中国领先的IT技术网站
|
|

安全专家众议奥巴马的网络安全遗产:意图好,效果差

虽然奥巴马总统投入了时间、精力和政治资金来改善网络安全,结果却不尽人意。

作者:nana来源:安全牛|2017-02-07 18:45

【51CTO活动】8.26 带你深度了解清华大学、搜狗基于算法的IT运维实践与探索


虽然奥巴马总统投入了时间、精力和政治资金来改善网络安全,结果却不尽人意。

奥巴马总统

奥巴马总统才离任几周,但他在网络安全方面的遗产已在评定进行时——褒贬不一的评价。

一些专家评价道:奥巴马说了很多,做了很多,投入了大量的精力来推动网络安全,但最终,并没有达成让政府或私营产业更加安全的目标。

最近一系列的数据泄露事件,就是赤裸裸的明证。美国情报机构将罪责归结到俄罗斯头上,然而民主党总统候选人希拉里·克林顿以及美国总统大选本身的信誉,已然遭到伤害。

正如反间谍咨询机构 Murray ASSOciates 总监凯文·穆雷所言:“政府想制定多少政策都可以,但如果不能解决问题,要来何用?”

或者,像 Red Branch Consulting 创始人,小布什任期内国土安全部官员,Lawfare博主保罗·罗森茨威格所说:“他们有工具,仅仅是在芯片宕机的时候选择了不使用工具而已。我也不知道为什么。”

这问题可大了,毕竟,政府的首要宪法义务,就是“提供共同防御”不是?过去十年,网络安全已上升与军事或司法安全同等重要的级别。网络攻击的潜在伤害,已从无关紧要水平,提升至可致严重后果的程度。

在物理层次,高级政府官员数次警告了民族国家、恐怖分子或犯罪团伙进行“网络珍珠港”攻击的风险。国家关键基础设施漏洞的报道也不断见诸报端。

在经济层次,前国家安全局(NSA)局长兼美国网络司令部司令亚历山大将军,在2012年就说过:经济间谍,尤其是中国的经济间谍行为,已经导致了人类历史上最大数额的财富转移。

当然,这些并非奥巴马的无视造成的,相反,他在任期之初就将网络安全提上了优先日程,几乎每次国情咨文必提网络安全重要性。在他监管下的项目、命令、政策和立法清单简直又长又闪亮。包括:

  • 2009年2月,奥巴马下令审查政府网络安全状态。5月,宣布“网络空间策略评估”,期望形成白宫主导的“协同网络安全计划”,旨在“遏阻、预防、检测和防御”网络攻击。
  • 2009年6月,自2006年暂行的美国网络司令部成为永久编制。目标是拥有雇员6000人,但直到去年,据称依然缺编1/3,不过,专家普遍达成共识,美国拥有“世界上最强大的网络武器库。”
  • 为响应奥巴马在2013年发出的总统令,国家标准与技术局(NIST)在2014年2月发布了《网络安全框架》——一份私营和公共产业都应遵守的标准,至今已历经多次修订。最新的更新草案,旨在提升关键基础设施安全性,于今年1月奥巴马离任前不久颁布。
  • 2015年6月,政府发布了 M-15-13 —— 要求联邦网站和Web服务必须使用安全连接的一项政策,截止2016年12月31日,所有机构都必须使用加密HTTPS网站和Web服务。
  • 美国总务署报告,截至本月,虽然合规率远未及100%——政府域名和子域名合规率在43%到73%之间,在HTTPS上政府已超过了私营产业。
  • 2015年9月,奥巴马与习近平主席达成停止经济间谍的共识。联合声明称:“两国政府都不进行或知情支持知识产权的网络盗窃”。虽然不能彻底解决问题,还是在减少网络经济间谍上起到了作用。
  • 《网络信息共享法案(CISA)》被国会通过,并于2015年12月受奥巴马签署,旨在促进政府和私营产业间威胁信息的共享。反对者依然指称该法案为“监视法令”,但赞成者认为,改善国家网络安全的任何希望,都需要私营和公共产业的协作。

不幸的是,这些行动,连同其他一些计划,并不总能达到预期的效果。过去8年间的安全失败众所周知,某些案例,甚至是灾难性的。或许,最糟糕的一起黑客事件,是据称中国所为的人事管理局(OPM)数据泄露案,约2200万在职和离任联邦雇员个人数据被泄。

美国一家律师事务所网络安全部的负责人认为,美国政府如今的网络安全水平,如果放在整个美国经济圈里看,那是相当“不体面”的。而前情报官员协会(AFIO)董事阿伦·坦特雷夫,则将其称之为“史诗级的失败。”

预算管理办公室(OMB)发起了一个所谓的“30天网络安全冲刺”,想要提高各方各面的安全水平,从身份验证到威胁检测。然而,来得太迟了——在数据泄露曝光之后。

其他著名的失误包括:

  • 美国陆军上等兵布拉德利·曼宁(现变性并改名为切尔西·曼宁)和前NSA承包商雇员爱德华·斯诺登泄出的百万份机密文件,不仅损害了政府关于没有对美国公民进行监视之声明的信誉度,也表现出政府根本无力防御内部人威胁。
  • 2011和2015年,总统两度尝试启动立法,“提升美国人民、国家关键基础设施,以及联邦政府自有网络和计算机的网络安全。”

但是,每次提案都没有结果,部分原因是国会意见分歧,另外一部分原因,则是来自人权和隐私保护团体的反对。

  • 自2004年其便已存在,历经数次迭代的联邦“爱因斯坦”网络威胁检测和预防系统,于2015年被DHS升级至“爱因斯坦3加速版”。

但其遭到了专家、前政府官员和国会成员的批评,说是在完全实现前就已过时——实现的截止日期是去年12月。格雷格·陶希尔,DHS网络安全运营和项目助理副部长,曾在2015年11月说过那么一句著名的话;“爱因斯坦3简直就是我们15年前就该有的东西。”

  • 归罪于俄罗斯的DNC及希拉里总统竞选主席约翰·波德斯塔邮箱被黑案。维基解密在竞选最后几周放出了来自被泄邮箱的敏感信息。

以上安全失败的可能原因如下:

首先,无数专家都说过,基本上,政府是不可能赶上这些威胁的进化和扩张的。就像罗森茨威格在访谈中所说:“政府时速60迈,互联网创新时速可是6,000迈。”

其他人则说,其间差距有几个数量级那么大。

 物联网设备间的海量连接,其他各种设备上的安全缺失,再加上合格网络安全专家的稀缺,漏洞的出现毫不令人意外。

其次,在关键基础设施大多属于私营公司之手的情况下,政府也是很难管理其在线安全的。不是出台强制性规定和严厉的未合规处罚,政府主要是颁布各种建议和推荐参考。

再次,在跟私营产业竞争人才上,政府处于下风。

“联邦政府一直拍马不及,因为它支付IT员工的薪水要受到政府薪酬范围的限制。” Fidelis Cybersecurity 威胁系统经理约翰·班白尼克说,“对有经验有激情的IT员工来说,私营产业收获更多,是更有吸引力的职业选择。”

 更新服务器和笔记本可没有其他消费项目来得性感迷人。没有国会议员曾经出席过新计算机发售的剪彩。

——约翰·班白尼克, Fidelis Cybersecurity 威胁系统经理

但是,专家也称,确实有些事情是政府可以,也应该,做得更好的。普莱斯说,“安全需要防护措施和遏阻对策。在前者上我们做对了,但我们依然遭受外国黑客攻击的事实说明,在遏阻层面我们依然还有许多工作要做。”

坦特雷夫指出,有些漏洞一直留存,因为我们选择出于安全原因而保留它们——简直太奇怪了。

这里,他指向的是前白宫网络安全协调员迈克尔·丹尼尔。这位仁兄称辩称:“公开漏洞,意味着我们可能放弃的,是收集可摧毁恐怖袭击、阻止国家知识产权被窃,甚或发现更危险可利用网络漏洞的机会。”

丹尼尔还说,打造“巨大的未公开漏洞库”可能不在国家利益之列。当然,“巨大”一词的定义恐怕会引发巨大的争议。

政府改善安全状态的一个明显途径,就是更新其技术。专家称,近4万亿美元的预算支持下,当然有钱来改进硬件和软件。但是,似乎这方面的政治意愿尚有不足。

“只要涉及到花钱,安全总是排在其他东西后面。”班白尼克说,“更新服务器和笔记本可没有其他消费项目来得性感迷人。没有国会议员曾经出席过新计算机发售的剪彩。”

最后,政府不仅需要关注黑数据的人,还需要聚焦放任这些事件发生的那些人。除非要求追责,否则政府得不到更好的结果。基本上,每个安全失败,包括OPM数据泄露案,负责人都被允许辞职——意味着他们还能保有退休金和所有其他政府津贴。

 焦躁很多,而行动不足。必须有人为持有这些信息负责。肯定要支付某人大量薪水,然后告诉他“如果在你眼皮底下泄露了,你就要为此负责”。

“只要这么做了,人们就会开始重视起来。”

最终,如果重要的是结果,奥巴马留下的东西可真令人伤心。最近新出了一本题为《全球网络漏洞报告》的书,里面评估了44个国家的网络漏洞,美国在安全度上位列第11位。

“很难让人相信这一结果对奥巴马的网络安全遗产有何帮助。”

特朗普治下会不会有什么改善我们尚未可知,但有些早期征兆可真是令人担心。

国际计算机科学研究所高级研究员尼古拉斯·委弗,在Lawfare博客文章上宣称,特朗普对继续使用不安全安卓设备的坚持,就是在“召唤灾难,肯定会引发真正的恐慌。”

“一旦被黑,该手机就是个漏洞,甚至是比拥有巨大权限的玺印被偷更大的灾难。它可以记录周围的任何事情,并且只要重新联上网络,就能将记录的信息发送出去。”

关于特朗普是否能提升奥巴马的记录,尚未有定案,但在安全专家看来,标准其实并不高,提升空间还有很大。

 政府如今的网络安全水平,如果放在整个美国经济圈里看,那是相当不体面的。没有任何一家金融或医疗机构会对我们当前的工作满意,美国人民也不满意。

【编辑推荐】

  1. 2017年网络安全四个预测
  2. 2017年网络安全存储发展预测
  3. 2017年全球最火爆网络安全大会日程(附:全球信息安全会议 Top 50)
  4. 2017RSA大会推出网络安全教育计划 凝聚睿智新兴人才
  5. 十家网络安全初创企业参与角逐2017RSA大会创新沙盒大赛
【责任编辑:IT疯 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

热门职位+更多

读 书 +更多

精通正则表达式(第3版)

随着互联网的迅速发展,几乎所有工具软件和程序语言都支持的正则表达式也变得越来越强大和易于使用。本书是讲解正则表达式的经典之作。本书...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊
× 官方软考报名与培训中心