OPM攻击事件后：我们从中学到了什么?

在本文中，网络安全专家Michele Chubirka谈到了她对6月份OPM攻击事件的看法以及企业IT团队应该采取哪些步骤来抵御未来的攻击。

[[148009]]

在今年夏季早些时候，当美国人事管理局(OPM)局长Katherine Archuleta在美国国会的听证会尴尬发表证词时，对于完全不了解IT的Katherine来说，这感觉就像一场噩梦。这一系列尴尬亮相表明，她似乎不知道OPM攻击事件的基本细节或者不了解让OPM在一年内两次受到攻击的问题。她的辞职似乎是一个必然的结论，对她来说也许是一种解放。那么问题出在哪里呢?

如果将这个攻击事故简单归结于OPM安全战略的失败，这将是一个错误，因为该机构的整个信息技术项目是一个管理灾难—可以算得上是“不该做的事情”指南。在观看证词以及阅读监察长办公室(OIG)的报告后，我们可以了解到，这不仅仅是因为安全故障，还因为疏于基本策略和风险管理的无能领导力。对于IT领域的人来说，这种疏忽太熟悉不过了。阅读这些OIG报告会让我们感觉似曾相识，因为这可能是任何企业的情况。

在对OPM攻击事故进行检测之前，OIG IT安全审计自2009年以来反复指出OPM安全方案中的问题。根据《华盛顿邮报》有关该攻击事故的报道称，OPM助理监察长Michael Esser表示，该机构“长期因系统性问题而未能妥善管理其IT基础设施，这可能最终导致了这个攻击事故以及敏感个人数据的泄露。”

从OPM攻击学到的经验教训

第一个教训：你需要进行资产管理。该机构对资产监管不到位的关键问题之一是，对其基本网络基础设施缺乏可视性。根据该审计指出，“OPM没有全面清查服务器、数据库和网络设备”。此外，虽然OPM有配置管理政策，但没有建立标准，也没有试图验证合规性。其漏洞扫描程序也是无效的，因为OPM的网络管理小组没有检查是否对所有服务器进行了每月扫描。如果没有资源管理，企业如何知道该保护什么?良好的资产管理是所有安全控制的基石，这可以为解决与已确定威胁相关的漏洞提供背景信息。然而，这种问题在企业中太常见。

第二个教训：数据管理是“必须做的事情”，而不是“应该做的事情”。在听证会揭露的另一个关键点是：关键政府雇员数据(例如社会安全号码和财务信息)没有在数据库中加密。该机构还保存着大量Standard Form 86数据—从以前国家安全有关的背景调查中收集而来。如果没有数据保存政策，OPM很难肯定地说出实际多少记录遭到泄露。虽然加密不能总是能够阻止攻击者使用窃取的凭证来访问数据，但这是一个有效的控制，让攻击者难以通过低特权账户来渗出数据或泄露数据。OPM的信息安全方案中缺少最重要的组件之一：数据管理，而数据分类和数据处理标准是访问控制的构建基础。

作为最佳做法，访问控制应该结合数据分类与用户分类。数据具有其价值，数据应该根据泄露、丢失可能性和不可用性来进行分类。然后，企业应该根据处理“静态”、“传输中”数据的规则以及根据使用数据的用户类型来分隔数据。好的做法是：如果你不需要它，就删除它，否则它可能受到感染、滥用或者更糟糕的是，法律要求你提供这些数据。这适用于电子邮件、日志、支付卡信息和HR数据等信息。总而言之，加密并不总是有效，简单的做法是你可以通过减少数据来控制数据泄露事故的影响范围。

第三个教训：文档记录和监控你的基础设施。根据报告显示，当数据泄露事故最终被发现时，OPM正在对其老化的基础设施进行全面的现代化工作。但根据OIG报告称，该机构并没有正确了解该项目的范围，也没有充分考虑迁移数据到新基础设施所需要的时间。

OPM现代化项目的推动力是因为OPM的传统架构有很多不支持的平台(包括JRun)，还有具有COBOL代码的大型机尚未被更新。但这个项目没有专门的经费;资金来自于现有的项目办公室运营预算，这让完成这次升级面临风险。毕竟，成功的安全监控需要稳定的良好记录的架构，并有tap、汇聚交换机和日志数据提供的可视点，但OPM的基础设施是移动目标，这无疑在安全监控中制造了盲点。

第四个教训：密码仍然是致命的弱点。根据FBI调查显示，从OPM承包商KeyPoint窃取的登录凭证被确定为攻击者的切入点。我们一次又一次地看到，泄露的密码被认定为数据泄露事故的罪魁祸首，但企业仍然拒绝放弃这个常被利用的弱点。也许这是因为部署多隐私身份验证需要太多工作量，特别是当涉及传统系统时。无论如何，现在是时候放弃这个备受利用的身份验证方法，因为它只会给安全团队带来痛苦。

第五个教训：管理你的第三方关系。正如前文所述，承包商的登录凭证被认定为OPM攻击的关键点。此外，据称，阿根廷和中国的安全顾问对OPM数据库具有管理员访问权。这就引出了关于谁实际负责保护这些数据的问题。在过去几年发生的几乎每次重大泄露事故都被归因于第三方，但企业仍然挣扎着管理外包关系。当你允许第三方进入你的环境时，你还要承担他们的风险。你需要确定每个这些关系，以及评估这对企业风险状况的影响。实现这个目标的最佳方法之一是利用具有良好记录登录流程的专门的第三方安全程序。

何时才能不让类似事故发生?

犹他州众议员Jason Chaffetz指责OPM在应对这个攻击事故时，只是简单地“用木板封死窗户”，不知道“前往Best Buy”是否能更好地解决该机构的问题，他其实也在暗指所有企业。企业是否会思考OPM资金情况，尽管他们自2008年来花了5.77亿美元，其中80%花在传统系统?安全行业很多企业会专注于外来因素，但这往往会让我们无法解决真正的问题。严酷的事实是，大多数安全问题可以通过常用的控制来解决，包括资产管理、数据管理、配置标准和文档记录等。此外，如果IT部门更注重风险管理和战略，而不只是追逐最新的技术发展趋势，企业将得到更好地保护。