美国GAO警告3D 打印存在网络威胁
2021-07-10
来源: 网电空间战
五角大楼监管机构的新报告将这些服务在网络安全方面缺乏努力和在增材制造方面取得的巨大进步结合在一起。
贾斯汀卡茨
2021 年 7 月 7 日
一名海军陆战队员在北卡罗来纳州勒琼营训练期间调整3D 打印机。资料来源:海军陆战队。
华盛顿消息:五角大楼的监管机构在发现几个机构的官员未能管理安全操作该技术所需的关键网络安全控制措施后,对军方对 3D 打印的长期探索发出警告。
因此,根据美国国防部监察长发布的一份新报告,使用该技术(正式称为增材制造)的美国国防部“不知道现有的 AM 系统漏洞,这些漏洞使国防部信息网络面临不必要的网络安全风险”。
“AM 设计数据的妥协可能会让对手重新创造和使用国防部的技术,让对手在战场上获得优势。此外,如果恶意行为者更改了 AM 设计数据,这些更改可能会影响 3D 打印产品的最终强度和实用性,”GAO的报告继续说道。
审计员最初选择了九个服务机构,将其纳入其报告;然而,在冠状病毒大流行开始时发布的停止行动令迫使监察长办公室将他们的样本量减少到五个。在报告评估的机构包括海军陆战队第一远征部队,海军西南舰队战备中心,海军信息战中心,空军60日维护组和沃尔特里德国家军事医疗中心。
美国军方网络安全实践与增材制造的碰撞是一场酝酿已久的冲突。
多年来,第三方监管机构一直督促五角大楼,因为五角大楼未能在采购过程中预先优先考虑网络安全。在 SolarWinds、微软以及最近的软件公司 Kaseya 等公司遭到攻击后,整个联邦政府的网络安全工作(或缺乏网络安全工作)现在都受到严密审查,这些公司已经开辟了进入联邦网络的途径。
与此同时,美国军方一直渴望宣传他们在增材制造方面的进步。海军陆战队官员经常表扬加利福尼亚的一名士兵,他在设计 3D 打印坦克叶轮后节省了无数美元和时间。正如媒体去年报道的那样,美国陆军对可以通过增材制造生产黑鹰直升机的哪些部件很感兴趣。Breaking Defense 还报道称,前空军采购执行官威尔·罗珀 (Will Roper) 承诺,在 10 月份举办的先进制造竞赛中,他的服务将“即将面临天基挑战”。
例子不胜枚举,但国防部审计长(IG)在其报告中明确指出,军事人员将增材制造设备视为供应零件的“工具”,而不是易受攻击的信息技术。
“此外,国防部组件错误地将 AM 系统归类为独立系统,并错误地认为这些系统不需要授权即可运行,”根据 IG 的说法。
审计包括 73 台打印机和 46 台计算机,并以美国国家标准与技术研究所的特别出版物 800-53 为基础——联邦政府的网络安全控制指南。
该报告列出了 NIST 推荐的七项基本控制措施,但删去了某些安装未能执行的具体措施。监管机构普遍认为官员在审计师访问后做出了更改,但也发现安装存在类似且严重的错误,例如未能更新计算机操作系统。
“更新操作系统的需求对于保护 AM 计算机和连接到它们的打印机至关重要。例如,在 2019 年,微软发布了超过 197 个操作系统更新来修复安全漏洞,其中一个修复了一个漏洞,该漏洞允许攻击者未经授权访问一台计算机,然后使用该访问权限登录其他计算机。” IG 报告指出。
IG 的建议主要集中在澄清围绕增材制造的政策,以明确它必须被视为任何 IT 部分。这些装置在很大程度上同意了看门狗的建议。
唯一的分歧来自国防部首席信息官,他认为美国军方关于网络安全的政策包括 3D 打印技术。IG 承认了这些分歧,但仍认为建议已解决,因为美国国防部 CIO 确实承诺做出“符合建议意图”的更改。