SolarWinds复盘:美国政府网络安全仍存重大薄弱环节
2021-04-13
来源:互联网安全内参
美国政府问责局(GAO)敦促政府对网络安全问题做出更迅速的反应,特别是在SolarWinds供应链攻击造成9个联邦部门以及约100家公司失陷之后。
根据《2021年国防授权法案》的授权,该联邦监管机构在其新发布的网络安全审计报告中敦促拜登政府尽快在白宫内任命一名国家网络主管,以协调政府对重大安全问题的响应。两党议员也一直在向政府施压要求提名候选人。
白宫新闻秘书珍·普萨基(Jen Psaki)3月16日表示,目前白宫正在对国家网络主管一职进行为期60天的审查。
美国政府问责局的报告还敦促政府机构改善供应链安全性,制定更全面的事件应对计划,并呼吁国会通过一项国家隐私法。
印第安纳大学网络安全项目主席斯科特?沙克尔福德(Scott Shackelford)指出,在报告的所有建议中,任命一个白宫级别的网络协调员尤为重要。
“这份新的报告与以往相比更明显地表明,拜登政府需要尽快任命一名国家网络主管,”沙克尔福德说:“国家安全委员会的网络安全团队和其他团队目前做得很好,但我们仍然迫切需要更多的协调、资源和参与,以更好地处理美国面临的多方面网络威胁。”
国土安全部失陷
美联社3月30日报道称,SolarWinds攻击者窃取了多个美国国土安全部和能源部官员的邮件账户访问权限,其中包括查德·沃尔夫(Chad Wolf)的至少一个账户,其在特朗普政府任期末尾担任国土安全部代理部长。
据美联社报道,攻击者显然针对的是负责调查海外威胁的国土安全部工作人员,此外能源部官员的日程表也成为他们的目标。
SolarWinds 余波未了
美国政府问责局的报告指出,SolarWinds供应链攻击事件表明,政府机构保护、响应以及防御安全入侵的能力“仍然存在薄弱环节”。
负责调查SolarWinds攻击事件的美国机构认为,一个与俄罗斯有关的组织很可能进行了网络间谍行动,获得了电子邮件通信的访问权,并在美国联邦网络内建立了长期的持久化后门。美国国土安全部发言人告诉美联社,该部门“网络中现在已经检测不到失陷指标”。
但前美国国家安全局精英黑客团队成员、现经营网络安全咨询公司Rendition Infosec的杰克-威廉姆斯(Jake Williams)在Twitter上回应美联社的报道称:可能需要数年时间才能确定SolarWinds攻击事件造成的全部影响。
拜登政府也正在调查针对本地部署微软Exchange电子邮件服务器中未修补漏洞的攻击,这些漏洞已经影响到数千个组织,包括许多小型公司和地方政府机构。
对美国政府问责局的答复
美国政府问责局曾要求国土安全部、国家安全委员会和行政管理与预算局在其网络安全审核报告发布之前提供意见。
审计报告指出,国土安全部在报告中增加了技术细节,同时行政管理和预算局回应称:该机构正在努力改善两个具体领域——确保联邦系统和信息的安全以及保护敏感数据的隐私。
国家安全委员会的工作人员在给美国政府问责局的答复中指出:“在政府为网络政策问题制定方针的同时,该草案对国家面临的网络安全挑战以及可做出具体改进的机会进行了全面审查。”
但美国政府问责局指出,许多美国联邦部门尚未解决涉及网络安全的重大问题。例如,该报告发现,在其审计的23个机构中,没有一个机构“充分实施了管理信息和通信技术供应链的关键基础实践”。
审计报告称,美国政府问责局已经提出了145条供应链建议,供政府机构遵循。
自2010年以来,该监管机构向联邦政府各部门提出了约3300条网络安全建议。报告指出,截至2020年12月,其中750项建议尚未得到落实。
四个领域有待改进
美国政府问责局的报告着眼于四个亟待改进的领域。
建立全面的网络安全战略并实施有效监督。
确保美国联邦系统和信息的安全;
保护网络关键基础设施;
保护隐私和敏感数据。
美国政府问责局指出,虽然特朗普政府已于2018年9月制定了国家网络安全战略,并在2019年6月制定了实施计划,但这些措施并没有提供目标和资源来创建一个行之有效、覆盖整个政府范围的战略来解决安全问题。
图:美国政府问责局正在敦促联邦政府解决四个网络安全领域的问题。(来源:美国政府问责局)
据审计报告称,“新政府应当更新现有的战略或计划,或者制定新的综合战略来满足上述要点”。
美国政府问责局发现,虽然联邦政府在保护联邦系统和信息的安全方面取得了一些进展,但SolarWinds供应链攻击事件表明仍需做出更多改进。例如,通过此次审计可以确定,16个联邦机构缺乏事件应对计划。
美国政府问责局建议,监督并负责关键基础设施的联邦机构应自愿采用美国国家科学技术研究所的网络安全框架,以帮助建立更全面的网络安全方案。审计报告还指出,美国政府问责局自2010年以来提出的80项与关键基础设施安全有关的建议中,仍有大约50项尚未落实。
美国政府问责局的报告还表示,有多个联邦机构在保护公民数据方面存在不足。另外,它还敦促国会尽快通过美国国家数据保护和隐私法。