安全動(dòng)態(tài)

OPM泄漏事故報(bào)告:矛頭直指領(lǐng)導(dǎo)對(duì)數(shù)據(jù)丟失無(wú)作為

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2016-09-23    瀏覽次數(shù):
 

信息來源:企業(yè)網(wǎng)

不久前美國(guó)國(guó)會(huì)眾議院監(jiān)管和政府改革委員會(huì)完成了對(duì)OPM泄露事故的調(diào)查,雖然該調(diào)查報(bào)告有200多頁(yè),但專家稱其中缺少詳細(xì)細(xì)節(jié)。

該報(bào)告描繪了一幅嚴(yán)峻的畫面。

“現(xiàn)在美國(guó)政府比以往任何時(shí)候都更容易受到網(wǎng)絡(luò)攻擊,沒有哪個(gè)機(jī)構(gòu)是安全的。在最近的數(shù)據(jù)泄露事故中,攻擊者已從多個(gè)機(jī)構(gòu)竊取信息:美國(guó)郵政服務(wù);國(guó)務(wù)院;美國(guó)核管理委員會(huì);國(guó)稅局甚至白宮,”該報(bào)告指出,“但這些數(shù)據(jù)泄露事故的嚴(yán)重性都無(wú)法趕超美國(guó)人事管理辦公室(OPM)的數(shù)據(jù)泄露事故?!?/span>

OPM的數(shù)據(jù)泄露事故在2015年6月為大家所知,該報(bào)告稱這起事故導(dǎo)致“420萬(wàn)前任和現(xiàn)任政府雇員的個(gè)人信息以及2150萬(wàn)個(gè)人的安全檢查背景調(diào)查資料泄露”,還有560萬(wàn)人的指紋數(shù)據(jù)泄露。

該報(bào)告指出,這么多數(shù)據(jù)的丟失“讓人們深感不安,人民需要政府提供更好的保護(hù)”。

“背景調(diào)查信息和指紋數(shù)據(jù)丟失將會(huì)在相當(dāng)長(zhǎng)一段時(shí)間影響反間諜工作,”該報(bào)告指出,“背景信息對(duì)外國(guó)政府的情報(bào)和反情報(bào)價(jià)值不能被夸大,但也無(wú)從知曉?!?/span>

Securonix公司首席信息安全官兼首席安全戰(zhàn)略家Michael Lipinski表示,這份報(bào)告缺乏對(duì)受影響個(gè)人數(shù)據(jù)丟失的風(fēng)險(xiǎn)分析。

“單是丟失的指紋數(shù)據(jù)就給政府及私人機(jī)構(gòu)帶來巨大的潛在風(fēng)險(xiǎn),”Lipinski稱,“這些指紋在‘野外’的存在是否會(huì)破壞日常法庭案件中指紋識(shí)別的有效性?擁有這些數(shù)據(jù)的國(guó)家行為者將能夠創(chuàng)造出非常復(fù)雜、非常有針對(duì)性的網(wǎng)絡(luò)釣魚活動(dòng)。我認(rèn)為這些數(shù)據(jù)丟失帶來的潛在影響并沒有很好地傳達(dá)給公眾?!?/span>

Ntrepid公司首席執(zhí)行官Richard Helms稱,在OPM數(shù)據(jù)泄露事故后向受影響個(gè)人提供了數(shù)月的監(jiān)控服務(wù)并不足夠。

“這份報(bào)告缺失的部分是沒有討論這個(gè)事實(shí):這次數(shù)據(jù)泄露事故不是銷售點(diǎn)信用卡數(shù)據(jù)失竊;而是外國(guó)政府對(duì)我們國(guó)家安全部門人員的攻擊,以進(jìn)一步提高其情報(bào)收集。作為響應(yīng),花費(fèi)在信用監(jiān)控的數(shù)百萬(wàn)美元毫無(wú)意義,”Helms稱,“國(guó)家安全社區(qū)需要擴(kuò)大其安全外圍以涵蓋員工的網(wǎng)上活動(dòng)。這些攻擊者的后續(xù)收集工作或攻擊很可能通過這些員工和家庭的互聯(lián)網(wǎng)瀏覽器,這是最有效的手段。對(duì)上網(wǎng)活動(dòng)的保護(hù)比無(wú)效的信用監(jiān)控會(huì)少花很多錢?!?/span>

該報(bào)告提供了對(duì)這次攻擊的詳細(xì)時(shí)間表,并報(bào)告稱,第一個(gè)攻擊者(在該報(bào)告中被稱為黑客X1)在2012年7月獲得OPM網(wǎng)絡(luò)訪問權(quán)限。在2014年3月20日,US-CERT通知OPM其網(wǎng)絡(luò)數(shù)據(jù)泄露。與此同時(shí),US-CERT決定監(jiān)控攻擊者以收集反間諜情報(bào),并計(jì)劃在必要時(shí)關(guān)閉入侵系統(tǒng)以擺脫攻擊者。

然而,在5月7日,另一個(gè)攻擊者(黑客X2)利用從承包商竊取的登錄憑證來安裝惡意軟件及后門程序在OPM的網(wǎng)絡(luò)建立了立足點(diǎn),OPM并沒有發(fā)現(xiàn)第二個(gè)攻擊者,而是在積極監(jiān)控第一個(gè)攻擊者。

“隨著該機(jī)構(gòu)在整個(gè)網(wǎng)絡(luò)監(jiān)控黑客X1的活動(dòng),他們注意到X1正危險(xiǎn)地接近安全檢查背景信息,”該報(bào)告寫道,“該機(jī)構(gòu)有信心在2014年5月底通過計(jì)劃好的整治行動(dòng)來消除X1的立足點(diǎn)。但黑客X2仍然在OPM的系統(tǒng)中,他已經(jīng)成功建立立足點(diǎn),并因?yàn)镺PM的IT安全問題而沒有被發(fā)現(xiàn)?!?/span>

根據(jù)該報(bào)告指出,OPM的安全缺口相當(dāng)廣泛。OPM監(jiān)察長(zhǎng)(IG)自2005年以來就一直在警告網(wǎng)絡(luò)安全缺陷,但該報(bào)告稱“沒有有效的管理結(jié)構(gòu)來部署可靠的IT安全政策”意味著根本問題依然存在。并且,管理和預(yù)算辦公室在2015年IT安全報(bào)告稱,OPM是擁有“最薄弱身份驗(yàn)證配置”的機(jī)構(gòu)之一。

該報(bào)告寫道:“如果OPM在第一次知道攻擊者在針對(duì)這些敏感數(shù)據(jù)時(shí)部署基本所需的安全控制,并更迅速地部署更先進(jìn)的安全工具,他們可能會(huì)顯著推遲、阻止或有效緩解這種數(shù)據(jù)盜竊活動(dòng)。重要的是,如果OPM關(guān)鍵IT系統(tǒng)中敏感數(shù)據(jù)的安全性被優(yōu)先處理和得到保護(hù)的話,這種損害也可以得到緩解?!?/span>

Securonix公司首席科學(xué)家Igor Baikalov表示,這表明OPM泄露事故并非由于技術(shù)問題。

“審計(jì)結(jié)果表明,這是由于系統(tǒng)模式的疏忽以及完全無(wú)視信息安全原則和做法。自2007年以來,OIG多次報(bào)告OPM安全管理不足以及管理不善是眾多安全問題的根本原因,”Baikalov稱,“任何信息安全計(jì)劃都是從標(biāo)準(zhǔn)、政策和程序開始,而在OPM并沒有這些,這與他們過時(shí)的系統(tǒng)或者他們已經(jīng)部署的技術(shù)無(wú)關(guān)?!?/span>

OPM代理主任Beth Cobert在OPM辦公室主任Katherine Archuleta辭職后接手OPM,他在博客文章中稱這份報(bào)告“沒有充分反映該機(jī)構(gòu)現(xiàn)在的情況”。

“雖然我們對(duì)該報(bào)告的很多方面都不同意,但我們很高興看到委員會(huì)認(rèn)可OPM對(duì)網(wǎng)絡(luò)安全入侵的迅速反映,以及確認(rèn)我們?cè)诩訌?qiáng)網(wǎng)絡(luò)安全政策和流程方面取得的進(jìn)展。我們也很欣然看到該委員會(huì)愿意與我們合作來確認(rèn)這些重要問題,并找到很多對(duì)OPM以及聯(lián)邦政府有用的最終建議,”Cobert寫道,“在過去一年中,OPM與政府的合作伙伴加強(qiáng)合作,顯著提高了我們的網(wǎng)絡(luò)安全態(tài)勢(shì),并對(duì)保護(hù)數(shù)據(jù)以及完成我們核心任務(wù)的能力重新建立了信心?!?/span>

Cobert接著詳細(xì)介紹了該機(jī)構(gòu)為提高安全和問責(zé)制采取的詳細(xì)步驟,包括部署多因素身份驗(yàn)證、美國(guó)國(guó)土安全部(DHS)和DHS的Einstein 3a開發(fā)的持續(xù)診斷和緩解程序,以及持續(xù)重新構(gòu)建和加強(qiáng)背景調(diào)查使用的web應(yīng)用系統(tǒng)。Cobert指出的其他舉措包括加強(qiáng)現(xiàn)有系統(tǒng),同時(shí)現(xiàn)代化IT基礎(chǔ)設(shè)施以及與國(guó)防部合作,國(guó)防部“正在設(shè)計(jì)、構(gòu)建新的國(guó)家背景調(diào)查局,并將為其運(yùn)作IT基礎(chǔ)設(shè)施,這個(gè)基于OPM的實(shí)體將在未來為聯(lián)邦政府執(zhí)行背景調(diào)查?!?/span>

該報(bào)告還指出如果該機(jī)構(gòu)部署了多因素身份驗(yàn)證,OPM數(shù)據(jù)泄露事故不會(huì)發(fā)生,專家表示同意。

“部署多因素身份驗(yàn)證是一個(gè)很好的建議,但這是每個(gè)人都應(yīng)該采用的基準(zhǔn)做法。當(dāng)攻擊者控制桌面后,他們?nèi)匀荒芾玫卿洃{證,”Ntrepid公司首席科學(xué)家Lance Cottrell表示,“這好像在說企業(yè)應(yīng)該修復(fù)其軟件以及保持良好的備份--這些是完全通用的入門級(jí)意見,他們對(duì)處理敏感政府信息的機(jī)構(gòu)給出這樣的建議多少有些令人震驚?!?/span>

Bomgar公司安全產(chǎn)品管理主管Sam Elliott表示這種建議可以更進(jìn)一步。

“我很高興看到該報(bào)告提出了這一建議,但我還想建議部署強(qiáng)大的密碼管理政策,其中包括經(jīng)常性輪換特權(quán)憑證,以及部署技術(shù)來控制、方便和監(jiān)控對(duì)敏感基礎(chǔ)設(shè)施的直接訪問,”Elliot稱,“這樣的話,當(dāng)攻擊者使用竊取的登錄憑證試圖在環(huán)境中獲得立足點(diǎn)時(shí),他們將面臨顯著挑戰(zhàn)。攻擊者將無(wú)法使用傳統(tǒng)機(jī)制來訪問目標(biāo),最后還有MFA,即使他們能夠接近目標(biāo),標(biāo)準(zhǔn)身份驗(yàn)證也會(huì)讓他們無(wú)法獲取目標(biāo)。”

Lipinski稱對(duì)使用MFA的建議雖然很重要,但嚴(yán)重忽略了遺留問題。

“這是人、流程和技術(shù)的問題。首先,沒有管理級(jí)別人員負(fù)責(zé)監(jiān)控安全,這落在CIO身上,而CIO并不是安全專業(yè)人員,人員因素直接導(dǎo)致了流程問題,”Lipinski表示,“該報(bào)告的結(jié)論是,還需要額外的人才。糟糕的日志記錄、工具不足、缺乏內(nèi)部反攻擊能力、無(wú)漏洞管理、無(wú)滲透測(cè)試以及事故響應(yīng)活動(dòng)都是嚴(yán)重問題?!?/span>

Lipinski補(bǔ)充說:“這是每個(gè)層面、人員、流程、技術(shù)和管理的失敗。我看到的不是持續(xù)改進(jìn),而是‘這不是我的錯(cuò),因?yàn)槲覀兊脑O(shè)備很舊’的借口。政府本身甚至沒有達(dá)到他們給私營(yíng)部門設(shè)置的最低水平標(biāo)準(zhǔn)。缺乏基本控制、缺乏政策或流程、缺乏事件響應(yīng)能力以及缺乏高管管理數(shù)據(jù)保護(hù),這些都是需要解決的問題,才能防止另一起數(shù)據(jù)泄露事故的發(fā)生?!?/span>

 
 

上一篇:中興通訊發(fā)布智能家居戰(zhàn)略 開啟行業(yè)合作新篇章

下一篇:2016年09月23日 聚銘安全速遞