一点说明
本文是GAO对DHS执行其信息安全工作的审计报告,主题是“DHS需要继续推进保护联邦制度的举措”。
从这个报告中,可以看出:
1、国家网络空间安全保护系统(NCPS),一般也叫爱因斯坦的一些问题,其中,2003年美国开始部署NCPS系统,至今10多年了,花费十几亿美元,还是存在很多的问题,也有很多进步的空间。
2、CDM计划的几个阶段,分阶段分重点的实施。
3、其他DHS的一些措施。
(一)GAO的发现
1、为什么GAO做了这个研究
针对联邦政府的网络入侵和攻击变得越来越复杂。1997年, GAO首次将信息安全视为政府的高风险区域,并延伸到2003年的网络关键基础设施保护、2015年的个人身份信息的隐私保护。
DHS在加强联邦政府网络安全方面发挥关键作用。DHS有以下举措:
(1)检测和防止恶意网络入侵机构网络,
(2)部署技术手段来协助机构,持续性诊断和减轻网络威胁和漏洞。
本报告概述了DHS为提高联邦政府网络安全所作的工作。
2、GAO建议
在2016年1月的一份报告中,GAO提出了9项有关增强NCPS侦测网路入侵能力的建议:通知潜在事件、提供分析服务、并分享网络相关信息以及其他。 DHS同意这些建议,并正在采取行动落实。
3、GAO的发现
DHS正提高联邦政府的网络安全上做了很多工作。其中,国家网络空间安全保护系统(NCPS)提供了检测和防止恶意网络流量进入机构网络的能力。此外,DHS的continuous diagnostics and mitigation(CDM)计划为机构提供了持续识别和解决网络漏洞的工具。
在2016年1月,GAO报告说,NCPS在检测或防止网络入侵,分析网络数据的趋势以及与各机构共享网络威胁和事件的能力有限。例如,它没有监视或评估某些类型的网络流量,因此不会检测到这种流量中嵌入的恶意流量。
NCPS不能检查某些常见漏洞。此外,在审查时,联邦机构已经不同程度采用了NCPS。
GAO指出,扩大NCPS的功能,例如用于检测和防止恶意流量,可以增强系统在检测和防止计算机入侵中的有效性的保证,并支持各机构更广泛的采用。通过采取这些步骤,DHS将更能实现NCPS的全部优势。
通过DHS的CDM计划,CDM所提供的工具和服务,可为各机构提供自动化网络监控、关联和分析能力,并加强机构和政府层面的基于风险的决策能力。在2016年5月,GAO报告说,“Chief
Financial Officers
Act”所涵盖的17个民事机构中,大部分机构的重要信息系统正处于CDM实施的初期阶段。例如,17个机构中有14个机构报告说,他们部署了自动化硬件和软件资产清单,配置设置和常见漏洞管理的产品,但只有2家完成了单位级的组装,支持组件级仪表盘展示。一些机构指出,加快CDM的实施可能对他们进一步保护高影响力系统是有益的。
GAO的结论是,有效实施CDM计划可以帮助各机构解决网络安全漏洞。通过继续向机构提供CDM工具和功能,DHS可以进一步确保机构更好地保护其信息系统和信息。
此外,DHS还提供其他服务,例如每月公告,CyberStat评论和网络练习,以帮助保护联邦系统。在2016年5月,GAO报告说,虽然受访机构的参与程度各不相同,但大多数机构发现,这些服务非常有帮助。通过继续向机构提供这些服务,DHS能够更好地协助机构加强其信息系统的安全。
我将重点关注该部门的两个举措:国家网络安全保护系统(NCPS),也称为爱因斯坦,continuous diagnostics and mitigation(CDM)计划。
(二)背景
联邦机构使用的网络和计算机系统往往存在安全漏洞 – 这些漏洞是已知的和未知的。这些系统通常与包括互联网在内的其他内部和外部系统和网络互连,从而增加攻击途径的数量并扩大其攻击面。
此外,网络威胁正变得越来越复杂。这些威胁来自各种来源,攻击者的类型和能力,行为意愿和动机方面各不相同。例如,foreign nations(有外国政治因素的有复杂程度的专业知识和大量资源来实现其目标的攻击方) – 导致越来越多的风险。
维护联邦计算机系统安全是长期的工作。GAO首次在1997年将信息安全视为政府高风险地区。我们扩大了这一高风险地区,包括在2003年维护支持国家关键基础设施的系统,并延伸到2003年的网络关键基础设施保护、2015年的个人身份信息的隐私保护。
在过去的几年中,GAO向有关机构提出了约2,500项建议,旨在提高联邦制度和信息的安全性。许多机构在维护其信息系统和信息方面仍然面临挑战,部分原因在于其中许多建议尚未实施。截至2017年2月,我们的信息安全相关建议约有1000项尚未实施。
我们针对联邦机构信息安全计划和控制措施的有效性的审计表明,各机构在保护其信息系统和信息方面面临挑战。特别是,机构在以下活动中受到挑战:
1、加强能力,有效识别系统和信息的网络威胁。
评估网络安全风险和选择适当的缓解控制的关键活动是明确计算机网络,系统和信息的网络威胁。在2016年,我们报告了几个因素,即机构被认定阻碍其识别威胁的能力。这些障碍包括:无法招募和留住具有适当技能的人员,快速变化的威胁,技术持续变化和缺乏政府信息共享机制。
2、实施安全配置的操作系统,应用程序,工作站,服务器和网络设备的可持续流程。
有关机构没有意识到不安全设置对计算环境造成风险的。我们认为,建立强有力的配置标准,实施可持续监控流程,实现配置设置,将加强联邦机构的安全。
3、加固有漏洞的系统并更换不受支持的软件。
4、制定全面的安全检测和评估程序,定期进行检查。
我们审查的联邦机构通常不会全面地测试或评估其信息安全控制。我们审查的机构评估有时是基于访谈和文件审查(而不是深度安全评估),范围有限,并没有确定我们的审查确定的许多安全漏洞。
联邦法律为保护机构的信息和系统提供了框架
FISMA法案提供了一个全面的框架,用于确保信息安全控制的有效性,并确保有效监督信息安全风险。法律要求每个机构制定,记录和实施信息安全计划,为支持该机构运营和资产的信息和信息系统提供基于风险的保护。
FISMA明确了DHS建立了重要角色。具体来说,DHS将管理有关机构信息安全政策和实践的实施,包括:
•监督机构实施信息安全政策和实践;
•向各机构提供业务和技术指导;
•运营中央联邦信息安全事件中心
•根据要求增加技术,协助该机构持续性诊断和减轻网络威胁和漏洞。
此外,“2015年网络安全法”要求DHS部署,运营和维护供联邦机构使用,能力:
(1)检测进出入机构的网络流量的风险;
(2)防止和减小网络流量存在风险
(三)高级的DHS举措可以改善联邦政府的网络安全态势
DHS采取多项举措来协助联邦机构保护其计算机网络和系统。 这些包括NCPS,CDM和其他服务。 不过,我们的工作突出表明,这些举措需要进一步提升。
1、NCPS能力和被采纳程度可进一步改进
DHS的美国计算机应急准备小组(US-CERT)运营NCPS,负责检测和防止网络入侵,分析网络数据的趋势和异常数据,并与各机构共享网络威胁和事件。
NCPS(业务上称为EINSTEIN)分阶段部署,提供了越来越多的功能来检测和防止进出入联邦机构网络的网络流量的潜在网络攻击。
表1提供了迄今为止EINSTEIN部署概述。
NCPS的总体目标是提供支持入侵检测,入侵防御,分析和信息共享的功能。然而,在2016年1月,我们报告说,NCPS部分但不完全符合以下目标:
•入侵检测:NCPS为DHS提供了有限的能力,来检测在联邦机构计算机网络的潜在恶意活动。具体来说,NCPS将网络流量与已知模式的恶意数据或“签名”进行比较,但没有检测到来自正常网络行为的预定义基线的偏差。此外,NCPS不能检测多种类型的网络流量,因此不会检测到这种流量中嵌入的恶意流量。
NCPS也没有检查某些常见漏洞和暴露的流量(攻击者在入侵中可能试图利用漏洞)。
注:也是规则匹配的。
•入侵防御:NCPS防止入侵的能力仅限于其监控的网络流量类型。例如,入侵防御功能能监控和阻止被定义为恶意的电子邮件。但它并没有监测WEB流量中的恶意内容,DHS计划在2016年提供此功能。
•分析:NCPS支持各种数据分析工具,包括一个集中大平台,汇集数据,并分析恶意代码。然而,DHS尚未制定计划,以促进各种数据流的近实时分析,执行高级恶意软件行为分析,并以更协作的方式进行取证分析。 DHS计划在2018年之前制定和实施这些改进措施。
注:爱因斯坦也是这样的,缺少高级分析,缺少协作取证。
•信息共享:DHS尚未开发NCPS信息共享能力的大部分功能,这些要求是在我们审查时才通过了。注:机构之间的共享一样存在问题。
此外,虽然DHS已经制定了衡量NCPS性能的指标,但是这些指标没有衡量系统的入侵检测和预防能力的质量、准确性或有效性。因此,DHS无法描述NCPS提供的价值。
为了加强NCPS的功能,我们向DHS提出了六项建议。
2016年1月,我们也报道说,联邦机构已经不同程度采取了的NCPS。具体来说,法案中规定的23个民事机构需要将一些流量部署了NCPS入侵检测传感器。然而,截至2016年1月,由于一些政策和实施挑战,23个机构中只有5家正在接受了入侵防御服务。例如,官员表示,使用入侵防御功能能力因机构而异。此外,一些机构没有采取支持系统所需的所有技术,例如确保所有网络流量都通过NCPS传感器进行路由,而DHS并不向机构提供网络路由指导。
我们建议DHS与联邦机构和互联网服务供应商合作,记录安全路由要求,以便更好地确保完整,安全和有效地路由到NCPS传感器。
DHS同意这项建议。当我们跟进DHS建议时,DHS官员表示,截至2017年3月,“CFO法”涵盖的所有机构都至少接受了一项入侵预防服务。此外,官员还表示,DHS已经与OMB合作,为机构制定边界安全能力的新指南以及路由策略。
2、CDM计划的有效实施可以改善机构的信息安全
CDM所提供的工具和服务,可为各机构提供自动化网络监控、关联和分析能力,并加强机构和政府层面的基于风险的决策能力。这些工具包括执行自动扫描或搜索已知网络漏洞的传感器,其结果可以用于可视化展示,机构可以基于风险来分配资源。
DHS与总务管理部门GSA合作,并通过总务管理部门建立了政府采购工具,以获取持续的诊断和缓解能力和工具。获得这些能力的联邦,州,地方和部落政府实体可获得CDM全面采购协议。
CDM实施有三个阶段:
阶段1:此阶段涉及部署产品,自动执行硬件和软件资产管理,配置设置和常见的漏洞管理功能。根据“网络安全战略与实施计划”,DHS在2015财年为所有参与机构购买了第一阶段的工具和整合服务。
阶段2:该阶段着重特权管理和基础设施整合问题,通过允许机构在网络上监测其用户,并检测用户是否从事未经授权的活动。根据“网络安全战略与实施计划”,DHS将在2016财政年度向各机构提供更多的第二阶段功能,并在该财政年度结束时提供全套CDM机制第二阶段功能。
第三阶段:根据DHS,此阶段旨在解决边界保护和事件管理,以管理安全生命周期。它侧重于检测机构网络中的异常活动,并提醒安全人员。机构计划在2017财年向97%的联邦机构提供CDM第三阶段所需的服务。
正如我们在2016年5月份报道的那样,“首席财务官法案涵盖的18个机构中,大多数重要系统都处于CDM实施的初期阶段。我们调查的17个民事机构都表示已经制定了信息安全连续监测战略。另外,根据调查回应,17个部门中有14个部署了自动化硬件、软件资产配置以及常见漏洞管理的产品。17家机构中只有2家机构报告说,他们已经完成了整体部署和支持组件级的仪表板展示,并监督在其机构的计算环境中运行的授权用户的属性。
3、其他DHS服务可用于帮助保护系统,机构却没有一直使用
DHS提供其他可帮助代理商保护其信息系统的服务。这些服务包括但不限于:
•US-CERT每月公告旨在为联邦政府高级信息安全官员和工作人员提供可操作的信息。
•CyberStat评论是与国家安全部门工作人员,OMB,DHS进行深入会谈,讨论机构的网络安全态势和合作机会。
•DHS红色和蓝色团队练习旨在为机构提供服务,以便对潜在攻击的系统进行测试。红队模拟潜在对手的攻击,当红队攻击时,蓝队保护机构的信息系统。
