阅读: 6
一、结果简报
NASA网络安全准备情况
审计事由
美国国家宇航局(NASA)负有特殊使命,与公众、教育机构和外部研究机构有着广泛联系,因而令人瞩目。与大多数其他政府机构相比,更可能被网络不法分子盯上。NASA拥有约3000个网站和42,000多个可公开访问的数据集,在线业务庞大,极易受到入侵。近年来,NASA的首席信息官办公室(OCIO)牵头相关工作,着力提升该局的网络安全准备度。尽管如此,仅在过去4年间,NASA就遭受了6000多起网络攻击,包括网络钓鱼欺诈和在NASA系统植入恶意软件。因此,NASA应制定强有力的网络安全措施,防护当前和未来的威胁,这一点至关重要。
NASA的信息技术(IT)资产通常分为两大类:机构系统和任务系统。这些资产以及网络安全管理在三个主要层级进行监督。OCIO人员对支持全体NASA员工的机构和安全能力进行监督。各任务团队通常为自己的网络提供资金,这些网络的业务和安全对本团队IT人员可见。最后,NASA各中心的IT人员负责管理、监督本中心内机构和任务网络中各计划/项目的运作。
为了评估NASA对于网络安全的准备情况,我们调查了:(1)OCIO企业架构设计是否适用于评估网络安全风险和威胁;(2)NASA的网络安全保护战略是否基于风险;(3)网络安全资源配置是否充足,优先级划分是否妥当;(4)是否采用良好的IT安全实践有效评估了机构网络安全风险。
在此过程中,我们查看了适用的法律法规,采访了OCIO人员,检视了机构文件,分析了预算和人员配置数据,并回顾了以往的网络事件。我们参考的指导文件包括国家标准与技术研究院(NIST)的《网络安全框架》及800系列特刊、互联网安全中心的20大控制措施以及联邦企业架构。
审计发现
对NASA网络的攻击并不鲜见,同时,窃取关键信息的事件也时有发生,且愈加复杂,造成了越来越严重的后果。攻击者的攻击性和组织性不断增强,攻击手段越来越复杂,管理和防护网络安全风险对于保护NASA庞大的IT系统网络至关重要;否则,恶意攻击或入侵会严重妨碍NASA执行任务的能力。尽管NASA采取了积极措施来应对网络安全问题,包括网络监测、身份管理和IT战略计划更新等,但在加强基础网络安全工作方面仍面临挑战。
我们发现,NASA在防止、检测和缓解网络攻击方面的能力因企业架构方法的混乱无序而受限。企业架构(EA)和企业安全架构(ESA)作为组织分析和运营其IT和网络安全的详细规划,是有效进行IT管理的关键组件。
NASA的企业架构开发工作已进行了十多年,仍未完成。同时,该机构管理IT投资和运营的方式也未统一,多是临时起意。支离破碎的IT方法以及繁杂的各种权限,长期以来一直是该机构网络安全决策环境的一大显著特征。整体看来,NASA面临着较高的网络威胁风险,而有些风险本可以避免。
我们还注意到,NASA对IT系统的评估授权(A&A)方法不一致,效率低下,机构内部各部门的评估质量和成本有很大差异。这种不一致与NASA不统一的网络安全方法直接相关。NASA计划签订一份新的网络安全与隐私企业解决方案和服务(CyPrESS)合同,以剔除重复的网络服务,助力NASA修订A&A流程,更有效地保护其IT系统。
审计建议
为了推进NASA的网络安全准备工作,确保过程的连续性,以及提高NASA系统的安全性,我们建议副局长和首席信息官:
- 整合EA和ESA,制定指标来跟踪EA的总体进展和有效性;
- 与总工程师合作制定战略,识别机构和各任务在IT方面的EA差距并进行优化;
- 评估如何合理定位企业架构师和企业安全架构师在实施MAP期间和之后的组织职责,从而提升网络安全准备度;
- 在对NASA的526个系统进行A&A的过程中,确定各中心进行独立评估的年度成本,包括人员配置成本;
- 在所规划的CyPrESS合同中就专门的企业团队制定基线要求,对须接受A&A的所有NASA系统进行评估和管理。
我们向NASA管理层提供了本报告初稿,他们对于上述建议表示赞同。我们认为,管理层的意见即是对本报告的响应;因此,建议得到解决,将在所提出的纠正措施完成和验证后关闭。
二、引言
网络威胁局势千变万化,让人猝不及防。一方面,攻击者不断开发新技术以规避安全措施;另一方面,垃圾邮件、网络钓鱼和恶意软件等威胁也在不断增加且越来越复杂和精准。例如,2020年12月发现的SolarWinds对政府和私营信息技术(IT)资产发动的大规模黑客攻击就凸显了建设强大的防御系统的重要性。在新冠疫情期间,人们对于数字连接的依赖性大大增加,IT应用程序和架构快速演进。
美国国家宇航局(NASA)承担特殊使命,与公众、教育机构、研究机构等外部组织有着广泛联系,因而令人瞩目。与大多数其他政府机构相比,更可能被网络不法分子盯上。近年来,NASA的首席信息官办公室(OCIO)牵头相关工作,着力提升该局的网络安全准备度。尽管如此,仅在过去4年中,NASA就经历了6000多起网络攻击,包括网络钓鱼欺诈和在NASA系统植入恶意软件。因此,NASA应制定强有力的网络安全措施,防护当前和未来的威胁,这一点至关重要。
为了评估NASA是否做好准备、能够识别网络安全威胁并防范重大网络安全事件,我们调查了:(1)OCIO企业架构设计是否适用于评估网络安全风险和威胁;(2)NASA的网络安全保护战略是否基于风险;(3)网络安全资源配置是否充足,优先级划分是否妥当;(4)是否采用良好的IT安全实践有效评估了机构网络安全风险。审计范围和方法详见附录A。
背景
NASA经常受到网络攻击,部分原因是它所执行的任务引人注目、公开的数字足迹庞大以及这些系统管理的信息往往很敏感。NASA拥有约3000个网站和42,000多个可公开访问的数据集,在线业务庞大,极易受到入侵。特别是今年,针对NASA的网络威胁快速上升:在新冠疫情期间,网络钓鱼事件翻了一番,恶意软件攻击呈指数增长,同时,NASA的大部分工作人员改为远程工作。如图1所示,NASA的IT设备数量和种类以及该机构保存的大量数据进一步加剧了该机构的网络安全挑战。
针对NASA的网络事件会影响国家安全、知识产权,若数据丢失或泄露,还可能影响个人。在网络安全中,攻击向量指攻击者通过邮件、网站或外部/移动媒介非法访问计算机或网络的途径或手段。一旦攻击者获得访问权限,就能利用系统漏洞、访问敏感数据、安装各种恶意软件或发动网络攻击。例如,NASA的喷气推进实验室(JPL)在2018年遭遇了黑客攻击,起因是一个外部用户账号将未经授权的设备连接到JPL服务器,无意中将网络暴露给了黑客。随后,黑客潜入该系统,入侵了服务器以及NASA的深空网络望远镜阵列。有关常见攻击向量的更多信息,详见附录C。
根据NASA的数据,该机构在2020年发现了1785起网络事件,如表1所示。由于违反组织的许可使用策略而导致的不当使用事件(如安装未批准软件或浏览不良内容)上升最快,从2017年的249起增加到2020年的1103起,增长幅度达343%。此外,2020年,不当使用仍然是主要的攻击向量。NASA官员解释说,虽然这种增长令人担忧,但他们认为,这是因为局里近期安装的网络安全软件提高了网络的可见性,进而检测并记录了更多的网络事件。
NASA的计算机网络面临着越来越广泛的网络威胁,尤其是基于互联网的入侵。这种入侵屡屡得手,说明NASA面临的网络安全挑战日益复杂。简而言之,相较于动态变化的威胁局势,NASA的IT安全流程往往显得滞后而无能。NASA曾遭遇的重大事件包括:
- 2019年,NASA的一名受雇人员使用个人电脑访问NASA的网络和系统进行挖矿活动。
- 2018年,一外部用户账号被入侵后从一个重要任务系统中窃取了约500 MB数据。
要有效保护网络安全,需要认准目标,全力以赴。同时,准确评估威胁和识别漏洞对于了解组织的风险至关重要。在IT管理方法中,网络风险包括威胁发生的概率以及威胁发生可能造成的潜在经济或声誉损失。要了解这种风险,必须准确评估威胁和漏洞。广义上,网络安全是整个风险管理过程的一个重要组成部分,是否成功最终取决于安全措施防止恶意攻击和入侵的有效性。
长期存在的网络安全问题
近20年来,我们一直将保护NASA的IT系统和数据视为首要管理任务。在过去5年间,OIG和政府问责办公室(GAO)发布了数十份报告,指出了NASA信息技术系统中的缺陷。重要结论包括:
- 首席信息官(CIO)努力工作,推行有效的IT治理结构,使权限和责任与机构的总体使命保持一致。
- NASA机构内部缺乏统一的信息安全风险管理框架和信息安全架构。
- NASA的IT内部控制和风险管理实践普遍存在不足。
- 安全运营中心缺乏可见性和权限来管理NASA整个IT基础设施的信息安全事件检测和修复。
- NASA的网络安全计划根据联邦信息安全现代化法案的评级标准为2级(共5级)无效,意味着NASA已发布了安全计划相关政策和程序,但没有统一实施。
- 在分配“移动设备管理”访问权限时,NASA没有充分监测和执行必要的业务规则。
OIG在过去5年提出的73项IT相关建议中,有46项已执行,进行了针对性行动。NASA需要继续实施余下27项建议,其中大部分来自我们最近的工作。此外,在过去5年中,NASA OIG调查人员对NASA网络进行了120多项调查,涉及入侵、恶意软件、拒绝服务攻击和数据泄露,其中一些已进行刑事定罪。
联邦政府和NASA的网络安全指导
美国国家标准与技术研究院(NIST)有一整套信息安全标准和指南,用于管理网络安全风险。此外,有些联邦法律和政策就保护联邦系统和管理网络安全风险提出了要求。例如,根据《2014年联邦信息安全现代化法案》以及行政管理和预算办公室(OMB)、国土安全部(DHS)和NIST的规定,联邦机构的网络安全计划必须涵盖支持机构运营和资产的IT系统的信息安全。联邦机构的网络安全计划还必须包括网络安全风险评估、降低信息安全风险并确保合规的政策和程序以及漏洞缓解和事件管理之类的安全运营。
在这次审计中,我们考察了NASA对于两大IT管理要素的实现方法:企业架构(EA)和企业安全架构(ESA)。EA是IT资产、业务流程和治理原则方面的规划,用于创建统一的标准化软硬件环境。ESA是用于管理网络安全能力、政策和流程以控制和缓解威胁的框架。EA和ESA是公共和私有组织公认的组织变革及IT管理原则,有效实施后可以提升任务表现和机构的战略成果。
在普及网络安全的风险管理方法时,NIST将企业架构和企业安全架构视为“紧耦合”。例如,NIST建议组织使用安全控制防护已知网络风险。具体说,NIST EA控制(即“计划管理7”,简称为PM-7)要求将信息安全集成到组织的EA中,以确保安全因素与组织风险管理和网络安全策略一致。具体到NASA,其政策反映了联邦政府的指导方针,规定企业、任务、计划、项目、中心的所有IT投资与机构EA保持一致。该政策旨在解决独立开发各种IT系统的问题,并未考虑如何将其与未来技术结合使用。这种系统通常缺乏纵贯组织的统一协调和规划,因此可能存在安全风险。
NIST在CA-1(“认证、资格鉴定和安全评估”)中介绍了ESA,描述了评估授权(A&A)过程。A&A是有效网络安全的重要基础,通过详细彻底的审查确保IT系统符合网络安全要求。在NASA,新系统上线必须进行A&A,所有现有系统每年也都需要A&A。
A&A包括对安全政策和程序(管理控制)、物理设施基础设施(操作控制)以及网络测试、服务器测试、应用程序安全测试、渗透测试和扫描(技术控制)的审查。评估阶段旨在识别和缓解安全缺陷;授权阶段促使机构考虑并接受与所审查IT系统相关的风险,并批准该系统在指定的时间段内运行。典型的A&A至少包含六个组件(例如安全和配置管理计划),若系统包含敏感数据,则需要更多文档。
NASA的网络安全管理
NASA的IT资产通常分为两大类:机构IT资产和任务IT资产。机构系统支持NASA员工的日常工作,包括网络、数据中心、Web服务、台式机和笔记本电脑、企业业务应用程序以及其他终端用户工具,如电子邮件和日历。任务系统支持NASA的航空、科学和太空探索项目,包括控制航天器、收集和处理科学数据以及执行其他关键机构职能的IT系统。例如,由喷气推进实验室运营的“深空网络”就是一个支持行星际航天器任务的任务系统。NASA的IT资产分类见图2。
理论上,NASA的网络风险管理具有严格的分级,但实际上项目和组织都具有复杂的动态。例如,该局的组织结构有三个主要层次,网络安全管理责任各不相同,资金控制线众多:
1. 机构网络管理。OCIO主要位于NASA总部,负责为NASA提供战略方向,全面负责信息技术,如服务于全体NASA员工的电子邮件、服务台功能和安全能力。在OCIO内部,网络安全与隐私部(CSPD)拥有约120名员工,负责管理网络安全持续监控基础设施、网络安全和隐私风险、政策制定和安全运营中心(SOC)等活动。CSPD还负责制定、实施以及维护NASA的企业安全架构。OCIO的组织结构如图3所示。
2. 任务网络管理。NASA有四个任务局,各由一名副局长领导。各任务局为自己的计算机网络和IT人员提供资金;因此,在大多数情况下,任务局人员比OCIO工作人员更了解任务网络的运营和安全。例如,任务局人员确定用于国际空间站和行星际卫星任务(如朱诺号和好奇号火星探测器)的网络的风险和风险接受度。一般来说,任务IT的范围包括为特定的任务目的、职能或需求配置的具有专门IT(如软件、硬件、网络安全或其他IT服务)的项目。
3. 中心网络管理。各NASA中心主任负责本中心的运营,确定如何以最优方式支持本中心的计划和项目。这一地方管理部门对机构和任务IT系统均有管理权限。需要注意的是,NASA OCIO对各中心网络安全的实际运营(包括网络和系统访问授权过程)没有直接控制权,而是由中心的首席信息安全官(CISO)负责本地网络安全,充当总部高级机构信息安全官(SAISO)与中心信息安全职能部门之间的主要接口。无论该局的组织结构如何,所有IT系统都必须遵循NASA和NIST的指导文件并采用A&A流程,但流程执行方式可因部门而异。
NASA的网络安全开支
NASA的IT开支预算约为每年22亿美元,约占其总预算的10%,这一数字与规模类似的联邦机构相当。不过,NASA分配给各任务的IT预算比例各有不同。图4为NASA 2021财年按组织分配的网络开支预算。
在2020财年,OCIO的IT支出为2.78亿美元,其中7400万美元用于机构网络安全。除此之外,2020财年全国各地的任务办公室在基于任务的网络管理上投入了1.69亿美元。
OCIO在网络安全方面的主要举措
在过去几年中,OCIO一直致力于改善NASA的网络安全和IT治理。2019年9月,NASA更新了其IT战略计划,其中确定了关键活动、里程碑以及将IT作为战略资源进行管理所需的资源。为进一步改善IT运作模式,OCIO现采取了两项重要措施:
1. 任务支持未来架构计划(MAP)传统上,NASA各中心和总部分别管理和运作自己的IT、人力资源、财务和采购等服务。现处于评审阶段的MAP将NASA转向企业计算模式,集中和整合IT能力,如软件管理和网络安全,以此改进任务支持服务。然而,MAP并不关注如何管理各任务或中心的IT系统;它只涉及机构IT系统。OCIO预计在2021年完成MAP评估,2022年1月开始实施。
2. 即将签订的网络安全与隐私企业解决方案和服务(CyPrESS)合同。该合同的其中一个目的是消除重复的网络服务,免除各中心单独签订IT安全合同的麻烦。虽然CyPrESS不是MAP计划的正式组成部分,但预计将与MAP协同工作,作为全组织统一采用的安全服务交付模式。OCIO预计在2022年2月之前授予合同。
译者声明
小蜜蜂翻译组公益译文项目,旨在分享国外先进网络安全理念、规划、框架、技术标准与实践,将网络安全战略性文档翻译为中文,为网络安全从业人员提供参考,促进国内安全组织在相关方面的思考和交流。