Einstein (programa US-CERT) - Einstein (US-CERT program)

EINSTEIN (também conhecido como Programa EINSTEIN ) era originalmente um sistema de detecção de intrusão que monitora os gateways de rede de departamentos e agências governamentais nos Estados Unidos em busca de tráfego não autorizado. O software foi desenvolvido pela United States Computer Emergency Readiness Team (US-CERT), que é o braço operacional da National Cyber ​​Security Division (NCSD) do Departamento de Segurança Interna dos Estados Unidos (DHS). O programa foi originalmente desenvolvido para fornecer " consciência situacional " para as agências civis. Enquanto a primeira versão examinou o tráfego de rede e as versões subsequentes examinaram o conteúdo, a versão atual do EINSTEIN é significativamente mais avançada.

Mandato

A Estratégia Nacional para a Segurança do Ciberespaço (fevereiro de 2003) apresentou o novo Departamento de Segurança Interna dos Estados Unidos, em nível de gabinete, como a principal agência de proteção de TI .

EINSTEIN é o produto das ações presidenciais e do Congresso dos Estados Unidos no início dos anos 2000, incluindo o E-Government Act de 2002, que buscava melhorar os serviços do governo dos Estados Unidos na Internet.

Então, de onde veio o nome EINSTEIN? Durante a formação inicial do programa, o programa era denominado SAP, que significava Programa de Conscientização Situacional. Infelizmente, SAP não é a melhor sigla para um programa governamental de segurança cibernética e houve a necessidade de mudar isso para algo diferente. Pendurado no escritório de Rob Pate no Edifício GSA em Washington, DC na 7th and D Street (escritórios iniciais do FedCIRC e do recém-formado US-CERT) estava um pôster de Albert Einstein. A equipe estava procurando um novo nome e a decisão de usar o nome EINSTEIN foi tomada por Rob Pate, Sean McAllister e Mike Witt.

O mandato da EINSTEIN teve origem na Homeland Security Act e na Federal Information Security Management Act , ambos em 2002, e na Diretiva Presidencial de Segurança Interna (HSPD) 7, emitida em 17 de dezembro de 2003.

O Federal Computer Incident Response Capability (FedCIRC) era um dos quatro centros de vigilância que protegiam a tecnologia da informação federal quando o E-Government Act de 2002 o designou como o principal centro de resposta a incidentes. Com o FedCIRC em seu núcleo, o US-CERT foi formado em 2003 como uma parceria entre o recém-criado DHS e o Centro de Coordenação CERT, que fica na Carnegie Mellon University e é financiado pelo Departamento de Defesa dos EUA . O US-CERT forneceu o EINSTEIN para atender aos requisitos legais e administrativos de que o DHS ajuda a proteger as redes federais de computadores e o fornecimento de serviços governamentais essenciais. O EINSTEIN foi implementado para determinar se o governo estava sob ataque cibernético. O EINSTEIN fez isso coletando dados de fluxo de todas as agências civis e comparando esses dados de fluxo a uma linha de base.

1. Se uma agência relatou um evento cibernético, o Vigilante 24/7 no US-CERT poderia examinar os dados de fluxo de entrada e auxiliar na resolução.
2. Se uma agência estivesse sob ataque, o US-CERT Watch poderia rapidamente examinar os feeds de outras agências para determinar se ela era generalizada ou isolada.

Em 20 de novembro de 2007, "de acordo com" um memorando do Office of Management and Budget (OMB), a versão 2 do EINSTEIN era exigida para todas as agências federais , exceto as agências do Departamento de Defesa e da Comunidade de Inteligência dos Estados Unidos no ramo executivo .

Adoção

O EINSTEIN foi implantado em 2004 e até 2008 era voluntário. Em 2005, três agências federais participaram e o financiamento estava disponível para seis implantações adicionais. Em dezembro de 2006, oito agências participavam do EINSTEIN e, em 2007, o próprio DHS estava adotando o programa em todo o departamento. Em 2008, o EINSTEIN foi implantado em quinze das quase seiscentas agências, departamentos e recursos da Web do governo dos EUA.

Características

Quando foi criado, o EINSTEIN era "um processo automatizado para coletar, correlacionar, analisar e compartilhar informações de segurança de computador em todo o governo civil federal". EINSTEIN não protege a infraestrutura de rede do setor privado. Conforme descrito em 2004, seu objetivo é "facilitar a identificação e a resposta a ameaças e ataques cibernéticos, melhorar a segurança da rede, aumentar a resiliência de serviços governamentais críticos fornecidos eletronicamente e aumentar a capacidade de sobrevivência da Internet".

O EINSTEIN foi projetado para resolver as seis deficiências de segurança comuns que foram coletadas de relatórios de agências federais e identificadas pelo OMB em ou antes de seu relatório de 2001 para o Congresso dos Estados Unidos. Além disso, o programa aborda a detecção de worms de computador , anomalias no tráfego de entrada e saída, gerenciamento de configuração, bem como análise de tendências em tempo real que o US-CERT oferece aos departamentos e agências dos EUA sobre a "saúde do domínio Federal.gov". EINSTEIN foi projetado para coletar dados de sessão, incluindo:

• Números do sistema autônomo (ASN)
• Tipo e código ICMP
• Comprimento do pacote
• Protocolo
• Identificação do sensor e status da conexão (a localização da fonte dos dados)
• Endereço IP de origem e destino
• Porta de origem e destino
• Informação da bandeira TCP
• Informações de carimbo de data / hora e duração

O US-CERT pode solicitar informações adicionais para encontrar a causa das anomalias encontradas pelo EINSTEIN. Os resultados da análise do US-CERT são então fornecidos à agência para destinação.

EINSTEIN 2

Durante o EINSTEIN 1, determinou-se que as agências civis não sabiam integralmente o que estava incluído em seu espaço IPv4 registrado. Obviamente, isso era uma preocupação de segurança. Assim que o espaço IPv4 de uma Agência foi validado, ficou imediatamente claro que a Agência tinha mais conexões de Internet externas ou Gateways do que poderia ser razoavelmente instrumentado e protegido. Isso deu origem à Iniciativa TIC, Trusted Internet Connections "do OMB. Três restrições ao EINSTEIN que o DHS está tentando abordar são o grande número de pontos de acesso para agências dos EUA, o baixo número de agências participantes e o" retrocesso do programa arquitetura ". Esperava-se que uma iniciativa de" Conexões de Internet confiáveis ​​"do OMB reduzisse os 4.300 pontos de acesso do governo para 50 ou menos até junho de 2008. Depois que as agências reduziram os pontos de acesso em mais de 60% e solicitaram mais do que sua meta, o OMB redefiniu sua meta para o com o número a apurar no final de 2009. Foi planeada uma nova versão do EINSTEIN para “recolher dados do fluxo do tráfego da rede em tempo real e também analisar o conteúdo de algumas comunicações, à procura de código malicioso, por exemplo em anexos de e-mail. “Sabe-se que a expansão é uma das nove medidas de proteção das redes federais.

A nova versão, denominada EINSTEIN 2, terá um "sistema para detectar automaticamente a atividade maliciosa na rede, gerando alertas quando esta for acionada". EINSTEIN 2 usará "a quantidade mínima" necessária de assinaturas de ataque predefinidas que virão de fontes internas, comerciais e públicas. O sensor EINSTEIN 2 monitora o ponto de acesso à Internet de cada agência participante, "não estritamente ... limitado a" Conexões de Internet confiáveis, usando software comercial e desenvolvido pelo governo. EINSTEIN poderia ser aprimorado para criar um sistema de alerta precoce para prever intrusões.

O US-CERT pode compartilhar informações do EINSTEIN 2 com "agências executivas federais" de acordo com "procedimentos operacionais padrão por escrito" e apenas "em forma resumida". Como o US-CERT não tem missão de inteligência ou aplicação da lei, notificará e fornecerá informações de contato para "agências de aplicação da lei, inteligência e outras agências" quando ocorrer um evento que seja de sua responsabilidade.

EINSTEIN 3

A versão 3.0 do EINSTEIN tem sido discutida para prevenir ataques, "derrubando um ataque antes que ele atinja seu alvo". A NSA está avançando para iniciar um programa conhecido como “EINSTEIN 3”, que monitorará “o tráfego de computadores do governo em sites do setor privado”. (A AT&T está sendo considerada o primeiro site do setor privado.) O plano do programa, que foi elaborado sob o governo Bush, é polêmico, dada a história da NSA e o escândalo de escutas telefônicas sem justificativa. Muitos funcionários do DHS temem que o programa não avance devido à "incerteza sobre se os dados privados podem ser protegidos do escrutínio não autorizado". Alguns acreditam que o programa invadirá demais a privacidade dos indivíduos.

Privacidade

A Avaliação de impacto de privacidade para EINSTEIN versão 2 descreve o programa em detalhes.

Na Avaliação de Impacto de Privacidade (PIA) para EINSTEIN 2 publicada em 2008, o DHS deu um aviso geral para pessoas que usam redes federais dos EUA. O DHS assume que os usuários da Internet não esperam privacidade nos endereços "Para" e "De" de seus e-mails ou nos "endereços IP dos sites que visitam" porque seus provedores de serviço usam essas informações para roteamento. O DHS também pressupõe que as pessoas tenham pelo menos uma compreensão básica de como os computadores se comunicam e conheçam os limites de seus direitos de privacidade ao escolherem acessar redes federais. A Lei de Privacidade de 1974 não se aplica aos dados EINSTEIN 2 porque seu sistema de registros geralmente não contém informações pessoais e, portanto, não é indexado ou consultado por nomes de pessoas individuais. Um PIA para a primeira versão também está disponível a partir de 2004.

O DHS está buscando a aprovação de um cronograma de retenção EINSTEIN 2 no qual registros de fluxo, alertas e tráfego de rede específico relacionado a um alerta podem ser mantidos por até três anos, e se, por exemplo, no caso de um alerta falso, os dados são considerados não relacionado ou potencialmente coletado por engano, ele pode ser excluído. De acordo com a avaliação de privacidade do DHS para o Centro de Manipulação e Resposta de Incidentes 24x7 da US-CERT em 2007, os dados da US-CERT são fornecidos apenas aos usuários autorizados que "precisam saber esses dados para fins comerciais e de segurança", incluindo analistas de segurança, administradores de sistema e determinados contratados do DHS. Os dados do incidente e as informações de contato nunca são compartilhados fora do US-CERT e as informações de contato não são analisadas. Para proteger seus dados, o centro US-CERT iniciou um processo de certificação e credenciamento DHS em maio de 2006 e espera-se concluí-lo até o primeiro trimestre do ano fiscal de 2007. Em março de 2007, o centro não tinha cronograma de retenção aprovado pelos Arquivos Nacionais e A Administração de Registros e até que isso aconteça, não tem "cronograma de descarte" - seus "registros devem ser considerados permanentes e nada pode ser excluído". Em abril de 2013, o DHS ainda não tinha cronograma de retenção, mas estava trabalhando "com o gerente de registros do NPPD para desenvolver cronogramas de disposição". Uma atualização foi lançada em maio de 2016.

Violação de dados do governo federal em 2020

Einstein não conseguiu detectar a violação de dados do governo federal dos Estados Unidos em 2020 .

Veja também

• Diretiva de Segurança Nacional
• Serviço de protocolo de Internet confiável gerenciado
• ADAMS , CINDER (DARPA)

Referências

links externos

• "Oree, William L. - Análise do sistema de detecção de intrusão EINSTEIN III da Equipe de Prontidão de Emergências de Computadores dos Estados Unidos (US CERT) e seu impacto na privacidade" (PDF) .
• US-CERT (19 de maio de 2008). "Avaliação de impacto de privacidade para EINSTEIN 2" (PDF) . Departamento de Segurança Interna dos EUA . Página visitada em 12/06/2008 .
• "Obrigado, Avaliação de Privacidade". Ausente ou vazio |url= ( ajuda )
• "Avaliação de impacto de privacidade para o Centro de Tratamento e Resposta a Incidentes 24 horas por dia, 7 dias por semana" (PDF) . Departamento de Segurança Interna dos EUA. 29 de março de 2007 . Página visitada em 14/05/2008 .
• "Einstein" . TechTarget . Página visitada em 14/05/2008 .