奥巴马矢言要修复美国的电脑网路安全漏洞,他的计划会成功吗?
生日快乐!美国。我们不如我们想像的那么安全。从电力网路、银行系统,到制造精密国防武器的制造商,这些单位用来执行国家关键基础建设的电脑,都面临来自不法之徒以及恶意国家的无情攻击。对于这些事件,有时我们或有耳闻;有时我们无从知晓。
去年,美国联邦航空管理局(Federal Aviation Administration, FAA)、美国国防部、以及ATM银行系统同时遭到有组织的攻击,嫌犯至今仍逍遥法外。强化国防、电力、财金服务、以及电信等关键基础建设,需投注巨额资金,或许还要多年的努力以及庞大的政治影响力。奥巴马表明他要达成此目标,IT业领袖想知道他的方法.
“我会尝试寻找一个管道以及合作伙伴关系。”Bruce Larson表示。Larson是American Water Works公司的前任安全处处长。该公司是一家市值23亿美金的公营企业,负责提供美国32州以及部分加拿大所需的用水。部分的问题在于:政府与业界并没有彼此分享足够的资讯。“政府需要了解:私人企业目前的安全处境有多糟,以及影响层面有多大;私人企业则需要知道来自外界的真实威胁有哪些。”
CIO们都知道处理安全的问题,是件既昂贵又极度不讨好的工作。鲜少有人会因为事先预防了犯罪以及入侵而获得掌声。部分CIO因政府太过投入于规范技术的标准及选择而神经紧绷。但由于电脑安全威胁与日俱增,Paul Kurtz表示,现在要求企业以及政府有所转变的声浪已相应提高。Kurtz是Good Harbor顾问公司的合伙人、前任总统柯林顿以及布希的国土安全资深顾问。而Good Harbor公司的主要业务是安全与防范恐怖主义。“只要有任何一个月,政府是在没有真正领导,以及没有任何决定性行动的状况之下度过,我们就等同失去了价值上亿美元的智慧资产。”Kurtz表示:“那些维运电力、能源、石油、航空、军事运作的重要系统─目前均处于危险的状况。”
问题出在哪里?
去年11月,发生了FBI所谓“协同式攻击”事件,它专门针对大型城市的ATM机器下手。一个“犯罪组织”使用了100个假冒的雇员名册以及礼物卡,在30分钟之内就偷走了900万美金。FBI为此发布讯息,请求民众协助辨认在亚特兰大监视器所录下的男子影像。
美国的财金系统亦不遑多让,是业余或职业骇客所觊觎的目标。让人担心的是,专挑目标的攻击也同时会威胁其他17个被认定为重要基础建设的产业,包括能源、农业、交通运输、电信、医疗、国防工业签约商,以及核武设施。随着企业透过Internet协同运作,以及核心的IT系统更需要仰赖公众网路,都导致系统安全漏洞逐渐增加。政府责任办公室(Government Accountability Office, GAO)表示:联邦以及基础建设的IT系统所受到的威胁“正不断演进及成长”。回报至US-CERT的安全事件数由2006年的5,500件,3倍成长至2008年的16,800件。(US-CERT是一间负责追踪安全事件的政府单位。)
此外,在今年4月,政府官员证实,自从2007年以来,骇客已经潜入“联合攻击战斗机”(Joint Strike Fighter)武器专案的电脑系统中。官员告诉华尔街日报,骇客透过此专案的国防外包商获得存取权;此专案是由Lockheed Martin带领。藉由透过这些私人公司的进入点,间谍已经偷走了若干TB的设计及电子系统资料。据信入侵者位于中国。
督察长办公室(Office of Inspector General, OIG)最近的一次稽核结果显示,今年2月,FAA的网站遭到入侵,导致48,000现有以及前任员工的资料外泄。OIG表示,骇客于2008年完全掌控了FAA位于阿拉斯加的电脑伺服器,同时破解了位于奥克拉荷马州的管理者密码,然后成功窃取了40,000个航空总署的使用者名称及密码。属于稽核一环的安全测试发现了763个高风险安全漏洞,部分漏洞可以让骇客透过远端直接对电脑下达可以将系统关闭,或者显示敏感资料的指令。
CIA揭露,骇客藉由入侵国外某电力系统,造成该国电力中断。这个月,北美能源可靠度公司(North American Energy Reliability Corp., NERC) –也是全美电力工业最大的交易群– 开始稽核各能源公司,目的要确保这些能源公司已将重要的电脑资产完成登录,同时电脑资产的安全性需符合联邦以及NERC的标准。在一封4月份寄给成员的信件中,NERC的首席安全官员警告:“针对一个(或多个)变电所的所有设施发动同步操弄攻击的情况是可能发生的。”
“我并非想要当一位末日灾难预言者。”John Gilligan表示。他是美国空军前任的CIO以及SRA International机构负责通讯安全的前任主管。“但我找不到任何一个人,在他/她完全了解真正情况后,又对我们自我防御的能力有足够的信心。”
Gilligan目前是位独立顾问,他最近完成了《共识稽核指南(Consensus Audit Guidelines )》─它是众多协助强化联邦安全及关键基础措施的建议书之一(请参见《系统安全:5个加强你防御攻击的方法》)。Gilligan表示,在他多年的IT生涯里,让他困扰的是:不知道共有多少不同的电脑标准、要求、规章,以及法律,在控管政府不同的部门及控管承揽关键基础建设的公司。
GAO表示,对于那些“接触”美国关键基础设施的公司,就至少有34个联邦命令、规章,以及法律,在规范这些公司的IT系统。更甚者,没有任何个人、行政机构或部门在监管这些法规。这些该监管法规的机构包括:食品及药物管理局、通货监理局、证券交易委员会、联邦能源规范委员会、财政部、国土安全部。不同片段的安全标准分布于不同的安全产业;透过一致的方法监控与衡量标准并不存在。因此,没有人能够回答:“美国的数位基础设施有多安全?”
如同其他安全专家一样,Gilligan支持由官方出面正式协调电脑网路安全以及相关的活动,但他警告,这是一个庞大、政治性的工作,而且目标是要让不近人情的安全要求被人们坦然接受。官方必须妥善协调:联邦机构、私人企业,以及学术单位。“这么做,我们将会拥有凝聚力强的策略。”Gilligan表示。目前,这部份的工作是由免费组织基于自己的兴趣而进行。
“当工作聚焦在解决日常特定事件时,建置长期策略的工作便容易被忽略。”Daniel Mintz表示;他是CSC顾问公司的CTO,以及美国交通部的前任CIO。“尝试做好每件事的结果,就是每件事情的成效都不高。”
去年,小布希政府设计了一套称作“国家电脑网路安全全面行动方案(Comprehensive National Cyber Security Initiative)”的电脑安全计画。其旨在保护与“国土安全部”相关的电脑系统。那只是电脑网路安全的一小块,而且,由于工作内容被列为机密,欲确切知道其功效有其困难。
奥巴马誓言要让整个流程透明化,并同时寻求来自私人公司的建议。但是,由政府在产业界强加新规则的构想在某些方面并不适用。 American Water任安全处处长Larson表示,只要存在足够的市场诱因,产业界往往可自行巡防。“假如你的公司是一个庞大的公营事业,公司的董事不会让你忽视环境中的压力及做好预防的工作。那是工作环境中的压力。”
不停变动的威胁
当政府官员正式论及安全,他们所描绘的情景多半是坏人攻陷了重要的系统。接着,官员向我们保证,政府及法人单位都已经做好万全的备份措施。
但Eugene H. Spafford表示,这并非电脑骇客目前的攻击手法。Spafford是资讯安全研究暨教育中心(Center for Education and Research in Information Assurance and Security)的主管。该中心在数年前与普渡大学结盟,时任参议员的奥巴马在那里举办了一场安全挑战高峰会。目前的攻击趋势是更为潜藏、低调,他们可能修改极少数的资料,而非高调地阻断系统所提供的服务。
藉由让财金系统中的资料产生错误,可让民众怀疑银行资料的真实性,并制造大量恐慌效果。当民众甚至国家对系统不信任时,可能发生大量挤兑风暴。Spafford表示,当骇客成功入侵电脑并窜改电力网路、医疗系统,甚至空运控制系统里的资料时,就可能造成人员伤亡。
Spafford表示:“试想一个状况:航空管制站的萤幕并没有变黑,而是所有的航空控制系统中的资料遭到窜改,让飞机彼此对撞。”至目前为止,这样的大灾难尚未发生,但是一旦不幸发生时,“即使后续完成修复,人们也将不再信任系统。”
Gilligan表示,填补大部分安全漏洞的落差,而非仅针对明显的漏洞,是当下最迫切要的的事情。他说:“尤其在现今的情势,不需费太大的力气,就可轻易地让我们的经济衰退或萧条。”
企业的IT主管们可采用政府机构常见的保护方法,诸如在备份的过程中将敏感资料以及应用软体加密。但有些方法在企业领域中不见得适用。
譬如,美国国防部拥有数以万计的电脑,但只有10台电脑连上Internet;Rear Admiral Elizabeth Hight如此表示,他是国防资讯系统局的副座。该局负责多数美国国防部的IT基础建设。
Hight说,较少的公众网路连线代表较少的系统漏洞攻击点,但以现今的情况而言,要企业不连上Internet,或许是代表要企业退出市场。
具体有效的解决方案
因此,该怎么办?引起华盛顿注意的一项建议书就是“共识稽核指南”。这是由Gilligan所集结,SANS安全研究暨培训机构、策略中心暨国际研究机构(Center for Strategic and International Studies)…等隶属政府单位或业界的安全专家所共同开发的指南。这份指南侧重简明易懂,并不深究技术,或者辩论哪些行政机关该监管哪些机关。指南提出20项基本的管理与流程的构想,其最奠基的原则,就是时常监控以及衡量你所做的事情,以防止最常见电脑网路攻击的模式。
Emagined Security顾问公司的CTO Eugene Schultz表示,这些指南“是关于你如何认知这些问题,以及你如何在有限的资源下管理这些问题。指南十分逼真反映了现实生活的情形。”
安全专家们说指南内容非常值得参考,因为电脑罪犯不间断地调整他们的攻击模式以及工具,而这些建议大部分都可以让CIO今天就立即采取的行动,不需花费庞大的金额投入。
20个控制项个别含有说明,解释骇客如何在该控制领域中入侵。此外,亦含有该采取的防御步骤,从快速获胜、简易步骤,到进阶的方法都有。
美国国务院已持续测试这些指南达数月之久。国务院的CISO兼代理CIO John Streufert已经将最近他所经历的真实安全攻击事件,对应到Gilligan指南所描述的控制项,据以判定若政府真正采行这些指南,是否会带来实际功效。Gilligan表示,目前尚未有私人公司验证这些指南,但他正与部分联邦的CIO研商如此作。核能管理委员会也已经开始试运行这些指南。
Streufert表示,恶意软体是国务院最近所面临的问题。第12号控制项—防御恶意软体—阐明使用者需进行的工作,例如每日检查是否已有最新的恶意程式定义档发布,然后再将这些定义档派送出去。IT人员应该设定机器,让每当可卸载的设备插入笔记型电脑或PC时,就对插入的设备进行扫描。该控制项亦建议需采取坚定的立场:部署网路存取控制工具,在授予使用者网路存取权之前,需要先验证使用者的电脑设定是否安全,以及是否遵循公司规范安装必要的修补程式。
国务院亦依据第1号及第2号控制项,针对其网路进行扫描,以了解内部是否存在非授权的软硬体。Streufert不愿说明他究竟发现了多少个恶意软体以及多少个非授权设备,亦不愿说明这些问题带来的费用。Streufert表示,但藉由使用Gilligan的20项方法,并透过定期的衡量,以及持续加强国务院员工安全管理的方法,国务院部分重要区域的内部风险评分在11个月内降低了83%。
条列式安全的结束
现存的联邦IT安全法规?亦即:联邦资讯安全管理法案(Federal Information Security Management Act, FISMA)常常有数以百计的安全查核项目,其中包括一些基本的项目,例如要利用密码保护敏感的应用程式。但FISMA并没有指引IT主管哪些类型的密码才是最好的。而《共识稽核指南》要求要以12个半随机字元当作密码,以及建置“双因素认证(two-factor authentication)”。
“结果是你填完了冗长的表格,证明你符合规范,但实际上你并不见得安全。”Emagined Security公司Schultz表示。他说了一个案例:一间国家图书馆没有依照规范建置保护网路的防火墙,但图书馆人员说服稽查人员,路由器可以替代防火墙,因此通过了稽核。
“FISMA浪费纳税人的钱。”Schultz表示:“这些标准并不能协助组织防御现今的攻击形式。”
Gilligan的20个重要控制项目没有一件是“高深的艺术之作”,这表示许多安全专家也可以提出类似的指南。但Gilligan的指南已被列为优先项目,而且可以有效防御IT系统,这些可以免除盲目的猜测。组织拥有明确的目标以供遵循,有详细的步骤可供建置、监控、以及测量,这些都可以强化正持续进行的安全防御。
那是与“条列式遵循”有别的。Gilligan表示:“这是我们正提倡的文化转移。”要能够衡量进度才是关键所在。CSC公司的Mintz补充:在许多的组织中,不论政府单位或私营企业,关于“安全”的基本定义仍争论不休,更遑论要如何才能达到安全。Mintz任职美国财政部CIO时说:“很明显的,目前仍不存在一致接受的标准,可以衡量我们有多安全。假如完全安全代表10,没有任何安全代表1,则我们知道我们的安全介于1和10之间,但仅知道这么多。”
这正是奥巴马所批判的情况。他于5月表示:“电脑安全威胁很明显是我们国家目前所面临最严峻的经济及国家安全挑战,而身为政府或国家高层的我们,很清楚知道我们并没有准备好。”
奥巴马说,我们需要更宏观的视野。“正如过去我们没有成功的投入实体基础建设,我们的马路、桥梁、以及铁路;我们在投入数位基础建设的安全也一样是失败了。”
Gilligan知道,他的指南是众多角逐奥巴马政府青睐的建议书之一,这些建议书来自业界不同的群组,其目的是要影响任何新崭露的法规。
安全的代价
对政府单位以及美国公司而言,“立即成本支出”的顾虑可能会战胜“长期安全”的考量。Spafford说:“仍有顾虑认为,修补部分的安全问题,需要昂贵的支出,这会不利于经济发展。”譬如,国土安全部已经为2010会计年度的IT预算编列了918,000,000美金,这笔预算超过了2009年的15%,且编列2010年预算时间点是在奥巴马对电脑网路安全采取行动之前。
在医疗保健方面,为了鼓励服务提供者进入21世纪,奥巴马提供了192亿美金做为奖励金,举凡建立数位医疗记录、电脑化订单入口,以及其他科技化的医疗流程,均可获得。Good Harbor公司Kurtz表示,当银行、电力公司、交通运输供应商改善他们的安全,便提供这类的奖励是一个好的开始,但这样的作法会促进太多的短视思维。
Kurtz预测:“这会重新将我们带回条列式遵循。”原因是企业可能急于拼凑,企图在期限内符合最低要求,而非计画一套更为宏观、远程的策略。
Spafford认为,短视思维是目前普遍性的全国问题。银行必须季复一季的满足股东;汽车制造商仍跳离不出目前的模式。对于一般的公民而言,“电脑网路安全”与偿付贷款、不停的找工作、避免感染新流感…等问题相较,显得相对不急迫。奥巴马需尽速制订电脑网路安全政策,才能克服目前所面临的“真实世界”威胁。Spafford以及其他安全专家赞扬奥巴马能够关切美国仰仗甚深的数位网路世界。但是奥巴马的报告只敦促政府及业界携手合作,以统一不同的安全实践及指标,并未拥护任何新方案。他们只是“希望”而非“启发”国家能够达到另一个境界。
“我们需要强力、长期的努力。”Spafford说:“想想看曼哈顿计画以及太空竞赛是如何进行,那正是我们的电脑网路安全所需要的。”[译注:“曼哈顿计画”(Manhattan Project)是第二次世界大战期间,发展第一颗原子弹所用的专案代号。]
防御数位基础建设仍有漫长艰辛路
在奥巴马接任总统不久之后,他立即要求对联邦的IT安全情形作一番全面的检视,目的是:了解有哪些现存的法令规章、这些法令的实效性如何、有哪些地方需要修改,以及政府该如何与企业合作以保护国家并分享技术方面的想法。
检视报告于5月出炉,报告发现共计250个可强化的地方,由单纯的教育大众有关电脑网路安全方面的知识,到复杂且容易引起政治争论议题,如建置一套安全辨识管理系统,以及设计一套类似白宫监控恐怖攻击/自然灾害的“电脑安全事件回应”政策。奥巴马在发布检视报告的记者会中将数位基础建设定位为“策略性国家资产(strategic national asset)”,并将防御这些资产的工作列为国家优先执行项目。
检视报告建议,应该在国家安全委员会中新增一位负责隐私权以及公民自由的官员。同时为了促进美国能享用“突破传统游戏规则的技术”,应完成更多政府与私人企业间彼此分享的研发工作。
报告并未让那些长期以来呼吁类似改变的专家意外。事实上,国际研究暨策略中心于12月发布一份类似看法的报告,且报告以较少的人力与时间完成。好消息是奥巴马已成立“国家电脑网路安全协调官(Cybersecurity Coordinator)”的职位,将直接向总统报告,而且同时隶属于国家安全团队以及国家经济委员会。
这是一项跨越政府部门的工作,也是奥巴马的宣示:要与一间能够协助这位美国“国家电脑网路安全最高负责官员”(截稿前官员姓名尚未透露)获致成功的私人企业紧密合作;Emagined Security公司CTO Eugene Schultz如此表示:“我们将有更多的机会获得完善的管理。
加强你防御攻击的方法《共识稽核指南》因倡议IT主管应在安全思维上有实际的转变而获得注意,该指南并提供可衡量并监控IT系统及网路安全的20个控制项目。虽然每当论及加强安全,“增加成本负担”的顾虑便常伴随而至,然而指南建立者John Gilligan说,当他担任美国空军CIO时(2001-2005),便完成部分前述20个控制项的建置,并且在IT以及风险控管方面节省了成本支出。Gilligan的建议事项包括:
1了解你的网路。利用资产回复工具(asset recovery tool)盘点网路上所有的设备。记录网路位址、机器名称、每一个设备的使用目的,以及设备负责人员,再将这些资讯加密。制作一份内容加密的列表,将获授权可以在网路上执行的软体记录下来。藉由部署新软体定期测试你的软体资产记录工具。注意新软体部署的时间点与新软体被工具侦测到时间点的差异,此时间差便是安全脆弱期。
2测试及验证。在部署笔记型电脑、工作站,以及伺服器前,先对系统的映象档(system images)制作文件及测试安全设定。每个月采样部分系统一次以检查这些设定是否正确。将主要映象档(master images)储存在安全的伺服器或离线的机器上。
3掌握控制。在各网路连线点,安装过滤设备,只允许使用经文件记载并符合商业需求的传输埠及通讯协定。采用“双因素认证”,并对所有的网路设备的连线加密。对于需要从远端登入的使用者,一样要求其使用双因素认证。
4保持多疑。设定让稽核记录档可以记录每个软体的连线日期、时间,以及来源/目的位址。记录软体平日活动的状态轮廓(profile),以及调整记录档以发现异常行为。安装防火墙以发掘一般的web攻击。在部署软体前,测试原始程式码以检查是否暗藏恶意软体或后门程式。
5留意提防。至少每周执行一次弱点扫描(最好每日执行)。比较各次扫描结果以确认前次发掘的问题已经妥善处理。在一周之内完成重要修补档案的安装。每日汇报被锁定/被取消的帐号,以及密码设定为永不过期以及相同密码使用超过允许期限的帐号,同时要求这些帐号的说明。每日检查机器,并且派送更新程式,以防止恶意程式攻击。