據(jù)華盛頓郵報(bào)報(bào)道，美國空軍檢察長本周解密并公布了特謝拉泄密事件報(bào)告。

2023年4月，美國空軍網(wǎng)絡(luò)工程師特謝拉(Teixeira)因在社交媒體平臺(tái)Discord上長期大量泄露與烏克蘭戰(zhàn)爭有關(guān)的美軍機(jī)密文件而被捕。該泄密事件暴露了美國空軍信息安全管理的嚴(yán)重問題，在美國“朝野”掀起軒然大波，導(dǎo)致美國國防部徹底整改其風(fēng)險(xiǎn)管理方法，堪稱美國空軍版“斯諾登事件”。

在網(wǎng)絡(luò)安全業(yè)界，特謝拉事件也引發(fā)了關(guān)于“零信任”與最小訪問權(quán)限、內(nèi)部威脅與安全文化的激烈討論，話題甚至蔓延到“海因里希法則”、“多元無知”等安全哲學(xué)和心理學(xué)范疇。

最小訪問權(quán)限：如何管理能接觸機(jī)密的IT員工

報(bào)告指出，作為102情報(bào)支援中隊(duì)(102ISS)提供系統(tǒng)運(yùn)維服務(wù)的IT專家，特謝拉(A1CTeixeira)可以訪問許多高度機(jī)密的系統(tǒng)，包括全球聯(lián)合情報(bào)通信系統(tǒng)(JWICS)，后者屬于絕密許可和敏感分區(qū)信息(TS/SCI)平臺(tái)。

作為IT專家，特謝拉能夠獲取機(jī)密軍事情報(bào)并在Discord聊天室中發(fā)布屬于嚴(yán)重的越界違規(guī)行為。更糟糕的是，該事件的報(bào)告鏈成員和領(lǐng)導(dǎo)層都至少知道“特謝拉的四次可疑活動(dòng)”。

空軍監(jiān)察長在報(bào)告指出，102情報(bào)支援中隊(duì)的編制中包括像特謝拉這樣的IT技術(shù)人員，其目的是為了讓IT人員可以更好地了解任務(wù)的敏感性和保持網(wǎng)絡(luò)正常運(yùn)行的重要性。

但是在實(shí)際操作中，IT人員可訪問的信息大大超出了“需要知道的范圍”，嚴(yán)重違反了最小訪問權(quán)限原則。檢察長指出：“最重要的一點(diǎn)是：他是一名IT專家，其職責(zé)是保持系統(tǒng)正常運(yùn)行，而不是對通過網(wǎng)絡(luò)傳遞的機(jī)密信息進(jìn)行情報(bào)分析(并在社交網(wǎng)絡(luò)上‘顯擺’)。他的上級(jí)管理者也都知道這一點(diǎn)?！?/p>

調(diào)查結(jié)果顯示，特謝拉對機(jī)密內(nèi)容做筆記的行為多次被同事發(fā)現(xiàn)，而且，特謝拉甚至依據(jù)機(jī)密信息提出尖銳和具體的問題，這也引起了注意和質(zhì)疑。這些異?，F(xiàn)象都在“備忘錄”中被記錄下來，特謝拉的同事/主管也對他提出了警告，但僅此而已，遠(yuǎn)遠(yuǎn)沒有達(dá)到風(fēng)險(xiǎn)管理流程的要求和強(qiáng)度。例如，這些事件“沒有報(bào)告給適當(dāng)?shù)陌踩賳T”。

102情報(bào)支援中隊(duì)內(nèi)部人員選擇將事件“保留”在中隊(duì)內(nèi)部，就好像辦公室以外的人不需要知道機(jī)密材料可能已被泄露一樣。

美國空軍本可以通過“最小訪問權(quán)限”避免特謝拉泄密事件的發(fā)生。但顯然，美國空軍在信息安全制度設(shè)計(jì)和執(zhí)行這兩個(gè)環(huán)節(jié)都出現(xiàn)了嚴(yán)重問題。

一些安全專家還強(qiáng)調(diào)了零信任方法的重要性。信任是任何安全制度的基礎(chǔ)，零信任方法的革命性在于“先破后立”，先破除并清理那些流程和人際間危險(xiǎn)的“隱式信任”，然后人與人，人與技術(shù)和流程才能重新建立顯性信任。

這個(gè)過程包括對特殊崗位授信的重新評(píng)估，依據(jù)最小訪問權(quán)限原則明確系統(tǒng)管理員是否有必要通過查看業(yè)務(wù)內(nèi)容來了解系統(tǒng)是否正常運(yùn)行，以及及時(shí)撤銷過期信息訪問權(quán)限等。

美國空軍報(bào)告：部隊(duì)信息安全管理“千瘡百孔”

根據(jù)美國航空界流行的“海因里希三角法則”，每一次重大事故之前都會(huì)有29個(gè)輕傷害事故與300個(gè)無傷害事故。

伯德在1966年提出的“擴(kuò)展事故三角理論”

“特謝拉泄密事件”也是如此，事件發(fā)生前的多次“微小事故”被忽略或者沒有按程序報(bào)告。美國空軍的調(diào)查報(bào)告指出，該事件揭示了美國軍隊(duì)信息安全和風(fēng)險(xiǎn)管理多個(gè)環(huán)節(jié)的嚴(yán)重問題：

“空軍發(fā)生未授權(quán)披露機(jī)密信息的主要原因是特謝拉本人的故意行為。然而，還有許多直接和間接的因素導(dǎo)致該未授權(quán)披露活動(dòng)發(fā)生并持續(xù)相當(dāng)長一段時(shí)間?！?/p>

“大量證據(jù)表明，特謝拉所處的監(jiān)管鏈中，至少有三個(gè)人在泄露事件發(fā)生前已經(jīng)掌握了(與特謝拉有關(guān)的)多達(dá)四個(gè)獨(dú)立安全事件實(shí)例，以及需要報(bào)告的潛在內(nèi)部威脅指標(biāo)信息。如果這三名成員中的任何一人站出來正確披露他們在事件發(fā)生時(shí)掌握的信息，泄密的時(shí)長可能會(huì)減少幾個(gè)月，泄密信息的深度也會(huì)淺得多。”

《華盛頓郵報(bào)》報(bào)道稱，事件調(diào)查結(jié)束后，空軍國民警衛(wèi)隊(duì)內(nèi)部有15名人員受到紀(jì)律處分。

在最近由國防情報(bào)局(DIA)主辦的DoDIIS全球會(huì)議上，該機(jī)構(gòu)的首席信息官DouglasCossa透露，JWICS系統(tǒng)進(jìn)行了反情報(bào)/反間諜能力的重大更新，可以檢測用戶和用戶的異常行為，并通過人工智能技術(shù)主動(dòng)提醒員工。

Cossa以特謝拉為例指出，特謝拉一開始表現(xiàn)出的異常行為可能是啟動(dòng)主動(dòng)干預(yù)措施的機(jī)會(huì)(但被忽略了)。

DIA代理首席數(shù)據(jù)官M(fèi)acTownsend則強(qiáng)調(diào)，更新后的JWICS將能檢測生活模式異常行為，這為主動(dòng)式信息安全管理提供了可能。

引發(fā)美國空軍內(nèi)部風(fēng)險(xiǎn)管理改革

為了充分評(píng)估特謝拉泄漏事件的破壞性，美國國防部進(jìn)行了長達(dá)45天的安全審查，隨后美國國防部長勞埃德·奧斯汀(LloydAustin)發(fā)布了一份備忘錄，宣布成立一個(gè)新機(jī)構(gòu)——內(nèi)部威脅和網(wǎng)絡(luò)能力聯(lián)合管理辦公室，以應(yīng)對國防部(DoD)內(nèi)部風(fēng)險(xiǎn)并確保實(shí)施用戶活動(dòng)監(jiān)控(UAM)。

除了解決內(nèi)部風(fēng)險(xiǎn)問題外，該備忘錄還指出需要更加關(guān)注機(jī)密材料和環(huán)境管理中的信任和責(zé)任，并將電子設(shè)備也包含在機(jī)密空間范疇內(nèi)。

DTEXSystems聯(lián)合創(chuàng)始人兼首席技術(shù)官RajanKoo表示，即便如此，也可能無法堵住所有漏洞?！癠AM的要求是十多年前制定的，重點(diǎn)是用戶監(jiān)視，捕獲的數(shù)據(jù)只有在發(fā)生數(shù)據(jù)泄漏后才有用，”Koo指出：“換句話說，大多數(shù)UAM工具都會(huì)捕獲反應(yīng)性數(shù)據(jù)，而這些數(shù)據(jù)無法在第一時(shí)間采取行動(dòng)來阻止泄漏發(fā)生?！?/p>

教訓(xùn)與結(jié)論：沒有安全文化的風(fēng)險(xiǎn)管理是紙牌屋

人們常說，信息安全中最薄弱的環(huán)節(jié)是個(gè)人，但事實(shí)上，個(gè)人也可以是整個(gè)信息安全架構(gòu)中最關(guān)鍵最牢固的紐帶。這取決于組織是否培養(yǎng)了正確的安全文化，正如美國空軍監(jiān)察長對事件原因的點(diǎn)評(píng)：特謝拉事件暴露出美國軍隊(duì)的“缺乏監(jiān)督”和“自滿文化”。

特謝拉泄密事件表明，如果缺乏安全文化，僅僅依靠流程、程序、背景調(diào)查和IT技術(shù)來識(shí)別個(gè)人違規(guī)行為是不夠的。

對于CISO來說，無論你的技術(shù)、流程多么專業(yè)完美，如果企業(yè)員工，尤其是有機(jī)會(huì)接觸敏感信息的IT和安全人員，沒有發(fā)自內(nèi)心主動(dòng)地去遵守安全規(guī)范，那么你的整個(gè)信息安全和風(fēng)險(xiǎn)管理實(shí)際上都一座建立在隨意行為和草率決策基礎(chǔ)上的紙牌屋。

安全專家Christopher Burgess指出，企業(yè)需要一種廣泛根植的安全文化，那就是：如果一名員工在做任何事情時(shí)缺乏持續(xù)、一致和認(rèn)真的安全意識(shí)，那么這名員工就不應(yīng)該繼續(xù)留在企業(yè)里。