美参议院报告：联邦机构在保护敏感数据方面仍然存在严重隐患

美国参议院国土安全和政府事务委员会(Senate Committee on Homeland Security and government Affairs)于当地时间周二公布一份47页的审查报告。报告称:“监察长发现了许多困扰联邦机构十多年的相同问题。”这份国会报告审查了8个联邦机构，发现其中7个机构继续不恰当地保护敏感数据，不符合基本的网络安全标准。

该报告总结称，尽管在2019年的一份类似报告中提到了这些相同的缺陷，但国务院、住房和城市发展部、农业部、卫生和公众服务部、教育部——以及社会保障局——仍然未能达到甚至基本的网络安全标准。自上一份报告发布以来，只有国土安全部(Department of Homeland Security)被认为改善了安全状况。

与此同时,国家网络总监克里斯·英格利斯周一重申,建议由网络日光浴委员会呼吁创建一个网络统计局，在国土安全部收集、分析和公开传播的信息网络事件的公共和私营部门作为一种帮助抵御攻击。

主要缺点

最新报告的数据是根据这八家机构的监察长2020年的年度审计结果编制的。

报告发现，这七个联邦机构“仍然没有达到保护美国敏感数据所需的基本网络安全标准。”

报告指出，这尤其令人不安，因为2020年联邦政府报告了近3.1万起信息安全事件，比2019年增加了8%。

国会报告的调查结果包括:美国运输部(Transportation Department)没有其员工使用数千项IT资产的记录。美国国务院拥有已离开该机构的工作人员的活跃账户。未授权的影子IT设备在使用。

报告称:“像SolarWinds和Microsoft Exchange这样的大规模网络事件表明，联邦机构面临着相当大的威胁。”这些攻击也让监察长们反复记录的长期漏洞更加令人担忧。未修补的关键漏洞和影子IT使得侵入机构网络和窃取敏感数据变得更容易、低成本，而联邦政府本应加大难度、提高成本。”

主要发现

在接受检查的雇员样本中，有60%的人可以进入国务院的机密网络，但国务院无法提供这些人的文件。

交通部没有发现其工作人员目前使用的7,321台移动设备、4,824台服务器和2,880台工作站的记录。

农业部面向公众的网站上存在大量高漏洞。

对教育部网络的渗透测试导致数百份包含PII的文件和200个信用卡号码外流。

社会保障局没有应用适当的访问管理控制。

该报告强调，在私营部门于2020年12月首次发现长达数月的俄罗斯网络间谍活动后，议员们加强了对联邦网络安全的审查。俄罗斯黑客利用网络管理软件SolarWinds的一个漏洞，渗入了9个政府机构。

报告发现，在接受审查的8家机构中，有7家仍在使用供应商不再支持安全更新的传统系统。报告指出，这种做法可能会让情报机构容易受到外国黑客的攻击。

报告称:“显然，委托给这8个关键机构的数据仍然存在风险。”“随着国家支持的或其他形式的黑客变得越来越老练和顽固，国会和行政部门不能再允许(个人身份信息)和国家安全机密继续受到攻击。”

建议

该报告呼吁对整个政府的网络安全采取协调措施，包括指定一个主要办公室，与所有机构协调，为整个联邦政府制定和实施网络安全战略。

它建议管理和预算办公室(Office of Management and Budget)在为IT和安全改进做预算时，强制采用基于风险的策略，这样机构就只会把钱花在实际存在的、而不是感知到的系统风险上。

报告还建议国土安全部向国会提交一份更新爱因斯坦入侵检测系统的计划，并证明其成本合理。

它还要求国会更新2014年的《联邦信息安全现代化法案》，将当前的安全措施纳入其中;正式确立美国网络安全和基础设施安全局(U.S. Cybersecurity and Infrastructure Security Agency)作为联邦网络安全领导机构的角色;并要求承包商和机构将某些网络事件通知CISA。

跟踪攻击

与此同时，国家网络总监英格利斯在大西洋理事会的一次线上活动上发言时，呼吁人们注意网络空间日光浴委员会提出的建议，即在国土安全部内部建立网络统计局，收集、分析和公开传播有关网络事件的信息。

英格丽斯说，网络安全第一反应者和网络保险运营商每180天向该局报告一次数据。他补充说，这将有助于为关键基础设施制定网络安全标准。

他说:“我认为，要正确处理风险，我们必须首先了解它。”

参考资源

1、https://www.healthcareinfosecurity.com/report-7-federal-agencies-still-lack-basic-cybersecurity-a-17210

2、https://www.cyberscoop.com/senate-homeland-federal-cybersecurity-ig-report/

声明：本文来自网空闲话，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。