一名沉迷于网络游戏的21岁IT运维工程师,接触到大量高度机密的军事情报,为了在游戏社交上“装”和“吸引粉丝”,持续泄露机密信息数月,这起数据泄露事件足以粉碎三观。
据《华盛顿邮报》报道,美国空军总检察长本周解密并发布了一份关于特谢拉泄密事件的报告。
2023 年 4 月,美国空军网络工程师特谢拉因在社交平台 Discord 上长期泄露与乌克兰战争有关的美军机密文件而被捕。 此次泄密事件暴露了美国空军信息安全管理的严重问题,在美国“官野”中引起轩然,导致美国国防部彻底改革其风险管理方法。
在网络安全行业,特谢拉事件也引发了关于“零信任”与最少访问、内部威胁和安全文化的热议,话题甚至蔓延到“海因里希定律”、“多元无知”等安全哲学和心理学。
最少访问:如何管理具有机密性访问权限的 IT 员工。
报告称,作为102情报支援中队(102ISS)系统运营服务的IT专家,A1CTEIXIRA可以访问许多高度机密的系统,包括全球联合情报通信系统(JWICS),该系统是绝密许可和敏感分区信息(TS SCI)平台的一部分。
作为一名 IT 专家,特谢拉能够获得机密军事情报并将其发布在 Discord 聊天室中,这是一项严重的跨境违规行为。 更糟糕的是,事件的报告链成员和领导层都至少知道“特谢拉的四项可疑活动”。
在报告中,空军监察长指出,102情报支援中队在其人员配备中包括像特谢拉这样的IT技术人员,以使IT人员更好地了解任务的敏感性以及保持网络正常运行的重要性。
然而,在实践中,IT人员获取的信息远远超出了“需要知道”的范围,这严重违反了最小访问权限原则。 “最重要的是:他是一名IT专家,其工作是保持系统的正常运行,而不是报告和分析(并在社交网络上'显示'通过网络传输的机密信息,”总检察长指出。 他的上司也知道这一点。 ”
调查结果显示,特谢拉对机密内容的笔记多次被同事发现,特谢拉甚至根据机密信息提出了尖锐而具体的问题,这也引起了人们的关注和质疑。 这些异常情况被记录在“备忘录”中,并由特谢拉的同事主管警告他,但仅此而已,与风险管理过程的要求和强度相去甚远。 例如,这些事件“未报告给相应的安全部门**”。
102情报支援中队的内部人士选择将事件“保留”在中队内,就好像办公室外没有人需要知道机密材料可能已被泄露一样。
美国空军本可以以“最少的访问”来避免特谢拉泄漏。 但是,很明显,美国空军在信息安全系统的设计和实施两个方面都存在严重问题。
一些安全专家还强调了零信任方法的重要性。 信任是任何安全系统的基础,零信任方式的革命在于“先打破后建立”,首先打破和清理流程与人际关系之间那些危险的“隐性信任”,然后人与人、技术与流程才能重新建立显性信任。
该过程包括对特殊职位的信用进行重新评估,明确系统管理员是否有必要根据最小访问权限原则通过审查业务内容来了解系统是否正常运行,以及及时撤销对过期信息的访问权。
美国空军报告:陆军的信息安全管理“漏洞百出”。
根据美国航空业流行的“海因里希三角定律”,每发生一次重大事故之前,都会发生29起轻伤事故和300起非伤害事故。
伯德在2024年的“扩展事故三角理论”
特谢拉泄密事件也是如此“,事件发生前的多起”小事件“被忽视或未按计划报告。 美国空军的调查报告指出,该事件暴露了美队信息安全和风险管理多个方面的严重问题
空军未经授权披露机密信息的主要原因是特谢拉本人的蓄意行为。 然而,有许多直接和间接因素导致未经授权的披露发生并持续了相当长的一段时间。 ”
有压倒性的证据表明,在违规事件发生之前,特谢拉的监管链中至少有三人接触到了多达四个单独的安全事件(与特谢拉有关),以及需要报告的潜在内部威胁指标的信息。 如果这三名成员中的任何一个挺身而出,适当地披露了他们在事件发生时所掌握的信息,那么泄漏的时间可能会缩短几个月,泄漏的深度也会浅得多。 ”
据《华盛顿邮报》报道,在对事件的调查结束后,空军国民警卫队的15名人员受到纪律处分。
在最近由国防情报局(DIA)主办的Dodiis全球会议上,该机构的首席信息官Douglascossa透露,JWICS系统对其反间谍反情报能力进行了重大更新,可以检测用户和用户的异常行为,并通过人工智能技术主动提醒员工。
以特谢拉为例,科萨指出,特谢拉一开始的异常行为可能是发起主动干预的机会(但被忽视了)。
Dia**首席数据官MacTownsend强调,更新后的JWICS将能够检测生活方式中的异常行为,这为主动信息安全管理提供了可能性。
引发美国空军内部风险管理的改革。
在美国国防部进行了为期 45 天的安全审查以全面评估特谢拉泄密事件的破坏性之后,美国国防部长劳埃德奥斯汀发布了一份备忘录,宣布成立一个新机构,即内部威胁和网络能力联合管理办公室,以解决国防部 (DOD) 内部风险并确保实施用户活动监控 (UAM)。
除了解决内部风险外,该备忘录还指出,在管理机密材料和环境方面需要更加关注信任和责任,并将电子设备纳入机密空间。
DTExSystems的联合创始人兼首席技术官Rajankoo表示,即便如此,也可能无法堵住所有漏洞。 “UAM要求是在十多年前制定的,重点是用户监控,捕获的数据只有在数据泄露发生后才有用,”Koo指出,“换句话说,大多数UAM工具捕获的反应性数据无法首先采取行动来阻止泄漏的发生。 ”
教训和结论:没有安全文化的风险管理是纸牌屋。
人们常说,信息安全中最薄弱的环节是个人,但实际上,个人也可以是整个信息安全架构中最关键、最强的环节。 这取决于该组织是否培养了正确的安全文化,正如美国空军监察长对事件原因的评论:特谢拉事件暴露了美国**团队的“缺乏监督”和“自满文化”。
特谢拉泄密事件表明,如果没有安全文化,仅仅依靠流程、程序、背景调查和 IT 技术来识别个人违规行为是不够的。
对于CISO来说,无论你的技术和流程多么专业,如果企业员工,尤其是接触到敏感信息的IT和安全人员,没有从心底里积极遵守安全规范,那么你的整个信息安全和风险管理其实就是一幢纸牌屋,建立在随意的行为和仓促的决策之上。
根据安全专家克里斯托弗·伯吉斯(Christopher Burgess)的说法,公司需要一种根深蒂固的安全文化,如果员工在所做的每一件事上都缺乏持续、一致和严肃的安全感,那么这种文化就不应该留在员工身上。
参考链接: