NCPS存在两个关键的缺陷:(一)前端难以检测未知威胁;(二)后端难以处理为实现全面可见性而引入的天量多源数据。因此,CISA从2021年开始启动了NCPS的替代计划——网络分析与数据系统(Cyber Analytics and Data System,简称CADS)。
CADS是一个系统之系统(system of system),它提供了一个强大且可伸缩的分析环境,能够集成数据集并提供工具和功能。CADS工具和能力将促进数据的摄取和集成,并通过对数据分析(过程)的编排和自动化,以支持快速识别、检测、缓解和阻断恶意网络活动。CADS 可为 CISA 的网络运行者提供现代化、可扩展、非密的分析基础设施。
(一)CADS的来源
CADS基于数据驱动安全的思想,采用云计算架构,应用DevSecOps的开发运营模式,通过基于数据虚拟化或联邦化的统一数据平台实现对包括各类入侵检测和防御信息、CDM信息、EDR信息、情境数据,以及安全情报在内的美国联邦机构内外部多源海量数据进行摄取、转换、存储和流转;对各种消费这些安全数据的网络运行工具进行智能编排,实现便捷灵活的自动化安全分析、自动化情报融合与共享;通过编排和自动化实现对攻击和恶意行为的阻断与缓解;通过基于DevSecOps的CI/CD管道,以及策略即代码的方式,使得运行团队能够快速集成并上线新的功能和安全内容。
(二)NCPS核心能力全部转入新的CADS项目
结合CISA2024财年预算申请,以及2024年3月份刚发布的2025财年预算申请,从2025财年开始,已经不再申请NCPS预算,原NCPS核心能力全部转入新的CADS项目中。具体转换如下:
1)CADS将替代现有NCPS的后端能力(安全分析和信息共享能力),并构建支撑新一代分析与共享能力的基于云和大数据的核心基础平台,以及基于这个平台的分析环境(Analytic Environment,简称AE),而原先NCPS后端中的各类分析工