Ейнштейн (програма)
Програма «Ейнштейн» (англ. EINSTEIN Program, або Einstein) — система виявлення вторгнень, яка захищає мережеві шлюзи вищих державних органів і установ США від несанкціонованого трафіку. Програмне забезпечення було розроблено комп'ютерною командою екстреної готовності США (US-CERT)[1], яка є оперативним підрозділом Національного управління кібербезпеки[2] міністерства внутрішньої безпеки США[3]. Програма була спочатку розроблена для забезпечення «ситуаційної обізнаності» для цивільних відомств. Перша версія системи протестувала мережевий трафік таким чином, що можна було відстежити зміст переданих даних[4].
Цілі і завдання
Програма «Ейнштейн» є елементом комплексу заходів, ужитих виконавчою та законодавчою гілками влади США на початку 2000-х років, включаючи Закон про електронний уряд 2002 рокуE-Government Act of 2002 з метою підвищення ефективності ІТ-технологій у сфері державного управління.
Програма «Ейнштейн» ґрунтується на Законі про внутрішню безпеку (англ. Homeland Security Act) і Законі про федеральному управлінні інформаційною безпекою (англ. Federal Information Security Management Act of 2002 2002 року і Директиві Президента з Національної Безпеки (HSPD) 7 від 17 грудня 2003 року[6].
Відповідно до Закону про електронний уряд 2002 року, в США було створено чотири центри захисту федеральних інформаційних систем, першим з яких став Федеральний центр реагування на комп'ютерні інциденти (англ. Federal Computer Incident Response Capability, FedCIRC)[7]. На базі FedCIRC в 2003 році була сформована Комп'ютерна команда екстреної готовності США (US-CERT) як партнерство між щойно створеним міністерством внутрішньої безпеки і Координаційним центром CERT, який розташований в університеті Карнегі-Меллон і фінансується міністерством оборони США[8]. Програма «Ейнштейн» була розроблена US-CERT, зокрема для того, щоб виявити, чи ведуться кібератаки на уряд США, що було здійснено шляхом аналізу мережного трафіку від усіх цивільних відомств і порівнянні його з трафіком в базовій лінії:
- якщо якесь урядове агентство або відомство повідомляє про інцидент, служба моніторингу US-CERT, діюча в форматі 24/7, може оцінити дані вхідного трафіку і допомогти у вирішенні інциденту;
- якщо якесь урядове агентство або відомство піддалося комп'ютерній атаці, служба моніторингу US-CERT може швидко перевірити канали інших відомств, щоб визначити, чи велася атака за всіма напрямами або була спрямована проти одного відомства.
20 листопада 2007 року, згідно з пам'яткою Бюро управління і бюджету (англ. Office of Management and Budget)[9], програма «Ейнштейн-2» була рекомендована для впровадження в усіх федеральних відомствах США, за винятком міністерства оборони і агентств розвідувального співтовариства[10].
Впровадження
Впровадження програми «Ейнштейн» у федеральних агентствах і відомствах США почалося в 2004 році і до 2008 року носило добровільний характер[11]. До 2005 року три федеральних агентства впровадили програму, до грудня 2006 року — вісім агентств, а до 2007 року міністерство внутрішньої безпеки запровадило програму в масштабах всього міністерства[12]. До 2008 року Ейнштейн був розгорнутий в п'ятнадцяти[13] з майже шестисот агентств і відомств уряду США[14].
Функціональні можливості
Згідно з документами міністерства внутрішньої безпеки, програма «Ейнштейн» при створенні являла собою «автоматизований процес збирання, зіставлення, аналізу та обміну інформацією в області комп'ютерної безпеки по всім установам федерального цивільного уряду.». Програма не була призначена для захисту мережевої інфраструктури приватного сектора[15]. Метою програми є сприяння виявленню та усуненню кіберзагроз та кібератак, підвищення безпеки мережі і відмовостійкості критично значимих державних послуг, що постачаються в електронному вигляді, а також підвищення живучості мережі Інтернет.".
Програма була розроблена для вирішення шести ключових проблем безпеки федеральних урядових мереж, які були зібрані з звітів федеральних агентств і представлені в доповіді Конгресу США 2001 року[16]. Крім того, програма «Ейнштейн» призначена для виявлення комп'ютерних черв'яків, аномалій вхідного і вихідного трафіку, управління конфігураціями мереж, а також аналізу в режимі реального часу тенденцій, які US-CERT доводить до агентств і відомств і установ для «благополуччя домену Federal.gov». Програма «Ейнштейн» здійснює збір даних, в тому числі:
- унікальних номерів автономних систем (ASN)
- типів і кодів ICMP
- довжин мережевих пакетів
- протоколів передачі даних
- ідентифікації розташування джерела даних і стану з'єднання
- IP-адрес джерела і призначення
- портів джерела і призначення
- інформації про прапор TCP
- інформації про timestamp і тривалості.
US-CERT може запитати додаткову інформацію для того, щоб знайти причину аномалій, виявлених програмою «Ейнштейн». Результати аналізу US-CERT передає у відомство, де виявлена аномалія, для прийняття відповідних заходів.
Примітки
- Privacy Impact Assessment: EINSTEIN Program
- About US-CERT. U.S. Department of Homeland Security. Архів оригіналу за 25 травня 2008. Процитовано 18 травня 2008.
- Miller, Jason (21 травня 2007). Einstein keeps an eye on agency networks. Federal Computer Week (1105 Media, Inc.). Архів оригіналу за 19 грудня 2007. Процитовано 13 травня 2008.
- Lieberman, Joe and Susan Collins (2 травня 2008). Lieberman and Collins Step Up Scrutiny of Cyber Security Initiative. U.S. Senate Homeland Security and Governmental Affairs Committee. Архів оригіналу за 12 січня 2009. Процитовано 14 травня 2008.
- The National Strategy to Secure Cyberspace (PDF). U.S. government via Department of Homeland Security. February 2003. с. 16. Архів оригіналу за 12 лютого 2008. Процитовано 18 травня 2008.
- Homeland Security Presidential Directive/Hspd-7 (прес-реліз). Office of the Press Secretary via whitehouse.gov. 17 грудня 2003. Процитовано 18 травня 2008.
- About E-GOV: The E-Government Act of 2002. U.S. Office of Management and Budget. Процитовано 16 травня 2008.
- Gail Repsher Emery and Wilson P. Dizard III (15 вересня 2003). Homeland Security unveils new IT security team. Government Computer News (1105 Media, Inc.). Процитовано 16 травня 2008.[недоступне посилання з Январь 2018]
- Johnson, Clay III (20 листопада 2007). Implementation of Trusted Internet Connections (TIC), Memorandum for the Heads of Executive Departments and Agencies (M-08-05) (PDF). Office of Management and Budget. Процитовано 18 жовтня 2010.
- US-CERT (19 травня 2008). Privacy Impact Assessment for EINSTEIN 2 (PDF). U.S. Department of Homeland Security. с. 4. Процитовано 12 червня 2008.
- Vijayan, Jaikumar (29 лютого 2008). Q&A: Evans says feds steaming ahead on cybersecurity plan, but with privacy in mind. Computerworld (IDG). Архів оригіналу за 2 травня 2008. Процитовано 13 травня 2008.
- Office of the Inspector General (June 2007). Challenges Remain in Securing the Nation’s Cyber Infrastructure (PDF). U.S. Department of Homeland Security. с. 12. Архів оригіналу за 15 травня 2008. Процитовано 18 травня 2008.
- Fact Sheet: U.S. Department of Homeland Security Five-Year Anniversary Progress and Priorities (прес-реліз). U.S. Department of Homeland Security. 6 березня 2008. Процитовано 18 травня 2008. Архівовано 2008-05-14 у Wayback Machine.
- Apart from 106 listings for «Website» or «Home Page», 486 listings appear in A-Z Index of U.S. Government Departments and Agencies. U.S. General Services Administration. Процитовано 18 травня 2008.
- Nakashima, Ellen (26 січня 2008). Bush Order Expands Network Monitoring: Intelligence Agencies to Track Intrusions. The Washington Post (The Washington Post Company). Процитовано 18 травня 2008.
- Office of Management and Budget (undated). FY 2001 Report to Congress on Federal Government Information Security Reform (PDF). Office of Information and Regulatory Affairs. с. 11. Процитовано 14 травня 2008.
Посилання
- US-CERT (19 травня 2008). Privacy Impact Assessment for EINSTEIN 2 (PDF). U.S. Department of Homeland Security. Процитовано 12 червня 2008.
- Privacy Impact Assessment for the 24x7 Incident Handling and Response Center (PDF). U.S. Department of Homeland Security. 29 березня 2007. Процитовано 14 травня 2008.
- Einstein. TechTarget. Процитовано 14 травня 2008.