再见！爱因斯坦计划，网安态势感知迎来转型

2023年初，当美国国土安全部（DHS）下面的网络与基础设施安全局（CISA）发布2024财年预算申请计划的时候，联合协作环境（Joint Collaborative Enviornment，简称JCE）和网络分析与数据系统（Cyber Analytics and Data System，简称CADS）公之于众，开启了对承担美国政府机构互联网侧网空安全态势感知任务的国家网空安全保护系统（NCPS，俗称为“爱因斯坦计划”）的。在当时，后认为，如果把原来的爱因斯坦计划划分为前端传感器（侧重检测）和后端平台（侧重分析）的话，新计划是对爱因斯坦的前后端进行分拆，后端平台从爱因斯坦中分拆出来重组为新的CADS，而前端传感器则继续保留在原来的爱因斯坦计划中。当时，在笔者脑海中，浮现的是一幅爱因斯坦前端传感器加CADS后端平台共同构成的态势感知全景图。

而当笔者看到了2024年3月份发布的CISA2025财年预算申请计划的时候，赫然发现从2025财年开始，美国政府已经完全将爱因斯坦计划下线了，不再申请任何预算！

仅仅一年时间，CISA就完成了从爱因斯坦（NCPS）到CADS的切换。在去年，笔者还敢称CADS为“新爱因斯坦”，而现在，觉得“爱因斯坦”这个词应该废弃了，因为变化真的太大了，属于代际变化，如果俗一点的话，可以称为是“美国联邦政府的新一代网络安全态势感知系统”吧。

先给出官方的CADS定义：CADS是一个系统之系统（system of system），它提供了一个强大且可伸缩的分析环境，能够集成数据集并提供工具和功能。CADS工具和能力将促进数据的摄取和集成，并通过对数据分析（过程）的编排和自动化，以支持快速识别、检测、缓解和阻断恶意网络活动。CADS 可为 CISA 的网络运行者提供现代化、可扩展、非密的分析基础设施。

以下则是笔者对CADS的解读：CADS基于数据驱动安全的思想，采用云计算架构，应用DevSecOps的开发运营模式，通过基于数据虚拟化或联邦化的统一数据平台实现对包括各类入侵检测和防御信息、CDM信息、EDR信息、情境数据，以及安全情报在内的美国联邦机构内外部多源海量数据进行摄取、转换、存储和流转；对各种消费这些安全数据的网络运行工具进行智能编排，实现便捷灵活的自动化安全分析、自动化情报融合与共享；通过编排和自动化实现对攻击和恶意行为的阻断与缓解；通过基于DevSecOps的CI/CD管道，以及策略即代码的方式，使得运行团队能够快速集成并上线新的功能和安全内容。

大家知道，：检测能力、防御能力、分析能力、信息共享能力。那么，可以看看CISA对NCPS拆解的最终结果。

1）NCPS中代表入侵检测能力的E1和E2传感器（探针）不属于CADS，也不存在于所谓的“遗留爱因斯坦”系统之中，其运行和维护工作变成了一项常态化运行维护工作，改称为网络事态传感器（Network Event Sensor，简称NES）。并且，这个NES的运行跟云化的TIC3.0（可信互联网连接3.0）的运行放到一起统筹考虑。

2）NCPS中代表入侵防御能力的E3A停止使用，不再维护，转而使用商业化的产品和服务进行替代。目前，已经上线的是PDNS（保护性DNS）服务，后续还会上线保护性电子邮件服务等。而这些防护系统也都不会属于CADS，而是变成常态化运行工作。

3）NCPS中代表分析和信息共享能力的后端平台转入新的CADS之下，并进行重构。新的CADS不再包括自己的传感器，而是强调能够集成联邦政府的各种安全数据，包括NES数据、PDNS数据、EDR数据、CDM数据、CTD云遥测数据、ZT系统数据，等等。

也就是说，NCPS已经被分拆殆尽，不再有NCPS了！同时，CADS也不是NCPS的平替，而就是聚焦后端态势感知平台。

难道CADS比NCPS缩水了？非也，这恰恰说明了CISA对态势感知平台理念的转变。在NCPS时代，态势感知的数据来源主要就依靠其自身的传感器数据。事实证明，这些数据远远不够！为此，NCPS在后来陆续增加了情报数据、EDR数据的接入，但因为最初的业务和技术架构设计所限，扩展性不是很好，导致后端的态势感知平台不堪重负，使用效能持续下降，因此需要进行架构重构。按照CISA的说法，CADS的架构设计时并不绑定某个特定的数据源，而是考虑接入联邦机构的各种检测与防护系统的威胁数据、情境数据、情报数据，并具备极强的扩展性和伸缩性。在这个架构设计原则之下，以前所谓的态势感知的专用前端其实已经不存在了，需要考虑就是多源异构的数据接入。而这，又引发了笔者进一步的思考。

其一，可能会有人问，国内态势感知平台N年前不就是这么考虑的吗，什么多源数据接入，什么数据标准化等等。根据对CISA材料的分析，笔者认为，在相同的设计需求之下，架构却有根本性的不同。一方面，当前安全运行的组织和流程正在发生重大变革，另一方面，数据与分析技术栈也发生了重大革新，以所谓的“现代化数据栈”为代表的技术体系趋于成熟，这导致现在的态势感知技术架构正在发生重大变革。如前面笔者对CADS的解读所言，CISA的这个全新态势感知平台（以及围绕这个平台构建的联合协作环境）不简单，CADS的建设恰逢其时。

其二，NCPS的分拆引发笔者对于“前后端一体”和“前后端分离”的思考。这里，所谓“前后端”是指代表数据来源的各种前端安全设施，以及代表集中安全分析运行的后端平台。“前后端一体”就是数据源产生装置跟平台是封闭一体的，不接收或者仅简单接收外部数据源的架构模式，而“前后端分离”则是指数据源产生装置从平台中分拆出去，采用开放式平台设计的架构模式。应该说，两种架构模式各有利弊，正如XDR和SIEM的区别。对于像整个美国联邦机构的网络安全态势感知这种需求而言，开放式的平台架构设计模式显然是必须的。可以相信，新的检测和防护设施还会不断出现，态势感知平台的发展要跟这些检测和防护设施的发展解耦。这时候，CADS所代表的态势感知不是做小了，而是做大了，因为此时所有安全检测和防护设施都是态势感知的一环。

接下来，进一步看看CADS的构成，是一组平台和工具的集合。必须指出的是，做好态势感知工作不仅需要平台，还必须配套大量安全工具，通过平台、工具和人之间的有效协同实现高效运行。CISA列举了的平台和工具包括：SIEM, Malware Next Generation Environment,Cloud Analytic Environment, CISA Cyber Portal, AIS, Indicator Management,Cross Domain Solution，以及Unified Workflow，还包括知识管理、沟通工具等。总之，内容非常丰富。这些工具有的是专用的，有的是跟其它系统共用的。其中，从24财年开始采购建设的平台组件包括数据摄取与处理、数据管理与治理，以及各种分析工具（尤其是基于AI的分析工具），还有就是统一工作流（工单）系统。