为了保护联邦民间机构免受网络威胁,美国国土安全部(DHS)正准备部署一个更强大版本的爱因斯坦入侵检测系统,该系统旨在检测攻击和恶意软件,尤其是与电子邮件有关的攻击和恶意软件。但自从这个版本的爱因斯坦被国土安全部承认可以阅读电子内容,它引起了隐私方面的担忧。
国土安全部意识到这涉及隐私刚刚发布了一份"隐私影响评估"报告这个被称为“爱因斯坦3加速”(EINSTEIN 3 Accelerated)的入侵检测和预防系统,预计将作为一项由isp提供的托管安全服务,用于监控民用机构和行政分支部门(例如微软和微软)之间的“。gov”流量财政部.美国国土安全部表示,在某些情况下,“爱因斯坦3”可能会收集“个人身份信息”(PII),这种网络安全系统不仅会监视,还会通过阻断流量来防止威胁,以检测网络威胁或潜在的网络威胁。
(安全:顶级SSL VPN工具]
[更多:不带幽默感:这33句话绝对不能对运输安全管理局的工作人员说]
[相关:国土安全部局长纳波利塔诺:算法是解决安全、大数据难题的关键]
在4月19日公布的EINSTEIN 3的“隐私影响评估”中,国土安全部表示,已经建立了与PII相关的适当的隐私保护控制。国土安全部表示,它有相应的程序,分析员将知道如何“最小化(即覆盖、编辑或替换)对了解网络威胁没有必要的PII数据。”
但“爱因斯坦3”预计将包括包检查工具,“允许分析师查看威胁数据的内容,从而实现更全面的分析。”包捕获可能包含来自或与电子邮件或附件相关的类似pii恶意数据的信息,”国土安全部隐私影响评估指出。
“国土安全部只是利用这些信息来更好地识别针对计算机网络的已知或疑似网络威胁,”国土安全部隐私影响评估报告指出,主要联系人是国土安全部国家保护和计划理事会网络安全和通信办公室网络安全部署主任布兰登·古德和国土安全部代理首席隐私官乔纳森·康托尔。
在他们的隐私影响声明中,国土安全部承认,EINSTEIN 3的威胁防范能力“可能包括isp的深度包检测”。DHS将批准将指标移交给互联网服务提供商,以便在E3A中部署,以确保指标针对特定类型的流量,在数据收集要求方面不会过于宽泛。”
这些“指示器”预计将由isp配置为与模式匹配相关的“签名”,以检测“已知或可疑的恶意流量进出参与机构”。参与EINSTEIN 3的isp也被要求提交他们自己的“网络威胁指标”给国土安全部考虑。
根据DHS隐私影响评估报告,提供托管服务的ISP向DHS网络安全办公室提供的警报和其他信息“通常包含以下信息:警报的惟一ID、参与机构、产生警报的指示符/动作对、警报的数据和时间戳、netflow记录,以及(如果适用)与警报关联的隔离或捕获/存储数据的标识。”
预计参与的部门和机构将与国土安全部签署一份“谅解备忘录”,授权国土安全部应用这些入侵防御功能,并由国土安全部核实已识别的IP地址列表。史诗)说他们对爱因斯坦有疑问。
然而,一些隐私倡导组织,包括电子隐私信息中心(
“当政府将这些信息输入数据库时,我们并不完全确定这些信息的流向,”EPIC国内监控项目主管艾米·斯特帕诺维奇(Amie Stepanovich)说,她读过爱因斯坦3隐私影响评估报告。她指出,政府截获和整理任何收集到的数据的能力不仅包括官方业务,还包括截获的涉及个人联系的通信。
斯捷潘诺维奇说,秘密的爱因斯坦计划似乎是在所谓的“国家安全总统指令54”(NSPD-54)下运行的,这是一项由乔治·w·布什于2008年签署的网络安全指令,目前尚未公开其内容。她指出EPIC有正在进行的诉讼迫使政府将NSPD-54公布于众。
最初被称为国家网络安全保护系统的EINSTEIN项目始于2004年,是一种通过EINSTEIN 1从自愿参与的联邦行政机构自动收集计算机网络安全信息的方法。2008年推出的EINSTEIN 2进一步发展为“一个网络入侵检测系统,监控进出参与联邦行政机构的网络流量中的恶意活动”,以协助美国计算机应急小组(US-CERT)。这是根据美国国土安全部2012年1月3日发布的《爱因斯坦计划隐私合规审查》得出的结论。
根据美国国土安全部的报告,“爱因斯坦1号”和“爱因斯坦2号”仍在为各自不同的目的运行。EINSTEIN 1收集网络流量记录,它识别连接到联邦系统的计算机的源Internet协议(IP)地址,记录端口源、通信时间、联邦目的IP地址和其他协议信息。EINSTEIN 2利用基于已知恶意流量的自定义签名来检测攻击。美国国土安全部2012年1月的报告称,当自定义签名表明存在网络威胁时,EINSTEIN 2可以收集一些PII,包括电子邮件头部和邮件正文。美国国土安全部2012年1月的隐私合规审查表明,任何与网络威胁相关的收集的信息都将保留三年。
已经有一些由EINSTEIN 2收集的外部信息共享,包括与印度和以色列,DHS隐私办公室建议US-CERT规定哪些PII将在报告中共享,并在与所有外国合作伙伴的谅解备忘录中规定保留率。
国土安全部没有立即就“爱因斯坦”计划以及“爱因斯坦3号”何时部署进行讨论。隐私影响评估更新后的EINSTEIN 3有望成为在国土安全部指导下由isp提供的托管安全服务。
美国国土安全部国家保护与计划局网络安全和通信办公室在其公开发布的文件中明确表示
其他最近的公开信息也揭示了爱因斯坦的幕后故事。
美国总问责局(GAO)于今年2月发布了一份题为《网络安全:国家战略、角色和责任需要更好地界定和更有效地实施》的报告,报告称,53个联邦机构目前正在使用EINSTEIN 2入侵探测传感器。它没有说明是哪些。
美国政府问责局的网络安全报告说,“爱因斯坦2号”项目包括部署传感器,以检查进入联邦系统的互联网流量,以防止未经授权的访问和恶意内容。EINSTEIN 3的目标是“识别和描述恶意网络流量,以增强网络安全分析、态势感知和安全响应。”
根据GAO的报告,国土安全部的工作人员还表示,该部门“正在整合EINSTEIN 3加速(E3A)战略”,允许通过基于isp的托管安全服务加速部署入侵防御服务。
“根据国土安全部,E3A方法代表了一种从国土安全部转变以前的伙伴关系国家安全的实施国家安全局Agency-developed入侵国土安全部和商业提供者之间的技术合作商业入侵预防技术,利用“政府问责总署的报告。但并没有透露哪些互联网服务提供商或商业提供商与EINSTEIN 3合作。
美国政府问责局的报告说,迄今为止,爱因斯坦项目帮助国土安全部“提高了整个联邦政府活动的态势意识”,国土安全部“制定了绩效指标,以监测和跟踪各机构对爱因斯坦警报的反应”。例如,据说国土安全部会追踪某个机构何时对警报作出回应,以及每个警报的时间长度。
然而,美国政府问责局的报告指出,国土安全部要想在EINSTEIN中拥有完全有效的IDS/IPS还有很长的路要走。
政府问责局的报告说:“国土安全部表示,虽然它通过爱因斯坦项目在发展预测分析方面取得了进展,但在全面发展这一能力方面仍然面临挑战。”“国土安全部计划在2013财年第一季度之前,测试跨联邦机构和私人网络和系统的预测分析工具。”
美国政府问责局2013年2月的报告指出,2010年,美国国土安全部监察长报告称,US-CERT使用的工具不允许对网络流量进行实时分析。监察长建议国土安全部建立与联邦机构合作伙伴共享实时爱因斯坦信息的能力,以协助他们分析网络流量。监察长建议国土安全部建立与联邦机构合作伙伴共享实时爱因斯坦信息的能力,以协助他们分析和减轻事故。
据美国政府问责局称,在回应监察长报告时,国土安全部表示,虽然计划升级与多个利益相关方共享实时信息的能力,并更好地分析网络事件,但“这些能力预计要到2018财年才能全面投入使用。”
Ellen Messmer是国际数据集团(IDG)旗下出版物和网站N足球竞猜app软件etwork World的高级编辑,主要报道与信息安全相关的新闻和技术趋势。Twitter: MessmerE。电子邮件:emessmer@nww.com.