Представители Счетной палаты США провели аудит амбициозной разработки Министерства национальной безопасности – брандмауэра Einstein, созданного еще в 2003 году. Брандмауэр также известен под именем Национальной системы киберзащиты (National Cybersecurity Protection System, NCPS), и правительство инвестировало в его создание 5,7 миллиардов долларов. Тем парадоксальнее выглядят результаты проверки: Einstein сумел распознать только 6% угроз.

Официальный отчет Счетной палаты поражает воображение. В прошлом году Einstein подвергся ряду тестов, которые выявили, что хваленая система, призванная защитить федеральные ведомства от вторжений и атак, в текущем виде никуда не годится. Брандмауэр успешно обнаружил только 29 из 489 уязвимостей, из числа CVE, зафиксированных в 2014 году. Баги искали в наиболее популярных приложениях, то есть: Adobe Flash, Adobe Acrobat, Oracle Java, Microsoft Office и Internet Explorer.

В ходе исследований выяснилось, что Einstein не способен мониторить веб-трафик для выявления вредоносного контента, не может распознать в системе малварь, не может мониторить облачные сервисы. По сути, сейчас NCPS слеп и предлагает банальное обнаружение угроз, основанное на поиске по известным сигнатурам, вместо мониторинга необычной активности. Однако информацию о CVE брандмауэр не получает автоматически. Система вообще не интегрирована с базой Национального института стандартов и технологий (NIST) и Национальной базой уязвимостей (NVD).

Таким образом, Einstein, который должен обнаруживать атаки при помощи 228 «датчиков», расположенных в стратегических местах правительственной сети США, сейчас работает с безнадежно устаревшей базой сигнатур.  Хотя официально Министерство национальной безопасности сообщало, что Einstein свободно оперирует 9000 сигнатур, на деле оказалось, что сигнатур всего 2300 и более 65% устарели.

В итоге аудиторы порекомендовали Министерству национальной безопасности США обновить инструмент, при помощи которого Einstein работает с базами уязвимостей, добавив поддержку баз NIST и NVD. Кроме того, аудиторы постановили, что брандмауэру не помешает интеграция с программой Continuous Diagnostics and Mitigation, чтобы система обнаружения вторжений в режиме реального времени могла заработать нормально. Сейчас Einstein, фактически, способен проверять только почтовый трафик, а веб-трафик находится все зоны его компетенции. Также было рекомендовано создать метрики, которые помогут отслеживать актуальность сигнатур и состояние баз уязвимостей. Это должно предотвратить возникновение подобных ситуаций в будущем.

Фото: Koplitz/FEMA photo



1 комментарий

  1. LiR1n

    03.02.2016 at 23:37

    Бюджет, как оказалось, не только в нашей стране распиливается.

Оставить мнение