美国国会报告:OPM错失的那些预防机会
作者: 日期:2016年09月10日 阅:3,384

美国政府电脑中的那位黑客先生,或许是时候被清理出去了。在秘密监视其网上活动数月之久后,官方担心他太过接近重要信息,于是制订了一个黑客驱逐计划“大爆炸”。问题在于,因为全副精力都放在了这名黑客身上,他们完全忽略了另外一名黑客。

sq500-9a36d646fc68cfe368055973ea05b34d

新发布的一份国会报告,提供了美国历史上最严重网络攻击的未公开细节和一些幕后事件发生时间表,铺陈了美国人事管理局(OPM)被黑之前那些错失的阻止机会。

OPM被黑事件很多人都认为是中国政府干的。该事件泄露了2100万名现役、退役和未来联邦雇员的个人信息,导致了OPM局长引咎辞职,并因当局对事件严重性的多次更改而招致一片骂声。

众议院监管和政府改革委员会拿出这份报告,并指责OPM在明知自身网络安全有漏洞的情况下,还不注意保护敏感数据。报告指出,去年曝出的黑客事件本可以被防止——只要OPM设有基本的安全控制,并从之前的入侵事件中认识到自己面对的敌人是老练且有恒心的。

确实,数千万美国人的数据被邪恶海外分子盗走,但这完全是可以预防的。只要具备基本的安全措施,几个好用的工具,良好的意识和相应的人才,OPM完全有能力防患于未然。

OPM代理局长贝斯·柯博特在一份声明中称,OPM不认同该报告的大部分内容,并认为这份报告没有完全反映出该机构如今的状态。她声称,OPM黑客事件是该机构内部加速改变的催化剂,这些改变包括雇佣新的网络安全专家以加强其安全性。

政府在2014年3月第一次发现OPM被黑,当时国土安全部(DHS)的专家组注意到:晚10点到早10点时段,有可疑数据流流出OPM的网络,这就好像装载着机密文件存放柜的大货车在午夜咆哮狂奔而出。政府所谓的“爱因斯坦”入侵警报系统检测到了这起数据盗窃案。

DHS向OPM通报了该起数据泄露事件。2个月间,OPM与FBI、NSA等机构合作,监测该黑客的动向。这些政府官员们制定了一个在2014年5月小长假期间驱逐该黑客的行动计划,计划名为“大爆炸”。所做工作包括:重置管理员账户、为被入侵用户新设账号,以及下线被感染系统。

过早踢出黑客的风险刚刚过去,如今的风险,是让黑客驻留了太久,本不应该让黑客在系统内留这么久的。

问题远未解决

专注于驱逐该黑客的专家们并不知道,早在“大爆炸”行动前数周,就有另一名黑客冒联邦承包商雇员之名渗入了系统。那名黑客使用了一名承包商的凭证登录系统,安装上恶意软件,并在网络中留了一扇后门。

接下来的几个月,那名黑客在系统中畅游无阻,盗取敏感安全审查背景调查文件、人事档案、指纹数据。

这第二起数据泄露,直到2015年4月,一名OPM雇员追踪被盗资料流向明显是虚假账号注册的互联网地址(账户名为史蒂夫·罗杰斯——《漫威》旗下超级英雄美国队长的本名)才被检测到。但那时,数百万美国政府雇员的敏感信息已经流失了。

那份国会报告还指责OPM未能快速部署来自外部公司的安全工具以检测恶意代码和其他威胁。报告援引一名工程师的话称:“Cylance公司的工具一部署,警报亮得跟圣诞树似的”——OPM的计算机里充斥着恶意软件。

Cylance创始人兼CEO斯图尔特·麦克卢尔在一次访谈中说道:“他们本来可以做得更好吗?当然!但是,一旦他们确认有数据泄露,也就非常严肃认真地对待了。”

OPM曾称这两起数据泄露事件之间没有关联,在泄露规模上误导公众;而这份国会报告中则称“两起事件似有关联,还很可能是相互协同的”。

两拨攻击者目标相同,行事手法相似,攻击时间也接近。

尽管美国怀疑此事是中国谍报机构所为,议院调查却并未对责任人的身份多做披露。报告中只是说,2015年4月发现的数据泄露,可能是与中国军方有联系的“深度熊猫(Deep Panda)”小组所为。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章