信息來源:企業(yè)網(wǎng)
不久前美國國會眾議院監(jiān)管和政府改革委員會完成了對OPM泄露事故的調查,雖然該調查報告有200多頁��,但專家稱其中缺少詳細細節(jié)��。
該報告描繪了一幅嚴峻的畫面��。
“現(xiàn)在美國政府比以往任何時候都更容易受到網(wǎng)絡攻擊��,沒有哪個機構是安全的��。在最近的數(shù)據(jù)泄露事故中,攻擊者已從多個機構竊取信息:美國郵政服務��;國務院��;美國核管理委員會��;國稅局甚至白宮��,”該報告指出��,“但這些數(shù)據(jù)泄露事故的嚴重性都無法趕超美國人事管理辦公室(OPM)的數(shù)據(jù)泄露事故��?�!?/span>
OPM的數(shù)據(jù)泄露事故在2015年6月為大家所知��,該報告稱這起事故導致“420萬前任和現(xiàn)任政府雇員的個人信息以及2150萬個人的安全檢查背景調查資料泄露”��,還有560萬人的指紋數(shù)據(jù)泄露��。
該報告指出��,這么多數(shù)據(jù)的丟失“讓人們深感不安��,人民需要政府提供更好的保護”��。
“背景調查信息和指紋數(shù)據(jù)丟失將會在相當長一段時間影響反間諜工作,”該報告指出��,“背景信息對外國政府的情報和反情報價值不能被夸大��,但也無從知曉��?�!?/span>
Securonix公司首席信息安全官兼首席安全戰(zhàn)略家Michael Lipinski表示��,這份報告缺乏對受影響個人數(shù)據(jù)丟失的風險分析��。
“單是丟失的指紋數(shù)據(jù)就給政府及私人機構帶來巨大的潛在風險��,”Lipinski稱��,“這些指紋在‘野外’的存在是否會破壞日常法庭案件中指紋識別的有效性��?擁有這些數(shù)據(jù)的國家行為者將能夠創(chuàng)造出非常復雜��、非常有針對性的網(wǎng)絡釣魚活動��。我認為這些數(shù)據(jù)丟失帶來的潛在影響并沒有很好地傳達給公眾��?�!?/span>
Ntrepid公司首席執(zhí)行官Richard Helms稱��,在OPM數(shù)據(jù)泄露事故后向受影響個人提供了數(shù)月的監(jiān)控服務并不足夠��。
“這份報告缺失的部分是沒有討論這個事實:這次數(shù)據(jù)泄露事故不是銷售點信用卡數(shù)據(jù)失竊��;而是外國政府對我們國家安全部門人員的攻擊��,以進一步提高其情報收集��。作為響應��,花費在信用監(jiān)控的數(shù)百萬美元毫無意義��,”Helms稱��,“國家安全社區(qū)需要擴大其安全外圍以涵蓋員工的網(wǎng)上活動��。這些攻擊者的后續(xù)收集工作或攻擊很可能通過這些員工和家庭的互聯(lián)網(wǎng)瀏覽器��,這是最有效的手段��。對上網(wǎng)活動的保護比無效的信用監(jiān)控會少花很多錢��?�!?/span>
該報告提供了對這次攻擊的詳細時間表,并報告稱��,第一個攻擊者(在該報告中被稱為黑客X1)在2012年7月獲得OPM網(wǎng)絡訪問權限��。在2014年3月20日��,US-CERT通知OPM其網(wǎng)絡數(shù)據(jù)泄露��。與此同時��,US-CERT決定監(jiān)控攻擊者以收集反間諜情報��,并計劃在必要時關閉入侵系統(tǒng)以擺脫攻擊者��。
然而��,在5月7日��,另一個攻擊者(黑客X2)利用從承包商竊取的登錄憑證來安裝惡意軟件及后門程序在OPM的網(wǎng)絡建立了立足點��,OPM并沒有發(fā)現(xiàn)第二個攻擊者��,而是在積極監(jiān)控第一個攻擊者��。
“隨著該機構在整個網(wǎng)絡監(jiān)控黑客X1的活動��,他們注意到X1正危險地接近安全檢查背景信息��,”該報告寫道��,“該機構有信心在2014年5月底通過計劃好的整治行動來消除X1的立足點��。但黑客X2仍然在OPM的系統(tǒng)中��,他已經(jīng)成功建立立足點��,并因為OPM的IT安全問題而沒有被發(fā)現(xiàn)��?�!?/span>
根據(jù)該報告指出��,OPM的安全缺口相當廣泛��。OPM監(jiān)察長(IG)自2005年以來就一直在警告網(wǎng)絡安全缺陷��,但該報告稱“沒有有效的管理結構來部署可靠的IT安全政策”意味著根本問題依然存在��。并且��,管理和預算辦公室在2015年IT安全報告稱��,OPM是擁有“最薄弱身份驗證配置”的機構之一。
該報告寫道:“如果OPM在第一次知道攻擊者在針對這些敏感數(shù)據(jù)時部署基本所需的安全控制��,并更迅速地部署更先進的安全工具��,他們可能會顯著推遲��、阻止或有效緩解這種數(shù)據(jù)盜竊活動��。重要的是��,如果OPM關鍵IT系統(tǒng)中敏感數(shù)據(jù)的安全性被優(yōu)先處理和得到保護的話��,這種損害也可以得到緩解��?�!?/span>
Securonix公司首席科學家Igor Baikalov表示��,這表明OPM泄露事故并非由于技術問題��。
“審計結果表明��,這是由于系統(tǒng)模式的疏忽以及完全無視信息安全原則和做法��。自2007年以來��,OIG多次報告OPM安全管理不足以及管理不善是眾多安全問題的根本原因��,”Baikalov稱��,“任何信息安全計劃都是從標準��、政策和程序開始��,而在OPM并沒有這些��,這與他們過時的系統(tǒng)或者他們已經(jīng)部署的技術無關��?�!?/span>
OPM代理主任Beth Cobert在OPM辦公室主任Katherine Archuleta辭職后接手OPM��,他在博客文章中稱這份報告“沒有充分反映該機構現(xiàn)在的情況”��。
“雖然我們對該報告的很多方面都不同意��,但我們很高興看到委員會認可OPM對網(wǎng)絡安全入侵的迅速反映��,以及確認我們在加強網(wǎng)絡安全政策和流程方面取得的進展��。我們也很欣然看到該委員會愿意與我們合作來確認這些重要問題,并找到很多對OPM以及聯(lián)邦政府有用的最終建議��,”Cobert寫道��,“在過去一年中��,OPM與政府的合作伙伴加強合作��,顯著提高了我們的網(wǎng)絡安全態(tài)勢��,并對保護數(shù)據(jù)以及完成我們核心任務的能力重新建立了信心��?�!?/span>
Cobert接著詳細介紹了該機構為提高安全和問責制采取的詳細步驟��,包括部署多因素身份驗證��、美國國土安全部(DHS)和DHS的Einstein 3a開發(fā)的持續(xù)診斷和緩解程序��,以及持續(xù)重新構建和加強背景調查使用的web應用系統(tǒng)��。Cobert指出的其他舉措包括加強現(xiàn)有系統(tǒng)��,同時現(xiàn)代化IT基礎設施以及與國防部合作��,國防部“正在設計��、構建新的國家背景調查局��,并將為其運作IT基礎設施��,這個基于OPM的實體將在未來為聯(lián)邦政府執(zhí)行背景調查��?�!?/span>
該報告還指出如果該機構部署了多因素身份驗證��,OPM數(shù)據(jù)泄露事故不會發(fā)生��,專家表示同意��。
“部署多因素身份驗證是一個很好的建議��,但這是每個人都應該采用的基準做法��。當攻擊者控制桌面后��,他們仍然能利用登錄憑證��,”Ntrepid公司首席科學家Lance Cottrell表示��,“這好像在說企業(yè)應該修復其軟件以及保持良好的備份--這些是完全通用的入門級意見,他們對處理敏感政府信息的機構給出這樣的建議多少有些令人震驚��?�!?/span>
Bomgar公司安全產(chǎn)品管理主管Sam Elliott表示這種建議可以更進一步��。
“我很高興看到該報告提出了這一建議��,但我還想建議部署強大的密碼管理政策��,其中包括經(jīng)常性輪換特權憑證��,以及部署技術來控制��、方便和監(jiān)控對敏感基礎設施的直接訪問��,”Elliot稱��,“這樣的話��,當攻擊者使用竊取的登錄憑證試圖在環(huán)境中獲得立足點時��,他們將面臨顯著挑戰(zhàn)��。攻擊者將無法使用傳統(tǒng)機制來訪問目標��,最后還有MFA,即使他們能夠接近目標��,標準身份驗證也會讓他們無法獲取目標��?�!?/span>
Lipinski稱對使用MFA的建議雖然很重要��,但嚴重忽略了遺留問題��。
“這是人��、流程和技術的問題��。首先��,沒有管理級別人員負責監(jiān)控安全��,這落在CIO身上��,而CIO并不是安全專業(yè)人員��,人員因素直接導致了流程問題��,”Lipinski表示��,“該報告的結論是��,還需要額外的人才��。糟糕的日志記錄��、工具不足��、缺乏內部反攻擊能力��、無漏洞管理��、無滲透測試以及事故響應活動都是嚴重問題��?�!?/span>
Lipinski補充說:“這是每個層面��、人員��、流程��、技術和管理的失敗��。我看到的不是持續(xù)改進��,而是‘這不是我的錯,因為我們的設備很舊’的借口��。政府本身甚至沒有達到他們給私營部門設置的最低水平標準��。缺乏基本控制��、缺乏政策或流程��、缺乏事件響應能力以及缺乏高管管理數(shù)據(jù)保護��,這些都是需要解決的問題��,才能防止另一起數(shù)據(jù)泄露事故的發(fā)生��?�!?/span>
