一名沉迷於網路遊戲的21歲IT運維工程師,接觸到大量高度機密的軍事情報,為了在遊戲社交上“裝”和“吸引粉絲”,持續洩露機密資訊數月,這起資料洩露事件足以粉碎三觀。
據《華盛頓郵報》報道,美國空軍總檢察長本週解密並發布了乙份關於特謝拉洩密事件的報告。
2023 年 4 月,美國空軍網路工程師特謝拉因在社交平台 Discord 上長期洩露與烏克蘭戰爭有關的美軍機密檔案而被捕。 此次洩密事件暴露了美國空軍資訊保安管理的嚴重問題,在美國“官野”中引起軒然,導致美國國防部徹底改革其風險管理方法。
在網路安全行業,特謝拉事件也引發了關於“零信任”與最少訪問、內部威脅和安全文化的熱議,話題甚至蔓延到“海因里希定律”、“多元無知”等安全哲學和心理學。
最少訪問:如何管理具有機密性訪問許可權的 IT 員工。
報告稱,作為102情報支援中隊(102ISS)系統運營服務的IT專家,A1CTEIXIRA可以訪問許多高度機密的系統,包括全球聯合情報通訊系統(JWICS),該系統是絕密許可和敏感分割槽資訊(TS SCI)平台的一部分。
作為一名 IT 專家,特謝拉能夠獲得機密軍事情報並將其發布在 Discord 聊天室中,這是一項嚴重的跨境違規行為。 更糟糕的是,事件的報告鏈成員和領導層都至少知道“特謝拉的四項可疑活動”。
在報告中,空軍監察長指出,102情報支援中隊在其人員配備中包括像特謝拉這樣的IT技術人員,以使IT人員更好地了解任務的敏感性以及保持網路正常執行的重要性。
然而,在實踐中,IT人員獲取的資訊遠遠超出了“需要知道”的範圍,這嚴重違反了最小訪問許可權原則。 “最重要的是:他是一名IT專家,其工作是保持系統的正常執行,而不是報告和分析(並在社交網路上'顯示'通過網路傳輸的機密資訊,”總檢察長指出。 他的上司也知道這一點。 ”
調查結果顯示,特謝拉對機密內容的筆記多次被同事發現,特謝拉甚至根據機密資訊提出了尖銳而具體的問題,這也引起了人們的關注和質疑。 這些異常情況被記錄在“備忘錄”中,並由特謝拉的同事主管警告他,但僅此而已,與風險管理過程的要求和強度相去甚遠。 例如,這些事件“未報告給相應的安全部門**”。
102情報支援中隊的內部人士選擇將事件“保留”在中隊內,就好像辦公室外沒有人需要知道機密材料可能已被洩露一樣。
美國空軍本可以以“最少的訪問”來避免特謝拉洩漏。 但是,很明顯,美國空軍在資訊保安系統的設計和實施兩個方面都存在嚴重問題。
一些安全專家還強調了零信任方法的重要性。 信任是任何安全系統的基礎,零信任方式的革命在於“先打破後建立”,首先打破和清理流程與人際關係之間那些危險的“隱性信任”,然後人與人、技術與流程才能重新建立顯性信任。
該過程包括對特殊職位的信用進行重新評估,明確系統管理員是否有必要根據最小訪問許可權原則通過審查業務內容來了解系統是否正常執行,以及及時撤銷對過期資訊的訪問權。
美國空軍報告:陸軍的資訊保安管理“漏洞百出”。
根據美國航空業流行的“海因里希三角定律”,每發生一次重大事故之前,都會發生29起輕傷事故和300起非傷害事故。
伯德在2024年的“擴充套件事故三角理論”
特謝拉洩密事件也是如此“,事件發生前的多起”小事件“被忽視或未按計畫報告。 美國空軍的調查報告指出,該事件暴露了美隊資訊保安和風險管理多個方面的嚴重問題
空軍未經授權披露機密資訊的主要原因是特謝拉本人的蓄意行為。 然而,有許多直接和間接因素導致未經授權的披露發生並持續了相當長的一段時間。 ”
有壓倒性的證據表明,在違規事件發生之前,特謝拉的監管鏈中至少有三人接觸到了多達四個單獨的安全事件(與特謝拉有關),以及需要報告的潛在內部威脅指標的資訊。 如果這三名成員中的任何乙個挺身而出,適當地披露了他們在事件發生時所掌握的資訊,那麼洩漏的時間可能會縮短幾個月,洩漏的深度也會淺得多。 ”
據《華盛頓郵報》報道,在對事件的調查結束後,空軍國民警衛隊的15名人員受到紀律處分。
在最近由國防情報局(DIA)主辦的Dodiis全球會議上,該機構的首席資訊官Douglascossa透露,JWICS系統對其反間諜反情報能力進行了重大更新,可以檢測使用者和使用者的異常行為,並通過人工智慧技術主動提醒員工。
以特謝拉為例,科薩指出,特謝拉一開始的異常行為可能是發起主動干預的機會(但被忽視了)。
Dia**首席資料官MacTownsend強調,更新後的JWICS將能夠檢測生活方式中的異常行為,這為主動資訊保安管理提供了可能性。
引發美國空軍內部風險管理的改革。
在美國國防部進行了為期 45 天的安全審查以全面評估特謝拉洩密事件的破壞性之後,美國國防部長勞埃德奧斯汀發布了乙份備忘錄,宣布成立乙個新機構,即內部威脅和網路能力聯合管理辦公室,以解決國防部 (DOD) 內部風險並確保實施使用者活動監控 (UAM)。
除了解決內部風險外,該備忘錄還指出,在管理機密材料和環境方面需要更加關注信任和責任,並將電子裝置納入機密空間。
DTExSystems的聯合創始人兼首席技術官Rajankoo表示,即便如此,也可能無法堵住所有漏洞。 “UAM要求是在十多年前制定的,重點是使用者監控,捕獲的資料只有在資料洩露發生後才有用,”Koo指出,“換句話說,大多數UAM工具捕獲的反應性資料無法首先採取行動來阻止洩漏的發生。 ”
教訓和結論:沒有安全文化的風險管理是紙牌屋。
人們常說,資訊保安中最薄弱的環節是個人,但實際上,個人也可以是整個資訊保安架構中最關鍵、最強的環節。 這取決於該組織是否培養了正確的安全文化,正如美國空軍監察長對事件原因的評論:特謝拉事件暴露了美國**團隊的“缺乏監督”和“自滿文化”。
特謝拉洩密事件表明,如果沒有安全文化,僅僅依靠流程、程式、背景調查和 IT 技術來識別個人違規行為是不夠的。
對於CISO來說,無論你的技術和流程多麼專業,如果企業員工,尤其是接觸到敏感資訊的IT和安全人員,沒有從心底裡積極遵守安全規範,那麼你的整個資訊保安和風險管理其實就是一幢紙牌屋,建立在隨意的行為和倉促的決策之上。
根據安全專家克里斯多福·伯吉斯(Christopher Burgess)的說法,公司需要一種根深蒂固的安全文化,如果員工在所做的每一件事上都缺乏持續、一致和嚴肅的安全感,那麼這種文化就不應該留在員工身上。
參考鏈結: