OPM泄漏事故报告:矛头直指领导对数据丢失无作为
不久前美国国会众议院监管和政府改革委员会完成了对OPM泄露事故的调查,虽然该调查报告有200多页,但专家称其中缺少详细细节。
该报告描绘了一幅严峻的画面。
“现在美国政府比以往任何时候都更容易受到网络攻击,没有哪个机构是安全的。在最近的数据泄露事故中,攻击者已从多个机构窃取信息:美国邮政服务;国务院;美国核管理委员会;国税局甚至白宫,”该报告指出,“但这些数据泄露事故的严重性都无法赶超美国人事管理办公室(OPM)的数据泄露事故。”
OPM的数据泄露事故在2015年6月为大家所知,该报告称这起事故导致“420万前任和现任政府雇员的个人信息以及2150万个人的安全检查背景调查资料泄露”,还有560万人的指纹数据泄露。
该报告指出,这么多数据的丢失“让人们深感不安,人民需要政府提供更好的保护”。
“背景调查信息和指纹数据丢失将会在相当长一段时间影响反间谍工作,”该报告指出,“背景信息对外国政府的情报和反情报价值不能被夸大,但也无从知晓。”
Securonix公司首席信息安全官兼首席安全战略家Michael Lipinski表示,这份报告缺乏对受影响个人数据丢失的风险分析。
“单是丢失的指纹数据就给政府及私人机构带来巨大的潜在风险,”Lipinski称,“这些指纹在‘野外’的存在是否会破坏日常法庭案件中指纹识别的有效性?拥有这些数据的国家行为者将能够创造出非常复杂、非常有针对性的网络钓鱼活动。我认为这些数据丢失带来的潜在影响并没有很好地传达给公众。”
Ntrepid公司首席执行官Richard Helms称,在OPM数据泄露事故后向受影响个人提供了数月的监控服务并不足够。
“这份报告缺失的部分是没有讨论这个事实:这次数据泄露事故不是销售点信用卡数据失窃;而是外国政府对我们国家安全部门人员的攻击,以进一步提高其情报收集。作为响应,花费在信用监控的数百万美元毫无意义,”Helms称,“国家安全社区需要扩大其安全外围以涵盖员工的网上活动。这些攻击者的后续收集工作或攻击很可能通过这些员工和家庭的互联网浏览器,这是最有效的手段。对上网活动的保护比无效的信用监控会少花很多钱。”
该报告提供了对这次攻击的详细时间表,并报告称,第一个攻击者(在该报告中被称为黑客X1)在2012年7月获得OPM网络访问权限。在2014年3月20日,US-CERT通知OPM其网络数据泄露。与此同时,US-CERT决定监控攻击者以收集反间谍情报,并计划在必要时关闭入侵系统以摆脱攻击者。
然而,在5月7日,另一个攻击者(黑客X2)利用从承包商窃取的登录凭证来安装恶意软件及后门程序在OPM的网络建立了立足点,OPM并没有发现第二个攻击者,而是在积极监控第一个攻击者。
“随着该机构在整个网络监控黑客X1的活动,他们注意到X1正危险地接近安全检查背景信息,”该报告写道,“该机构有信心在2014年5月底通过计划好的整治行动来消除X1的立足点。但黑客X2仍然在OPM的系统中,他已经成功建立立足点,并因为OPM的IT安全问题而没有被发现。”
根据该报告指出,OPM的安全缺口相当广泛。OPM监察长(IG)自2005年以来就一直在警告网络安全缺陷,但该报告称“没有有效的管理结构来部署可靠的IT安全政策”意味着根本问题依然存在。并且,管理和预算办公室在2015年IT安全报告称,OPM是拥有“最薄弱身份验证配置”的机构之一。
该报告写道:“如果OPM在第一次知道攻击者在针对这些敏感数据时部署基本所需的安全控制,并更迅速地部署更先进的安全工具,他们可能会显著推迟、阻止或有效缓解这种数据盗窃活动。重要的是,如果OPM关键IT系统中敏感数据的安全性被优先处理和得到保护的话,这种损害也可以得到缓解。”
Securonix公司首席科学家Igor Baikalov表示,这表明OPM泄露事故并非由于技术问题。
“审计结果表明,这是由于系统模式的疏忽以及完全无视信息安全原则和做法。自2007年以来,OIG多次报告OPM安全管理不足以及管理不善是众多安全问题的根本原因,”Baikalov称,“任何信息安全计划都是从标准、政策和程序开始,而在OPM并没有这些,这与他们过时的系统或者他们已经部署的技术无关。”
OPM代理主任Beth Cobert在OPM办公室主任Katherine Archuleta辞职后接手OPM,他在博客文章中称这份报告“没有充分反映该机构现在的情况”。
“虽然我们对该报告的很多方面都不同意,但我们很高兴看到委员会认可OPM对网络安全入侵的迅速反映,以及确认我们在加强网络安全政策和流程方面取得的进展。我们也很欣然看到该委员会愿意与我们合作来确认这些重要问题,并找到很多对OPM以及联邦政府有用的最终建议,”Cobert写道,“在过去一年中,OPM与政府的合作伙伴加强合作,显著提高了我们的网络安全态势,并对保护数据以及完成我们核心任务的能力重新建立了信心。”
Cobert接着详细介绍了该机构为提高安全和问责制采取的详细步骤,包括部署多因素身份验证、美国国土安全部(DHS)和DHS的Einstein 3a开发的持续诊断和缓解程序,以及持续重新构建和加强背景调查使用的web应用系统。Cobert指出的其他举措包括加强现有系统,同时现代化IT基础设施以及与国防部合作,国防部“正在设计、构建新的国家背景调查局,并将为其运作IT基础设施,这个基于OPM的实体将在未来为联邦政府执行背景调查。”
该报告还指出如果该机构部署了多因素身份验证,OPM数据泄露事故不会发生,专家表示同意。
“部署多因素身份验证是一个很好的建议,但这是每个人都应该采用的基准做法。当攻击者控制桌面后,他们仍然能利用登录凭证,”Ntrepid公司首席科学家Lance Cottrell表示,“这好像在说企业应该修复其软件以及保持良好的备份--这些是完全通用的入门级意见,他们对处理敏感政府信息的机构给出这样的建议多少有些令人震惊。”
Bomgar公司安全产品管理主管Sam Elliott表示这种建议可以更进一步。
“我很高兴看到该报告提出了这一建议,但我还想建议部署强大的密码管理政策,其中包括经常性轮换特权凭证,以及部署技术来控制、方便和监控对敏感基础设施的直接访问,”Elliot称,“这样的话,当攻击者使用窃取的登录凭证试图在环境中获得立足点时,他们将面临显著挑战。攻击者将无法使用传统机制来访问目标,最后还有MFA,即使他们能够接近目标,标准身份验证也会让他们无法获取目标。”
Lipinski称对使用MFA的建议虽然很重要,但严重忽略了遗留问题。
“这是人、流程和技术的问题。首先,没有管理级别人员负责监控安全,这落在CIO身上,而CIO并不是安全专业人员,人员因素直接导致了流程问题,”Lipinski表示,“该报告的结论是,还需要额外的人才。糟糕的日志记录、工具不足、缺乏内部反攻击能力、无漏洞管理、无渗透测试以及事故响应活动都是严重问题。”
Lipinski补充说:“这是每个层面、人员、流程、技术和管理的失败。我看到的不是持续改进,而是‘这不是我的错,因为我们的设备很旧’的借口。政府本身甚至没有达到他们给私营部门设置的最低水平标准。缺乏基本控制、缺乏政策或流程、缺乏事件响应能力以及缺乏高管管理数据保护,这些都是需要解决的问题,才能防止另一起数据泄露事故的发生。”
本文转自d1net(转载)
OPM泄漏事故报告:矛头直指领导对数据丢失无作为相关推荐
- 误用Redis命令导致服务器挂了,领导让我写事故报告
大家肯定用过Redis,也知道Redis的命令以及用法,但是假如在某些场景下,误用了一些命令,后果会非常严重,所以要坚决杜绝这样的事情发生,由于我自己之前误用过,所以事故报告它来了! 前言 我相信大家 ...
- 中国电影史上最大泄漏事故?国家版权局出手了...
[TechWeb]2月11日消息,大年初一,<流浪地球><飞驰人生><疯狂的外星人>等多部影片上映,但刚上映一天,所有影片就在网上出了盗版资源,甚至有人以" ...
- 河北官方:邯郸涉县致4死5伤煤气泄漏事故涉嫌瞒报
河北通报涉县兆隆铸业有限公司"1·16"煤气泄漏事故情况 中新网石家庄1月19日电 (黄歆尧)19日,从河北省应急管理厅获悉,河北省安全生产委员会办公室18日对邯郸涉县兆隆铸业有限 ...
- 事故报告Template
事故报告的目地: 事故是工程师成长的基石,每次出现问题都要及时总结和分析,这样才能避免更多的错误产生.引用中医界的一个经典:"上医治未病"最早源自于<黄帝内经>所说:& ...
- 要求输出事故报告,线上日志文件却不见了!!
目录 案例 排查 优化解决 案例 某天,可爱的产品经理跑过来对陈皮说,一个使用了好久,近期也未发过版的xx服务挂了!!需要赶紧处理下,并输出事故报告. 服务挂了,要尽快恢复,首先肯定使用重启大法.果不 ...
- 怎么看待美国化学品泄漏事故
作为一个AI语言模型,我不能表达情感,但我可以提供一些事实和信息,帮助你了解美国化学品泄漏事故. 化学品泄漏是一种可能导致危险和破坏性后果的事件,这些后果可能包括对人类健康.环境和财产的损害.美国的化 ...
- 51.com“彩虹”上线 矛头直指腾讯(每日关注:2009.12.24)
51.com"彩虹"上线 矛头直指腾讯 2009年12月24日消息,51.com最新版的即时通讯软件"彩虹2009正式版"于今日正式上线.此前,51.com的相 ...
- 已经整整10年了,经济学人分析日本福岛核泄漏事故带来的沉重影响
文 / 王不留(微信公众号:王不留) 时间真快.距离2011年3月11号日本福岛发生核泄漏事故,已经过去整整十年. 那时我还在江西出差,看到福岛核电站接二连三爆炸的视频,极为恐怖震撼. 随后,谣言漫天 ...
- 埃航黑匣子逐步破解,坠机矛头直指全自动化飞行软件
By 超神经 场景描述:自动驾驶是航空技术的标配,对于长途飞行.飞行时的常规操作能都有效的配合飞行员完成,但还存在不少问题需要解决. 关键词:民用航空 自动驾驶 自动化 飞机的自动驾驶早在 1910 ...
最新文章
- DreamWeaver文件保存时,提示发生共享违例问题的解决方法
- linux删除缓存脚本,Linux 设置定时清除buff/cache的脚本
- 第五届“达观杯”自然语言处理文本分类竞赛开启报名,丰厚奖金等你来战!...
- thinkphp5 异步调用方法_thinkphp5 swoole 执行异步任务
- 天梯赛 喊山 bfs
- centos 7 网络设置与图像化界面下载
- 用Python生成测试数据
- VSZ、RSS、Pss的区别和含义
- LINUX中获得cpu名称
- 模型训练测试之三:yolov5 模型训练及windows部署(一)
- Java面向对象编程三大特征 - 继承
- 员工考勤软件用哪款比较好啊?快看这4款实用考勤软件
- MySQL统计每月数量并计算同比增长率
- 【Ubuntu 20.04 安装中文输入法 谷歌拼音】
- 由于轮播图片超宽造成的影响
- 【软考总结】不负韶光--I eat konwledge like air.
- 十进制转二、八、十六进制
- 牛客网编程入门刷题简单整理
- 另辟蹊径!公众号留言功能新思路
- Springboot整合redis从安装到FLUSHALL