信任是信息安全领域经常使用的一个词,它通常看起来像是网络安全游戏中的赌注。我们实行零信任,在这种环境和文化中,我们的目标是在每个实例中保护数据。然后是内部信任,相信同事会保守公司秘密,或者在发现问题时敢于直言不讳。
当信任被打破时,后果可能是毁灭性的。
最近公开发布的空军监察长关于美国空军预备役飞行员杰克·特谢拉案件的报告讲述了机密信息处理不当、侵犯最低特权访问权限以及同事在发现信息后未能履行所赋予的职责的故事。特谢拉在他预期的生活模式之外徘徊。21 岁的网络防御行动专家特谢拉(Teixeira)在社交媒体平台 Discord 上泄露与乌克兰战争有关的机密文件,这凸显出即使在最严格的环境下,信任也很容易被打破。
特谢拉泄密促使国防部内部风险管理迅速改变
为了避免我们低估泄漏的破坏性,在对未经授权的披露进行了 45 天的安全审查后,美国国防部长劳埃德·奥斯汀发布了一份备忘录,创建了一个新实体,即内部威胁和网络能力联合管理办公室,以应对内部风险国防部 (DoD) 内部并确保用户活动监控 (UAM)。
除了解决内部风险问题外,该备忘录还指出需要更加关注机密材料和环境管理中的信任和责任,以将电子设备包含在这些机密空间内。
即便如此,也可能无法堵住所有漏洞。UAM 的要求是十多年前制定的,重点是用户监视,捕获的数据只有在发生数据泄漏后才有用。换句话来说,大多数 UAM 工具都会捕获反应性数据,而这些数据无法在第一时间采取行动来阻止泄漏发生。
人们常说,信息保护中最薄弱的环节是个人。我们一直主张个人是整个保护架构的关键,因此应该是最牢固的纽带。特谢拉指挥系统中的行动清楚地表明,我们的观点虽然在大多数时候可能是正确的,但并不是绝对的,因为空军监察长指出了“缺乏监督”和“自满文化”。
当那些应该关心的人不关心时,安全链就会断裂
报告指出,作为 102d 情报支援中队 (102 ISS) 的计算机/IT 专家,A1C 特谢拉可以访问许多机密系统,包括全球联合情报通信系统 (JWICS),这是一个 TS/SCI 平台,以执行系统任务。维护。 坦率地说,当特谢拉开始尝试获取并在 Discord 聊天室中发布机密信息时,他已经超出了自己的泳道。报告继续指出,他的报告链成员和领导层都知道“他的可疑活动至少有四个不同的实例”。
报告指出,102 国际空间站包括像特谢拉这样承担工作职责的人员,因此他们可以更好地了解任务和保持网络运行的重要性。监察长继续表示,这些通报超出了“需要知道的范围”。这很重要:他是一名 IT 专家,其职责是保持系统正常运行,而不是对通过网络传递的机密信息进行情报分析。而他上面的人也都知道。
他对机密内容所做的笔记被观察到;他就机密信息提出的尖锐和具体问题也引起了注意和质疑。这些异常现象在“记录备忘录”中被记录下来,他的同事/主管也对他提出了警告,但责任到此为止,远远没有达到需要的程度。这些事件“没有报告给适当的安全官员”。
102 ISS 内部的人员将事件保留在中队级别的内部,就好像他们办公室以外的人不需要知道机密材料(这些材料并非这些个人的发起者)可能已被泄露一样。
空军报告发现各个层面都存在一系列安全故障
空军报告的调查结果十分严厉:
未经授权披露的主要原因是 A1C 特谢拉个人涉嫌故意行为。然而,还有许多直接和间接的因素导致未经授权的披露发生并持续很长一段时间。
大量证据表明,A1C 特谢拉监管链中的三名个人掌握了多达四个独立的安全事件实例以及他们需要报告的潜在内部威胁指标的信息。如果这三名成员中的任何一个站出来并正确披露他们在事件发生时掌握的信息,未经授权披露的长度和深度可能会减少几个月。
《华盛顿邮报》报道称,监察长检查后,空军国民警卫队内部有 15 名人员受到纪律处分。
在最近由国防情报局 (DIA) 主办的 DoDIIS 全球会议上,有机会向该机构的首席信息官询问 JWICS 的更新如何有助于反情报/反间谍工作,以检测用户和用户的异常行为。通过主动使用人工智能 (AI) 提醒员工。
以特谢拉为例,断言他一开始的异常行为可能是一个机会,可以解决他的行为如何增加风险并主动参与的问题。JWICS 的构建是全球性的、始终在线、始终可用(想象一下广域网),并且远程网络成为本地责任。
更新后的 JWICS 将为利用生活模式异常检测提供主动参与的机会。
从特谢拉惨案中汲取教训
如果缺乏安全文化,仅仅有流程、程序、背景调查和技术来识别个人何时采取可能增加受保护信息风险的行动是不够的。你可以把所有的花里胡哨的东西都准备好,但如果每次都不愿意做正确的事,那么你实际上就是一座建立在任意行为和决策基础上的纸牌屋。信任是任何安全制度的基础。
正如之前所说,并且似乎与此事件相关,那些没有持续、一致和认真地考虑安全的人可能希望考虑自己的工作安全。
版权归原作者 网络研究观 所有, 如有侵权,请联系我们删除。