美国司法部发布2016年中情局 (CIA) Vault 7数据泄露事件调查报告,指责CIA 保护措施“令人大跌眼镜”,称其“更多地关注构建网络工具而非确保自身系统的安全”。
这份调查报告指出,CIA 并未隔离敏感的网络武器,政府网络安全研究员之间共享系统管理员级别的密码。含有敏感数据的系统并未配置用户活动监控,而用户可以无限制访问历史数据。
报告指出,“在满足不断增长和越发重要的任务需求的紧迫形势下,CIA 下属的网络情报中心 (CCI) 以牺牲自身系统为代价优先构建网络武器。”
报告指出,在 Vault 7 数据泄露事件中,至少180 GB(高达34 TB 大小的信息)数据被盗,大约相当于1160万至22亿页电子文档。被盗数据包括存储于 CCI 软件开发网络 (DevLAN) 上的网络工具。CCI 是遭攻击的目标,它的任务是通过网络行动“改革情报”。
该报告概述了从 CCI 中发现的多种安全问题。比如,虽然 CCI 的 DevLAN 网络已认证和认可,但CCI 并未开发或部署用户活动监控或“稳健的”网络服务器审核能力。由于缺乏用户活动监控和审计,“我们知道事件发生一年后即维基解密在2017年3月公布后才意识到数据被盗”,大量被盗的 CIA 黑客工具遭公开。也就是说,如果数据未公布,则CIA 至今可能仍然未意识到数据丢失的问题。
另外一个问题是,CIA 缺少“专门官员”负责确保 IT 系统是安全构建的且在生命周期内皆如此。因为这项任务无人认领,导致无人为此泄露事件担责。另外,也没有人发现关于有内部人员访问 CIA 数据的风险“警告信号”。
发布这一报告消息的《华盛顿邮报》指出,该报告作为CIA前雇员 Joshua Schulte 受审的证据,他被指窃取 CIA 的黑客工具并交给维基解密。
该报告提出了多项(经过大量修订后)安全提升建议,包括增强对 0day 利用和攻击性网络工具的安全准则和机密信息处理限制。
然而,美国国会情报委员会的一名成员参议员 Wyden 在向美国国家情报局局长 John Ratcliffe 发出的公开信中指出,即使三年过后,情报社区离改进安全实践还有一段距离。他表示,例如情报社区未使用多因素认证机制保护其 gov. 域名名称的安全;CIA、国家侦察局和国家情报局尚未启用 DMARC 反网络钓鱼保护措施。
他指出,“报告提交三年后,情报社区仍然落后,甚至未能采用在联网政府其它机构中广泛使用的基础的网络安全技术。美国人民希望你能做得更好,否则他们将寻求国会的帮助解决这些系统性问题。”
当问到Acceptto 公司的首席安全架构师 Fausto Oliveira 为何CIA 未采用行业内的标准安全实践时表示,Wyden的看法“非常正确”。他指出,“从报告的调查结果来看,似乎缺乏 IT 和网络安全治理,导致安全控制措施松懈。这并非运营问题,而是因为该机构的管理层未设定正确的管理与运营某个组织机构相关风险的目标,尤其是对于所有黑客都垂涎欲滴的理想目标而言更是如此。”
原文链接
https://threatpost.com/theft-of-cias-vault-7-secrets-tied-to-woefully-lax-security/156591/
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
