美国版超级防火墙身价近60亿,检测率仅达6%
作者:星期三, 二月 3, 20160

命名为爱因斯坦(Einstein)的美国政府防火墙并不像它名字显示的那样聪明。

640.webp (3)

美国审计署(GAO,General Accounting Office)发布的一份关于全国网络安全保护系统(NCPS,National Cybersecurity Protection System)的报告称,该系统仅“部分达标”。他们委婉地表示这玩意太烂。(编者注:从2009年开始,美国政府启动了全面国家网络空间安全计划–CNCI,爱因斯坦计划并入CNCI,并改名为NCPS。因此,NCPS等价于爱因斯坦计划。)

该系统的开发成本高达57亿美金,所有泄露出的信息都表明,它并不能监控互联网上的恶意内容,只能监控电子邮件。它无法发现系统上的恶意软件,也不能监控云服务。

该系统还携带了某种基于签名的威胁评估和入侵检测功能。该功能的终端只会傻傻地被动等着人来输入搜索目标,而不是主动检测不寻常的活动。这意味着它很容易遭到零日攻击。

这还没完。该系统背后的机构:美国国土安全部并没有给出评估该系统性能的任何方法,因此我们完全无法知晓它的工作情况到底是好还是坏。而且,它还无法与其它机构获取或共享信息,这让它基本成了一个睁眼瞎。

GAO指出,有23家机构要求部署该系统,但他们同时表示,这些机构的确将一些流量导向了该系统,但只有其中5家机构使用它来探测可能的入侵事件。

“产生这种情况的部分原因是国土安全部并未给各机构提供网络路由指南。因此,国土安全部很难保证该系统的有效性。”

这实际上是一个委婉的说法,意思是系统管理员不想和这个系统产生任何关系。

一些历史

爱因斯坦在2003年作为入侵检测的目的而诞生。其理念在于,自动化收集并分析联邦机构的 Web 流量。2009年,该系统的第二个版本搭载了程序指纹收集系统,使其在发现恶意指纹时能够发出警报。2013年,它的功能再次升级,可以根据国土安全部开发的指标,阻断接入或流出网络的数据。

尽管在2014年花费12亿美金,总花费达到57亿美金,该系统仍旧只能监控特定类别的网络数据包,这其中并不包括 Web 流量以及云服务。

它不搭载目标性极强的异常检测功能,该功能目前已经是中端入侵检测系统的标配。因此,该系统只能发现已经被确定并加入数据库的威胁。

报告称,该系统搭载了228个传感器,能够从整个 .gov 网络上获取信息。系统中包含9000个指纹,目前仅启用了其中的2300个。指纹的大多数来自于市场上公开销售的产品。

GAO显然不看好该系统。他们质问国土安全部,为何该系统如此不复杂(Unsophisticated)。国土安全部的文档和国家安全部官员的回答则官僚的很,他们称,“一直以来,NCPS都只是基于签名的入侵检测系统,因此并不具有部署多种入侵检测方法论的能力。”

更甚者,尽管国土安全部花费了数百万美元保护美国政府网络,他们并不认为保护美国政府网络是自己的工作。官员们对GAO表示:“保护自身网络和信息系统安全应当是所有机构的责任,而不仅仅属于国土安全部。我们的任务在于,提供基本的保护,提升政府人员的安全意识,这也是信息安全深度防御战略的一部分。”

系统实测情况

GAO尝试利用 Adobe Acrobat、Flash、IE、Java、微软 Office 中存在的489个漏洞,以测试该系统的性能。扫描器只检测并阻止了其中的29次漏洞利用,占总数的6%。

60亿美元换来6%的检测率,这钱花得很好嘛。

640.webp (4)

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章