信息來源：企業(yè)網(wǎng)

不久前美國(guó)國(guó)會(huì)眾議院監(jiān)管和政府改革委員會(huì)完成了對(duì)OPM泄露事故的調(diào)查，雖然該調(diào)查報(bào)告有200多頁，但專家稱其中缺少詳細(xì)細(xì)節(jié)。

該報(bào)告描繪了一幅嚴(yán)峻的畫面。

“現(xiàn)在美國(guó)政府比以往任何時(shí)候都更容易受到網(wǎng)絡(luò)攻擊，沒有哪個(gè)機(jī)構(gòu)是安全的。在最近的數(shù)據(jù)泄露事故中，攻擊者已從多個(gè)機(jī)構(gòu)竊取信息：美國(guó)郵政服務(wù)；國(guó)務(wù)院；美國(guó)核管理委員會(huì)；國(guó)稅局甚至白宮，”該報(bào)告指出，“但這些數(shù)據(jù)泄露事故的嚴(yán)重性都無法趕超美國(guó)人事管理辦公室（OPM）的數(shù)據(jù)泄露事故?！?/span>

OPM的數(shù)據(jù)泄露事故在2015年6月為大家所知，該報(bào)告稱這起事故導(dǎo)致“420萬前任和現(xiàn)任政府雇員的個(gè)人信息以及2150萬個(gè)人的安全檢查背景調(diào)查資料泄露”，還有560萬人的指紋數(shù)據(jù)泄露。

該報(bào)告指出，這么多數(shù)據(jù)的丟失“讓人們深感不安，人民需要政府提供更好的保護(hù)”。

“背景調(diào)查信息和指紋數(shù)據(jù)丟失將會(huì)在相當(dāng)長(zhǎng)一段時(shí)間影響反間諜工作，”該報(bào)告指出，“背景信息對(duì)外國(guó)政府的情報(bào)和反情報(bào)價(jià)值不能被夸大，但也無從知曉?！?/span>

Securonix公司首席信息安全官兼首席安全戰(zhàn)略家Michael Lipinski表示，這份報(bào)告缺乏對(duì)受影響個(gè)人數(shù)據(jù)丟失的風(fēng)險(xiǎn)分析。

“單是丟失的指紋數(shù)據(jù)就給政府及私人機(jī)構(gòu)帶來巨大的潛在風(fēng)險(xiǎn)，”Lipinski稱，“這些指紋在‘野外’的存在是否會(huì)破壞日常法庭案件中指紋識(shí)別的有效性？擁有這些數(shù)據(jù)的國(guó)家行為者將能夠創(chuàng)造出非常復(fù)雜、非常有針對(duì)性的網(wǎng)絡(luò)釣魚活動(dòng)。我認(rèn)為這些數(shù)據(jù)丟失帶來的潛在影響并沒有很好地傳達(dá)給公眾?！?/span>

Ntrepid公司首席執(zhí)行官Richard Helms稱，在OPM數(shù)據(jù)泄露事故后向受影響個(gè)人提供了數(shù)月的監(jiān)控服務(wù)并不足夠。

“這份報(bào)告缺失的部分是沒有討論這個(gè)事實(shí)：這次數(shù)據(jù)泄露事故不是銷售點(diǎn)信用卡數(shù)據(jù)失竊；而是外國(guó)政府對(duì)我們國(guó)家安全部門人員的攻擊，以進(jìn)一步提高其情報(bào)收集。作為響應(yīng)，花費(fèi)在信用監(jiān)控的數(shù)百萬美元毫無意義，”Helms稱，“國(guó)家安全社區(qū)需要擴(kuò)大其安全外圍以涵蓋員工的網(wǎng)上活動(dòng)。這些攻擊者的后續(xù)收集工作或攻擊很可能通過這些員工和家庭的互聯(lián)網(wǎng)瀏覽器，這是最有效的手段。對(duì)上網(wǎng)活動(dòng)的保護(hù)比無效的信用監(jiān)控會(huì)少花很多錢?！?/span>

該報(bào)告提供了對(duì)這次攻擊的詳細(xì)時(shí)間表，并報(bào)告稱，第一個(gè)攻擊者（在該報(bào)告中被稱為黑客X1）在2012年7月獲得OPM網(wǎng)絡(luò)訪問權(quán)限。在2014年3月20日，US-CERT通知OPM其網(wǎng)絡(luò)數(shù)據(jù)泄露。與此同時(shí)，US-CERT決定監(jiān)控攻擊者以收集反間諜情報(bào)，并計(jì)劃在必要時(shí)關(guān)閉入侵系統(tǒng)以擺脫攻擊者。

然而，在5月7日，另一個(gè)攻擊者（黑客X2）利用從承包商竊取的登錄憑證來安裝惡意軟件及后門程序在OPM的網(wǎng)絡(luò)建立了立足點(diǎn)，OPM并沒有發(fā)現(xiàn)第二個(gè)攻擊者，而是在積極監(jiān)控第一個(gè)攻擊者。

“隨著該機(jī)構(gòu)在整個(gè)網(wǎng)絡(luò)監(jiān)控黑客X1的活動(dòng)，他們注意到X1正危險(xiǎn)地接近安全檢查背景信息，”該報(bào)告寫道，“該機(jī)構(gòu)有信心在2014年5月底通過計(jì)劃好的整治行動(dòng)來消除X1的立足點(diǎn)。但黑客X2仍然在OPM的系統(tǒng)中，他已經(jīng)成功建立立足點(diǎn)，并因?yàn)镺PM的IT安全問題而沒有被發(fā)現(xiàn)。”

根據(jù)該報(bào)告指出，OPM的安全缺口相當(dāng)廣泛。OPM監(jiān)察長(zhǎng)（IG）自2005年以來就一直在警告網(wǎng)絡(luò)安全缺陷，但該報(bào)告稱“沒有有效的管理結(jié)構(gòu)來部署可靠的IT安全政策”意味著根本問題依然存在。并且，管理和預(yù)算辦公室在2015年IT安全報(bào)告稱，OPM是擁有“最薄弱身份驗(yàn)證配置”的機(jī)構(gòu)之一。

該報(bào)告寫道：“如果OPM在第一次知道攻擊者在針對(duì)這些敏感數(shù)據(jù)時(shí)部署基本所需的安全控制，并更迅速地部署更先進(jìn)的安全工具，他們可能會(huì)顯著推遲、阻止或有效緩解這種數(shù)據(jù)盜竊活動(dòng)。重要的是，如果OPM關(guān)鍵IT系統(tǒng)中敏感數(shù)據(jù)的安全性被優(yōu)先處理和得到保護(hù)的話，這種損害也可以得到緩解?！?/span>

Securonix公司首席科學(xué)家Igor Baikalov表示，這表明OPM泄露事故并非由于技術(shù)問題。

“審計(jì)結(jié)果表明，這是由于系統(tǒng)模式的疏忽以及完全無視信息安全原則和做法。自2007年以來，OIG多次報(bào)告OPM安全管理不足以及管理不善是眾多安全問題的根本原因，”Baikalov稱，“任何信息安全計(jì)劃都是從標(biāo)準(zhǔn)、政策和程序開始，而在OPM并沒有這些，這與他們過時(shí)的系統(tǒng)或者他們已經(jīng)部署的技術(shù)無關(guān)?！?/span>

OPM代理主任Beth Cobert在OPM辦公室主任Katherine Archuleta辭職后接手OPM，他在博客文章中稱這份報(bào)告“沒有充分反映該機(jī)構(gòu)現(xiàn)在的情況”。

“雖然我們對(duì)該報(bào)告的很多方面都不同意，但我們很高興看到委員會(huì)認(rèn)可OPM對(duì)網(wǎng)絡(luò)安全入侵的迅速反映，以及確認(rèn)我們?cè)诩訌?qiáng)網(wǎng)絡(luò)安全政策和流程方面取得的進(jìn)展。我們也很欣然看到該委員會(huì)愿意與我們合作來確認(rèn)這些重要問題，并找到很多對(duì)OPM以及聯(lián)邦政府有用的最終建議，”Cobert寫道，“在過去一年中，OPM與政府的合作伙伴加強(qiáng)合作，顯著提高了我們的網(wǎng)絡(luò)安全態(tài)勢(shì)，并對(duì)保護(hù)數(shù)據(jù)以及完成我們核心任務(wù)的能力重新建立了信心?！?/span>

Cobert接著詳細(xì)介紹了該機(jī)構(gòu)為提高安全和問責(zé)制采取的詳細(xì)步驟，包括部署多因素身份驗(yàn)證、美國(guó)國(guó)土安全部（DHS）和DHS的Einstein 3a開發(fā)的持續(xù)診斷和緩解程序，以及持續(xù)重新構(gòu)建和加強(qiáng)背景調(diào)查使用的web應(yīng)用系統(tǒng)。Cobert指出的其他舉措包括加強(qiáng)現(xiàn)有系統(tǒng)，同時(shí)現(xiàn)代化IT基礎(chǔ)設(shè)施以及與國(guó)防部合作，國(guó)防部“正在設(shè)計(jì)、構(gòu)建新的國(guó)家背景調(diào)查局，并將為其運(yùn)作IT基礎(chǔ)設(shè)施，這個(gè)基于OPM的實(shí)體將在未來為聯(lián)邦政府執(zhí)行背景調(diào)查?！?/span>

該報(bào)告還指出如果該機(jī)構(gòu)部署了多因素身份驗(yàn)證，OPM數(shù)據(jù)泄露事故不會(huì)發(fā)生，專家表示同意。

“部署多因素身份驗(yàn)證是一個(gè)很好的建議，但這是每個(gè)人都應(yīng)該采用的基準(zhǔn)做法。當(dāng)攻擊者控制桌面后，他們?nèi)匀荒芾玫卿洃{證，”Ntrepid公司首席科學(xué)家Lance Cottrell表示，“這好像在說企業(yè)應(yīng)該修復(fù)其軟件以及保持良好的備份--這些是完全通用的入門級(jí)意見，他們對(duì)處理敏感政府信息的機(jī)構(gòu)給出這樣的建議多少有些令人震驚。”

Bomgar公司安全產(chǎn)品管理主管Sam Elliott表示這種建議可以更進(jìn)一步。

“我很高興看到該報(bào)告提出了這一建議，但我還想建議部署強(qiáng)大的密碼管理政策，其中包括經(jīng)常性輪換特權(quán)憑證，以及部署技術(shù)來控制、方便和監(jiān)控對(duì)敏感基礎(chǔ)設(shè)施的直接訪問，”Elliot稱，“這樣的話，當(dāng)攻擊者使用竊取的登錄憑證試圖在環(huán)境中獲得立足點(diǎn)時(shí)，他們將面臨顯著挑戰(zhàn)。攻擊者將無法使用傳統(tǒng)機(jī)制來訪問目標(biāo)，最后還有MFA，即使他們能夠接近目標(biāo)，標(biāo)準(zhǔn)身份驗(yàn)證也會(huì)讓他們無法獲取目標(biāo)。”

Lipinski稱對(duì)使用MFA的建議雖然很重要，但嚴(yán)重忽略了遺留問題。

“這是人、流程和技術(shù)的問題。首先，沒有管理級(jí)別人員負(fù)責(zé)監(jiān)控安全，這落在CIO身上，而CIO并不是安全專業(yè)人員，人員因素直接導(dǎo)致了流程問題，”Lipinski表示，“該報(bào)告的結(jié)論是，還需要額外的人才。糟糕的日志記錄、工具不足、缺乏內(nèi)部反攻擊能力、無漏洞管理、無滲透測(cè)試以及事故響應(yīng)活動(dòng)都是嚴(yán)重問題?！?/span>

Lipinski補(bǔ)充說：“這是每個(gè)層面、人員、流程、技術(shù)和管理的失敗。我看到的不是持續(xù)改進(jìn)，而是‘這不是我的錯(cuò)，因?yàn)槲覀兊脑O(shè)備很舊’的借口。政府本身甚至沒有達(dá)到他們給私營(yíng)部門設(shè)置的最低水平標(biāo)準(zhǔn)。缺乏基本控制、缺乏政策或流程、缺乏事件響應(yīng)能力以及缺乏高管管理數(shù)據(jù)保護(hù)，這些都是需要解決的問題，才能防止另一起數(shù)據(jù)泄露事故的發(fā)生。”