美国行政管理和预算局(OMB)报告称,联邦政府机构简直是一团乱麻,至少在网络安全方面是这样。这些机构几乎没有安全意识,缺乏上报或应对攻击的标准流程,几乎没有机构能够充分执行基本的数据加密,OMB由此总结道,“当前的情况是无法维持的。”

总而言之,近四分之三联邦机构的网络安全方案要么被认定为“处于风险之中”(安全方面存在重大差距),要么被评为“高风险”(基本流程不到位)。

这份报告列出了4项主要调查结果,并附上了统计数据和相关建议——有些建议简直就是要对原有政策进行全面整改。

1、"联邦政府搞不清楚状况,也没有资源来对抗当前的危险环境”

一个简单的事实,以及这所有问题的潜在根源,就在于联邦政府是一头行动迟缓的巨兽,它无法应对来自黑客的威胁,或者跟上技术的快速发展步伐。这个问题最简单的指标可能是这样的:在2016财年已知的30899(!)起针对联邦系统的成功攻击中,有11802起甚至从未识别出入侵载体。

也就是说,对于38%成功实施的攻击,联邦机构根本不知道是谁做的以及是怎样做的!

这种情境意识的缺乏意味着,即便联邦机构拥有数十亿美元的预算,但他们并没有高效部署的能力。

尽管网络安全方面的支出在逐年增长,但OMB发现,联邦机构并未有效地利用可用信息,比如威胁情报、事故数据以及网络流量,来确定资产所受威胁的程度,或者用以指导资源配置的优先次序。

为此,OMB将与各家机构合作开发一种基于威胁的预算模型,研究什么能够真的影响到机构,有什么样的预防措施以及哪些具体方面需要得到改进。

2、“联邦机构没有标准化的网络安全流程和信息技术能力”

对数量众多的联邦机构来说,他们的任务和功能各不相同。但你可能会认为,这些机构已经为上报攻击事件、锁定系统的标准安全措施以及诸如此类的事情确立了基础的标准,你想错了,根本没有!

例如,一家联邦机构在其工作平台列出了不少于 62 个独立管理的电子邮件服务,使得他们几乎没有可能追踪或检查整个机构的入站和出站通信。

在OMB考察的机构当中,只有近一半表示,他们有能力检测运行在自家系统上的软件并实施白名单管理。如今,虽说让IT部门管理用户应用和检查令人不安的流程可能只需要逐个进行,但机构至少应该具备这样的信息技术能力!

当有事发生时,情况变得稍好一些:59%的机构拥有某种跟用户通报网络安全威胁的标准流程。因此,举例来说,如果那家机构的62个电邮系统中有一个遭到了入侵,该机构可能没有办法通知到所有人。

只有30%的机构拥有“可预测的、全面的事件响应流程”,这意味着,一旦发现威胁,只有三分之一的机构拥有某种把事件上报给谁以及上报什么内容的标准程序。

建立网络安全的标准流程以及实现计算资源的总体协调,这是OMB长期以来一直在努力做的事情。令人遗憾的是,白宫刚刚取消了网络安全协调员这一职位

3、“联邦机构对自家网络上发生的事情缺乏了解,尤其是缺乏检测数据泄露的能力”

对于任何网络安全方案来说,监控机构内部和外部的数据和流量都是至关重要的组成部分。一次又一次,联邦机构向我们展示,他们容易在各种攻击中沦陷,从U盘攻击到登录凭据钓鱼,不一而足。

事实证明,只有27%的机构“有能力检测和调查攻击者访问大量数据的企图”。

简而言之,联邦机构无法检测到自家网络的大量信息遭到窃取。鉴于近些年政府和企业已经曝出不少影响很大的攻击事件,这尤其令人感到担忧。

如果看不到自己的数据去了哪里,那么你就很难保护数据的安全。在OMB所谓的“影响很大的攻击事件”发生后,你可能会认为,这些机构首先会做的事情包括进行检测和锁定数据库。

也许是他们完全不清楚这些事情是如何发生的以及为什么会发生,事实上,只有17%的机构会在攻击发生后分析事件响应数据。所以,很多机构可能仅仅是把攻击事件归档,然后永远不去回头看。

OMB有一个聪明的方法来开始解决这个问题:建立一个 “安全运营中心卓越中心”(SOC  Center of Excellence,是的,这里面有两个“中心”),这个安全运营中心将为其他机构提供安全存储和访问服务,与此同时,后者可以改善或建立自己的设施。

4、“联邦机构缺乏管理网络安全风险的标准化和全面化流程”

这可能跟第二点有所重叠,但叠床架屋本就是美国政府的工作作风。这一点更多地聚焦于机构领导层。

虽然大多数机构都指出……他们的领导层积极参与网络安全风险管理,但很多机构都没有或无法详细阐释首席信息官级别以上的领导层参与。

联邦机构既没有强大的风险管理计划,也没有一致的方法向领导层告知整个机构面临的网络安全风险。

换句话说,网络安全的事情被扔给了网络安全工作人员,机构中的领导层并未提供什么指导或没有产生什么影响。这一点很重要,因为正如OMB指出的那样,很多决策或要求只能由领导层做出。举例来说,预算问题。

尽管“行业领导者、政府问责办公室(GAO)和隐私权倡导者一再呼吁”尽可能地利用加密技术,但只有不到16%的机构实现了对静态数据进行加密的目标,只有16%!对静态数据进行加密甚至并非难事!

事实证明,这又是领导层重视不够的例子。在2017财年,非国防机构在数据加密上的预算资金还不到5100万美元,这点钱真是少到可怜了,更别说两家机构就占到了其中的一半。当没有钱聘请专家或购买必要的设备时,IT部门即便是巧妇又怎样为无米之炊呢?

“联邦机构向我们展示,这是一个低优先级的事项……我们很容易看出,政府的优先事项必须重新进行调整。”OMB评论道。

虽然OMB报告最终的结论没有正文那样令人沮丧,但显而易见的是,OMB的研究人员对他们发现的事情深感失望。这不是什么新问题,尽管现任总统和之前几任总统都认定它是一个重要问题,但政府的行动一致迟缓乃至停滞不前,间或还有灾难性的攻击和令人尴尬的数据泄露发生。

这份报告没有对联邦机构进行点名批评,可能是因为他们的成和败都是多种多样的,没有一家应该受到比其他家更差的对待。但是,在不那么公开的渠道当中,那些机构不大可能被放过,但愿这份要命的报告能够推动过去十年一直裹步不前的网络安全工作。

声明:本文来自TechCrunch中文版,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。