NASA網絡安全準備度(一)
一、結果簡報
NASA網絡安全準備情況
審計事由
美國國家宇航局(NASA)負有特殊使命,與公眾、教育機構和外部研究機構有著廣泛聯系,因而令人矚目。與大多數其他政府機構相比,更可能被網絡不法分子盯上。NASA擁有約3000個網站和42,000多個可公開訪問的數據集,在線業務龐大,極易受到入侵。近年來,NASA的首席信息官辦公室(OCIO)牽頭相關工作,著力提升該局的網絡安全準備度。盡管如此,僅在過去4年間,NASA就遭受了6000多起網絡攻擊,包括網絡釣魚欺詐和在NASA系統植入惡意軟件。因此,NASA應制定強有力的網絡安全措施,防護當前和未來的威脅,這一點至關重要。
NASA的信息技術(IT)資產通常分為兩大類:機構系統和任務系統。這些資產以及網絡安全管理在三個主要層級進行監督。OCIO人員對支持全體NASA員工的機構和安全能力進行監督。各任務團隊通常為自己的網絡提供資金,這些網絡的業務和安全對本團隊IT人員可見。最后,NASA各中心的IT人員負責管理、監督本中心內機構和任務網絡中各計劃/項目的運作。
為了評估NASA對于網絡安全的準備情況,我們調查了:(1)OCIO企業架構設計是否適用于評估網絡安全風險和威脅;(2)NASA的網絡安全保護戰略是否基于風險;(3)網絡安全資源配置是否充足,優先級劃分是否妥當;(4)是否采用良好的IT安全實踐有效評估了機構網絡安全風險。
在此過程中,我們查看了適用的法律法規,采訪了OCIO人員,檢視了機構文件,分析了預算和人員配置數據,并回顧了以往的網絡事件。我們參考的指導文件包括國家標準與技術研究院(NIST)的《網絡安全框架》及800系列特刊、互聯網安全中心的20大控制措施以及聯邦企業架構。
審計發現
對NASA網絡的攻擊并不鮮見,同時,竊取關鍵信息的事件也時有發生,且愈加復雜,造成了越來越嚴重的后果。攻擊者的攻擊性和組織性不斷增強,攻擊手段越來越復雜,管理和防護網絡安全風險對于保護NASA龐大的IT系統網絡至關重要;否則,惡意攻擊或入侵會嚴重妨礙NASA執行任務的能力。盡管NASA采取了積極措施來應對網絡安全問題,包括網絡監測、身份管理和IT戰略計劃更新等,但在加強基礎網絡安全工作方面仍面臨挑戰。
我們發現,NASA在防止、檢測和緩解網絡攻擊方面的能力因企業架構方法的混亂無序而受限。企業架構(EA)和企業安全架構(ESA)作為組織分析和運營其IT和網絡安全的詳細規劃,是有效進行IT管理的關鍵組件。
NASA的企業架構開發工作已進行了十多年,仍未完成。同時,該機構管理IT投資和運營的方式也未統一,多是臨時起意。支離破碎的IT方法以及繁雜的各種權限,長期以來一直是該機構網絡安全決策環境的一大顯著特征。整體看來,NASA面臨著較高的網絡威脅風險,而有些風險本可以避免。
我們還注意到,NASA對IT系統的評估授權(A&A)方法不一致,效率低下,機構內部各部門的評估質量和成本有很大差異。這種不一致與NASA不統一的網絡安全方法直接相關。NASA計劃簽訂一份新的網絡安全與隱私企業解決方案和服務(CyPrESS)合同,以剔除重復的網絡服務,助力NASA修訂A&A流程,更有效地保護其IT系統。
審計建議
為了推進NASA的網絡安全準備工作,確保過程的連續性,以及提高NASA系統的安全性,我們建議副局長和首席信息官:
1.整合EA和ESA,制定指標來跟蹤EA的總體進展和有效性;
2.與總工程師合作制定戰略,識別機構和各任務在IT方面的EA差距并進行優化;
3.評估如何合理定位企業架構師和企業安全架構師在實施MAP期間和之后的組織職責,從而提升網絡安全準備度;
4.在對NASA的526個系統進行A&A的過程中,確定各中心進行獨立評估的年度成本,包括人員配置成本;
5.在所規劃的CyPrESS合同中就專門的企業團隊制定基線要求,對須接受A&A的所有NASA系統進行評估和管理。
我們向NASA管理層提供了本報告初稿,他們對于上述建議表示贊同。我們認為,管理層的意見即是對本報告的響應;因此,建議得到解決,將在所提出的糾正措施完成和驗證后關閉。
二、引言
網絡威脅局勢千變萬化,讓人猝不及防。一方面,攻擊者不斷開發新技術以規避安全措施;另一方面,垃圾郵件、網絡釣魚和惡意軟件等威脅也在不斷增加且越來越復雜和精準。例如,2020年12月發現的SolarWinds對政府和私營信息技術(IT)資產發動的大規模黑客攻擊就凸顯了建設強大的防御系統的重要性。在新冠疫情期間,人們對于數字連接的依賴性大大增加,IT應用程序和架構快速演進。
美國國家宇航局(NASA)承擔特殊使命,與公眾、教育機構、研究機構等外部組織有著廣泛聯系,因而令人矚目。與大多數其他政府機構相比,更可能被網絡不法分子盯上。近年來,NASA的首席信息官辦公室(OCIO)牽頭相關工作,著力提升該局的網絡安全準備度。盡管如此,僅在過去4年中,NASA就經歷了6000多起網絡攻擊,包括網絡釣魚欺詐和在NASA系統植入惡意軟件。因此,NASA應制定強有力的網絡安全措施,防護當前和未來的威脅,這一點至關重要。
為了評估NASA是否做好準備、能夠識別網絡安全威脅并防范重大網絡安全事件,我們調查了:(1)OCIO企業架構設計是否適用于評估網絡安全風險和威脅;(2)NASA的網絡安全保護戰略是否基于風險;(3)網絡安全資源配置是否充足,優先級劃分是否妥當;(4)是否采用良好的IT安全實踐有效評估了機構網絡安全風險。審計范圍和方法詳見附錄A。
背景
NASA經常受到網絡攻擊,部分原因是它所執行的任務引人注目、公開的數字足跡龐大以及這些系統管理的信息往往很敏感。NASA擁有約3000個網站和42,000多個可公開訪問的數據集,在線業務龐大,極易受到入侵。特別是今年,針對NASA的網絡威脅快速上升:在新冠疫情期間,網絡釣魚事件翻了一番,惡意軟件攻擊呈指數增長,同時,NASA的大部分工作人員改為遠程工作。如圖1所示,NASA的IT設備數量和種類以及該機構保存的大量數據進一步加劇了該機構的網絡安全挑戰。
針對NASA的網絡事件會影響國家安全、知識產權,若數據丟失或泄露,還可能影響個人。在網絡安全中,攻擊向量指攻擊者通過郵件、網站或外部/移動媒介非法訪問計算機或網絡的途徑或手段。一旦攻擊者獲得訪問權限,就能利用系統漏洞、訪問敏感數據、安裝各種惡意軟件或發動網絡攻擊。例如,NASA的噴氣推進實驗室(JPL)在2018年遭遇了黑客攻擊,起因是一個外部用戶賬號將未經授權的設備連接到JPL服務器,無意中將網絡暴露給了黑客。隨后,黑客潛入該系統,入侵了服務器以及NASA的深空網絡望遠鏡陣列。有關常見攻擊向量的更多信息,詳見附錄C。
根據NASA的數據,該機構在2020年發現了1785起網絡事件,如表1所示。由于違反組織的許可使用策略而導致的不當使用事件(如安裝未批準軟件或瀏覽不良內容)上升最快,從2017年的249起增加到2020年的1103起,增長幅度達343%。此外,2020年,不當使用仍然是主要的攻擊向量。NASA官員解釋說,雖然這種增長令人擔憂,但他們認為,這是因為局里近期安裝的網絡安全軟件提高了網絡的可見性,進而檢測并記錄了更多的網絡事件。
NASA的計算機網絡面臨著越來越廣泛的網絡威脅,尤其是基于互聯網的入侵。這種入侵屢屢得手,說明NASA面臨的網絡安全挑戰日益復雜。簡而言之,相較于動態變化的威脅局勢,NASA的IT安全流程往往顯得滯后而無能。NASA曾遭遇的重大事件包括:
- 2019年,NASA的一名受雇人員使用個人電腦訪問NASA的網絡和系統進行挖礦活動。
- 2018年,一外部用戶賬號被入侵后從一個重要任務系統中竊取了約500 MB數據。
要有效保護網絡安全,需要認準目標,全力以赴。同時,準確評估威脅和識別漏洞對于了解組織的風險至關重要。在IT管理方法中,網絡風險包括威脅發生的概率以及威脅發生可能造成的潛在經濟或聲譽損失。要了解這種風險,必須準確評估威脅和漏洞。廣義上,網絡安全是整個風險管理過程的一個重要組成部分,是否成功最終取決于安全措施防止惡意攻擊和入侵的有效性。
長期存在的網絡安全問題
近20年來,我們一直將保護NASA的IT系統和數據視為首要管理任務。在過去5年間,OIG和政府問責辦公室(GAO)發布了數十份報告,指出了NASA信息技術系統中的缺陷。重要結論包括:
- 首席信息官(CIO)努力工作,推行有效的IT治理結構,使權限和責任與機構的總體使命保持一致。
- NASA機構內部缺乏統一的信息安全風險管理框架和信息安全架構。
- NASA的IT內部控制和風險管理實踐普遍存在不足。
- 安全運營中心缺乏可見性和權限來管理NASA整個IT基礎設施的信息安全事件檢測和修復。
- NASA的網絡安全計劃根據聯邦信息安全現代化法案的評級標準為2級(共5級)無效,意味著NASA已發布了安全計劃相關政策和程序,但沒有統一實施。
- 在分配“移動設備管理”訪問權限時,NASA沒有充分監測和執行必要的業務規則。
OIG在過去5年提出的73項IT相關建議中,有46項已執行,進行了針對性行動。NASA需要繼續實施余下27項建議,其中大部分來自我們最近的工作。此外,在過去5年中,NASA OIG調查人員對NASA網絡進行了120多項調查,涉及入侵、惡意軟件、拒絕服務攻擊和數據泄露,其中一些已進行刑事定罪。
聯邦政府和NASA的網絡安全指導
美國國家標準與技術研究院(NIST)有一整套信息安全標準和指南,用于管理網絡安全風險。此外,有些聯邦法律和政策就保護聯邦系統和管理網絡安全風險提出了要求。例如,根據《2014年聯邦信息安全現代化法案》以及行政管理和預算辦公室(OMB)、國土安全部(DHS)和NIST的規定,聯邦機構的網絡安全計劃必須涵蓋支持機構運營和資產的IT系統的信息安全。聯邦機構的網絡安全計劃還必須包括網絡安全風險評估、降低信息安全風險并確保合規的政策和程序以及漏洞緩解和事件管理之類的安全運營。
在這次審計中,我們考察了NASA對于兩大IT管理要素的實現方法:企業架構(EA)和企業安全架構(ESA)。EA是IT資產、業務流程和治理原則方面的規劃,用于創建統一的標準化軟硬件環境。ESA是用于管理網絡安全能力、政策和流程以控制和緩解威脅的框架。EA和ESA是公共和私有組織公認的組織變革及IT管理原則,有效實施后可以提升任務表現和機構的戰略成果。
在普及網絡安全的風險管理方法時,NIST將企業架構和企業安全架構視為“緊耦合”。例如,NIST建議組織使用安全控制防護已知網絡風險。具體說,NIST EA控制(即“計劃管理7”,簡稱為PM-7)要求將信息安全集成到組織的EA中,以確保安全因素與組織風險管理和網絡安全策略一致。具體到NASA,其政策反映了聯邦政府的指導方針,規定企業、任務、計劃、項目、中心的所有IT投資與機構EA保持一致。該政策旨在解決獨立開發各種IT系統的問題,并未考慮如何將其與未來技術結合使用。這種系統通常缺乏縱貫組織的統一協調和規劃,因此可能存在安全風險。
NIST在CA-1(“認證、資格鑒定和安全評估”)中介紹了ESA,描述了評估授權(A&A)過程。A&A是有效網絡安全的重要基礎,通過詳細徹底的審查確保IT系統符合網絡安全要求。在NASA,新系統上線必須進行A&A,所有現有系統每年也都需要A&A。
A&A包括對安全政策和程序(管理控制)、物理設施基礎設施(操作控制)以及網絡測試、服務器測試、應用程序安全測試、滲透測試和掃描(技術控制)的審查。評估階段旨在識別和緩解安全缺陷;授權階段促使機構考慮并接受與所審查IT系統相關的風險,并批準該系統在指定的時間段內運行。典型的A&A至少包含六個組件(例如安全和配置管理計劃),若系統包含敏感數據,則需要更多文檔。
NASA的網絡安全管理
NASA的IT資產通常分為兩大類:機構IT資產和任務IT資產。機構系統支持NASA員工的日常工作,包括網絡、數據中心、Web服務、臺式機和筆記本電腦、企業業務應用程序以及其他終端用戶工具,如電子郵件和日歷。任務系統支持NASA的航空、科學和太空探索項目,包括控制航天器、收集和處理科學數據以及執行其他關鍵機構職能的IT系統。例如,由噴氣推進實驗室運營的“深空網絡”就是一個支持行星際航天器任務的任務系統。NASA的IT資產分類見圖2。
理論上,NASA的網絡風險管理具有嚴格的分級,但實際上項目和組織都具有復雜的動態。例如,該局的組織結構有三個主要層次,網絡安全管理責任各不相同,資金控制線眾多:
1. 機構網絡管理。OCIO主要位于NASA總部,負責為NASA提供戰略方向,全面負責信息技術,如服務于全體NASA員工的電子郵件、服務臺功能和安全能力。在OCIO內部,網絡安全與隱私部(CSPD)擁有約120名員工,負責管理網絡安全持續監控基礎設施、網絡安全和隱私風險、政策制定和安全運營中心(SOC)等活動。CSPD還負責制定、實施以及維護NASA的企業安全架構。OCIO的組織結構如圖3所示。
2. 任務網絡管理。NASA有四個任務局,各由一名副局長領導。各任務局為自己的計算機網絡和IT人員提供資金;因此,在大多數情況下,任務局人員比OCIO工作人員更了解任務網絡的運營和安全。例如,任務局人員確定用于國際空間站和行星際衛星任務(如朱諾號和好奇號火星探測器)的網絡的風險和風險接受度。一般來說,任務IT的范圍包括為特定的任務目的、職能或需求配置的具有專門IT(如軟件、硬件、網絡安全或其他IT服務)的項目。
3. 中心網絡管理。各NASA中心主任負責本中心的運營,確定如何以最優方式支持本中心的計劃和項目。這一地方管理部門對機構和任務IT系統均有管理權限。需要注意的是,NASA OCIO對各中心網絡安全的實際運營(包括網絡和系統訪問授權過程)沒有直接控制權,而是由中心的首席信息安全官(CISO)負責本地網絡安全,充當總部高級機構信息安全官(SAISO)與中心信息安全職能部門之間的主要接口。無論該局的組織結構如何,所有IT系統都必須遵循NASA和NIST的指導文件并采用A&A流程,但流程執行方式可因部門而異。
NASA的網絡安全開支
NASA的IT開支預算約為每年22億美元,約占其總預算的10%,這一數字與規模類似的聯邦機構相當。不過,NASA分配給各任務的IT預算比例各有不同。圖4為NASA 2021財年按組織分配的網絡開支預算。
在2020財年,OCIO的IT支出為2.78億美元,其中7400萬美元用于機構網絡安全。除此之外,2020財年全國各地的任務辦公室在基于任務的網絡管理上投入了1.69億美元。
OCIO在網絡安全方面的主要舉措
在過去幾年中,OCIO一直致力于改善NASA的網絡安全和IT治理。2019年9月,NASA更新了其IT戰略計劃,其中確定了關鍵活動、里程碑以及將IT作為戰略資源進行管理所需的資源。為進一步改善IT運作模式,OCIO現采取了兩項重要措施:
1. 任務支持未來架構計劃(MAP)傳統上,NASA各中心和總部分別管理和運作自己的IT、人力資源、財務和采購等服務。現處于評審階段的MAP將NASA轉向企業計算模式,集中和整合IT能力,如軟件管理和網絡安全,以此改進任務支持服務。然而,MAP并不關注如何管理各任務或中心的IT系統;它只涉及機構IT系統。OCIO預計在2021年完成MAP評估,2022年1月開始實施。
2. 即將簽訂的網絡安全與隱私企業解決方案和服務(CyPrESS)合同。該合同的其中一個目的是消除重復的網絡服務,免除各中心單獨簽訂IT安全合同的麻煩。雖然CyPrESS不是MAP計劃的正式組成部分,但預計將與MAP協同工作,作為全組織統一采用的安全服務交付模式。OCIO預計在2022年2月之前授予合同。
