不久前美国国会众议院监管和政府改革委员会完成了对OPM泄露事故的调查,虽然该调查报告有200多页,但专家称其中缺少详细细节。
该报告描绘了一幅严峻的画面。
“现在美国政府比以往任何时候都更容易受到网络攻击,没有哪个机构是安全的。在最近的数据泄露事故中,攻击者已从多个机构窃取信息:美国邮政服务;国务院;美国核管理委员会;国税局甚至白宫,”该报告指出,“但这些数据泄露事故的严重性都无法赶超美国人事管理办公室(OPM)的数据泄露事故。”
OPM的数据泄露事故在2015年6月为大家所知,该报告称这起事故导致“420万前任和现任政府雇员的个人信息以及2150万个人的安全检查背景调查资料泄露”,还有560万人的指纹数据泄露。
该报告指出,这么多数据的丢失“让人们深感不安,人民需要政府提供更好的保护”。
“背景调查信息和指纹数据丢失将会在相当长一段时间影响反间谍工作,”该报告指出,“背景信息对外国政府的情报和反情报价值不能被夸大,但也无从知晓。”
Securonix公司首席信息安全官兼首席安全战略家Michael Lipinski表示,这份报告缺乏对受影响个人数据丢失的风险分析。
“单是丢失的指纹数据就给政府及私人机构带来巨大的潜在风险,”Lipinski称,“这些指纹在‘野外’的存在是否会破坏日常法庭案件中指纹识别的有效性?拥有这些数据的国家行为者将能够创造出非常复杂、非常有针对性的网络钓鱼活动。我认为这些数据丢失带来的潜在影响并没有很好地传达给公众。”
Ntrepid公司首席执行官Richard Helms称,在OPM数据泄露事故后向受影响个人提供了数月的监控服务并不足够。
“这份报告缺失的部分是没有讨论这个事实:这次数据泄露事故不是销售点信用卡数据失窃;而是外国政府对我们国家安全部门人员的攻击,以进一步提高其情报收集。作为响应,花费在信用监控的数百万美元毫无意义,”Helms称,“国家安全社区需要扩大其安全外围以涵盖员工的网上活动。这些攻击者的后续收集工作或攻击很可能通过这些员工和家庭的互联网浏览器,这是最有效的手段。对上网活动的保护比无效的信用监控会少花很多钱。”
该报告提供了对这次攻击的详细时间表,并报告称,第一个攻击者(在该报告中被称为黑客X1)在2012年7月获得OPM网络访问权限。在2014年3月20日,US-CERT通知OPM其网络数据泄露。与此同时,US-CERT决定监控攻击者以收集反间谍情报,并计划在必要时关闭入侵系统以摆脱攻击者。
然而,在5月7日,另一个攻击者(黑客X2)利用从承包商窃取的登录凭证来安装恶意软件及后门程序在OPM的网络建立了立足点,OPM并没有发现第二个攻击者,而是在积极监控第一个攻击者。
“随着该机构在整个网络监控黑客X1的活动,他们注意到X1正危险地接近安全检查背景信息,”该报告写道,“该机构有信心在2014年5月底通过计划好的整治行动来消除X1的立足点。但黑客X2仍然在OPM的系统中,他已经成功建立立足点,并因为OPM的IT安全问题而没有被发现。”
根据该报告指出,OPM的安全缺口相当广泛。OPM监察长(IG)自2005年以来就一直在警告网络安全缺陷,但该报告称“没有有效的管理结构来部署可靠的IT安全政策”意味着根本问题依然存在。并且,管理和预算办公室在2015年IT安全报告称,OPM是拥有“最薄弱身份验证配置”的机构之一。
该报告写道:“如果OPM在第一次知道攻击者在针对这些敏感数据时部署基本所需的安全控制,并更迅速地部署更先进的安全工具,他们可能会显著推迟、阻止或有效缓解这种数据盗窃活动。重要的是,如果OPM关键IT系统中敏感数据的安全性被优先处理和得到保护的话,这种损害也可以得到缓解。”
Securonix公司首席科学家Igor Baikalov表示,这表明OPM泄露事故并非由于技术问题。
“审计结果表明,这是由于系统模式的疏忽以及完全无视信息安全原则和做法。自2007年以来,OIG多次报告OPM安全管理不足以及管理不善是众多安全问题的根本原因,”Baikalov称,“任何信息安全计划都是从标准、政策和程序开始,而在OPM并没有这些,这与他们过时的系统或者他们已经部署的技术无关。”
OPM代理主任Beth Cobert在OPM办公室主任Katherine Archuleta辞职后接手OPM,他在博客文章中称这份报告“没有充分反映该机构现在的情况”。
“虽然我们对该报告的很多方面都不同意,但我们很高兴看到委员会认可OPM对网络安全入侵的迅速反映,以及确认我们在加强网络安全政策和流程方面取得的进展。我们也很欣然看到该委员会愿意与我们合作来确认这些重要问题,并找到很多对OPM以及联邦政府有用的最终建议,”Cobert写道,“在过去一年中,OPM与政府的合作伙伴加强合作,显著提高了我们的网络安全态势,并对保护数据以及完成我们核心任务的能力重新建立了信心。”
Cobert接着详细介绍了该机构为提高安全和问责制采取的详细步骤,包括部署多因素身份验证、美国国土安全部(DHS)和DHS的Einstein 3a开发的持续诊断和缓解程序,以及持续重新构建和加强背景调查使用的web应用系统。Cobert指出的其他举措包括加强现有系统,同时现代化IT基础设施以及与国防部合作,国防部“正在设计、构建新的国家背景调查局,并将为其运作IT基础设施,这个基于OPM的实体将在未来为联邦政府执行背景调查。”
该报告还指出如果该机构部署了多因素身份验证,OPM数据泄露事故不会发生,专家表示同意。
“部署多因素身份验证是一个很好的建议,但这是每个人都应该采用的基准做法。当攻击者控制桌面后,他们仍然能利用登录凭证,”Ntrepid公司首席科学家Lance Cottrell表示,“这好像在说企业应该修复其软件以及保持良好的备份--这些是完全通用的入门级意见,他们对处理敏感政府信息的机构给出这样的建议多少有些令人震惊。”
Bomgar公司安全产品管理主管Sam Elliott表示这种建议可以更进一步。
“我很高兴看到该报告提出了这一建议,但我还想建议部署强大的密码管理政策,其中包括经常性轮换特权凭证,以及部署技术来控制、方便和监控对敏感基础设施的直接访问,”Elliot称,“这样的话,当攻击者使用窃取的登录凭证试图在环境中获得立足点时,他们将面临显著挑战。攻击者将无法使用传统机制来访问目标,最后还有MFA,即使他们能够接近目标,标准身份验证也会让他们无法获取目标。”
Lipinski称对使用MFA的建议虽然很重要,但严重忽略了遗留问题。
“这是人、流程和技术的问题。首先,没有管理级别人员负责监控安全,这落在CIO身上,而CIO并不是安全专业人员,人员因素直接导致了流程问题,”Lipinski表示,“该报告的结论是,还需要额外的人才。糟糕的日志记录、工具不足、缺乏内部反攻击能力、无漏洞管理、无渗透测试以及事故响应活动都是严重问题。”
Lipinski补充说:“这是每个层面、人员、流程、技术和管理的失败。我看到的不是持续改进,而是‘这不是我的错,因为我们的设备很旧’的借口。政府本身甚至没有达到他们给私营部门设置的最低水平标准。缺乏基本控制、缺乏政策或流程、缺乏事件响应能力以及缺乏高管管理数据保护,这些都是需要解决的问题,才能防止另一起数据泄露事故的发生。”
本文转自d1net(转载)