本文译者:安全内参社区研究员 CC
编者按:
美国国土安全部(DHS)在2013年设立持续诊断和缓解(CDM,Continuous Diagnostics and Mitigation)项目,通过向各联邦机构提供持续监测内部网络的工具,加强政府网络和系统的安全性。CDM项目耗资约109亿美元,旨在为联邦机构提供识别、优先处理和缓解网络安全漏洞的能力。
近期,美国政府问责局(GAO)审查了美国联邦机构的CDM项目实践,包括选定机构有效实施关键CDM项目要求的程度,机构在执行CDM要求过程中遇到的挑战,以及国土安全部为应对这些挑战而采取的步骤。
基于当前的CDM工具采购情况,GAO选择了3家完全部署CDM项目的机构——联邦航空管理局(Federal Aviation Administration)、印第安人卫生服务署(Indian Health Services)和小企业管理局(Small Business Administration)进行审查。GAO评估了各机构实施CDM资产管理能力的情况,与机构官员进行了半结构式访谈,并检查了国土安全部的行动。
经过对3家选定机构FAA、IHS和SBA的评估,GAO发现它们并未有效执行CDM资产管理项目的所有关键要求。3家机构均部署了CDM工具,以在网络中支持与资产管理项目领域相关的4种能力—硬件资产管理、软件资产管理、配置设置管理、漏洞管理(见表1),并安装控制面板用于接收和显示资产管理信息。详情如下:
在硬件管理方面,3家选定机构未完全实施管理硬件要求,而这项能力是其它三个资产管理能力的基础。如,机构的硬件清单缺少信息,包含重复的硬件信息;
在软件管理方面,3个选定机构中的2个已经完成对于软件的识别及定期更新。
在配置设置管理方面,3个选定机构中均已配置CDM管理配置,但没有持续将其网络上的配置与联邦的核心基准以及机构特定的变化进行比对;
在漏洞扫描方面,尽管总体上3个机构符合网络漏洞扫描方案要求,但它们的CDM工具没有包括所有需要的信息。
另外,上述4种能力的缺陷导致数据质量变差,削弱了机构控制面板应该的作用。
CDM项目介绍
CDM项目由项目领域、控制面板和风险分组成。DHS将项目领域分为四个:资产管理、身份和访问管理、网络和安全管理以及数据保护。然后,对项目领域进行进一步拆分,分成各领域子能力项,如下图所示。
图1 CDM项目领域及其能力项
所有项目领域都向机构和联邦控制面板提供数据,其中包括风险评分AWARE。CDM项目为各联邦机构和网络安全与基础设施安全局(CISA)提供了CDM工具收集数据的控制面板,以及一个共同的评分系统,帮助官员了解其机构的安全态势。
CDM项目的数据流如下图2所示,部署在机构内的工具自动采集在网硬件设备信息(包括软件)并发送到一个汇总点,汇总点将采集信息与预期结果进行比较,比如设备的实际配置设置是否符合机构或联邦的核心基准。汇总点的比较结果随后会发送到机构的电子屏——即控制面板。然后,控制面板汇总信息并发送到DHS的网络安全和基础设施安全局(CISA)管辖的联邦控制面板。联邦控制台展示的信息包括有关机构网络安全的总览信息。
图2 CDM数据流图
在CDM包含的四个项目领域中,资产管理领域是审查的重点,涉及到管理机构网上有什么。该领域要求识别出网络上的所有硬件和软件,并说明机构是否已授权将这些硬件接入网络,还需要跟踪和管理软件、配置设置和网络上存在的已知漏洞。提供与资产管理领域相关的四种功能的工具如下表1所示:
表1 与持续诊断和缓解计划资产管理4项能力相关的工具
01 各机构硬件清单缺少信息,而且有重复信息
硬件资产管理能力是实现所有其它资产管理的基础,确保只有经授权的硬件才能连接到机构网络。硬件管理为机构网络上的每个硬件设备提供一个唯一的标识符,并定期更新硬件信息。另外,DHS要求各机构记录机构网络上硬件的授权状态——是否与FISMA系统关联。3家机构已经部署CDM工具,但未能完全执行关键要求,原因如下:
各机构的CDM工具为机构网络上的硬件提供了多种标识符。各机构CDM工具未能提供唯一标识符,例如在其中一个机构,CDM工具为其操作环境中大约40%的硬件设备分配了至少两个标识符。根据DHS的CDM PMO反馈,集成商对CDM工具中出现的信息负有最终责任,但DHS也负有一定责任——没有确保集成商的解决方案能够有效地为硬件提供唯一标识符。DHS已意识到问题严重性,并于2019年3月发布指南,要求各机构和集成商应努力解决这一缺陷。然而截至2020年4月,这一缺陷仍未得到解决。这严重影响机构对于连接到网络设备的统计,导致机构的AWARE分数不准确,同时破坏了CDM简化FISMA报告的目标。
各机构可有效利用CDM工具定期更新硬件清单信息。当新硬件接入网络的时,3家机构部署的CDM工具会自动更新硬件清单信息。
3个机构未能使用CDM工具充分记录其授权硬件清单的要求信息。审查的工具中,清单信息未完全填充:
FAA机构的硬件与FISMA系统建立部分关联。截至2020年4月,FAA已将网络上的大部分硬件与6个FISMA系统关联。FAA的清单包括约200个系统,FAA计划下一步将硬件与其中6个关联,但时间计划未明确。另外,CDM工具目前只能记录12个主要系统的硬件,未将硬件设备与可能使用它的多个系统关联。
HIS未使用CDM工具将硬件与FISMA系统关联。虽然文件中,机构将硬件与FISMA系统关联,但信息格式不易与CDM工具集成。因此,集成商没有将数据记录到工具中,机构CDM工作人员需要手工记录这些信息以兼容CDM工具,但它们缺乏人力及资源,目前问题尚未解决。
SBA维护了一个存储库,将硬件与FISMA系统关联在其网络上。SBA手动维护这些信息,但提供信息自动导入CDM工具。目前,CDM还未将所有硬件与相关联的所有FISMA系统全覆盖,CDM工作人员表示,SBA仍处于将硬件与所有相关FISAM系统关联起来的过程中,且没有规定完成时间范围。
02 大多数机构实施了管理软件的要求
软件资产管理帮助机构了解硬件上安装的软件。DHS要求各机构使用CDM工具来唯一识别机构网络上的所有软件,及定期更新软件信息。3个选定机构中的2个已经完成
SBA未部署CDM工具来管理软件。由于集成商提供的工具导致机构设备故障和崩溃,SBA未能实施软件资产管理。截至2020年5月,项目办公室正在与机构及其集成商合作,寻找替代方案。
FAA和IHS使用CDM工具为软件提供唯一标识符。
FAA和IHS配置了CDM工具,定期收集软件信息。FAA至少每3天收集一次这些信息,而IHS每5天收集一次。
03 各机构已经部署管理配置的工具,但未有效实现关键要求
配置设置管理功能用于确保机构网络上的硬件和软件的配置安全。DHS要求各机构对照联邦核心基准配置,对自身配置变化进行比较。配置设置与联邦核心基准进行比较的结果可以用来计算AWARE分数。目前,FAA、IHS和SBA已经部署了CDM工具来管理配置,但没有完全实现关键的配置管理需求。
这3个机构在一定程度上记录了机构的具体变化。
FAA记录了3个操作系统的联邦核心配置基准的具体变化。但还未为其余16个操作系统定义变化,而其中有一部分是较旧的操作系统,目前还未为较旧的系统创建特定机构的变化,因为DHS使用联邦核心基准,而不是机构特定变化计算AWARE分数。
IHS记录了Windows操作系统的变化,但未记录其它操作系统的变化。目前由于缺乏资源,该机构无法记录其它操作系统。
SBA使用联邦基准作为基线记录各机构具体变化。但审查未发现SBA为其操作系统提供的工具文件中有这部分信息。
各机构在比较配置设置与联邦核心基准和机构具体变化时,使用CDM的工具不一致。
FAA将网络上的14个操作系统的配置设置与联邦核心基准进行比较,但没有为其它5个操作系统比较设置与基准。此外,未能持续将配置设置与机构特定的变化进行比较。
IHS将配置设置与机构特定的变化进行了比较,但未将配置与联邦核心基准进行比较。
SBA将其配置设置与联邦核心基准进行比较,而不是与机构特定的变化进行比较。审查中未发现对具体机构的变化的记录。
各机构配置CDM工具,根据规定的时间更新配置扫描结果。FAA至少每3天扫描一次全网,每5天配置其CDM扫描工具,以收集其每5天的CDM扫描结果。尽管各机构根据时间更新了扫描结果,但由于没有对所有使用中的操作系统比较配置设备和机构特定变化,机构将缺乏重要的配置信息。
04 机构的工具未完全满足漏洞管理的要求
漏洞管理用于确保各机构了解其网络上硬件和软件上存在的已知漏洞。DHS要求各机构使用CDM工具收集检测到的漏洞信息,如首次检测到漏洞的时间和漏洞修复的时间。DHS还要求定期进行漏洞扫描,并及时更新更新工具以检测新发现的漏洞。各机构已经安装了管理漏洞的工具,但未完全满足一个关键要求:未漏洞修复的时间。
DHS的CDM项目PMO表示,集成商对CDM工具中出现的信息负有最终责任。但DHS并没有确保集成商已将修复时间信息纳入其中。直到在DHS和集成商合作以确保CDM工具收集到漏洞修复的时间前,各机构将无法掌握其安全态势的最新信息,并可能浪费资源来处理已经修复的漏洞。
各机构配置了CDM工具,根据规定的日程扫描漏洞。FAA至少每周扫描选定的服务器,至少每月扫描其它设备。FAA使用另一种CDM工具,每15分钟进行一次更频繁的系统监测和报告。IHS将其CDM工具配置为每周扫描两次漏洞,SBA将其工具配置为每周扫描一次。
至少有一个机构没有及时更新其CDM工具。
在2019年9月与机构会面时,FAA的CDM工具是最新版,并正在使用当前的漏洞定义文件,使该工具能够检测其网络上的新漏洞。
在2019年7月访问时,IHS尚未更新其漏洞扫描工具,因为其CDM工具的许可证已于一个月前到期。但IHS在2019年10月获得新许可证,更新工具以检测较新的漏洞。
在2019年11月进行现场访问时,SBA的CDM工具是最新版,使用的是当前的漏洞定义文件,以检测机构网络上的新漏洞。
05 糟糕的数据质量降低了控制台和风险评分的有效性
CDM控制面板展示机构收集的硬件、软件、配置设置和漏洞的信息,可帮助机构提高对硬件、软件、硬件和软件配置以及漏洞的状态认识。控制面板中的数据质量是确保利益相关者根据正确的信息做出正确风险决策的关键。另外,机构CDM控制面板向联邦控制面板提供简要的信息,包括每个机构的AWARE得分。资产管理数据的不完整将会降低联邦AWARE评分的有效性,对整体态势的监控带来影响。
目前,FAA、IHS和SBA机构已具备CDM控制面板,DHS也从这些控制面板上收到联邦控制面板的数据,但未用于做安全决策,其原因主要是因为数据质量差等原因。此外,各机构在执行CDM关键要求方面存在缺陷,联邦和地方AWARE得分的准确性也值得怀疑
FAA、IHS和SBA机构已具备CDM控制面板,DHS也从这些控制面板上收到联邦控制面板的数据,但未用于做安全决策。
FAA无法有效地使用机构CDM控制面板的信息做出决策,因为数据质量较差。机构硬件清单的信息缺失、信息重复、未完全执行的配置管理功能,导致FAA数据质量较差,依赖于其它工具的信息来管理网络风险。
IHS未使用机构CDM控制面板的信息做出安全决策。HIS可使用支持其控制台的CDM工具中的信息来协助作出基于风险的决定,但未在控制面板中使用汇总信息,未充分实施其硬件资产管理能力,倒是数据较差。
SBA建立了一个控制台,但未使用CDM机构控制面板,而是依靠基于云的工具来做出与安全决策。SBA采用了许多基于云的系统,比CDM仪表板更为有用。SBA还未充分实施硬件管理能力,降低了数据质量。
DHS收到了所有3个机构的CDM数据。
AWARE评分没有准确反映这3个机构的安全态势。AWARE分数依赖于高质量的数据。先前描述的基础数据质量缺陷对用于计算FAA、IHS和SBA AWARE分数的数据质量产生了负面影响。
应对措施
基于上述调查结果,FISMA要求DHS协助各机构实施其信息安全计划。此外,DHS与参与该项目的各机构签署的CDM协议规定,DHS除其它事项外,将要求、接收和分析与CDM运作有关的机构反馈。选定机构识别出执行CDM项目要求方面的挑战,DHS采取行动应对这些挑战,主要采取措施如下:
规划人员和资金资源。
与集成商解决问题。
使用集成商的解决方案实施CDM计划。
在集成商员工的专业技能下降时实施该计划。
参考资料:
https://www.gao.gov/assets/710/708858.pdf
声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。