澳大利亚政府在网络安全审计中再次“沦陷”

在此次接受审计的18家政府机构中，只有1家符合信息安全准则要求。也许澳大利亚国内的云安全服务供应商能够帮助政府方面克服勒索软件带来的风险。

在最新一轮审计中，澳大利亚政府再次表现出自身在信息安全控制领域的无能。但新近实施的云技术确实能够锁定数据以防止泄露，这也在某种程度上帮助政府机构保住了一丝颜面。

澳大利亚国家审计署（ANAO）在最近刚刚发布的财务控制审计（此项审计始于2013年）中，表示澳大利亚政府各主要机构的安全状况仍然不容乐观。

根据安全保护政策框架（PSPF）的要求，澳大利亚各政府机构需要实施澳大利亚信号局（ASK）提出的八项基本安全准则（包括采用白名单、为应用程序安装修复补丁、限制高权限账户、修复操作系统漏洞等）以提高与网络风险相关的整体安全水平。

作为提振安全的重头戏，“网络提升”计划未能获得理想收效

去年，约25家政府机构决定通过网络提升计划快速改善自身安全态势。此项冲刺计划由澳大利亚网络安全中心（ACSC）负责管理，旨在帮助各参与机构快速解决潜在的网络安全风险。

但在此次审计所涵盖的18家政府实体当中，调查人员发现除1家机构外，其余17家机构的网络风险识别能力及其对财务状况的潜在影响方面均“大大低于”PSPF中InfoSec-10政策提出的安全要求。

ANAO方面总结道，“从2013年到现在，没有任何证据表明这套监管框架切实帮助政府机构改善网络安全风险。”

在接受审计的机构当中，有10家遵循了关于限制高权限账户的要求，4家已经开始利用应用程序白名单建立保护机制，3家正着手对操作系统及应用程序进行漏洞修复。

仅有2家机构符合关于多因素身份验证的规定，1家机构成功完成了应用程序安全强化，另有1家机构开始对生产套件中的宏使用情况进行全面管理。

尽管所有参与实体都在定期备份“具有重要财务意义的数据”，但仍普遍无法满足PSPF备份合规性指南中提出的要求（只有6家机构按照要求进行每日备份）。

此外，不少机构曾遭受勒索软件等网络攻击的影响，这也从侧面反映出他们并没能建立起强大的备份框架与行之有效的数据恢复机制。

多数参与审计的机构辩称，系统过于复杂导致他们无法及时落地各项网络安全措施。另外，他们目前正在推进的应用合并计划旨在“减少攻击面并最大程度降低风险”。

这些计划原定于今年7月完成，但目前尚不清楚COVID-19疫情会对具体时间造成怎样的影响。ANAO方面也考虑到COVID-19的冲击，警告称由此带来的破坏“进一步强调了建立强大IT安全性与业务连续性体系的重要意义。”

澳大利亚打算用云服务对抗勒索软件？

但糟糕的安全审计表现，对于专门服务政府客户的云服务供应商AUCloud来说倒是个好消息。该公司率先行动，尝试利用Veeam与Cloudian同Amazon Web Services（AWS）合力打造的S3 Object Lock技术对抗勒索软件攻击。

Object Lock是一项面向云数据的“一次写入、多次读取（WORM）”功能，可防止恶意人士篡改Amazon S3存储桶内的数据内容。

由于勒索软件的主要攻击手段就是加密现有文件，这项技术有望为政府机构保留一份固若金汤的备份副本。

AUCloud目前已经获得管理政府级别敏感数据的认证资质，因此其“不可变备份”服务的出台也许能够给澳大利亚政府的整体信息安全水平带来提升。

PSPF InfoSec-19指南明确规定，各级机构应“对重要的新数据或变更后的数据、软件及配置进行每日备份，离线存储，并保留至少三个月。”

此外，各级政府机构还应定期测试恢复功能，以确保在发生网络攻击时可根据需求快速恢复数据内容。

当下，勒索软件仍是澳大利亚政府面临的头号威胁。Verizon公司在其《2020年数据违规调查报告（DBIR）》中指出，目前超过六成的分析数据违规事件与勒索软件有关。

原文链接：

https://www.csoonline.com/article/3561335/once-again-australian-government-agencies-fail-cyber-security-audit.html

文章来源：安全内参编译整理，转载需获得授权

声明：本文来自互联网安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。