在本文中，網(wǎng)絡(luò)安全專家Michele Chubirka談到了她對(duì)6月份OPM攻擊事件的看法以及企業(yè)IT團(tuán)隊(duì)?wèi)?yīng)該采取哪些步驟來(lái)抵御未來(lái)的攻擊。

[[148009]]

在今年夏季早些時(shí)候，當(dāng)美國(guó)人事管理局(OPM)局長(zhǎng)Katherine Archuleta在美國(guó)國(guó)會(huì)的聽證會(huì)尷尬發(fā)表證詞時(shí)，對(duì)于完全不了解IT的Katherine來(lái)說，這感覺就像一場(chǎng)噩夢(mèng)。這一系列尷尬亮相表明，她似乎不知道OPM攻擊事件的基本細(xì)節(jié)或者不了解讓OPM在一年內(nèi)兩次受到攻擊的問題。她的辭職似乎是一個(gè)必然的結(jié)論，對(duì)她來(lái)說也許是一種解放。那么問題出在哪里呢?

如果將這個(gè)攻擊事故簡(jiǎn)單歸結(jié)于OPM安全戰(zhàn)略的失敗，這將是一個(gè)錯(cuò)誤，因?yàn)樵摍C(jī)構(gòu)的整個(gè)信息技術(shù)項(xiàng)目是一個(gè)管理災(zāi)難—可以算得上是“不該做的事情”指南。在觀看證詞以及閱讀監(jiān)察長(zhǎng)辦公室(OIG)的報(bào)告后，我們可以了解到，這不僅僅是因?yàn)榘踩收希€因?yàn)槭栌诨静呗院惋L(fēng)險(xiǎn)管理的無(wú)能領(lǐng)導(dǎo)力。對(duì)于IT領(lǐng)域的人來(lái)說，這種疏忽太熟悉不過了。閱讀這些OIG報(bào)告會(huì)讓我們感覺似曾相識(shí)，因?yàn)檫@可能是任何企業(yè)的情況。

在對(duì)OPM攻擊事故進(jìn)行檢測(cè)之前，OIG IT安全審計(jì)自2009年以來(lái)反復(fù)指出OPM安全方案中的問題。根據(jù)《華盛頓郵報(bào)》有關(guān)該攻擊事故的報(bào)道稱，OPM助理監(jiān)察長(zhǎng)Michael Esser表示，該機(jī)構(gòu)“長(zhǎng)期因系統(tǒng)性問題而未能妥善管理其IT基礎(chǔ)設(shè)施，這可能最終導(dǎo)致了這個(gè)攻擊事故以及敏感個(gè)人數(shù)據(jù)的泄露。”

從OPM攻擊學(xué)到的經(jīng)驗(yàn)教訓(xùn)

第一個(gè)教訓(xùn)：你需要進(jìn)行資產(chǎn)管理。該機(jī)構(gòu)對(duì)資產(chǎn)監(jiān)管不到位的關(guān)鍵問題之一是，對(duì)其基本網(wǎng)絡(luò)基礎(chǔ)設(shè)施缺乏可視性。根據(jù)該審計(jì)指出，“OPM沒有全面清查服務(wù)器、數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)設(shè)備”。此外，雖然OPM有配置管理政策，但沒有建立標(biāo)準(zhǔn)，也沒有試圖驗(yàn)證合規(guī)性。其漏洞掃描程序也是無(wú)效的，因?yàn)镺PM的網(wǎng)絡(luò)管理小組沒有檢查是否對(duì)所有服務(wù)器進(jìn)行了每月掃描。如果沒有資源管理，企業(yè)如何知道該保護(hù)什么?良好的資產(chǎn)管理是所有安全控制的基石，這可以為解決與已確定威脅相關(guān)的漏洞提供背景信息。然而，這種問題在企業(yè)中太常見。

第二個(gè)教訓(xùn)：數(shù)據(jù)管理是“必須做的事情”，而不是“應(yīng)該做的事情”。在聽證會(huì)揭露的另一個(gè)關(guān)鍵點(diǎn)是：關(guān)鍵政府雇員數(shù)據(jù)(例如社會(huì)安全號(hào)碼和財(cái)務(wù)信息)沒有在數(shù)據(jù)庫(kù)中加密。該機(jī)構(gòu)還保存著大量Standard Form 86數(shù)據(jù)—從以前國(guó)家安全有關(guān)的背景調(diào)查中收集而來(lái)。如果沒有數(shù)據(jù)保存政策，OPM很難肯定地說出實(shí)際多少記錄遭到泄露。雖然加密不能總是能夠阻止攻擊者使用竊取的憑證來(lái)訪問數(shù)據(jù)，但這是一個(gè)有效的控制，讓攻擊者難以通過低特權(quán)賬戶來(lái)滲出數(shù)據(jù)或泄露數(shù)據(jù)。OPM的信息安全方案中缺少最重要的組件之一：數(shù)據(jù)管理，而數(shù)據(jù)分類和數(shù)據(jù)處理標(biāo)準(zhǔn)是訪問控制的構(gòu)建基礎(chǔ)。

作為最佳做法，訪問控制應(yīng)該結(jié)合數(shù)據(jù)分類與用戶分類。數(shù)據(jù)具有其價(jià)值，數(shù)據(jù)應(yīng)該根據(jù)泄露、丟失可能性和不可用性來(lái)進(jìn)行分類。然后，企業(yè)應(yīng)該根據(jù)處理“靜態(tài)”、“傳輸中”數(shù)據(jù)的規(guī)則以及根據(jù)使用數(shù)據(jù)的用戶類型來(lái)分隔數(shù)據(jù)。好的做法是：如果你不需要它，就刪除它，否則它可能受到感染、濫用或者更糟糕的是，法律要求你提供這些數(shù)據(jù)。這適用于電子郵件、日志、支付卡信息和HR數(shù)據(jù)等信息?？偠灾用懿⒉豢偸怯行?，簡(jiǎn)單的做法是你可以通過減少數(shù)據(jù)來(lái)控制數(shù)據(jù)泄露事故的影響范圍。

第三個(gè)教訓(xùn)：文檔記錄和監(jiān)控你的基礎(chǔ)設(shè)施。根據(jù)報(bào)告顯示，當(dāng)數(shù)據(jù)泄露事故最終被發(fā)現(xiàn)時(shí)，OPM正在對(duì)其老化的基礎(chǔ)設(shè)施進(jìn)行全面的現(xiàn)代化工作。但根據(jù)OIG報(bào)告稱，該機(jī)構(gòu)并沒有正確了解該項(xiàng)目的范圍，也沒有充分考慮遷移數(shù)據(jù)到新基礎(chǔ)設(shè)施所需要的時(shí)間。

OPM現(xiàn)代化項(xiàng)目的推動(dòng)力是因?yàn)镺PM的傳統(tǒng)架構(gòu)有很多不支持的平臺(tái)(包括JRun)，還有具有COBOL代碼的大型機(jī)尚未被更新。但這個(gè)項(xiàng)目沒有專門的經(jīng)費(fèi);資金來(lái)自于現(xiàn)有的項(xiàng)目辦公室運(yùn)營(yíng)預(yù)算，這讓完成這次升級(jí)面臨風(fēng)險(xiǎn)。畢竟，成功的安全監(jiān)控需要穩(wěn)定的良好記錄的架構(gòu)，并有tap、匯聚交換機(jī)和日志數(shù)據(jù)提供的可視點(diǎn)，但OPM的基礎(chǔ)設(shè)施是移動(dòng)目標(biāo)，這無(wú)疑在安全監(jiān)控中制造了盲點(diǎn)。

第四個(gè)教訓(xùn)：密碼仍然是致命的弱點(diǎn)。根據(jù)FBI調(diào)查顯示，從OPM承包商KeyPoint竊取的登錄憑證被確定為攻擊者的切入點(diǎn)。我們一次又一次地看到，泄露的密碼被認(rèn)定為數(shù)據(jù)泄露事故的罪魁禍?zhǔn)?，但企業(yè)仍然拒絕放棄這個(gè)常被利用的弱點(diǎn)。也許這是因?yàn)椴渴鸲嚯[私身份驗(yàn)證需要太多工作量，特別是當(dāng)涉及傳統(tǒng)系統(tǒng)時(shí)。無(wú)論如何，現(xiàn)在是時(shí)候放棄這個(gè)備受利用的身份驗(yàn)證方法，因?yàn)樗粫?huì)給安全團(tuán)隊(duì)帶來(lái)痛苦。

第五個(gè)教訓(xùn)：管理你的第三方關(guān)系。正如前文所述，承包商的登錄憑證被認(rèn)定為OPM攻擊的關(guān)鍵點(diǎn)。此外，據(jù)稱，阿根廷和中國(guó)的安全顧問對(duì)OPM數(shù)據(jù)庫(kù)具有管理員訪問權(quán)。這就引出了關(guān)于誰(shuí)實(shí)際負(fù)責(zé)保護(hù)這些數(shù)據(jù)的問題。在過去幾年發(fā)生的幾乎每次重大泄露事故都被歸因于第三方，但企業(yè)仍然掙扎著管理外包關(guān)系。當(dāng)你允許第三方進(jìn)入你的環(huán)境時(shí)，你還要承擔(dān)他們的風(fēng)險(xiǎn)。你需要確定每個(gè)這些關(guān)系，以及評(píng)估這對(duì)企業(yè)風(fēng)險(xiǎn)狀況的影響。實(shí)現(xiàn)這個(gè)目標(biāo)的最佳方法之一是利用具有良好記錄登錄流程的專門的第三方安全程序。

何時(shí)才能不讓類似事故發(fā)生?

猶他州眾議員Jason Chaffetz指責(zé)OPM在應(yīng)對(duì)這個(gè)攻擊事故時(shí)，只是簡(jiǎn)單地“用木板封死窗戶”，不知道“前往Best Buy”是否能更好地解決該機(jī)構(gòu)的問題，他其實(shí)也在暗指所有企業(yè)。企業(yè)是否會(huì)思考OPM資金情況，盡管他們自2008年來(lái)花了5.77億美元，其中80%花在傳統(tǒng)系統(tǒng)?安全行業(yè)很多企業(yè)會(huì)專注于外來(lái)因素，但這往往會(huì)讓我們無(wú)法解決真正的問題。嚴(yán)酷的事實(shí)是，大多數(shù)安全問題可以通過常用的控制來(lái)解決，包括資產(chǎn)管理、數(shù)據(jù)管理、配置標(biāo)準(zhǔn)和文檔記錄等。此外，如果IT部門更注重風(fēng)險(xiǎn)管理和戰(zhàn)略，而不只是追逐最新的技術(shù)發(fā)展趨勢(shì)，企業(yè)將得到更好地保護(hù)。