這份報(bào)告 列出了 4 項(xiàng)主要調(diào)查結(jié)果，并附上了統(tǒng)計(jì)數(shù)據(jù)和相關(guān)建議——有些建議簡(jiǎn)直就是要對(duì)原有政策進(jìn)行全面整改。

“聯(lián)邦機(jī)構(gòu)搞不清狀況，也沒(méi)有資源來(lái)對(duì)抗當(dāng)前的危險(xiǎn)環(huán)境。”

一個(gè)簡(jiǎn)單的事實(shí)，以及這所有問(wèn)題的潛在根源，就在于聯(lián)邦政府是一頭行動(dòng)遲緩的巨獸，它無(wú)法應(yīng)對(duì)來(lái)自黑客的威脅，或者跟上技術(shù)的快速發(fā)展步伐。這個(gè)問(wèn)題最簡(jiǎn)單的指標(biāo)可能是這樣的：在 2016 財(cái)年已知的 30899(!)起針對(duì)聯(lián)邦系統(tǒng)的成功攻擊中，有 11802 起甚至從未識(shí)別出入侵載體。

也就是說(shuō)，對(duì)于 38%成功實(shí)施的攻擊，聯(lián)邦機(jī)構(gòu)根本不知道是誰(shuí)做的以及是怎樣做的!

這種情境意識(shí)的缺乏意味著，即便聯(lián)邦機(jī)構(gòu)擁有數(shù)十億美元的預(yù)算，但他們并沒(méi)有高效部署的能力。

盡管網(wǎng)絡(luò)安全方面的支出在逐年增長(zhǎng)，但 OMB 發(fā)現(xiàn)，聯(lián)邦機(jī)構(gòu)并未有效地利用可用信息，比如威脅情報(bào)、事故數(shù)據(jù)以及網(wǎng)絡(luò)流量，來(lái)確定資產(chǎn)所受威脅的程度，或者用以指導(dǎo)資源配置的優(yōu)先次序。

為此，OMB 將與各家機(jī)構(gòu)合作開(kāi)發(fā)一種基于威脅的預(yù)算模型，研究什么能夠真的影響到機(jī)構(gòu)，有什么樣的預(yù)防措施以及哪些具體方面需要得到改進(jìn)。

“聯(lián)邦機(jī)構(gòu)沒(méi)有標(biāo)準(zhǔn)化的網(wǎng)絡(luò)安全流程和信息技術(shù)能力。”

對(duì)數(shù)量眾多的聯(lián)邦機(jī)構(gòu)來(lái)說(shuō)，他們的任務(wù)和功能各不相同。但你可能會(huì)認(rèn)為，這些機(jī)構(gòu)已經(jīng)為上報(bào)攻擊事件、鎖定系統(tǒng)的標(biāo)準(zhǔn)安全措施以及諸如此類的事情確立了基礎(chǔ)的標(biāo)準(zhǔn)，你想錯(cuò)了，根本沒(méi)有!

例如，一家聯(lián)邦機(jī)構(gòu)在其工作平臺(tái)列出了不少于 62 個(gè)獨(dú)立管理的電子郵件服務(wù)，使得他們幾乎沒(méi)有可能追蹤或檢查整個(gè)機(jī)構(gòu)的入站和出站通信。

在 OMB 考察的機(jī)構(gòu)當(dāng)中，只有近一半表示，他們有能力檢測(cè)運(yùn)行在自家系統(tǒng)上的軟件并實(shí)施白名單管理。如今，雖說(shuō)讓 IT 部門管理用戶應(yīng)用和檢查令人不安的流程可能只需要逐個(gè)進(jìn)行，但機(jī)構(gòu)至少應(yīng)該具備這樣的信息技術(shù)能力!

當(dāng)有事發(fā)生時(shí)，情況變得稍好一些：59%的機(jī)構(gòu)擁有某種跟用戶通報(bào)網(wǎng)絡(luò)安全威脅的標(biāo)準(zhǔn)流程。因此，舉例來(lái)說(shuō)，如果那家機(jī)構(gòu)的 62 個(gè)電郵系統(tǒng)中有一個(gè)遭到了入侵，該機(jī)構(gòu)可能沒(méi)有辦法通知到所有人。

只有 30%的機(jī)構(gòu)擁有“可預(yù)測(cè)的、全面的事件響應(yīng)流程”，這意味著，一旦發(fā)現(xiàn)威脅，只有三分之一的機(jī)構(gòu)擁有某種把事件上報(bào)給誰(shuí)以及上報(bào)什么內(nèi)容的標(biāo)準(zhǔn)程序。

建立網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)流程以及實(shí)現(xiàn)計(jì)算資源的總體協(xié)調(diào)，這是 OMB 長(zhǎng)期以來(lái)一直在努力做的事情。令人遺憾的是， 白宮剛剛?cè)∠司W(wǎng)絡(luò)安全協(xié)調(diào)員這一職位 。

“聯(lián)邦機(jī)構(gòu)對(duì)自家網(wǎng)絡(luò)上發(fā)生的事情缺乏了解，尤其是缺乏檢測(cè)數(shù)據(jù)泄露的能力。”

對(duì)于任何網(wǎng)絡(luò)安全方案來(lái)說(shuō)，監(jiān)控機(jī)構(gòu)內(nèi)部和外部的數(shù)據(jù)和流量都是至關(guān)重要的組成部分。一次又一次，聯(lián)邦機(jī)構(gòu)向我們展示，他們?nèi)菀自诟鞣N攻擊中淪陷，從 U 盤攻擊到登錄憑據(jù)釣魚(yú)，不一而足。

事實(shí)證明，只有 27%的機(jī)構(gòu)“有能力檢測(cè)和調(diào)查攻擊者訪問(wèn)大量數(shù)據(jù)的企圖”。

簡(jiǎn)而言之，聯(lián)邦機(jī)構(gòu)無(wú)法檢測(cè)到自家網(wǎng)絡(luò)的大量信息遭到竊取。鑒于近些年政府和企業(yè)已經(jīng)曝出不少影響很大的攻擊事件，這尤其令人感到擔(dān)憂。

如果看不到自己的數(shù)據(jù)去了哪里，那么你就很難保護(hù)數(shù)據(jù)的安全。在 OMB 所謂的“影響很大的攻擊事件”發(fā)生后，你可能會(huì)認(rèn)為，這些機(jī)構(gòu)首先會(huì)做的事情包括進(jìn)行檢測(cè)和鎖定數(shù)據(jù)庫(kù)。

也許是他們完全不清楚這些事情是如何發(fā)生的以及為什么會(huì)發(fā)生，事實(shí)上，只有 17%的機(jī)構(gòu)會(huì)在攻擊發(fā)生后分析事件響應(yīng)數(shù)據(jù)。所以，很多機(jī)構(gòu)可能僅僅是把攻擊事件歸檔，然后永遠(yuǎn)不去回頭看。

OMB 有一個(gè)聰明的方法來(lái)開(kāi)始解決這個(gè)問(wèn)題：建立一個(gè) “安全運(yùn)營(yíng)中心卓越中心”(SOC Center of Excellence，是的，這里面有兩個(gè)“中心”)，這個(gè)安全運(yùn)營(yíng)中心將為其他機(jī)構(gòu)提供安全存儲(chǔ)和訪問(wèn)服務(wù)，與此同時(shí)，后者可以改善或建立自己的設(shè)施。

“聯(lián)邦機(jī)構(gòu)缺乏管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的標(biāo)準(zhǔn)化和全面化流程。”

這可能跟第二點(diǎn)有所重疊，但疊床架屋本就是美國(guó)政府的工作作風(fēng)。這一點(diǎn)更多地聚焦于機(jī)構(gòu)領(lǐng)導(dǎo)層。

雖然大多數(shù)機(jī)構(gòu)都指出……他們的領(lǐng)導(dǎo)層積極參與網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理，但很多機(jī)構(gòu)都沒(méi)有或無(wú)法詳細(xì)闡釋首席信息官級(jí)別以上的領(lǐng)導(dǎo)層參與。

聯(lián)邦機(jī)構(gòu)既沒(méi)有強(qiáng)大的風(fēng)險(xiǎn)管理計(jì)劃，也沒(méi)有一致的方法向領(lǐng)導(dǎo)層告知整個(gè)機(jī)構(gòu)面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

換句話說(shuō)，網(wǎng)絡(luò)安全的事情被扔給了網(wǎng)絡(luò)安全工作人員，機(jī)構(gòu)中的領(lǐng)導(dǎo)層并未提供什么指導(dǎo)或沒(méi)有產(chǎn)生什么影響。這一點(diǎn)很重要，因?yàn)檎?OMB 指出的那樣，很多決策或要求只能由領(lǐng)導(dǎo)層做出。舉例來(lái)說(shuō)，預(yù)算問(wèn)題。

盡管“行業(yè)領(lǐng)導(dǎo)者、政府問(wèn)責(zé)辦公室(GAO)和隱私權(quán)倡導(dǎo)者一再呼吁”盡可能地利用加密技術(shù)，但只有不到 16%的機(jī)構(gòu)實(shí)現(xiàn)了對(duì)靜態(tài)數(shù)據(jù)進(jìn)行加密的目標(biāo)，只有 16%!對(duì)靜態(tài)數(shù)據(jù)進(jìn)行加密甚至并非難事!

事實(shí)證明，這又是領(lǐng)導(dǎo)層重視不夠的例子。在 2017 財(cái)年，非國(guó)防機(jī)構(gòu)在數(shù)據(jù)加密上的預(yù)算資金還不到 5100 萬(wàn)美元，這點(diǎn)錢真是少到可憐了，更別說(shuō)兩家機(jī)構(gòu)就占到了其中的一半。當(dāng)沒(méi)有錢聘請(qǐng)專家或購(gòu)買必要的設(shè)備時(shí)，IT 部門即便是巧婦又怎樣為無(wú)米之炊呢?

“聯(lián)邦機(jī)構(gòu)向我們展示，這是一個(gè)低優(yōu)先級(jí)的事項(xiàng)……我們很容易看出，政府的優(yōu)先事項(xiàng)必須重新進(jìn)行調(diào)整。”OMB 評(píng)論道。

雖然 OMB 報(bào)告最終的結(jié)論沒(méi)有正文那樣令人沮喪，但顯而易見(jiàn)的是，OMB 的研究人員對(duì)他們發(fā)現(xiàn)的事情深感失望。這不是什么新問(wèn)題，盡管現(xiàn)任總統(tǒng)和之前幾任總統(tǒng)都認(rèn)定它是一個(gè)重要問(wèn)題，但政府的行動(dòng)一致遲緩乃至停滯不前，間或還有災(zāi)難性的攻擊和令人尷尬的數(shù)據(jù)泄露發(fā)生。

這份報(bào)告沒(méi)有對(duì)聯(lián)邦機(jī)構(gòu)進(jìn)行點(diǎn)名批評(píng)，可能是因?yàn)樗麄兊某珊蛿《际嵌喾N多樣的，沒(méi)有一家應(yīng)該受到比其他家更差的對(duì)待。但是，在不那么公開(kāi)的渠道當(dāng)中，那些機(jī)構(gòu)不大可能被放過(guò)，但愿這份要命的報(bào)告能夠推動(dòng)過(guò)去十年一直裹步不前的網(wǎng)絡(luò)安全工作。