当管理和预算办公室为联邦机构推出了一份旨在改善网络安全状况的深远蓝图时,它指出了政府cio和CISOs可以改进的一些领域,包括快速发现和对事件的反应,以及招聘和留住顶级安全人才的需要。
网络安全战略和实施计划(PDF格式)在这里)还凸显出各机构有必要采取措施,减轻一个更普遍、也更容易被忽视的安全风险:内部威胁。
[相关:内部威胁迫使安全和访问之间保持平衡]
行政管理和预算局的计划呼吁各机构加强身份和访问管理,包括使用个人身份验证卡(PIV),并加强员工安全问题培训等举措。
在这一框架之前,有一个严酷的提醒,即情报机构面临着来自内部人士——雇员或承包商——的漏洞,这些人经常违反情报机构的协议,获取他们无权查看的信息。
在安全软件供应商赛门铁克(Symantec)最近对联邦IT经理进行的一项调查中,45%的受访者表示,他们在过去一年中受到了内部威胁,29%的人表示,他们的机构因此丢失了数据。
赛门铁克公共部门统一安全实践经理肯·德宾(Ken Durbin)在一封电子邮件中写道:“这些数字很高,但如果实际数字更大,我也不会感到震惊。”
[相关:如何识别和挫败内部威胁]
通过培训和意识来应对内部威胁
但也不全是坏消息。由政府IT联盟MeriTalk发布的赛门铁克调查显示,各机构普遍对内部人员构成的威胁感到不安,其中许多威胁并无恶意,只是由于访问控制薄弱和员工缺乏意识造成的。
约76%的受访者表示,与一年前相比,他们现在更关注于打击内部威胁,55%的受访者表示,他们的机构有一个正式的项目来解决这一问题。
德宾说:“管理者需要保持简单,并为所有员工提供培训。”
“从上到下,培训对于更好地理解和预防意外威胁风险是最有效的。每个用户都是一个机构网络防御的关键部分。在很多方面,他们都在前线,”他补充道。“机构越是经常提醒员工更新密码和其他防止泄露的协议,他们就越有可能遵守并愿意帮助保护网络。”这对领导层和下级员工同样重要——建立一种安全意识文化可能会产生重大影响。”
行政管理和预算局的新计划是白宫今年早些时候授权对各机构安全态势进行30天密集审查的结果。这次演习被称为“网络安全sprint”,任务是让各机构识别它们的关键数字资产,并评估管理员工访问网络各个部分的许可系统。
美国首席信息官托尼·斯科特(Tony Scott)表示,网络安全sprint特别要求各机构修补关键漏洞,“审查并严格限制进入授权系统的特权用户数量”,并“显著加快”PIV卡等强大认证系统的使用。
德宾指出,网络安全sprint的结果和人事管理办公室(Office of Personnel Management)的大规模数据泄露事件强有力地证明,仅仅加强特权访问是不够的,各机构需要采用多因素认证以及端点和电子邮件加密等应用程序。
赛门铁克/梅里塔克报告的结果表明,情报机构在这些领域仍在迎头赶上,相当一部分受访者表示,他们无法判断文档是否或如何被不当共享,或哪些数据丢失了。在接受调查的IT经理中,只有不到20%的人表示,他们计划在不久的将来推出防损失、加密和数字签名等技术。
[相关:首席信息官们大大低估了影子IT的程度]
德宾说:“报告显示,很少有机构计划在未来两年实施关键技术。”“他们没有两年时间来部署关键技术。我们还必须加强网络威胁情报的使用,并实施防止数据丢失的策略。”
这篇文章,“政府首席信息官和首席信息官受到内部威胁围攻”最初发表于首席信息官 。