美国政府网络防御姿态从被动转向主动
全力推动建设联邦政府EDR安全平台,提高美国政府网络安全漏洞和威胁的可见性与检测,将网络防御从被动姿态转向主动姿态。
2021年10月8日,美国白宫管理与预算办公室(OMB)发布备忘录(M-22-01),通过部署端点检测与响应(EDR)改进联邦政府系统的网络安全漏洞和事件检测。
在遭受SolarWinds等事件后,美国总统拜登发布第14028号行政令,要求联邦机构部署EDR解决方案,支撑主动检测联邦政府基础设施内的网络安全事件,并进行网络狩猎、遏制、补救以及事件响应。根据该要求,管理与预算办公室发布了M-22-01备忘录。
本备忘录将为各联邦机构提供指引,加快推动部署EDR解决方案。具体而言,将通过集体努力实现第14028号行政令提到的三大目标:
- 提高机构对其网络上网络安全事件的早期检测、响应和补救能力;
- 实现机构内部跨部门/局/子机构的企业级可见性;
- 通过CISA部署的集中式EDR实现整个联邦政府信息系统的主机级可见性、归因和响应。
管理与预算办公室认为,EDR将端点数据实时连续监控和收集、基于规则的自动响应与分析能力相结合,相比传统解决方案,在应对高级网络威胁上提供了更高的可见性,并是过渡到零信任体系的重要组成部分。
管理与预算办公室要求,在90天内,联邦机构必须向CISA提供已部署EDR的访问权,或商议确定未来的方案。当联邦机构处于部署和完善EDR解决方案阶段时,需要在120天内与CISA商议分析,确定现有EDR部署的差距,评估当前能力状况并进行改进,确保最终与CISA技术参考架构一致,能从最广泛的终端收集到必要数据。
相应的在监管侧,管理与预算办公室也对CISA提出了要求。在90天内,CISA需要制定一个持续性能监测流程,帮助各联邦机构确保EDR的部署和运行能够检测和应对常见威胁;CISA需要向管理与预算办公室提交进一步加快推动全体联邦政府EDR部署工作的建议;CISA需要发布EDR技术参考架构和成熟度模型。在180天内,CISA需要与联邦CIO委员会协调,制定EDR解决方案部署最佳实践手册。
按照备忘录要求,最终各联邦机构将部署符合CISA技术参考架构的EDR解决方案,为EDR提供适当的经费和人员支持,并向CISA提供访问权,实现主动威胁狩猎能力与对高级威胁的协调响应。
集中式EDR与EINSTEIN、CDM的关系
这份备忘录分为两部分,一部分是各联邦机构部署和完善符合要求的EDR解决方案,另一部分则是CISA部署集中式EDR,通过收集各联邦机构EDR的数据,从而实现联邦级别的主机级可见性、归因和响应。
从上文描述来看,备忘录中提到由CISA部署的集中式EDR,和CISA目前正在运营的爱因斯坦(EINSTEIN)项目、连续诊断与缓解(CDM)项目似乎功能类似,都是针对联邦机构收集安全数据,提供态势感知、分析处置等防护能力。
其实不然,集中式EDR与爱因斯坦、连续诊断与缓解项目互为补充。爱因斯坦、连续诊断与缓解是传统的被动防御产品,只能应付已知安全威胁(比如安全厂商更新了拦截规则),难以应付从未披露过/高隐蔽性的攻击事件。而集中式EDR通过收集全量终端安全数据,提供了更高级别的可见性,令分析师更有机会发现高级威胁攻击。
具体来说,爱因斯坦项目在网络层拦截已知恶意攻击(不太兼容云环境);连续诊断与缓解项目是被动防御体系,提供资产管理、身份和访问管理、网络流量管理、敏感数据保护四个方面的防护能力;集中式EDR在终端层识别和拦截攻击,补全了网络内部的视角。
解读:
美国联邦政府网络防御将迈入主动姿态
目前,备忘录只是提出了联邦机构全面部署EDR解决方案的阶段性目标,但部署并不能有效应对高级威胁,还需要高水平的安全专家持续进行运营。
从CDM项目的经验来看,这可能还是一场长期攻坚战。2020年8月,美国政府问责局(GAO)对联邦机构CDM项目实践进行审查,发现竟没有一家联邦机构满足CDM运行的关键要求,多方面的缺陷导致收集数据质量变差,使得机构的CDM控制面板和网络安全评分的作用大幅降低。
尽管如此,这也是一次安全能力上的跃迁。通过全面部署EDR,将大幅提高美国政府网络安全漏洞和威胁的可见性与检测,将网络防御从被动姿态转向主动姿态。
参考资料
OMB M-22-01
https://www.whitehouse.gov/wp-content/uploads/2021/10/M-22-01.pdf
美国总统拜登《关于改善国家网络安全的行政令》全文翻译
https://www.secrss.com/articles/31267
如何提高SOC事件响应能力?美国白宫提出明确要求
https://www.secrss.com/articles/34075
美国联邦政府态势感知项目 (CDM) 实践的不足与改进
https://www.secrss.com/articles/25538
