Kommentar rörande Einstein 3 utifrån CNCI

Jag gjorde en väldigt snabb genomläsning av dom delar av Comprehensive National Cybersecurity Initiative man gav publikt:

Comprehensive National Cybersecurity Initiative publikt

Tittar vi på vad som sägs om Einstein tycks arkitekturen vara ungefär som jag föreställde mig:

IDS:er som använder gammal kod för protokollstackar på nya sätt

Specifikt i Initiative #3 skriver man:

"This approach, called EINSTEIN 3, will draw on commercial technology and specialized government technology to conduct real-time full packet inspection and threat-based decision-making on network traffic entering or leaving these Executive Branch networks. The goal of EINSTEIN 3 is to identify and characterize malicious network traffic to enhance cybersecurity analysis, situational awareness and security response. It will have the ability to automatically detect and respond appropriately to cyber threats before harm is done, providing an intrusion prevention system supporting dynamic defense. EINSTEIN 3 will assist DHS US-CERT in defending, protecting and reducing vulnerabilities on Federal Executive Branch networks and systems. The EINSTEIN 3 system will also support enhanced information sharing by US-CERT with Federal Departments and Agencies by giving DHS the ability to automate alerting of detected network intrusion attempts and, when deemed necessary by DHS, to send alerts that do not contain the content of communications to the National Security Agency (NSA) so that DHS efforts may be supported by NSA exercising its lawfully authorized missions."

Ett samlat system är givetvis tilltalande och säkerhet behöver verkligen göras enkelt för att leverera praktiska resultat. Sedan gäller det givetvis att man har bevakning av Einstein så att man inte riskerar att öppna nätverken den vägen. Einstein 3 kommer trots allt oavsett hur nätverksarkitekturen är definierad i övrigt ge en central kommunikationsväg även från nätverk med låg säkerhet åtminstone indirekt till dom där hög säkerhet krävs.

Kommunikationsprotokoll och som här antar jag med stöd även för SSL m.fl. associerade i nätverken förekommande är väldigt komplicerande implementationer fyllda av defekter.