不久前美國國會眾議院監(jiān)管和政府改革委員會完成了對OPM泄露事故的調(diào)查,雖然該調(diào)查報告有200多頁,但專家稱其中缺少詳細細節(jié)。
該報告描繪了一幅嚴峻的畫面。
“現(xiàn)在美國政府比以往任何時候都更容易受到網(wǎng)絡(luò)攻擊,沒有哪個機構(gòu)是安全的。在最近的數(shù)據(jù)泄露事故中,攻擊者已從多個機構(gòu)竊取信息:美國郵政服務(wù);國務(wù)院;美國核管理委員會;國稅局甚至白宮,”該報告指出,“但這些數(shù)據(jù)泄露事故的嚴重性都無法趕超美國人事管理辦公室(OPM)的數(shù)據(jù)泄露事故。”
OPM的數(shù)據(jù)泄露事故在2015年6月為大家所知,該報告稱這起事故導致“420萬前任和現(xiàn)任政府雇員的個人信息以及2150萬個人的安全檢查背景調(diào)查資料泄露”,還有560萬人的指紋數(shù)據(jù)泄露。
該報告指出,這么多數(shù)據(jù)的丟失“讓人們深感不安,人民需要政府提供更好的保護”。
“背景調(diào)查信息和指紋數(shù)據(jù)丟失將會在相當長一段時間影響反間諜工作,”該報告指出,“背景信息對外國政府的情報和反情報價值不能被夸大,但也無從知曉。”
Securonix公司首席信息安全官兼首席安全戰(zhàn)略家Michael Lipinski表示,這份報告缺乏對受影響個人數(shù)據(jù)丟失的風險分析。
“單是丟失的指紋數(shù)據(jù)就給政府及私人機構(gòu)帶來巨大的潛在風險,”Lipinski稱,“這些指紋在‘野外’的存在是否會破壞日常法庭案件中指紋識別的有效性?擁有這些數(shù)據(jù)的國家行為者將能夠創(chuàng)造出非常復雜、非常有針對性的網(wǎng)絡(luò)釣魚活動。我認為這些數(shù)據(jù)丟失帶來的潛在影響并沒有很好地傳達給公眾。”
Ntrepid公司首席執(zhí)行官Richard Helms稱,在OPM數(shù)據(jù)泄露事故后向受影響個人提供了數(shù)月的監(jiān)控服務(wù)并不足夠。
“這份報告缺失的部分是沒有討論這個事實:這次數(shù)據(jù)泄露事故不是銷售點信用卡數(shù)據(jù)失竊;而是外國政府對我們國家安全部門人員的攻擊,以進一步提高其情報收集。作為響應(yīng),花費在信用監(jiān)控的數(shù)百萬美元毫無意義,”Helms稱,“國家安全社區(qū)需要擴大其安全外圍以涵蓋員工的網(wǎng)上活動。這些攻擊者的后續(xù)收集工作或攻擊很可能通過這些員工和家庭的互聯(lián)網(wǎng)瀏覽器,這是最有效的手段。對上網(wǎng)活動的保護比無效的信用監(jiān)控會少花很多錢。”
該報告提供了對這次攻擊的詳細時間表,并報告稱,第一個攻擊者(在該報告中被稱為黑客X1)在2012年7月獲得OPM網(wǎng)絡(luò)訪問權(quán)限。在2014年3月20日,US-CERT通知OPM其網(wǎng)絡(luò)數(shù)據(jù)泄露。與此同時,US-CERT決定監(jiān)控攻擊者以收集反間諜情報,并計劃在必要時關(guān)閉入侵系統(tǒng)以擺脫攻擊者。
然而,在5月7日,另一個攻擊者(黑客X2)利用從承包商竊取的登錄憑證來安裝惡意軟件及后門程序在OPM的網(wǎng)絡(luò)建立了立足點,OPM并沒有發(fā)現(xiàn)第二個攻擊者,而是在積極監(jiān)控第一個攻擊者。
“隨著該機構(gòu)在整個網(wǎng)絡(luò)監(jiān)控黑客X1的活動,他們注意到X1正危險地接近安全檢查背景信息,”該報告寫道,“該機構(gòu)有信心在2014年5月底通過計劃好的整治行動來消除X1的立足點。但黑客X2仍然在OPM的系統(tǒng)中,他已經(jīng)成功建立立足點,并因為OPM的IT安全問題而沒有被發(fā)現(xiàn)。”
根據(jù)該報告指出,OPM的安全缺口相當廣泛。OPM監(jiān)察長(IG)自2005年以來就一直在警告網(wǎng)絡(luò)安全缺陷,但該報告稱“沒有有效的管理結(jié)構(gòu)來部署可靠的IT安全政策”意味著根本問題依然存在。并且,管理和預算辦公室在2015年IT安全報告稱,OPM是擁有“最薄弱身份驗證配置”的機構(gòu)之一。
該報告寫道:“如果OPM在第一次知道攻擊者在針對這些敏感數(shù)據(jù)時部署基本所需的安全控制,并更迅速地部署更先進的安全工具,他們可能會顯著推遲、阻止或有效緩解這種數(shù)據(jù)盜竊活動。重要的是,如果OPM關(guān)鍵IT系統(tǒng)中敏感數(shù)據(jù)的安全性被優(yōu)先處理和得到保護的話,這種損害也可以得到緩解。”
Securonix公司首席科學家Igor Baikalov表示,這表明OPM泄露事故并非由于技術(shù)問題。
“審計結(jié)果表明,這是由于系統(tǒng)模式的疏忽以及完全無視信息安全原則和做法。自2007年以來,OIG多次報告OPM安全管理不足以及管理不善是眾多安全問題的根本原因,”Baikalov稱,“任何信息安全計劃都是從標準、政策和程序開始,而在OPM并沒有這些,這與他們過時的系統(tǒng)或者他們已經(jīng)部署的技術(shù)無關(guān)。”
OPM代理主任Beth Cobert在OPM辦公室主任Katherine Archuleta辭職后接手OPM,他在博客文章中稱這份報告“沒有充分反映該機構(gòu)現(xiàn)在的情況”。
“雖然我們對該報告的很多方面都不同意,但我們很高興看到委員會認可OPM對網(wǎng)絡(luò)安全入侵的迅速反映,以及確認我們在加強網(wǎng)絡(luò)安全政策和流程方面取得的進展。我們也很欣然看到該委員會愿意與我們合作來確認這些重要問題,并找到很多對OPM以及聯(lián)邦政府有用的最終建議,”Cobert寫道,“在過去一年中,OPM與政府的合作伙伴加強合作,顯著提高了我們的網(wǎng)絡(luò)安全態(tài)勢,并對保護數(shù)據(jù)以及完成我們核心任務(wù)的能力重新建立了信心。”
Cobert接著詳細介紹了該機構(gòu)為提高安全和問責制采取的詳細步驟,包括部署多因素身份驗證、美國國土安全部(DHS)和DHS的Einstein 3a開發(fā)的持續(xù)診斷和緩解程序,以及持續(xù)重新構(gòu)建和加強背景調(diào)查使用的web應(yīng)用系統(tǒng)。Cobert指出的其他舉措包括加強現(xiàn)有系統(tǒng),同時現(xiàn)代化IT基礎(chǔ)設(shè)施以及與國防部合作,國防部“正在設(shè)計、構(gòu)建新的國家背景調(diào)查局,并將為其運作IT基礎(chǔ)設(shè)施,這個基于OPM的實體將在未來為聯(lián)邦政府執(zhí)行背景調(diào)查。”
該報告還指出如果該機構(gòu)部署了多因素身份驗證,OPM數(shù)據(jù)泄露事故不會發(fā)生,專家表示同意。
“部署多因素身份驗證是一個很好的建議,但這是每個人都應(yīng)該采用的基準做法。當攻擊者控制桌面后,他們?nèi)匀荒芾玫卿洃{證,”Ntrepid公司首席科學家Lance Cottrell表示,“這好像在說企業(yè)應(yīng)該修復其軟件以及保持良好的備份--這些是完全通用的入門級意見,他們對處理敏感政府信息的機構(gòu)給出這樣的建議多少有些令人震驚。”
Bomgar公司安全產(chǎn)品管理主管Sam Elliott表示這種建議可以更進一步。
“我很高興看到該報告提出了這一建議,但我還想建議部署強大的密碼管理政策,其中包括經(jīng)常性輪換特權(quán)憑證,以及部署技術(shù)來控制、方便和監(jiān)控對敏感基礎(chǔ)設(shè)施的直接訪問,”Elliot稱,“這樣的話,當攻擊者使用竊取的登錄憑證試圖在環(huán)境中獲得立足點時,他們將面臨顯著挑戰(zhàn)。攻擊者將無法使用傳統(tǒng)機制來訪問目標,最后還有MFA,即使他們能夠接近目標,標準身份驗證也會讓他們無法獲取目標。”
Lipinski稱對使用MFA的建議雖然很重要,但嚴重忽略了遺留問題。
“這是人、流程和技術(shù)的問題。首先,沒有管理級別人員負責監(jiān)控安全,這落在CIO身上,而CIO并不是安全專業(yè)人員,人員因素直接導致了流程問題,”Lipinski表示,“該報告的結(jié)論是,還需要額外的人才。糟糕的日志記錄、工具不足、缺乏內(nèi)部反攻擊能力、無漏洞管理、無滲透測試以及事故響應(yīng)活動都是嚴重問題。”
Lipinski補充說:“這是每個層面、人員、流程、技術(shù)和管理的失敗。我看到的不是持續(xù)改進,而是‘這不是我的錯,因為我們的設(shè)備很舊’的借口。政府本身甚至沒有達到他們給私營部門設(shè)置的最低水平標準。缺乏基本控制、缺乏政策或流程、缺乏事件響應(yīng)能力以及缺乏高管管理數(shù)據(jù)保護,這些都是需要解決的問題,才能防止另一起數(shù)據(jù)泄露事故的發(fā)生。”