通用安全合约导致核计算机系统极易遭攻击

admin 2022年4月20日11:15:45评论23 views字数 1061阅读3分32秒阅读模式

美国联邦监管机构称:由于“通用”安全合约并未明确非保密核计算机系统的监管责任归属,这些系统在成功的网络攻击面前脆弱不堪。

通用安全合约导致核计算机系统极易遭攻击

美国核管理委员会(NRC)监察长办公室表示,该委员会网络安全中心没有针对当前网络威胁环境对该机构的网络进行优化。不过,监察长报告中并未提及独立运行的NRC保密系统。

据称,NRC报告的“计算机安全事件”数量在以联邦政府整体计算机安全事件发生率的2倍在上升。

至于“事件”的具体情况,报告中并未详细描述,但监察长言明:这些事件包括了对公开NRC系统的非授权访问、恶意代码注入、社会工程学攻击获取密码和个人信息、以及未授权的扫描和其他访问尝试等。

NRC对此未做任何评论。监察长称,机构官方总体上赞同这份历时5个月的调查发现及建议。

这些系统的脆弱性早已不是秘密。2年前,参议院国土安全委员会就批评了NRC的网络安全基础设施,称该机构经常性遭受“敏感信息的非授权披露”。

这份新出炉的报告所做的,就是揭开为什么这一切会发生的原因。

该报告并未将责任归咎到核安全运营中心(SOC)的员工身上。他们很好地履行了2017年5月到期的2.52亿美元政府合约中的各项要求。

问题出在合约本身。合约条款对员工的要求仅仅是管理少数的反病毒、反恶意软件和反垃圾邮件系统。而就是这些系统,我们也无法确定是否起到了该有的作用。

报告中说道:根本没有性能目标,也就是说,没办法确定机构的需求到底有没有被满足。

事实上,调查人员确实发现了一个能被可靠计量的数值目标:连接NRC网络后个人电脑安全软件更新的具体时限。

报告还发现:

  • 尽管合约规定“必要的时候”需升级更新规程,什么时候才是“必要的”却未做定义,而且也没有要求进行审查以确定是否需要升级。

  • 虽然规定应该有人“收集并分析安全统计信息”,谁来做、何时做、怎样做,却从未明确。

  • 关键网络的监测总是滞后,而当监测系统确实发现异常,却又因缺乏明晰的责权指南而致使调查人员不知道该向谁汇报。

    “对SOC的活动感兴趣的NRC员工,毫无二致地希望能够对网络监测工具记录下来的异常进行主动分析和研究。”

    监察长建议:NRC取消“通用”安全合约,重拟一份责权明晰的新合约,明确规定谁该做什么,怎么做,何时做,以及责任最终落到谁头上。

    报告指出:“鉴于NRC网络上处理的非保密信息的敏感性,以及联邦政府计算机系统遭受攻击的上升趋势,健壮的SOC能力显得尤为关键。”

     

       除非注明,本站文章均为原创或编译,转载请务必注明出处并保留原文链接: 文章来自安全牛


    原文始发于微信公众号(白帽子):通用安全合约导致核计算机系统极易遭攻击

    • 左青龙
    • 微信扫一扫
    • weinxin
    • 右白虎
    • 微信扫一扫
    • weinxin
    admin
    • 本文由 发表于 2022年4月20日11:15:45
    • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                     通用安全合约导致核计算机系统极易遭攻击http://cn-sec.com/archives/869725.html

    发表评论

    匿名网友 填写信息