在五角大樓信息泄露后,美國(guó)國(guó)家安全局(NSA)和軍隊(duì)也“不甘示弱”,其敏感數(shù)據(jù)遭曝光。
UpGuard公司網(wǎng)絡(luò)風(fēng)險(xiǎn)研究主管Chris Vickery在9月27日發(fā)現(xiàn)NSA在公共可訪問(wèn)的亞馬遜云計(jì)算服務(wù)(AWS)S3存儲(chǔ)桶中泄露敏感數(shù)據(jù)。在AWS中,這些泄露的NSA數(shù)據(jù)被標(biāo)記為“INSCOM”,這是美國(guó)陸軍情報(bào)和安全司令部的首字母縮寫(xiě)–美國(guó)陸軍和美國(guó)國(guó)家安全局的聯(lián)合項(xiàng)目,主要負(fù)責(zé)為美國(guó)軍事和整治領(lǐng)導(dǎo)人收集情報(bào)。
根據(jù)UpGuard網(wǎng)絡(luò)彈性分析師Dan O’Sullivan表示,Vickery發(fā)現(xiàn)NSA數(shù)據(jù)泄露文件明確被標(biāo)記為機(jī)密。
“在這個(gè)硬盤(pán)中泄露的文件包含明確標(biāo)記為‘最高機(jī)密’的區(qū)域和技術(shù)配置,以及額外的‘NOFORN(不可向國(guó)外發(fā)表)’情報(bào)分類(lèi),這意味著這些數(shù)據(jù)非常機(jī)密,甚至不能與外國(guó)盟友分享,”O’Sullivan在博客文章中寫(xiě)道,“另外曝光的是用于訪問(wèn)分布式情報(bào)系統(tǒng)的私鑰,這些系統(tǒng)屬于Invertix管理員,還有哈希密碼,如果這些密碼仍然有效并被破解,可用于進(jìn)一步訪問(wèn)內(nèi)部系統(tǒng)。”
UpGuard表示NSA數(shù)據(jù)泄露中的文件似乎“可用于接收、傳輸和處理機(jī)密數(shù)據(jù)”,并包含與“Red Disk”相關(guān)的文件,這是一個(gè)失敗的防御部門(mén)云情報(bào)平臺(tái)。
除了INSCOM,ZDNet還報(bào)道稱NSA泄露數(shù)據(jù)包含Ragtime監(jiān)視程序的信息,Ragtime旨在攔截和收集外國(guó)人的通訊。Ragtime的四個(gè)組件已經(jīng)在2013年名為“Deep State: Inside the Government Secrecy Industry”書(shū)中公布,這次在AWS泄露的數(shù)據(jù)還包含另外7個(gè)子程序,其中包括一個(gè)看似針對(duì)美國(guó)公民的子程序。
Vickery此前在AWS存儲(chǔ)桶中發(fā)現(xiàn)美國(guó)國(guó)防部承包商Booz Allen Hamilton、Republican National Committee、World Wrestling Entertainment、Verizon和Dow Jones&Co的數(shù)據(jù)。
10月份,NSA數(shù)據(jù)泄露事故已經(jīng)向政府報(bào)告,并且這些云存儲(chǔ)已經(jīng)得到保護(hù)。但是,目前仍不清楚政府機(jī)構(gòu)還是承包商對(duì)錯(cuò)誤配置的S3存儲(chǔ)桶負(fù)責(zé)。
面對(duì)NSA數(shù)據(jù)泄露事故AttackIQ公司首席營(yíng)收官Carl Wright表示,這樣的失誤表明這些組織很少甚至沒(méi)有測(cè)試來(lái)驗(yàn)證現(xiàn)有安全控制是否正常工作。
在過(guò)去一個(gè)月里,我們看到很少企業(yè)組織發(fā)生這樣的失誤,因?yàn)樗麄儧](méi)有正確配置現(xiàn)有安全控制,”Wright表示,“與數(shù)據(jù)泄露事故的成本相比,驗(yàn)證安全控制的成本幾乎微不足道。攻擊者通常能夠在企業(yè)或政府安全團(tuán)隊(duì)之前發(fā)現(xiàn)這些保護(hù)漏洞,這相當(dāng)令人不安。”
Certes Networks公司副總裁兼總經(jīng)理Jim Kennedy表示,NSA數(shù)據(jù)泄露事故表明當(dāng)前的網(wǎng)絡(luò)安全思維與過(guò)去20年IT領(lǐng)域發(fā)生的廣泛變化完全沒(méi)有同步。
“IT系統(tǒng)、網(wǎng)絡(luò)、用戶、云計(jì)算和設(shè)備的爆炸式增長(zhǎng)已經(jīng)使得典型的企業(yè)攻擊面規(guī)模成倍增長(zhǎng)。從根本上來(lái)說(shuō),管理安全已經(jīng)不再是管理設(shè)備、應(yīng)用和網(wǎng)絡(luò)的問(wèn)題,而必須專(zhuān)注于理解和反思信任問(wèn)題,”Kennedy表示,“安全行業(yè)必須專(zhuān)注于讓安全更容易部署和管理。正如這個(gè)泄露事故所表明的那樣,典型的安全架構(gòu)是分散的,LAN、WAN、互聯(lián)網(wǎng)、移動(dòng)網(wǎng)絡(luò)、云計(jì)算、數(shù)據(jù)中心等使用不同的工具、不同的訪問(wèn)策略和不同的控制。這意味著跨所有這些孤島建立和維持統(tǒng)一安全策略非常困難。”