「愛因斯坦」不聰明 美 60 億防火牆九成威脅無法偵測近乎零作用

中國有「防火長城」,原來美國也有「愛因斯坦」(EINSTEIN) 防火牆,而且投入了約 60 億美元資金研發及維持運作,不過其實力卻沒有如大家想像中的強勁。近日美國政府審計總署審計指這個由美國國土安全部運作的「愛因斯坦」防火牆,儘管所費不菲,但只能偵測到現時約 6% 最常見的安全漏洞,換言之剩下的 94% 的威脅均無法偵測,對零日攻擊毫無防禦力,完全失去了當初設立的目的。「愛因斯坦」防火牆似乎未能給出符合它名字的表現。

中國有「防火長城」,原來美國也有「愛因斯坦」(EINSTEIN) 防火牆,而且投入了 60 億美元資金研發及維持運作,不過其實力卻沒有大家想像中強勁。近日美國政府審計總署指這個由國土安全部運作的「愛因斯坦」防火牆,儘管所費不菲,但只能偵測到現時約 6% 的常見安全漏洞,剩下的 94% 的威脅均無法偵測,而且對零日攻擊毫無防禦力,完全無法達到當初設立的目標。「愛因斯坦」防火牆似乎未能給出符合它名字的表現。

 

耗資 60 億部署 「愛因斯坦」數據庫過時近乎零防禦力

「愛因斯坦」,美國官方正式名稱為國家網絡安全防禦系統 (National Cybersecurity Protection System, NCPS),投資 57 億美元研發,連同運作費用共投入約 60 億美元,現時由美國國土安全部 (US Department of Homeland Security, DHS) 使用並負責日常運作。

根據近日美國政府審計總署 (US Government Accountability Office, GAO) 公佈的報告指,經過去年的一系列測試,已在 2014 年 CVE 報告中揭露的 489 個安全漏洞中,「愛因斯坦」只能檢測到其中 29 個。這些漏洞主要影響五種美國政府電腦系統中常用的軟件,包括 Adobe Flash、Adobe Acrobat、Oracle Java、Microsoft Office 和 Internet Explorer。

GAO 解釋,其中一個原因是其特徵數據庫並未有覆蓋所有已確認的安全漏洞特徵,因為 DHS 部署在「愛因斯坦」內,用於管理和追踪入侵偵測特徵的軟件沒有具備自動擷取 CVE 資料的功能。問題亦在於「愛因斯坦」的設計並未考慮到系統與美國技術局旗下國家標準技術研究所 (National Institute of Standards and Technology, NIST) 的國家弱點數據庫 (National Vulnerability Database, NVD) 整合,令「愛因斯坦」無法自動同步最新確認的 CVE 資料,導致整個系統未能抵禦新型漏洞的攻擊。

「愛因斯坦」透過部署於美國政府網絡戰略位置的 228 個入侵偵測感應器運作,然而有超過 65% 的入侵偵測特徵(已確認病毒和漏洞代碼的數據指紋)已經過時;雖然 DHS 官方指「愛因斯坦」的數據庫共有 9,000 項相關特徵,但只有約 2,300 項實際部署到節點上應用。換言之,若受到零日漏洞攻擊,美國政府網絡恐怕毫無防禦能力可言。

 

只能過濾惡意電郵 美審計署建議盡快更新偵測系統

審計署建議 DHS 內部的電腦應急回應小組 (United States Computer Emergency Readiness Team, US-CERT) 盡快更新「愛因斯坦」的管理軟件,令其數據庫能包括已披露的漏洞及 NIST 的 NVD 數據庫內的開源資料。

另外亦建議小組研發實時入侵偵測系統,因為目前的「愛因斯坦」的監測功能極為缺乏,只能監測到電郵流量,至於網頁流量中的惡意內容,系統中的惡意軟件以及雲端服務均無法監測,因為其入侵偵測系統只是基於特徵碼檢測,連監測異常活動也做不到。

 

Source: NextGov  Softpedia  U.S. Government Accountability Office Homeland Security