生日快乐,美洲。我们不是安全的,因为我们的想法。从电网到银行系统的国防承包商建设我国最先进的武器,运行国家关键基础设施的计算机看到罪犯和国家都无情的攻击。有时候,我们听到它,有时候我们不知道。
去年,美国联邦航空管理局(FAA)、国防部(DoD)和自动取款机银行系统都遭到了有组织有组织的攻击,攻击者至今仍未被捕。加强国防、电力、金融服务和电信等不同行业的关键基础设施系统将需要数百万美元,可能需要很多年,并需要巨大的政治影响力。奥巴马总统说他想做这件事。IT领导想知道怎么做。
“我将寻找一个路径和伙伴关系,”布鲁斯·拉森,在美国水务前安全主管,一个$ 2.3十亿的实用工具,用于32个州和加拿大的部分说。问题的部分原因是政府和行业不共享足够的信息,他说。“政府需要来自私营部门的信息是多么糟糕【企业漏洞]和影响可能是什么。和私营部门需要什么真正的威胁可能的信息。”
要了解更多信息,请参阅奥巴马的网络安全协调员具有广阔的议程和系统安全:5种方法来提高您的防御攻击。
CIO们知道,解决安全问题是价格昂贵,主要是吃力不讨好。少数领导得到的背,以防止犯罪和违反拍。有些CIO们警惕政府过于介入口述技术标准和选择。保罗·库尔茨,在安全和反恐坚定良港咨询公司的合伙人,但越来越多的威胁带来的企业和政府领域变化的迫切需要。库尔茨是一名前高级顾问,国家和国土安全前总统比尔·克林顿和乔治·W·布什。
“每个月是没有经过真正的领导和果断的行动对政府的一部分,我们出血数十亿美元的知识产权被盗,”库尔茨说。“关键系统的支持电力,石油天然气,航空,军事行动 - 他们都处于危险之中。”
发生了什么错误
去年11月,在联邦调查局(FBI)所说的对主要城市的自动柜员机的“协同攻击”中,一个“犯罪组织”用100张假工资和礼品卡盗取了900万美元30分钟。美国联邦调查局(FBI)请求帮助,从亚特兰大的监控录像中辨认出男子的身份。
当然,美国的金融系统是黑客们最喜欢攻击的目标。令人担心的是,其他17个被视为关键基础设施的行业将受到集中攻击,包括能源、农业、交通、电信、医疗保健、国防承包商和核设施。随着公司通过Internet进行协作,核心IT系统越来越依赖公共网络,漏洞也随之增加。政府问责局(GAO)表示,对联邦和基础设施IT系统的威胁“正在演变和增长”。跟踪安全的政府组织US-CERT收到的安全事件从2006年的5500起增至去年的16800起,增长了两倍。
今年四月,例如,政府官员证实,自2007年以来,黑客一直在下滑到联合攻击战斗机的武器项目背后的计算机系统。他们获得通过的国防承包商的项目,洛克希德·马丁公司领导的访问。通过这些私营部门的切入点,在间谍侥幸成功设计和电子系统数据的几TB的官员告诉华尔街日报。入侵者被认为是在中国。
今年二月,美国联邦航空局网站被黑,在48000名现任和前任员工泄露数据,根据近期审核通过监察长办公室(OIG)。而在2008年,OIG说,黑客接管FAA服务器在阿拉斯加,发现在俄克拉何马州的管理员的密码,并访问了40,000 FAA的用户名和密码。安全性测试作为审计的一部分,确定763高危漏洞,如计算机,允许,并会关闭系统关闭或泄露敏感数据的命令的远程执行。
中央情报局曾透露,黑客已经打破到美国以外的国家无名电网造成停电。2020欧洲杯夺冠热门这个月,北美能源可靠性公司(NERC) - 美国电力行业最大的贸易集团 - 启动审核电力公司,以确保他们注册的关键cyberassets并遵守联邦和NERC自己的措施来保护他们。在日的信给会员,NERC的首席安全官的警告“在变电站的所有设备的同时操作的可能性,或者更糟糕的是,在多个变电站。”
“我并不想成为一个doomsdayer,”约翰·吉利根,美国空军的前任CIO和一位前高管在SRA国际专业电信安全说。“但我不认为有什么事情谁也说,他觉得我们要保卫自己的能力有信心的真正的知识的人的。”
现在的独立顾问,吉利根最近制作了他所谓的共识审计指引,许多提案之一,现在固定联邦和关键基础设施的安全性在华盛顿zinging(见系统安全:5种方法来提高您的防御攻击)。Gilligan说,在他从事IT工作的几十年中,困扰他的是有多少不同的计算标准、规定、法规和法律管理着政府以及关键的基础设施公司的不同部分。
美国政府问责局称,至少有34项联邦法令、法规和法律适用于涉及美国关键基础设施的公司内部IT。2020欧洲杯夺冠热门更重要的是,它是一套没有一个人、甚至一个机构或部门监管的规则。这些机构包括食品药品管理局、货币监理署、证券交易委员会、联邦能源监管委员会以及财政部、国土安全部和内政部。碎片化意味着不存在跨行业、统一度量和统一监控的安全标准。因此,对于“美国数字基础设施有多安全”这个问题,也没有一个好的答案。
和其他安全专家一样,吉利根支持由官员来协调网络安全及相关工作的想法,但他警告说,将这些疯狂的安全命令合理化是一项巨大的政治工作。官员必须协调各种联邦机构以及私营企业和学术界。吉利根说:“这样做,我们就开始有了一个连贯的策略。”“现在,是自由代理人”为他们自己组织的利益工作。
咨询公司CSC的首席技术官、美国交通部(DoT)前首席信息官丹尼尔·明茨(Daniel Mintz)说,当重点放在处理日常战术问题或“打地打地安全”上时,制定长期战略就被抛在一边了。他说:“目前的做法是在任何地方做任何事,结果是在任何地方都没有什么成就。”
去年,在乔治·W·布什政府制定所谓的综合国家网络安全倡议网络安全计划,主要是为了保护涉及到国土安全部系统。这是网络空间的狭窄大片,并且因为工作分类,很难分辨出它是效果如何。奥巴马已经承诺要“透明”的过程和从私营部门寻求建议。但是,政府实施新规则,行业的想法发送了红旗一些。业内通常可以自己巡逻,维持拉尔森,在美国水前安全主管,提供有市场激励这样做。“如果你是一个大的,公有的实体,您的主板是不会让你得逞没有识别风险和减轻他们。这在工作中的市场力量。”
不断变化的威胁
当政府官员正式谈论安全问题时,他们描绘的大多数场景都涉及恶意人员破坏主要系统。反过来,我们得到保证,政府和企业实体有可靠的备份。
但是,这并不是网络攻击的行为方式尤金H.斯帕福德,在信息保障和安全教育中心和研究的执行董事说。该中心是隶属于美国普渡大学,其中在一年前,当时的参议员奥巴马举行的安全问题峰会。一个趋势安全专家说,是更阴险的是,来作为对数据的细微变化,而不是服务的完全否定的攻击。
通过引入错误破坏金融系统的数据将散布恐惧有关的银行记录的准确性。人,或许国家,现在不信任该系统会撤出资金集体。计算机入侵与电网或医疗系统或空中交通管制系统会杀死人那些乱七八糟,斯帕福德说。
“假设所有的飞行控制系统得到改变,以直接面相互转化,而不是让屏幕变为空白,”他说。到目前为止,这样的灾难并没有发生。但是,如果它没有,斯帕福德补充说,“结果将是一个缺乏甚至当它被还原系统的信心。”
覆盖了最关键的安全漏洞,而不仅仅是那些明显,那么,成为当务之急,吉利根说。“特别是在今天的环境,”他说,“它不会花费太多,以进一步推动我们陷入危机或衰退。”
企业IT领导者可以采取政府一些常用的保护方法,比如做备份时,加密敏感数据以及应用软件。但是其他的战术没有在企业领域的意义。
在防御美国能源部,例如,只是它的数千个计算网站中的10个连接到互联网少将伊丽莎白·海特,美国国防信息系统局,它提供许多基础设施的IT到国防部的副主任说。
更少的公共网络连接意味着更少的弱点,Hight说。但是今天,让一家公司远离互联网可能意味着让一家公司破产。
切实可行的解决方案
那么该怎么办?一个提议在华盛顿受到关注是共识审计指引。吉利根曾与安全研究和训练组的SANS研究所,战略和国际问题研究中心,以及其他安全专家和从业者内部和外部政府制定他们。该指南强调简单。而不是潜水深入到技术或争论哪个机构应该负责另一个,指导方针提出20种基本管理和流程思想,基本原理是频繁的监测和无论你做什么来阻止网络攻击的最常见模式的测量。
emaginesecurity咨询公司的首席技术官尤金·舒尔茨(Eugene Schultz)说,这些指导方针“是关于你如何看待问题,以及如何在有限的资源下进行管理。”是非常真实的。”
这是一个很好的方法,安全专家表示,网络犯罪分子不断地调整自己的模式和工具。不仅如此,但大多数都是步骤,每一个CIO可以采取今天不花大量的金钱。
在这20个控件中,每个控件都解释了攻击者如何利用该区域,以及您可以采取哪些步骤来防止攻击,从快速取胜的简单任务到高级方法。
美国国务院几个月来一直在测试该准则。州首席信息安全官、负责信息安全的副首席信息官约翰•斯特拉费特(John Streufert)将他最近经历的真实安全攻击映射到吉利根的控制上,以确定如果给定的建议已经实施,是否会产生任何效果。吉利根说,还没有私营企业测试过这些指导方针,但他正在与几位联邦首席信息官就此事进行磋商。美国核管理委员会(Nuclear Regulatory Commission)也在试行该指南。
恶意软件是一个问题,最近在国家,Streufert说。控制数12 - 恶意软件防御 - 这样的任务,每日检查机器更新的恶意软件保护,每天推出更新的电话。还应计算机配置为在插入时扫描恶意软件可移动设备变成一台笔记本电脑或PC。也有人正在采取坚定的立场:在部署网络访问控制工具允许访问网络前验证安全配置和补丁合规性。
国家还跑了未经授权的硬件和软件的网络,这是控制头号和二号扫描。Streufert不愿意说他是多么的恶意软件或有多少未经授权的设备发现,或估计问题的成本。但是,通过使用吉利根的20种技术,并定期测量和改进如何国务院工作人员主动管理的安全性,国家已减少其83%以上11个月使自己在几个关键领域的内部风险评分,Streufert说。
检查表安全结束