前情回顾·美国政府网络安全态势

安全内参6月13日消息,根据白宫最新发布的报告,2023年,美国联邦机构报告的网络安全事件数量高达32211起,同比增长9.9%。该报告还披露了美国政府遭受的最严重事件的细节。

在所有事件中,大多数(38%)被归类为“不当使用”,即系统被以违反机构可接受使用政策的方式使用。报告指出,机构有能力检测到安全政策被违反的情况,但无法阻止其实际发生。

第二类最常见的事件由钓鱼和恶意电子邮件引起。按事件数量计算,此类攻击向量同比增长幅度最大。从2022年到2023年,此类事件数量从3011起增长到6198起。

有5687起事件无法确定攻击向量的归类,因此被模糊地划归“其他/未知”类别。与2022年相比,基于网络(Web)的攻击数量(3569起)几乎没有增长。

由于疏忽或盗窃引发的设备故障事件有较大增长。从2022年到2023年,此类事件数量从1832起增长到3135起。然而,报告并没有将此类事件细分为损失或失窃。

除此之外,唯一超过1000起的事件类别是针对网络和服务的暴力破解攻击。此类事件同比增长百分比最大。2022年仅有197年,2023年暴涨到1147起。

尽管攻击数量每年都在增加,但没有任何事件超过“国家网络事件评分系统”(NCISS)的“中级”评分。该系统类似通用漏洞评分系统(CVSS),用于评估漏洞的影响,并根据它们对社会各方面(比如国家和经济安全、公共服务、外交关系)的可能影响程度对事件进行评分。

绝大多数事件(31621起)属于基线类别,即“极不可能”有社会影响。只有348起属于“低级”,即“不太可能”有社会影响,而31起被归类为“中级”,即可能有社会影响。另外229起案例因信息不足无法分类。

11起重大事件

除了考虑事件对美国的影响程度,报告还从另一个维度评出了“重大事件”。2023年,美国联邦机构一共报告了11起重大事件。卫生与公众服务部、司法部和财政部均提交了多份报告。

根据M-23-03备忘录,如果事件符合以下两种描述之一,就被定义为重大事件:

  • 任何可能会对美国的国家安全利益、外交关系或经济,或对公众信心、公民自由或美国人民的公共健康和安全造成实际危害的事件;

  • 涉及个人可识别信息(PII)的数据泄露。如果数据被窃取、修改、删除或以其他方式破坏,可能会对美国的国家安全利益、外交关系或经济,或对公众信心、公民自由或美国人民的公共健康和安全造成实际危害。

卫生与公众服务部

2023年的11起重大事件中,有两起来自卫生与公众服务部。报告将首起事件描述为勒索软件攻击,主要针对支持该部门卫生与医疗保险服务中心的承包商拥有和运营的系统。这次攻击专门针对网络文件共享,导致280万人的个人数据暴露,其中约一半个人已经去世。暴露信息包括姓名、地址、出生日期、医疗保险号码和银行信息。事件听起来类似Maximus公司遭遇的MOVEit攻击事件。该公司负责为医疗保险和医疗补助提供行政服务。不过,那起事件影响了800-1100万人,而不仅仅是280万人,攻击者也没有部署勒索软件。

卫生与公众服务部的另一起重大事件依然是承包商的过失。攻击者利用零日漏洞入侵了两名承包商的个人数据托管系统。据信,188万人的数据可能受到影响,包括所有常见的数据类型,某些情况下还涉及社会保障号码和医疗诊断。

财政部

2023年,美国财政部也发生了两起重大事件。第一起可以被认为是两起单独的事件,因为事件中同一数据集被连续披露两次。这起事件于2022年9月被美国国税局(IRS)公布。攻击导致990-T表格中包含的姓名、地址、电子邮件地址和电话号码可以公开下载。事件源于编码错误。尽管数据很快从公共网络服务器中删除,但相关供应商却没有从缓冲服务器中删除数据,不经意地导致数据第二次公开。

第二起事件中,该部门监察长办公室(OIG)的一名员工被一名某国政府支持的攻击者钓鱼,之后无意中泄露了登录凭据。攻击者接管了账户大约15小时,可以访问各种文件。好在,攻击者尚未进行横向移动或部署恶意软件之前就被逐出系统。

司法部

美国司法部在2023财年遭遇了两起成功的勒索软件攻击。第一起事件攻击了美国法警(USMS)的一台计算机,暴露了相关人员的个人数据。由于响应迅速,事件影响有限。

关于第二起事件的详细信息并不多。这次攻击对提供案件数据分析支持的供应商造成影响,导致了个人和医疗数据的泄露。所有受影响的人都获得了必要的信用监控服务。

内政部

美国内政部仅发生了一起重大案件,而这纯属意外。据报告描述,一位授权开发人员修改了工资系统的安全政策,错误地允许人力资源人员查看36个联邦机构客户的记录。

据信,大约147000的个人数据可能因此泄露。尽管架构更改引发事故,操作受影响系统的内政业务中心没有进行隐私影响评估。事后,内政部加强了内部流程和培训。

消费者金融保护局

由于员工(现已被开除)作案,美国消费者金融保护局遭受了数据泄露。该员工发送了14封电子邮件和两张电子表格,其中包含约256000名与单一金融机构相关的消费者的个人数据。消费者金融保护局要求这名犯罪分子删除电子邮件并提供删除证据,却遭到无视。官方评估认为,这些电子邮件包含的数据无法用于访问个人账户或进行身份盗用,但仍然选择向受影响个人发出通知。

交通部

交通部多个管理系统遭到入侵,且支持TRANServe计划的停车和交通福利系统(PTBS)中的个人数据遭到窃取。大约237000人的个人信息可能受到影响。攻击者通过利用一个未修补的“商业Web应用开发平台”中的关键漏洞获取了访问权限,并窃取了姓名、住址和工作地址以及社会安全号码的最后四位数字等详细信息。

人事管理局

虽然报告未明确提到MOVEit,但几乎可以肯定Cl0p是美国人事管理局2023财年唯一一起重大事件的幕后黑手。该局一名承包商使用MOVEit MFT软件协助管理联邦雇员观点调查信息。结果导致数据泄露,涉及约632000名司法和国防部门雇员。

能源部

这大概率是另一起MOVEit攻击事件,影响了美国能源部的废物隔离试验场和橡树岭大学联盟。34000名参与可能接触核废料等危险物质人员补助项目的前能源部员工遭遇数据泄露,泄露数据包括个人和健康数据。

能源部下属的科学办公室约有66000员工也受到了影响。他们的姓名、出生日期、完整或部分社会安全号码、护照细节和国籍遭到泄露。

参考资料:https://www.theregister.com/2024/06/12/white_house_report/

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。