全力推動建設(shè)聯(lián)邦政府EDR安全平臺，提高美國政府網(wǎng)絡(luò)安全漏洞和威脅的可見性與檢測，將網(wǎng)絡(luò)防御從被動姿態(tài)轉(zhuǎn)向主動姿態(tài)。

　　2021年10月8日，美國白宮管理與預(yù)算辦公室（OMB）發(fā)布備忘錄（M-22-01），通過部署端點檢測與響應(yīng)（EDR）改進聯(lián)邦政府系統(tǒng)的網(wǎng)絡(luò)安全漏洞和事件檢測。

　　在遭受SolarWinds等事件后，美國總統(tǒng)拜登發(fā)布第14028號行政令，要求聯(lián)邦機構(gòu)部署EDR解決方案，支撐主動檢測聯(lián)邦政府基礎(chǔ)設(shè)施內(nèi)的網(wǎng)絡(luò)安全事件，并進行網(wǎng)絡(luò)狩獵、遏制、補救以及事件響應(yīng)。根據(jù)該要求，管理與預(yù)算辦公室發(fā)布了M-22-01備忘錄。

　　本備忘錄將為各聯(lián)邦機構(gòu)提供指引，加快推動部署EDR解決方案。具體而言，將通過集體努力實現(xiàn)第14028號行政令提到的三大目標：

　　提高機構(gòu)對其網(wǎng)絡(luò)上網(wǎng)絡(luò)安全事件的早期檢測、響應(yīng)和補救能力；

　　實現(xiàn)機構(gòu)內(nèi)部跨部門/局/子機構(gòu)的企業(yè)級可見性；

　　通過CISA部署的集中式EDR實現(xiàn)整個聯(lián)邦政府信息系統(tǒng)的主機級可見性、歸因和響應(yīng)。

　　管理與預(yù)算辦公室認為，EDR將端點數(shù)據(jù)實時連續(xù)監(jiān)控和收集、基于規(guī)則的自動響應(yīng)與分析能力相結(jié)合，相比傳統(tǒng)解決方案，在應(yīng)對高級網(wǎng)絡(luò)威脅上提供了更高的可見性，并是過渡到零信任體系的重要組成部分。

　　管理與預(yù)算辦公室要求，在90天內(nèi)，聯(lián)邦機構(gòu)必須向CISA提供已部署EDR的訪問權(quán)，或商議確定未來的方案。當聯(lián)邦機構(gòu)處于部署和完善EDR解決方案階段時，需要在120天內(nèi)與CISA商議分析，確定現(xiàn)有EDR部署的差距，評估當前能力狀況并進行改進，確保最終與CISA技術(shù)參考架構(gòu)一致，能從最廣泛的終端收集到必要數(shù)據(jù)。

　　相應(yīng)的在監(jiān)管側(cè)，管理與預(yù)算辦公室也對CISA提出了要求。在90天內(nèi)，CISA需要制定一個持續(xù)性能監(jiān)測流程，幫助各聯(lián)邦機構(gòu)確保EDR的部署和運行能夠檢測和應(yīng)對常見威脅；CISA需要向管理與預(yù)算辦公室提交進一步加快推動全體聯(lián)邦政府EDR部署工作的建議；CISA需要發(fā)布EDR技術(shù)參考架構(gòu)和成熟度模型。在180天內(nèi)，CISA需要與聯(lián)邦CIO委員會協(xié)調(diào)，制定EDR解決方案部署最佳實踐手冊。

　　按照備忘錄要求，最終各聯(lián)邦機構(gòu)將部署符合CISA技術(shù)參考架構(gòu)的EDR解決方案，為EDR提供適當?shù)慕?jīng)費和人員支持，并向CISA提供訪問權(quán)，實現(xiàn)主動威脅狩獵能力與對高級威脅的協(xié)調(diào)響應(yīng)。

　　集中式EDR與EINSTEIN、CDM的關(guān)系

　　這份備忘錄分為兩部分，一部分是各聯(lián)邦機構(gòu)部署和完善符合要求的EDR解決方案，另一部分則是CISA部署集中式EDR，通過收集各聯(lián)邦機構(gòu)EDR的數(shù)據(jù)，從而實現(xiàn)聯(lián)邦級別的主機級可見性、歸因和響應(yīng)。

　　從上文描述來看，備忘錄中提到由CISA部署的集中式EDR，和CISA目前正在運營的愛因斯坦（EINSTEIN）項目、連續(xù)診斷與緩解（CDM）項目似乎功能類似，都是針對聯(lián)邦機構(gòu)收集安全數(shù)據(jù)，提供態(tài)勢感知、分析處置等防護能力。

　　其實不然，集中式EDR與愛因斯坦、連續(xù)診斷與緩解項目互為補充。愛因斯坦、連續(xù)診斷與緩解是傳統(tǒng)的被動防御產(chǎn)品，只能應(yīng)付已知安全威脅（比如安全廠商更新了攔截規(guī)則），難以應(yīng)付從未披露過/高隱蔽性的攻擊事件。而集中式EDR通過收集全量終端安全數(shù)據(jù)，提供了更高級別的可見性，令分析師更有機會發(fā)現(xiàn)高級威脅攻擊。

　　具體來說，愛因斯坦項目在網(wǎng)絡(luò)層攔截已知惡意攻擊（不太兼容云環(huán)境）；連續(xù)診斷與緩解項目是被動防御體系，提供資產(chǎn)管理、身份和訪問管理、網(wǎng)絡(luò)流量管理、敏感數(shù)據(jù)保護四個方面的防護能力；集中式EDR在終端層識別和攔截攻擊，補全了網(wǎng)絡(luò)內(nèi)部的視角。

　　解讀：

　　美國聯(lián)邦政府網(wǎng)絡(luò)防御將邁入主動姿態(tài)

　　目前，備忘錄只是提出了聯(lián)邦機構(gòu)全面部署EDR解決方案的階段性目標，但部署并不能有效應(yīng)對高級威脅，還需要高水平的安全專家持續(xù)進行運營。

　　從CDM項目的經(jīng)驗來看，這可能還是一場長期攻堅戰(zhàn)。2020年8月，美國政府問責(zé)局（GAO）對聯(lián)邦機構(gòu)CDM項目實踐進行審查，發(fā)現(xiàn)竟沒有一家聯(lián)邦機構(gòu)滿足CDM運行的關(guān)鍵要求，多方面的缺陷導(dǎo)致收集數(shù)據(jù)質(zhì)量變差，使得機構(gòu)的CDM控制面板和網(wǎng)絡(luò)安全評分的作用大幅降低。

　　盡管如此，這也是一次安全能力上的躍遷。通過全面部署EDR，將大幅提高美國政府網(wǎng)絡(luò)安全漏洞和威脅的可見性與檢測，將網(wǎng)絡(luò)防御從被動姿態(tài)轉(zhuǎn)向主動姿態(tài)。

　　參考資料

　　OMB M-22-01

　　https://www.whitehouse.gov/wp-content/uploads/2021/10/M-22-01.pdf

　　美國總統(tǒng)拜登《關(guān)于改善國家網(wǎng)絡(luò)安全的行政令》全文翻譯

　　https://www.secrss.com/articles/31267

　　如何提高SOC事件響應(yīng)能力？美國白宮提出明確要求

　　https://www.secrss.com/articles/34075

　　美國聯(lián)邦政府態(tài)勢感知項目 （CDM） 實踐的不足與改進