《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > SolarWinds復(fù)盤:美國(guó)政府網(wǎng)絡(luò)安全仍存重大薄弱環(huán)節(jié)

SolarWinds復(fù)盤:美國(guó)政府網(wǎng)絡(luò)安全仍存重大薄弱環(huán)節(jié)

2021-04-13
來(lái)源:互聯(lián)網(wǎng)安全內(nèi)參

  美國(guó)政府問(wèn)責(zé)局(GAO)敦促政府對(duì)網(wǎng)絡(luò)安全問(wèn)題做出更迅速的反應(yīng),,特別是在SolarWinds供應(yīng)鏈攻擊造成9個(gè)聯(lián)邦部門以及約100家公司失陷之后,。

  微信圖片_20210413145634.jpg

  根據(jù)《2021年國(guó)防授權(quán)法案》的授權(quán),,該聯(lián)邦監(jiān)管機(jī)構(gòu)在其新發(fā)布的網(wǎng)絡(luò)安全審計(jì)報(bào)告中敦促拜登政府盡快在白宮內(nèi)任命一名國(guó)家網(wǎng)絡(luò)主管,,以協(xié)調(diào)政府對(duì)重大安全問(wèn)題的響應(yīng),。兩黨議員也一直在向政府施壓要求提名候選人,。

  白宮新聞秘書珍·普薩基(Jen Psaki)3月16日表示,,目前白宮正在對(duì)國(guó)家網(wǎng)絡(luò)主管一職進(jìn)行為期60天的審查,。

  美國(guó)政府問(wèn)責(zé)局的報(bào)告還敦促政府機(jī)構(gòu)改善供應(yīng)鏈安全性,,制定更全面的事件應(yīng)對(duì)計(jì)劃,并呼吁國(guó)會(huì)通過(guò)一項(xiàng)國(guó)家隱私法,。

  印第安納大學(xué)網(wǎng)絡(luò)安全項(xiàng)目主席斯科特,?沙克爾福德(Scott Shackelford)指出,在報(bào)告的所有建議中,,任命一個(gè)白宮級(jí)別的網(wǎng)絡(luò)協(xié)調(diào)員尤為重要,。

  “這份新的報(bào)告與以往相比更明顯地表明,拜登政府需要盡快任命一名國(guó)家網(wǎng)絡(luò)主管,,”沙克爾福德說(shuō):“國(guó)家安全委員會(huì)的網(wǎng)絡(luò)安全團(tuán)隊(duì)和其他團(tuán)隊(duì)目前做得很好,,但我們?nèi)匀黄惹行枰嗟膮f(xié)調(diào)、資源和參與,,以更好地處理美國(guó)面臨的多方面網(wǎng)絡(luò)威脅,。”

  國(guó)土安全部失陷

  美聯(lián)社3月30日?qǐng)?bào)道稱,,SolarWinds攻擊者竊取了多個(gè)美國(guó)國(guó)土安全部和能源部官員的郵件賬戶訪問(wèn)權(quán)限,,其中包括查德·沃爾夫(Chad Wolf)的至少一個(gè)賬戶,其在特朗普政府任期末尾擔(dān)任國(guó)土安全部代理部長(zhǎng),。

  據(jù)美聯(lián)社報(bào)道,,攻擊者顯然針對(duì)的是負(fù)責(zé)調(diào)查海外威脅的國(guó)土安全部工作人員,此外能源部官員的日程表也成為他們的目標(biāo),。

  SolarWinds 余波未了

  美國(guó)政府問(wèn)責(zé)局的報(bào)告指出,,SolarWinds供應(yīng)鏈攻擊事件表明,政府機(jī)構(gòu)保護(hù),、響應(yīng)以及防御安全入侵的能力“仍然存在薄弱環(huán)節(jié)”,。

  負(fù)責(zé)調(diào)查SolarWinds攻擊事件的美國(guó)機(jī)構(gòu)認(rèn)為,一個(gè)與俄羅斯有關(guān)的組織很可能進(jìn)行了網(wǎng)絡(luò)間諜行動(dòng),獲得了電子郵件通信的訪問(wèn)權(quán),,并在美國(guó)聯(lián)邦網(wǎng)絡(luò)內(nèi)建立了長(zhǎng)期的持久化后門,。美國(guó)國(guó)土安全部發(fā)言人告訴美聯(lián)社,,該部門“網(wǎng)絡(luò)中現(xiàn)在已經(jīng)檢測(cè)不到失陷指標(biāo)”,。

  但前美國(guó)國(guó)家安全局精英黑客團(tuán)隊(duì)成員、現(xiàn)經(jīng)營(yíng)網(wǎng)絡(luò)安全咨詢公司Rendition Infosec的杰克-威廉姆斯(Jake Williams)在Twitter上回應(yīng)美聯(lián)社的報(bào)道稱:可能需要數(shù)年時(shí)間才能確定SolarWinds攻擊事件造成的全部影響,。

  拜登政府也正在調(diào)查針對(duì)本地部署微軟Exchange電子郵件服務(wù)器中未修補(bǔ)漏洞的攻擊,,這些漏洞已經(jīng)影響到數(shù)千個(gè)組織,包括許多小型公司和地方政府機(jī)構(gòu),。

  對(duì)美國(guó)政府問(wèn)責(zé)局的答復(fù)

  美國(guó)政府問(wèn)責(zé)局曾要求國(guó)土安全部,、國(guó)家安全委員會(huì)和行政管理與預(yù)算局在其網(wǎng)絡(luò)安全審核報(bào)告發(fā)布之前提供意見(jiàn)。

  審計(jì)報(bào)告指出,,國(guó)土安全部在報(bào)告中增加了技術(shù)細(xì)節(jié),,同時(shí)行政管理和預(yù)算局回應(yīng)稱:該機(jī)構(gòu)正在努力改善兩個(gè)具體領(lǐng)域——確保聯(lián)邦系統(tǒng)和信息的安全以及保護(hù)敏感數(shù)據(jù)的隱私。

  國(guó)家安全委員會(huì)的工作人員在給美國(guó)政府問(wèn)責(zé)局的答復(fù)中指出:“在政府為網(wǎng)絡(luò)政策問(wèn)題制定方針的同時(shí),,該草案對(duì)國(guó)家面臨的網(wǎng)絡(luò)安全挑戰(zhàn)以及可做出具體改進(jìn)的機(jī)會(huì)進(jìn)行了全面審查,。”

  但美國(guó)政府問(wèn)責(zé)局指出,,許多美國(guó)聯(lián)邦部門尚未解決涉及網(wǎng)絡(luò)安全的重大問(wèn)題,。例如,該報(bào)告發(fā)現(xiàn),,在其審計(jì)的23個(gè)機(jī)構(gòu)中,,沒(méi)有一個(gè)機(jī)構(gòu)“充分實(shí)施了管理信息和通信技術(shù)供應(yīng)鏈的關(guān)鍵基礎(chǔ)實(shí)踐”。

  審計(jì)報(bào)告稱,,美國(guó)政府問(wèn)責(zé)局已經(jīng)提出了145條供應(yīng)鏈建議,,供政府機(jī)構(gòu)遵循。

  自2010年以來(lái),,該監(jiān)管機(jī)構(gòu)向聯(lián)邦政府各部門提出了約3300條網(wǎng)絡(luò)安全建議,。報(bào)告指出,截至2020年12月,,其中750項(xiàng)建議尚未得到落實(shí),。

  四個(gè)領(lǐng)域有待改進(jìn)

  美國(guó)政府問(wèn)責(zé)局的報(bào)告著眼于四個(gè)亟待改進(jìn)的領(lǐng)域。

  建立全面的網(wǎng)絡(luò)安全戰(zhàn)略并實(shí)施有效監(jiān)督,。

  確保美國(guó)聯(lián)邦系統(tǒng)和信息的安全,;

  保護(hù)網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施;

  保護(hù)隱私和敏感數(shù)據(jù),。

  美國(guó)政府問(wèn)責(zé)局指出,,雖然特朗普政府已于2018年9月制定了國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略,并在2019年6月制定了實(shí)施計(jì)劃,,但這些措施并沒(méi)有提供目標(biāo)和資源來(lái)創(chuàng)建一個(gè)行之有效,、覆蓋整個(gè)政府范圍的戰(zhàn)略來(lái)解決安全問(wèn)題,。

  微信圖片_20210413145911.jpg

  圖:美國(guó)政府問(wèn)責(zé)局正在敦促聯(lián)邦政府解決四個(gè)網(wǎng)絡(luò)安全領(lǐng)域的問(wèn)題。(來(lái)源:美國(guó)政府問(wèn)責(zé)局)

  據(jù)審計(jì)報(bào)告稱,,“新政府應(yīng)當(dāng)更新現(xiàn)有的戰(zhàn)略或計(jì)劃,,或者制定新的綜合戰(zhàn)略來(lái)滿足上述要點(diǎn)”。

  美國(guó)政府問(wèn)責(zé)局發(fā)現(xiàn),,雖然聯(lián)邦政府在保護(hù)聯(lián)邦系統(tǒng)和信息的安全方面取得了一些進(jìn)展,,但SolarWinds供應(yīng)鏈攻擊事件表明仍需做出更多改進(jìn)。例如,,通過(guò)此次審計(jì)可以確定,,16個(gè)聯(lián)邦機(jī)構(gòu)缺乏事件應(yīng)對(duì)計(jì)劃。

  美國(guó)政府問(wèn)責(zé)局建議,,監(jiān)督并負(fù)責(zé)關(guān)鍵基礎(chǔ)設(shè)施的聯(lián)邦機(jī)構(gòu)應(yīng)自愿采用美國(guó)國(guó)家科學(xué)技術(shù)研究所的網(wǎng)絡(luò)安全框架,,以幫助建立更全面的網(wǎng)絡(luò)安全方案。審計(jì)報(bào)告還指出,,美國(guó)政府問(wèn)責(zé)局自2010年以來(lái)提出的80項(xiàng)與關(guān)鍵基礎(chǔ)設(shè)施安全有關(guān)的建議中,,仍有大約50項(xiàng)尚未落實(shí)。

  美國(guó)政府問(wèn)責(zé)局的報(bào)告還表示,,有多個(gè)聯(lián)邦機(jī)構(gòu)在保護(hù)公民數(shù)據(jù)方面存在不足,。另外,它還敦促國(guó)會(huì)盡快通過(guò)美國(guó)國(guó)家數(shù)據(jù)保護(hù)和隱私法,。



本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]