据国外媒体8月12日报道:虽然Facebook、万豪和Capital One等大公司经常占据数据泄露的头条,但政府机构越来越成为网络攻击的目标。
事实上,根据美国市长会议(U.S.ConferenceofMayors),自2013年以来,已有170多个政府系统受到勒索软件攻击。对亚特兰大市的袭击最终导致该市损失1700万美元以上。
但尽管网络安全威胁不断,美国参议院调查常设小组委员会(国土安全和政府事务委员会下属)在今年夏天早些时候发布的一份报告中显示,政府机构还有更多工作要做。
在被调查的8个机构中,包括国土安全部、交通部、农业部和社会保障管理局,他们发现5个机构不能编制完整的信息技术资产清单,6个机构无法保存系统,没有修补安全更新,7个留下了容易被窃取的个人识别信息。
为了采取更强有力的网络安全态势,上述机构必须采取以下三个步骤来修正其目前的不足之处:
从一开始就依靠真正的专家
许多善意但无效的政策是为了应对巨大的错误而制定的,并由不了解不断变化的网络安全形势的决策者撰写。例如,美国参议院和众议院于2017年颁布的《物联网(IOT)网络安全改进法》是为了保护“联网公民”,要求供应商在上市前证明其联网设备没有漏洞。这是一个善意的想法,但可能不会产生影响。毕竟,没有人能保证连接或智能产品绝对没有漏洞,尤其是在网络安全形势变化如此迅速的情况下。
最终,像这样的政策只是制造了一系列不必要的障碍,而实际上并没有改善联网公民或政府机构的网络安全效果。要解决这个问题,既有技术专长又有政府知识的个人需要尽早参与决策。目前,在审议拟议的立法时,将引入主题专家。政策制定者需要招募技术专家来协助起草原文。
优先淘汰易受攻击的遗留系统
调查常设小组委员会调查的八个机构都依赖过时的遗留系统,这些系统的供应商甚至不再发布修补漏洞的补丁。例如,尽管对操作系统的支持在2015年结束,但DHS的一些机器仍在使用Windows2003。同时,SSA的一些系统依赖的编程语言几乎和公民社会保障服务的设计语言一样古老。
这些系统几乎不可能实施现代网络安全措施。为了避免曝光,各机构需要升级其技术并加快实施现代解决方案。当然,说起来容易做起来难——这一规模的更新需要相当大的机构努力才能完成。然而,这些更新应该在下一个预算周期中被优先考虑,并制定一个计划来实现它们。《现代化政府技术法》授权的营运资金在这项工作中至关重要。
确保电子邮件流量合法
据英国政府2019年的网络安全漏洞调查显示,尽管黑客工具随着时间的推移变得越来越复杂,但不起眼的网络钓鱼邮件仍然是大多数漏洞的来源。这是联邦机构的一个特殊问题。正如Zix安全技术公司总裁兼首席执行官大卫•瓦格纳(David Wagner)指出的那样,“人们认为.gov电子邮件具有一定的合法性,这使得模仿联邦政府——就像正在进行的IRS诈骗——成为一种常见的欺诈策略。”
为了应对电子邮件威胁,机构应该依靠软件来减少员工在培训时收到的恶意电子邮件的数量。当培训政府员工识别电子邮件钓鱼时,机构领导应使用机构看到的真实钓鱼电子邮件的具体示例,突出每个危险标志。除了具体的培训之外,这种培训还应该以某种方式进行互动,比如发送测试邮件给员工实践。
声明:本文来自网电空间战,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。