在本文中,網絡安全專家Michele Chubirka談到了她對6月份OPM攻擊事件的看法以及企業IT團隊應該采取哪些步驟來抵御未來的攻擊。
在今年夏季早些時候,當美國人事管理局(OPM)局長Katherine Archuleta在美國國會的聽證會尷尬發表證詞時,對于完全不了解IT的Katherine來說,這感覺就像一場噩夢。這一系列尷尬亮相表明,她似乎不知道OPM攻擊事件的基本細節或者不了解讓OPM在一年內兩次受到攻擊的問題。她的辭職似乎是一個必然的結論,對她來說也許是一種解放。那么問題出在哪里呢?
如果將這個攻擊事故簡單歸結于OPM安全戰略的失敗,這將是一個錯誤,因為該機構的整個信息技術項目是一個管理災難—可以算得上是“不該做的事情”指南。在觀看證詞以及閱讀監察長辦公室(OIG)的報告后,我們可以了解到,這不僅僅是因為安全故障,還因為疏于基本策略和風險管理的無能領導力。對于IT領域的人來說,這種疏忽太熟悉不過了。閱讀這些OIG報告會讓我們感覺似曾相識,因為這可能是任何企業的情況。
在對OPM攻擊事故進行檢測之前,OIG IT安全審計自2009年以來反復指出OPM安全方案中的問題。根據《華盛頓郵報》有關該攻擊事故的報道稱,OPM助理監察長Michael Esser表示,該機構“長期因系統性問題而未能妥善管理其IT基礎設施,這可能最終導致了這個攻擊事故以及敏感個人數據的泄露。”
從OPM攻擊學到的經驗教訓
第一個教訓:你需要進行資產管理。該機構對資產監管不到位的關鍵問題之一是,對其基本網絡基礎設施缺乏可視性。根據該審計指出,“OPM沒有全面清查服務器、數據庫和網絡設備”。此外,雖然OPM有配置管理政策,但沒有建立標準,也沒有試圖驗證合規性。其漏洞掃描程序也是無效的,因為OPM的網絡管理小組沒有檢查是否對所有服務器進行了每月掃描。如果沒有資源管理,企業如何知道該保護什么?良好的資產管理是所有安全控制的基石,這可以為解決與已確定威脅相關的漏洞提供背景信息。然而,這種問題在企業中太常見。
第二個教訓:數據管理是“必須做的事情”,而不是“應該做的事情”。在聽證會揭露的另一個關鍵點是:關鍵政府雇員數據(例如社會安全號碼和財務信息)沒有在數據庫中加密。該機構還保存著大量Standard Form 86數據—從以前國家安全有關的背景調查中收集而來。如果沒有數據保存政策,OPM很難肯定地說出實際多少記錄遭到泄露。雖然加密不能總是能夠阻止攻擊者使用竊取的憑證來訪問數據,但這是一個有效的控制,讓攻擊者難以通過低特權賬戶來滲出數據或泄露數據。OPM的信息安全方案中缺少最重要的組件之一:數據管理,而數據分類和數據處理標準是訪問控制的構建基礎。
作為最佳做法,訪問控制應該結合數據分類與用戶分類。數據具有其價值,數據應該根據泄露、丟失可能性和不可用性來進行分類。然后,企業應該根據處理“靜態”、“傳輸中”數據的規則以及根據使用數據的用戶類型來分隔數據。好的做法是:如果你不需要它,就刪除它,否則它可能受到感染、濫用或者更糟糕的是,法律要求你提供這些數據。這適用于電子郵件、日志、支付卡信息和HR數據等信息。總而言之,加密并不總是有效,簡單的做法是你可以通過減少數據來控制數據泄露事故的影響范圍。
第三個教訓:文檔記錄和監控你的基礎設施。根據報告顯示,當數據泄露事故最終被發現時,OPM正在對其老化的基礎設施進行全面的現代化工作。但根據OIG報告稱,該機構并沒有正確了解該項目的范圍,也沒有充分考慮遷移數據到新基礎設施所需要的時間。
OPM現代化項目的推動力是因為OPM的傳統架構有很多不支持的平臺(包括JRun),還有具有COBOL代碼的大型機尚未被更新。但這個項目沒有專門的經費;資金來自于現有的項目辦公室運營預算,這讓完成這次升級面臨風險。畢竟,成功的安全監控需要穩定的良好記錄的架構,并有tap、匯聚交換機和日志數據提供的可視點,但OPM的基礎設施是移動目標,這無疑在安全監控中制造了盲點。
第四個教訓:密碼仍然是致命的弱點。根據FBI調查顯示,從OPM承包商KeyPoint竊取的登錄憑證被確定為攻擊者的切入點。我們一次又一次地看到,泄露的密碼被認定為數據泄露事故的罪魁禍首,但企業仍然拒絕放棄這個常被利用的弱點。也許這是因為部署多隱私身份驗證需要太多工作量,特別是當涉及傳統系統時。無論如何,現在是時候放棄這個備受利用的身份驗證方法,因為它只會給安全團隊帶來痛苦。
第五個教訓:管理你的第三方關系。正如前文所述,承包商的登錄憑證被認定為OPM攻擊的關鍵點。此外,據稱,阿根廷和中國的安全顧問對OPM數據庫具有管理員訪問權。這就引出了關于誰實際負責保護這些數據的問題。在過去幾年發生的幾乎每次重大泄露事故都被歸因于第三方,但企業仍然掙扎著管理外包關系。當你允許第三方進入你的環境時,你還要承擔他們的風險。你需要確定每個這些關系,以及評估這對企業風險狀況的影響。實現這個目標的最佳方法之一是利用具有良好記錄登錄流程的專門的第三方安全程序。
何時才能不讓類似事故發生?
猶他州眾議員Jason Chaffetz指責OPM在應對這個攻擊事故時,只是簡單地“用木板封死窗戶”,不知道“前往Best Buy”是否能更好地解決該機構的問題,他其實也在暗指所有企業。企業是否會思考OPM資金情況,盡管他們自2008年來花了5.77億美元,其中80%花在傳統系統?安全行業很多企業會專注于外來因素,但這往往會讓我們無法解決真正的問題。嚴酷的事實是,大多數安全問題可以通過常用的控制來解決,包括資產管理、數據管理、配置標準和文檔記錄等。此外,如果IT部門更注重風險管理和戰略,而不只是追逐最新的技術發展趨勢,企業將得到更好地保護。