安全专家众议奥巴马的网络安全遗产:意图好,效果差
作者: 日期:2017年02月03日 阅:3,707

虽然奥巴马总统投入了时间、精力和政治资金来改善网络安全,结果却不尽人意。

president_barrack_obama-100706446-large

奥巴马总统才离任几周,但他在网络安全方面的遗产已在评定进行时——褒贬不一的评价。

一些专家评价道:奥巴马说了很多,做了很多,投入了大量的精力来推动网络安全,但最终,并没有达成让政府或私营产业更加安全的目标。

最近一系列的数据泄露事件,就是赤裸裸的明证。美国情报机构将罪责归结到俄罗斯头上,然而民主党总统候选人希拉里·克林顿以及美国总统大选本身的信誉,已然遭到伤害。

正如反间谍咨询机构 Murray Associates 总监凯文·穆雷所言:“政府想制定多少政策都可以,但如果不能解决问题,要来何用?”

或者,像 Red Branch Consulting 创始人,小布什任期内国土安全部官员,Lawfare博主保罗·罗森茨威格所说:“他们有工具,仅仅是在芯片宕机的时候选择了不使用工具而已。我也不知道为什么。”

这问题可大了,毕竟,政府的首要宪法义务,就是“提供共同防御”不是?过去十年,网络安全已上升与军事或司法安全同等重要的级别。网络攻击的潜在伤害,已从无关紧要水平,提升至可致严重后果的程度。

在物理层次,高级政府官员数次警告了民族国家、恐怖分子或犯罪团伙进行“网络珍珠港”攻击的风险。国家关键基础设施漏洞的报道也不断见诸报端。

在经济层次,前国家安全局(NSA)局长兼美国网络司令部司令亚历山大将军,在2012年就说过:经济间谍,尤其是中国的经济间谍行为,已经导致了人类历史上最大数额的财富转移。

当然,这些并非奥巴马的无视造成的,相反,他在任期之初就将网络安全提上了优先日程,几乎每次国情咨文必提网络安全重要性。在他监管下的项目、命令、政策和立法清单简直又长又闪亮。包括:

  • 2009年2月,奥巴马下令审查政府网络安全状态。5月,宣布“网络空间策略评估”,期望形成白宫主导的“协同网络安全计划”,旨在“遏阻、预防、检测和防御”网络攻击。
  • 2009年6月,自2006年暂行的美国网络司令部成为永久编制。目标是拥有雇员6000人,但直到去年,据称依然缺编1/3,不过,专家普遍达成共识,美国拥有“世界上最强大的网络武器库。”
  • 为响应奥巴马在2013年发出的总统令,国家标准与技术局(NIST)在2014年2月发布了《网络安全框架》——一份私营和公共产业都应遵守的标准,至今已历经多次修订。最新的更新草案,旨在提升关键基础设施安全性,于今年1月奥巴马离任前不久颁布。
  • 2015年6月,政府发布了 M-15-13 —— 要求联邦网站和Web服务必须使用安全连接的一项政策,截止2016年12月31日,所有机构都必须使用加密HTTPS网站和Web服务。
  • 美国总务署报告,截至本月,虽然合规率远未及100%——政府域名和子域名合规率在43%到73%之间,在HTTPS上政府已超过了私营产业。
  • 2015年9月,奥巴马与习近平主席达成停止经济间谍的共识。联合声明称:“两国政府都不进行或知情支持知识产权的网络盗窃”。虽然不能彻底解决问题,还是在减少网络经济间谍上起到了作用。
    《网络信息共享法案(CISA)》被国会通过,并于2015年12月受奥巴马签署,旨在促进政府和私营产业间威胁信息的共享。反对者依然指称该法案为“监视法令”,但赞成者认为,改善国家网络安全的任何希望,都需要私营和公共产业的协作。

不幸的是,这些行动,连同其他一些计划,并不总能达到预期的效果。过去8年间的安全失败众所周知,某些案例,甚至是灾难性的。或许,最糟糕的一起黑客事件,是据称中国所为的人事管理局(OPM)数据泄露案,约2200万在职和离任联邦雇员个人数据被泄。

美国一家律师事务所网络安全部的负责人认为,美国政府如今的网络安全水平,如果放在整个美国经济圈里看,那是相当“不体面”的。而前情报官员协会(AFIO)董事阿伦·坦特雷夫,则将其称之为“史诗级的失败。”

预算管理办公室(OMB)发起了一个所谓的“30天网络安全冲刺”,想要提高各方各面的安全水平,从身份验证到威胁检测。然而,来得太迟了——在数据泄露曝光之后。

其他著名的失误包括:

  • 美国陆军上等兵布拉德利·曼宁(现变性并改名为切尔西·曼宁)和前NSA承包商雇员爱德华·斯诺登泄出的百万份机密文件,不仅损害了政府关于没有对美国公民进行监视之声明的信誉度,也表现出政府根本无力防御内部人威胁。
  • 2011和2015年,总统两度尝试启动立法,“提升美国人民、国家关键基础设施,以及联邦政府自有网络和计算机的网络安全。”

但是,每次提案都没有结果,部分原因是国会意见分歧,另外一部分原因,则是来自人权和隐私保护团体的反对。

  • 自2004年其便已存在,历经数次迭代的联邦“爱因斯坦”网络威胁检测和预防系统,于2015年被DHS升级至“爱因斯坦3加速版”。

但其遭到了专家、前政府官员和国会成员的批评,说是在完全实现前就已过时——实现的截止日期是去年12月。格雷格·陶希尔,DHS网络安全运营和项目助理副部长,曾在2015年11月说过那么一句著名的话;“爱因斯坦3简直就是我们15年前就该有的东西。”

  • 归罪于俄罗斯的DNC及希拉里总统竞选主席约翰·波德斯塔邮箱被黑案。维基解密在竞选最后几周放出了来自被泄邮箱的敏感信息。

以上安全失败的可能原因如下:

首先,无数专家都说过,基本上,政府是不可能赶上这些威胁的进化和扩张的。就像罗森茨威格在访谈中所说:“政府时速60迈,互联网创新时速可是6,000迈。”

其他人则说,其间差距有几个数量级那么大。

物联网设备间的海量连接,其他各种设备上的安全缺失,再加上合格网络安全专家的稀缺,漏洞的出现毫不令人意外。

其次,在关键基础设施大多属于私营公司之手的情况下,政府也是很难管理其在线安全的。不是出台强制性规定和严厉的未合规处罚,政府主要是颁布各种建议和推荐参考。

再次,在跟私营产业竞争人才上,政府处于下风。

“联邦政府一直拍马不及,因为它支付IT员工的薪水要受到政府薪酬范围的限制。” Fidelis Cybersecurity 威胁系统经理约翰·班白尼克说,“对有经验有激情的IT员工来说,私营产业收获更多,是更有吸引力的职业选择。”

更新服务器和笔记本可没有其他消费项目来得性感迷人。没有国会议员曾经出席过新计算机发售的剪彩。

——约翰·班白尼克, Fidelis Cybersecurity 威胁系统经理

但是,专家也称,确实有些事情是政府可以,也应该,做得更好的。普莱斯说,“安全需要防护措施和遏阻对策。在前者上我们做对了,但我们依然遭受外国黑客攻击的事实说明,在遏阻层面我们依然还有许多工作要做。”

坦特雷夫指出,有些漏洞一直留存,因为我们选择出于安全原因而保留它们——简直太奇怪了。

这里,他指向的是前白宫网络安全协调员迈克尔·丹尼尔。这位仁兄称辩称:“公开漏洞,意味着我们可能放弃的,是收集可摧毁恐怖袭击、阻止国家知识产权被窃,甚或发现更危险可利用网络漏洞的机会。”

丹尼尔还说,打造“巨大的未公开漏洞库”可能不在国家利益之列。当然,“巨大”一词的定义恐怕会引发巨大的争议。

政府改善安全状态的一个明显途径,就是更新其技术。专家称,近4万亿美元的预算支持下,当然有钱来改进硬件和软件。但是,似乎这方面的政治意愿尚有不足。

“只要涉及到花钱,安全总是排在其他东西后面。”班白尼克说,“更新服务器和笔记本可没有其他消费项目来得性感迷人。没有国会议员曾经出席过新计算机发售的剪彩。”

最后,政府不仅需要关注黑数据的人,还需要聚焦放任这些事件发生的那些人。除非要求追责,否则政府得不到更好的结果。基本上,每个安全失败,包括OPM数据泄露案,负责人都被允许辞职——意味着他们还能保有退休金和所有其他政府津贴。

焦躁很多,而行动不足。必须有人为持有这些信息负责。肯定要支付某人大量薪水,然后告诉他“如果在你眼皮底下泄露了,你就要为此负责”。

“只要这么做了,人们就会开始重视起来。”

最终,如果重要的是结果,奥巴马留下的东西可真令人伤心。最近新出了一本题为《全球网络漏洞报告》的书,里面评估了44个国家的网络漏洞,美国在安全度上位列第11位。

“很难让人相信这一结果对奥巴马的网络安全遗产有何帮助。”

特朗普治下会不会有什么改善我们尚未可知,但有些早期征兆可真是令人担心。

国际计算机科学研究所高级研究员尼古拉斯·委弗,在Lawfare博客文章上宣称,特朗普对继续使用不安全安卓设备的坚持,就是在“召唤灾难,肯定会引发真正的恐慌。”

“一旦被黑,该手机就是个漏洞,甚至是比拥有巨大权限的玺印被偷更大的灾难。它可以记录周围的任何事情,并且只要重新联上网络,就能将记录的信息发送出去。”

关于特朗普是否能提升奥巴马的记录,尚未有定案,但在安全专家看来,标准其实并不高,提升空间还有很大。

政府如今的网络安全水平,如果放在整个美国经济圈里看,那是相当不体面的。没有任何一家金融或医疗机构会对我们当前的工作满意,美国人民也不满意。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章