“如果我们要做出必要的革命性改变,我们必须像关心系统运行一样关心我们系统的安全。”--中情局维基解密特别工作组(Wikileaks Task Force)。
美国中央情报局(US Central Intelligence Agency)在2016年发生大规模数据泄露事件后发布的一份报告的关键部分到此为止,这起事件导致维基解密公布了数千份从该机构攻击性网络运营部门窃取的机密文件。这项分析突显了世界上最神秘的组织之一发生的一系列令人震惊的安全故障,但不幸的是,导致漏洞的潜在弱点在当今的许多组织中也太常见了。
中情局于2017年10月发布了这份报告,大约七个月前,维基解密开始发布Vault 7-大量机密数据,详细说明了中情局执行电子监控和网络战的能力。但直到本周早些时候,这份报告的内容一直笼罩在公众视线之外,当时俄勒冈州民主党参议员罗恩·怀登(Ron Wyden)的一封信中包含了报告中经过大量编辑的部分。给国家情报总监。
中情局承认其安全程序是如此“可悲地松懈”,如果维基解密没有在网上公布被盗文件,中情局可能永远不会知道数据被盗事件。什么样的安全失误造成了据称允许一名前中央情报局雇员泄露如此多敏感数据的环境?以下是一些,没有特别的顺序:
没有任何人有权确保IT系统在其整个生命周期中安全地构建和维护。
在中情局的报告中,将“网络武器”一词替换为“生产力”或“IT系统”,你可能会读到一家安全公司出具的尸检报告,该公司受雇帮助一家公司从极具破坏性的数据泄露中恢复过来。
中情局报告中的一个关键短语提到了在“划分”网络安全风险方面的缺陷。在较高级别(不一定特定于CIA),IT环境划分涉及以下重要概念:
对网络进行分段,使网络某一部分的恶意软件感染或入侵不会蔓延到其他区域。
制定用户和网络活动的基线,使偏离规范的情况更加突出。
持续清点、审核、记录和监控连接到组织IT网络的所有设备和用户帐户。
“中情局多年来一直在企业IT的权限和治理之外开发和运营IT任务系统,理由是需要任务功能和速度,”CIA观察到。“虽然这种‘影子IT’经常实现一个有效的目的,但它体现了一个将企业IT与使命IT分开的更广泛的文化问题,这使得使命系统所有者能够决定他们将如何或是否对自己进行监管。”
所有组织都会遭遇入侵、安全故障和关键弱点的疏忽。在足够大的企业中,这些故障每天可能会发生多次。但到目前为止,允许小型入侵演变为全面数据泄露的最大因素是缺乏快速检测和响应安全事件的能力。
此外,由于员工往往是任何组织中最大的安全弱点,因此为所有员工建立某种持续的安全意识培训是一个好主意。我认识和尊敬的一些安全专家对安全意识项目不屑一顾,认为这是浪费时间和金钱,他们观察到,无论一家公司做多少培训,总会有一定比例的用户点击任何东西。
这可能是准确的,也可能是不准确的,但即使是这样,组织至少也能更好地了解哪些员工可能需要更细粒度的安全控制(即,更多的划分),以防止他们成为严重的安全负担。
最早由“华盛顿邮报”(The Washington Post)报道的参议员怀登的信(PDF)值得一读,因为它指出了中央情报局持续存在的一系列安全漏洞,其中许多已经被其他联邦机构解决,包括域名的多因素身份验证和机密/敏感系统的访问,以及DMARC等反垃圾邮件保护。