CISA的爱因斯坦（Einstein）系统可以监控美国机构中耗资数十亿美元的网络中的不良行为者，却错过了SolarWinds骇客活动，该行如今将NIH列为受害者

当俄罗斯黑客首次将他们的数字特洛伊木马放入联邦政府的计算机系统中时（大概在春季的某个时候），他们处于休眠状态数天，除了躲藏之外什么也没做。然后，恶意代码迅速采取行动，并开始与外界进行通信。

那时，俄罗斯恶意软件开始从联邦服务器向黑客操作的命令控制计算机发送传输信息，这为人们提供了被发现的机会，这就像敌方路线背后的人类间谍在无线电回家报告自己的情报时特别脆弱。找到了。

为何然后，当国务院和其他联邦机构的计算机网络开始向俄罗斯服务器发出信号时，美国政府没有人注意到正在发生奇怪的事情？

这个俄罗斯人本月被他们入侵的一家网络安全公司发现了，但他们的行为很好。在通过破坏广泛使用的网络监视软件的补丁程序启动黑客攻击之后，黑客们躲藏起来，抹去了自己的踪迹，并通过美国的IP地址而不是例如莫斯科的IP地址进行通信，以最大程度地减少怀疑。

黑客还精明地使用了新颖的恶意代码，这些代码显然逃避了美国政府数十亿美元的检测系统爱因斯坦，该系统专注于发现已知恶意软件的新用途，还可以检测到以前的黑客使用的互联网部分的连接。

但由国土安全部网络安全和基础设施安全局（CISA）运营的爱因斯坦没有能力找到新颖的恶意软件或Internet连接，尽管政府责任办公室（Government Accountability Office）2018年的一份报告暗示，建设这种能力可能是一项明智的投资。一些私人网络安全公司会进行这种类型的“搜索”，以寻找可疑的通信（也许是服务器以前从未连接过的IP地址），而爱因斯坦则没有。

“可以说，爱因斯坦的设计不当，”乔治·W·布什和特朗普政府的高级网络安全官员托马斯·博塞特说。 “但这是管理上的失败。”

CISA发言人萨拉·森德克（Sara Sendek）说，这些违规事件可以追溯到3月，并且没有被任何入侵检测或预防系统发现。 Sendek说，一旦CISA收到有关活动的指标，它将它们加载到爱因斯坦，以帮助确定代理网络上的违规行为。

联邦政府已投入巨资来保护其众多计算机，特别是自2015年发现中国破坏性人事管理办公室的程度以来，超过2000万联邦雇员及其他人拥有其个人信息，包括社会安全号码，妥协。

但是，最近几天发现的今年以来长达数月的联邦网络黑客攻击揭示了新的漏洞，并突显了一些先前已知的漏洞，包括联邦政府对广泛使用的商业软件的依赖，该软件为民族国家的黑客提供了潜在的攻击载体。

美国联邦调查局（FBI）和国土安全部（DHS）正在调查违规行为的范围和性质，情报官员认为这是由俄罗斯外国情报局（SVR）进行的。参议员理查德·布卢门撒尔（D-Conn。）周二公开表示了同样的认可，并在推特上说，参议院收到了“关于俄罗斯网络攻击的分类简报，这使我深感震惊，实际上是彻头彻尾的恐惧”。

据报道，俄罗斯人首先入侵了德克萨斯州的网络监控软件制造商SolarWinds，然后进入了自动更新程序，然后联邦政府和其他地方的网络管理员定期安装该程序以保留其系统，从而进入了联邦系统。当前。该公司报告说，全球有近18,000名客户受到影响。

更广泛地说，这次黑客攻击突显了政府的网络监控系统在检测通过新编写的恶意代码传递到与先前不属于已知网络攻击的服务器的恶意代码传递的威胁方面的努力。这是包括俄罗斯在内的先进民族国家黑客有时所做的事情-大概是因为它使入侵更难被发现。

虽然已经很清楚，已经有越来越多的机构被入侵，包括国务院，财政部，国土安全和商务部以及国立卫生研究院，但黑客入侵的范围仍然未知。他们是北美，欧洲，亚洲和中东地区的咨询，技术，电信以及石油和天然气公司的受害者。

五角大楼发言人周二在评估正在蔓延的部门是否进行过入侵，如果这样做的话，可能产生什么影响。

官员说，电子邮件是黑客的目标之一。尽管目前尚不清楚俄罗斯人打算如何处理这些信息，但他们的受害者（包括国务院各部门）提出了一系列动机。

在纽约州，他们可能想知道决策者在影响俄罗斯战略利益的地区和问题上的计划是什么。在美国财政部，他们可能已经寻求对俄罗斯潜在的美国制裁目标的见解。在NIH，他们可能对与冠状病毒疫苗研究有关的信息感兴趣。

随着调查工作的继续，尽管多年来俄罗斯和中国间谍的破坏性攻击以及联邦在防御性技术上的重大投资，但一些立法者仍专注于调查为何以及如何未能实现联邦网络安全工作。

由DHS开发，现在由CISA运营的爱因斯坦原本是联邦保护民用机构计算机的骨干力量，但2018年GAO报告发现了明显的弱点。

报告称，计划“识别任何可能表明网络安全受损的异常情况”的能力将在2022年部署。它还说，由单个机构进行的网络监视是不完整的。在接受调查的23个联邦机构中，有5个“未监视与外部实体的入站或出站直接连接”，还有11个“未持续监视入站的加密流量”。 8个“未持续监视出站加密流量”。

参议院情报委员会成员罗恩·怀登（D-Ore。）表示：“国土安全部在网络防御上花费了数十亿美元的纳税人，而它所得到的只是柠檬的名字。” “尽管受到政府监管机构的警告，但该主管部门未能及时部署必要的技术，以识别可疑流量并使用新工具和新服务器来捕获黑客。”

负责乔治·W·布什（George W. Bush）政府最初的爱因斯坦概念的博塞特（Bossert）说，这个想法是将主动传感器放置在该机构的互联网网关上，该网关可以识别并消除恶意的命令和控制流量。他说：“但布什，奥巴马和特朗普政府没有设计爱因斯坦来充分发挥其潜力。”

CISA官员在周一晚上的电话会议上告诉国会工作人员，该系统没有能力标记正在发信号通知其俄罗斯主人的恶意软件。

一位官员说，官员们说，联邦机构没有向CISA提供识别不应该与外界交流的机构服务器所需的信息，他在不愿透露姓名的情况下讨论敏感问题。

助手说：“对CISA来说，所有内部代理计算机看起来都是一样的，因此爱因斯坦只标记已知恶意软件或与“已知不良” IP地址的连接的样本。

其他网络安全专家说，这些违规事件突显了政府迫切需要能够对事件进行深入调查的政府董事会，例如涉及SolarWinds的事件，其损坏的补丁程序导致了折中—至关重要的是，将报告公开了。

斯坦福大学互联网天文台负责人Alex Stamos说：“我们需要人们阅读报告，然后说，'哦，哇，我们需要保护我们的[软件开发]渠道。”他之前曾是Facebook和Yahoo的首席安全官。

他说，在这个领域中有“数百或数千家公司”可能存在安全漏洞，而不为人所知。这些公司进行网络监控，IT管理和日志聚合。 Stamos说：“企业IT是一个2万亿美元的市场。” “没有机构负责确保其安全性。”