總而言之，近四分之三聯邦機構的網絡安全方案要么被認定為“處于風險之中”(安全方面存在重大差距)，要么被評為“高風險”(基本流程不到位)。

這份報告 列出了 4 項主要調查結果，并附上了統計數據和相關建議——有些建議簡直就是要對原有政策進行全面整改。

“聯邦機構搞不清狀況，也沒有資源來對抗當前的危險環境。”

一個簡單的事實，以及這所有問題的潛在根源，就在于聯邦政府是一頭行動遲緩的巨獸，它無法應對來自黑客的威脅，或者跟上技術的快速發展步伐。這個問題最簡單的指標可能是這樣的：在 2016 財年已知的 30899(!)起針對聯邦系統的成功攻擊中，有 11802 起甚至從未識別出入侵載體。

也就是說，對于 38%成功實施的攻擊，聯邦機構根本不知道是誰做的以及是怎樣做的!

這種情境意識的缺乏意味著，即便聯邦機構擁有數十億美元的預算，但他們并沒有高效部署的能力。

盡管網絡安全方面的支出在逐年增長，但 OMB 發現，聯邦機構并未有效地利用可用信息，比如威脅情報、事故數據以及網絡流量，來確定資產所受威脅的程度，或者用以指導資源配置的優先次序。

為此，OMB 將與各家機構合作開發一種基于威脅的預算模型，研究什么能夠真的影響到機構，有什么樣的預防措施以及哪些具體方面需要得到改進。

“聯邦機構沒有標準化的網絡安全流程和信息技術能力。”

對數量眾多的聯邦機構來說，他們的任務和功能各不相同。但你可能會認為，這些機構已經為上報攻擊事件、鎖定系統的標準安全措施以及諸如此類的事情確立了基礎的標準，你想錯了，根本沒有!

例如，一家聯邦機構在其工作平臺列出了不少于 62 個獨立管理的電子郵件服務，使得他們幾乎沒有可能追蹤或檢查整個機構的入站和出站通信。

在 OMB 考察的機構當中，只有近一半表示，他們有能力檢測運行在自家系統上的軟件并實施白名單管理。如今，雖說讓 IT 部門管理用戶應用和檢查令人不安的流程可能只需要逐個進行，但機構至少應該具備這樣的信息技術能力!

當有事發生時，情況變得稍好一些：59%的機構擁有某種跟用戶通報網絡安全威脅的標準流程。因此，舉例來說，如果那家機構的 62 個電郵系統中有一個遭到了入侵，該機構可能沒有辦法通知到所有人。

只有 30%的機構擁有“可預測的、全面的事件響應流程”，這意味著，一旦發現威脅，只有三分之一的機構擁有某種把事件上報給誰以及上報什么內容的標準程序。

建立網絡安全的標準流程以及實現計算資源的總體協調，這是 OMB 長期以來一直在努力做的事情。令人遺憾的是， 白宮剛剛取消了網絡安全協調員這一職位 。

“聯邦機構對自家網絡上發生的事情缺乏了解，尤其是缺乏檢測數據泄露的能力。”

對于任何網絡安全方案來說，監控機構內部和外部的數據和流量都是至關重要的組成部分。一次又一次，聯邦機構向我們展示，他們容易在各種攻擊中淪陷，從 U 盤攻擊到登錄憑據釣魚，不一而足。

事實證明，只有 27%的機構“有能力檢測和調查攻擊者訪問大量數據的企圖”。

簡而言之，聯邦機構無法檢測到自家網絡的大量信息遭到竊取。鑒于近些年政府和企業已經曝出不少影響很大的攻擊事件，這尤其令人感到擔憂。

如果看不到自己的數據去了哪里，那么你就很難保護數據的安全。在 OMB 所謂的“影響很大的攻擊事件”發生后，你可能會認為，這些機構首先會做的事情包括進行檢測和鎖定數據庫。

也許是他們完全不清楚這些事情是如何發生的以及為什么會發生，事實上，只有 17%的機構會在攻擊發生后分析事件響應數據。所以，很多機構可能僅僅是把攻擊事件歸檔，然后永遠不去回頭看。

OMB 有一個聰明的方法來開始解決這個問題：建立一個 “安全運營中心卓越中心”(SOC Center of Excellence，是的，這里面有兩個“中心”)，這個安全運營中心將為其他機構提供安全存儲和訪問服務，與此同時，后者可以改善或建立自己的設施。

“聯邦機構缺乏管理網絡安全風險的標準化和全面化流程。”

這可能跟第二點有所重疊，但疊床架屋本就是美國政府的工作作風。這一點更多地聚焦于機構領導層。

雖然大多數機構都指出……他們的領導層積極參與網絡安全風險管理，但很多機構都沒有或無法詳細闡釋首席信息官級別以上的領導層參與。

聯邦機構既沒有強大的風險管理計劃，也沒有一致的方法向領導層告知整個機構面臨的網絡安全風險。

換句話說，網絡安全的事情被扔給了網絡安全工作人員，機構中的領導層并未提供什么指導或沒有產生什么影響。這一點很重要，因為正如 OMB 指出的那樣，很多決策或要求只能由領導層做出。舉例來說，預算問題。

盡管“行業領導者、政府問責辦公室(GAO)和隱私權倡導者一再呼吁”盡可能地利用加密技術，但只有不到 16%的機構實現了對靜態數據進行加密的目標，只有 16%!對靜態數據進行加密甚至并非難事!

事實證明，這又是領導層重視不夠的例子。在 2017 財年，非國防機構在數據加密上的預算資金還不到 5100 萬美元，這點錢真是少到可憐了，更別說兩家機構就占到了其中的一半。當沒有錢聘請專家或購買必要的設備時，IT 部門即便是巧婦又怎樣為無米之炊呢?

“聯邦機構向我們展示，這是一個低優先級的事項……我們很容易看出，政府的優先事項必須重新進行調整。”OMB 評論道。

雖然 OMB 報告最終的結論沒有正文那樣令人沮喪，但顯而易見的是，OMB 的研究人員對他們發現的事情深感失望。這不是什么新問題，盡管現任總統和之前幾任總統都認定它是一個重要問題，但政府的行動一致遲緩乃至停滯不前，間或還有災難性的攻擊和令人尷尬的數據泄露發生。

這份報告沒有對聯邦機構進行點名批評，可能是因為他們的成和敗都是多種多樣的，沒有一家應該受到比其他家更差的對待。但是，在不那么公開的渠道當中，那些機構不大可能被放過，但愿這份要命的報告能夠推動過去十年一直裹步不前的網絡安全工作。