欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

解读美国国会关于OPM数据泄露事件的调查报告

来源:本站整理 作者:佚名 时间:2016-09-17 TAG: 我要投稿
2015年4月18-19日,OPM在内部网络中部署了大约2000套CylanceProtect,据Cylance工程师形容“OPM系统内发现的大量恶意事件警告足可以点亮一棵圣诞树”;
2015年4月21日,Cylance公司取证团队CyTech到达OPM现场进行数据取证分析;
2015年4月23日,OPM确认发生“大规模数据泄露“事件,并通报国会;
……
2015年7月10日,OPM局长Katherine Archuleta辞职;
2016年2月24日,OPM 首席信息官Donna Seymour辞职。
3 OPM信息泄露事件的主要原因
政府承包商信息安全状况堪忧:
在美国联邦政府中,承包商或合同商在为政府提供支撑服务的同时,也掌握了大量政府机密信息,容易受到APT攻击。
例如,2014年8月,OPM聘用的对联邦雇员背景做调查的承包商US Investigations Services(USIS)遭到网络入侵,黑客可能窃取了大量政府雇员和相关背景调查人员个人信息,涉及31000人。事件发生后,USIS也及时通知了OPM。
2014年夏天,US-CERT曾对政府承包商KeyPoint公司进行过网络安全评估,情况不容乐观。就在2014年12月,KeyPoint发现48000名联邦雇员个人信息因网络攻击泄密,这其中就包括了OPM雇员信息。
USIS在2014年8月被黑客入侵后,OPM解除了与USIS的承包合同,并聘请了另外两家承包商SRA和KeyPoint。而KeyPoint,则在2014年12月也遭到黑客攻击。
另外,OPM承包商掌握的大量联邦雇员健康信息也有可能成为APT攻击目标,如2015年2月,美国第二大医疗保险公司Anthem遭黑客入侵,近8000万用户数据泄露。而与OPM有合作的小型保险公司Premera于2015年3月遭到黑客攻击,导致大约1100万人的信息被盗。
当前,很多政府机构严重依赖第三方承包商进行信息系统维护,存在很多潜在安全风险,比如,承包商公司员工可以以政府雇员身份使用未授权的认证登录进入政府网络系统,当然这也就不难理解造成OPM数据泄露事件的原因。
政府应加强应对持续攻击的信息安全能力:
随着政府信息化建设不断深入,美国政府面向公众提供信息服务的能力不断提高,但同时带来了新的安全风险。2004年8月签发的国土安全12号总统令(HSPD-12),要求政府机构在签发和使用联邦个人身份验证智能卡证书时必须遵循特定的技术标准和业务流程,包括验证员工和承包商身份所需的标准化背景调查。2008年,联邦政府开始重视自身系统网络安全,但在以后的几年里,网络空间的攻击也变得多样和复杂,被攻击的情况也变得越来越糟。
以OPM攻击事件为例,2012年5月,与Anonymous相关的,隶属于@k0detec黑客组织的成员入侵了OPM数据库并窃取了37组用户名密码信息。而在2011年,DHS对Anonymous黑客成员的定义还仅停留在“脚本小子“的层面。
OPM无法在关键时刻识别并处置威胁:
OPM因储存有现任和退休政府雇员及承包商敏感信息,对APT攻击来说是理想的入侵目标。当然,OPM也应该设置高度安全的防护策略。但在2014年之前,OPM网络中存在各种漏洞,
虽然在2014年之后,OPM对信息安全有所改进,但是实际效果太差。在2014年关键时刻,低效的领导能力和不当的决策能力,导致了数据泄露事件的发生。
OPM的网络安全支出始终落后于其他联邦机构:
OPM在2015财年的网络安全预算支出:

 
OPM在2014财年的网络安全预算支出:

 
OPM在2013财年的网络安全预算支出:

 
OPM在2012财年的网络安全预算支出对比:

 
OPM多年来一直忽视安全警告:
OPM依赖计算机技术和信息系统来管理数百万现任和之前的联邦雇员以及相关亲属信息,任何恶意攻击(黑客攻击、蠕虫或病毒)都可能对管理系统的效率和可用性造成影响。
为了承担储存背景调查资料的重任,OPM在2005年开始就加强了网络安全,之后OPM接手了国防保密处(DSS)针对90%联邦政府雇员的安全背景调查业务(FIS)。
2005年以来,在情报改革和反恐法案的大背景下,背景和忠诚度调查显得越来越重要,同时,OPM也注意到信息安全对其存储数据的重要性。在2005-2007年间的OPM督察办审计年报中都对信息系统存在的漏洞进行过识别。在2008年的半年国会报告中,OPM督察办承认保护敏感信息和个人身份信息的长期必要性。
2008年秋,OPM督察办报告指出,上一年信息系统存在的重要漏洞没有被完全解决,可能会对信息系统产生重要威胁。同时,督察办警告OPM现有的安全策略多年未更新,主要认证鉴别系统存在重大缺陷,另外,在措施执行和里程碑计划中,缺乏专业的信息安全人员;
2009年,OPM领导更换,John Berry成为新任局长;2009年9月,OPM督察办报告声称OPM的信息安全状况正在恶化;
2010年初,OPM督察办继续对OPM信息安全状况表示“严重担心“;
2012年,OPM把信息安全业务集中划归给首席信息办(OCIO)承担,2012年3月,OPM督察办声称”我们的审计报告表明OPM的信息安全水平亟需提高“,同时督察办指出OCIO在处理信息安全问题时缺乏有效授权,另外,OPM系统需要尽快迁移到集中化管理平台,因为“现运行的基本程序设计存在缺陷”;
但是,直到2013年底,由于人员不足和预算限制,集中化信息安全管理仍没能实现;就在2013年OPM准备更换领导时,OPM督察办发布了两份重要审计报告,第一份声称OPM信息系统存在重要漏洞;第二份对存储有背景调查资料的PIPS系统给予安全警告。

上一页  [1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载