生日快乐,美国。我们认为我们不那么安全。从电网到银行系统到国防承包商建立我们最先进的武器,运营国家的关键基础设施的计算机看到犯罪分子和国家的无情攻击。有时我们会听到它,有时我们没有。
去年,联邦航空管理局(FAA)、国防部(DoD)和自动取款机银行系统都遭到了协同一致、有组织的攻击,而这些人还没有被逮捕。加强国防、电力、金融服务和电信等行业的关键基础设施系统将需要数百万美元,或许需要多年,还需要巨大的政治影响力。奥巴马总统说他想这么做.IT主管想知道如何做到这一点。
“我会寻找一条道路和伙伴关系,”Bruce Larson说,他是美国水务公司(American Water Works)的前安全主管,该公司价值23亿美元,服务于32个州和加拿大的部分地区。他说,部分问题在于政府和行业没有分享足够的信息。“政府需要私营部门提供有关(企业漏洞)有多严重以及可能产生何种影响的信息。私营部门需要了解真正的威胁可能是什么。”
多读,多看奥巴马的网络安全协调员有广泛的议程和系统安全:5种方法来提高你的防御攻击.
首席信息官们知道,解决安全问题代价高昂,而且多半吃力不讨好。很少有领导人会因为防止犯罪和违规行为而受到表扬。一些首席信息官担心政府过多地参与决定技术标准和选择。但安全与反恐公司好港咨询(Good Harbor Consulting)的合伙人库尔茨(Paul Kurtz)说,越来越多的威胁促使企业和政府领域都迫切需要做出改变。库尔茨是前总统比尔·克林顿和乔治·w·布什在国家和国土安全问题上的前高级顾问。
库尔茨说:“每过一个月,政府部门没有真正的领导和果断的行动,我们就会因知识产权被盗而损失数十亿美元。”“支持电力、石油和天然气、航空、军事行动的关键系统都处于危险之中。”
发生了什么错误
去年11月,一个“犯罪组织”利用100张假工资卡和礼品卡盗取了900万美元,美国联邦调查局(FBI)称这是针对各大城市自动取款机的“有组织攻击”30分钟.美国联邦调查局(FBI)在亚特兰大的监控摄像头拍摄到的图像中,请求人们帮助识别这些男子。
当然,美国的金融系统是偶尔或严重的黑客最喜欢攻击的目标。人们担心,有针对性的攻击将袭击其他17个被视为关键基础设施的部门,其中包括能源、农业、交通、电信、医疗保健、国防承包商和核设施。随着企业通过互联网进行合作,核心IT系统越来越依赖公共网络,漏洞也在增加。政府问责局(GAO)表示,对联邦和基础设施IT系统的威胁“正在演变和增长”。US-CERT是一家跟踪安全状况的政府机构,其报告的安全事件从2006年的5500起增至去年的16800起,增加了两倍。
例如,在4月,政府官员证实,自2007年以来,黑客一直滑入联合罢工战斗机项目后面的计算机系统。他们通过项目的防御承包商获得了访问权限,洛克希德马丁领先。通过这些私营部门的入口点,间谍这些官员对《华尔街日报》说,他们窃取了数tb的设计和电子系统数据。这些入侵者据信在中国。
根据监察长办公室(OIG)最近的一项审计,今年2月,美国联邦航空管理局(FAA)的一个网站遭到黑客攻击,4.8万名现任和前任雇员的数据被泄露。OIG表示,2008年,黑客占领了美国联邦航空局在阿拉斯加的服务器,发现了俄克拉荷马州一名管理员的密码,获得了4万名美国联邦航空局用户名和密码。作为审计的一部分,安全测试确定了763个高风险漏洞,比如允许远程执行命令的计算机,可能会关闭系统或泄露敏感数据。
美国中央情报局(Central Intelligence Agency)透露,黑客侵入美国以外国家的电网造成了停电,但未透露具体国家的情况。雷竞技比分本月,美国电力行业最大的贸易组织北美能源可靠性公司(North American Energy Reliability Corp., NERC)开始对电力公司进行审计,以确保它们注册了关键的网络资产,并遵守联邦和NERC自己的保护措施。在四月份致成员的一封信中,NERC的首席安全官警告说“变电站内所有设备同时操作的可能性,更糟的是,多个变电站都可能同时操作。”
美国空军前首席信息官、SRA国际公司(SRA International)专攻电信安全的前高管约翰•吉利根(John Gilligan)表示:“我不想成为末日预言者。”“但我想不出有哪个真正了解情况的人会对我们自卫的能力有信心。”
作为一名独立顾问,吉利根最近提出了他所谓的“共识审计指南”,这是目前在华盛顿四处议论的修复联邦和关键基础设施安全的众多建议之一系统安全:5种方法来提高你的防御攻击).Gilligan说,在他从事IT行业的几十年里,困扰他的是有多少不同的计算标准、命令、法规和法律管理着政府的不同部分以及关键的基础设施公司。
据政府问责局称,在美国,至少有34项联邦法令、法规和法律适用于涉及关键基础设施的公司内部IT。雷竞技比分更重要的是,它是一组没有一个人,甚至一个机构或部门监督的规则。这些机构包括食品和药物管理局、货币监理署、证券交易委员会、联邦能源管理委员会以及财政部、国土安全部和内政部。分散意味着跨行业、统一度量和监控的安全标准不存在。因此,对于“美国的数字基础设施有多安全?”这个问题,也没有一个好的答案。
与其他安全专家一样,吉利根支持由官员协调网络安全和相关努力的想法,但他警告说,为安全命令的疯狂组合合理化是一项重大的政治工作。该官员必须协调各种联邦机构、私营企业和学术界。吉利根说:“这样做,我们将开始有一个连贯的战略。”"现在是自由代理人"为自己组织的利益而工作。
咨询公司CSC的首席技术官、美国交通部(DoT)前首席信息官丹尼尔·明茨(Daniel Mintz)表示,当重点放在处理日常战术问题或“打地鼹鼠安全”上时,制定长期战略就被抛在了一边。他说:“目前这种在任何地方都想做所有事情的做法,结果是在任何地方都收效甚微。”
去年,在乔治W·布什下,政府设计了一个呼吁全国国家网络安全倡议的网络安全计划,主要针对保护与国土安全部有关的系统。这是一个狭窄的网络空间,因为这项工作被归类,很难说明它有多有效。奥巴马已经承诺“透明”这个过程,并寻求私营部门的建议。但政府对一些新的行业规则施加了一个红旗。行业通常可以巡逻本身,维护美国水的前安全总监Larson,只要有市场激励措施就这样做了。“如果你是一个很大的公共拥有实体,你的董事会不会让你离开,而不会识别风险并减轻他们。这是市场力量。”
改变威胁
当政府官员正式谈论安全问题时,他们描绘的大多数场景都涉及恶意人士破坏主要系统。反过来,我们也确保政府和企业实体有可靠的备份。
但信息保障与安全中心的执行董事Eugene H. Spafford表示,这不是网络内人的行为。该中心隶属于普渡大学,一年前,奥巴马举行了安全挑战峰会。趋势安全专家表示,更加阴险的是攻去的攻面,以微妙地改变数据而不是完全拒绝服务。
通过引入错误损坏金融系统中的数据将涉及银行记录的准确性。人们,也许国家,现在不信任的系统会将他们的钱拉出来。司令士队说,用电网或医疗系统或空中交通管制系统或空中交通管制系统或空中交通管制系统的计算机闯入。
“假设所有飞行控制系统都被改变为彼此的直接飞行而不是屏幕空白,”他说。到目前为止,这种灾难没有发生。但是,如果它这样做,潜水车牌增加了,“即使在恢复时,结果也会对系统缺乏信心。”
吉利根说,覆盖最关键的安全差距,而不是明显的安全差距,那么势在必行。“特别是在今天的环境中,”他说,“将我们甚至进一步陷入衰退或抑郁症就不会花太多东西。”
企业IT主管可以采用一些政府常用的保护方法,比如在备份时加密敏感数据和应用软件。但其他策略在企业领域就没有意义了。
例如,在美国国防部,国防信息系统机构副主任的后海军上将伊丽莎白高海军上将伊丽莎白Hight表示,这一数据库中只有10个计算网站。
海特说,与公共网络的连接越少,脆弱点就越少。但是今天,不让一家公司上网可能意味着让一家公司破产。
切实可行的解决方案
那么该怎么办呢?在华盛顿引起关注的一项提议是《共识审计准则》(Consensus Audit Guidelines)。吉利根与安全研究和培训组织SANS研究所、战略与国际研究中心以及其他政府内外的安全专家和从业人员一起开发了这些技术。指导方针强调简单。该指南没有深入研究技术或讨论哪个机构应该监管另一个机构,而是提出了20个基本的管理和流程理念,其基本原则是频繁监控和衡量你在做什么,以阻止最常见的网络攻击模式。
咨询公司emimagined Security的首席技术官尤金·舒尔茨(Eugene Schultz)说,这些指导方针“是关于你如何看待问题,以及如何在有限的资源下管理它。”是非常真实的。”
安全专家说,这是一个很好的方法,因为网络罪犯不断调整他们的模式和工具。不仅如此,大多数步骤都是每一位CIO今天不需要花大量的钱就可以采取的。
在20个控制中,每个控制都解释了攻击者如何利用该区域,以及你可以采取哪些步骤来防止攻击,包括快速取胜、简单任务和高级方法。
美国国务院几个月来一直在测试这些指导方针。国务院首席信息安全官、信息安全副首席信息官John Streufert将他最近经历的真实的安全攻击映射给吉利根的控制,以确定如果给定的建议已经到位,它是否会产生任何影响。吉利根表示,目前还没有私营企业对这一指导方针进行过测试,但他正在与几位联邦首席信息官讨论这样做的问题。美国核管理委员会(Nuclear Regulatory Commission)也在试行这些指导方针。
Streufert说,恶意软件最近是一个问题。控制号码12 - 恶意软件防御 - 每天调用此类任务作为检查机器,以便更新恶意软件保护并每天推出更新。它还应该在插入笔记本电脑或PC时配置要扫描可移动设备的Malware。还建议拍摄公司立场:部署网络访问控制工具以验证在授予网络访问之前的安全配置和补丁合规性。
状态也会在其网络上运行未经授权的硬件和软件的扫描,这些硬件和软件都是控制第一和第二号码。Streufert不愿意说明他发现多少恶意软件或有多少未经授权的设备,或估计问题的成本。但是,通过使用Gilligan的20个技术,并定期衡量和改进国家部门的主体主动管理安全性,国家减少了内部风险得分,它在斯特雷来说所说的几个关键区域超过了83%的关键区域。
清单安全的结束