政務安全大腦怎麼建?美國CDM專案剖析
導讀
美國持續診斷與緩解 (CDM)專案,是國土安全部(DHS)國家網路空間安全保護系統(NCPS)計劃三大專案之一。360智庫對CDM專案進行了深度研究和剖析。
1 專案背景
DHS認為要進行有效地網路安全風險管理需要進行縱深防禦。除了在邊界安全上部署愛因斯坦,還需要在聯邦政府網路內部部署CDM。
CDM專案有2個作用。一是使得各聯邦機構獲得對自身網路的態勢感知,認清風險,並優先處置重要的安全問題;二是通過國家統一運營中心(NCCIC),對聯邦政府各機構的安全態勢感知進行彙總,從國家層面及時、有效地識別系統性的安全風險。
CDM專案有4項關鍵能力。一是感測器實時向資料中心傳輸安全資料;二是實現分鐘級的安全脆弱性評估;三是實現全國及各聯邦機構的網路安全態勢評估;四是不斷降低美國聯邦政府機構的網路風險。
2 CDM專案四層架構
CDM專案採用A-B-C-D四層架構設計,如下圖所示。
A層分散式資訊收集。它包含安全資料收集工具和安全資料感測器,與底層硬體和軟體元件一起部署在聯邦機構的資訊系統基礎設施中。
B層資料整合與預處理。支援資料整合和規範化,為CMaaS(Continuous Management as a Service)資料收集系統編排操作控制點。
C層是機構資料中心。它是聯邦機構與聯邦資料中心唯一(權威)連線途徑,並從B層接收機構資料。
D層聯邦資料中心,是國家級資料中心。它儲存全國聯邦機構的安全資料,並向各聯邦機構下發標準和策略。
圖-1 A-B-C-D概念架構
在底層機構資料中心層面,安全人員將能夠識別、分析和解決優先順序漏洞。然後,聯邦資料中心將各底層機構的資料進行彙總。這些彙總資料將用於為整個聯邦機構的系統性網路安全風險做出戰略決策。
3 CDM專案建設四個階段
CDM專案共分為4個階段,目前剛剛進入第3階段。
圖-2 CDM四個發展階段
階段 1 ( 2013 年 -2015 年) 管資產: “ 網路上有什麼? ”
該階段收集網路資產4類資料,包括裝置資料、軟體資料、安全配置資料和軟體漏洞資訊。
階段 2 ( 2015 年 -2017 年) 管人: “ 誰在網路上? ”
該階段管理網路使用者4項內容,包括帳戶/訪問/託管許可權、人員訪問許可權可信度,憑據和身份驗證安全相關行為。
階段 3 ( 2017 年 - ) 管事件: “ 網路上發生什麼事? ”
該階段包含4項功能,包括網路事件響應,確保安全軟體發揮作用,網路操作和行為溯源,最終能夠處置安全事件並防止在網路中傳播。此階段從資產管理轉向更大規模和動態的安全控制監控
階段 4 管資料: “ 如何保護資料? ”
該階段基於收集的海量安全資料做評估,針對總體目標,持續識別網路安全風險,確定風險優先順序,確保率先解決最嚴重問題。 4 主要依託民營企業共建CDM專案
圖-3 民營企業參與CDM計劃
目前約有 130 多家民營企業參與到 CDM 計劃中。 第1階段,民營企業提供了7.3萬項技術和產品;第2階段,提供了2.5萬項技術和產品;將在第3階段提供6.8萬項技術和產品;將在第4階段提供7.7萬項技術和產品。對應CDM專案四層架構,典型企業及其提供的技術和產品如上圖所示。
2018年以來,美國 CDM 專案加大了吸納民營企業參與的力度。
2月,博思艾倫公司贏得6.21億美元的合同,成為CDM的主要承包商,共為13個聯邦部門和機構提供網路安全軟體,保護400萬臺計算機,針對事件響應和自動化提供技術支援。
2月,CACI公司贏得4.07億美元的合同,在機密和非機密IT運營環境中支援CDM,從而提高各種應用和系統的可用性和安全性。CDM服務將與更廣泛的DHS任務整合,並增強現有的部門範圍的IT功能。
7月,CGI公司獲得了5.3億美元的合同,專注於雲端計算安全防護。該公司業務涉及IT諮詢和外包服務及其相關產業。
8月,博思艾倫公司獲得10.3億美元的網路任務訂單,迄今為止是CDM專案中最大的任務訂單,用以支撐聯邦政府六大重要機構。該訂單主要為有權訪問敏感系統的機構員工建立更多保護措施,增加網路訪問控制,以及加強雲環境中的安全性。
8月,RedSeal公司獲得專案合同,負責漏洞管理和事件響應。在漏洞管理方面,結合掃描結果,進行漏洞優先順序評估;在事件響應方面,能夠識別風險,確定風險級別,判斷可能存在哪些系統風險。
9月,ManTech公司獲得6.68億美元的合同,面向9家CDM機構,提供移動安全、雲安全、網路安全以及加密服務。
5 建立我國的“CDM專案”啟示
借鑑美國CDM專案的先進做法,建議由政府部門牽頭,聯合我國網路安全領域具有技術優勢的民營企業,建立我國的“CDM專案”-政務安全大腦。
建立我國政府部門網路安全整體防禦系統 - 政務安全大腦。 我國政府部門網路安全防護還是比較碎片化、條塊分割,各守自己的“一畝三分地”,網路安全軟硬體系統之間互不相容,無法協同聯動,沒有形成防禦合力。建議由相關部門牽頭,面向全國政務網路,利用“大資料+人工智慧+專家智慧”,建設我國政務網路分散式智慧防禦系統,即“政務安全大腦”,實現對高階威脅的實時監測、智慧預警、自動處置和精準溯源。
國家層面統一網路安全大資料。目前終端和網路上的網路安全裝置種類及品牌五花八門,大家都只掌握自己的區域性資訊,也只關心區域性的安全問題,安全資訊無法有效共享,安全大資料分散,無法感知整個網路的態勢。建議由安標委牽頭設立安全大資料統一標準,便於資料共享和分析,或者統一安裝一套網路安全工具,將安全大資料上傳至政務安全大腦。
依託民營企業建設政務安全大腦。美國CDM專案之所以佈局周密、建設快、效果好,一個關鍵因素是投入大量資金,引入民營企業為其服務。僅是2018年1月至8月,美國就投入了33億美元建設CDM專案,平均每項合同金額不少於7億美元。目前,共有130多家全球領先的美國本土網路安全企業為CDM專案服務,已提供了15萬項核心技術和產品。建議我國由政府部門牽頭,吸納網路安全領軍民營企業的先進技術、產品和服務,高投入、高標準的來建設政務安全大腦。
宣告:本文來自360智庫,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。