NASA网络安全工作的有效性
受限于无序的企业架构方法
NASA在防止、检测和缓解网络攻击方面的能力因企业架构方法的混乱无序而受限。企业架构(EA)和企业安全架构(ESA)作为组织分析和运营其IT和网络安全的详细规划,是有效进行IT管理的关键组件。NASA的企业架构开发工作已进行了十多年,但仍未完成,同时,该机构管理IT投资和运营的方式也未统一,多是临时起意。支离破碎的IT方法以及繁杂的各种权限,长期以来一直是该机构网络安全决策环境的一个显著特征。因而,整体看来,NASA面临着较高的网络威胁风险,而有些风险本可以避免。
NASA的企业架构与企业安全架构
EA和ESA是进行有效IT管理的基石。两者结合可以帮助组织将全机构的战略目标和共享IT基础设施与周密的网络风险和总体网络安全方法结合起来。
EA是IT资产、业务流程和治理原则方面的规划,用于创建统一的标准化软硬件环境。EA关注的是组织IT系统的当前以及预期的未来运营状况,可作为过渡时期的路线图。科学合理的架构还应该记录业务和管理流程以及IT之间的当前和预期关系。在计算中,术语“企业”是指一种集中结构,其中的IT组织管理技术,例如,为整个组织执行与软件、补丁和安全相关的任务。EA关注的是企业的组成元素以及这些元素如何与人、流程、业务和技术相互关联。此外,EA旨在将逻辑元素(集成的功能、应用程序、系统、用户、工作位置以及信息需求和信息流)与技术元素(硬件、软件、数据、通信和安全)集成在一起。IT管理的众多分支(如终端用户计算、通信以及重要的网络安全)影响着成熟EA的整体战略工作。NASA EA的主要目的是使该局的所有业务、财务、科学和工程需求与支持其任务和提高总体IT性能所需的技术基础设施和资源保持一致。NASA的首席企业架构师属于OCIO部门,负责管理EA和制定指导原则、程序和技术标准,创建一个全局范围的综合视角。
企业安全架构(ESA)是EA的子集,识别网络安全并将其集成到整个EA中。ESA将NASA的企业安全计划、投资和能力与该局的业务需求和战略目标对齐。NASA的ESA基于NIST框架,根据几大IT咨询公司的建议进行了调整。高级机构信息安全官(SAISO)和网络安全与隐私部(CSPD)都设在总部的OCIO内,负责监督全局IT事务的网络安全要求。同时,各中心首席信息官(CIO)和首席信息安全官(CISO)负责确保本中心的所有信息系统、组织和人员符合网络安全要求。ESA对大多数的IT服务并无控制权,而是为全局的软件应用程序、云计算和网络能力等服务提供网络安全支持。
由于NASA的数据和基础设施分布广泛,具有碎片化和复杂性的特征,如何高效和有效地保护NASA的数据和资产就成了一个持续的挑战。2005年,我们首次出具报告,说明NASA OCIO正在为纵贯全局的IT架构和相关管理流程开发需求和计划。当时,我们提醒说,在这些工作完全纳入各任务局和中心的预算和运营之前,CIO洞察和影响IT组织、组织运营和预算的能力将受到限制。同样,政府问责办公室(GAO)在2012年9月也建议NASA改进其EA成果的衡量和报告方式,并在2013年11月建议将100%的IT投资(机构IT和任务IT)涵盖在NASA EA中。2017年10月,我们在报告中提到,经过十年的改进,该局的企业架构依然不成熟。在最近的采访中,NASA的首席企业架构师解释说,2012年和2013年GAO的建议都不会很快关闭,因为NASA需要更多的时间开展MAP。在此期间,EA和ESA只能继续以临时方式在整个机构内实施。
尽管存在上述缺点,在过去几年间,OCIO还是采取了一些积极措施,以改善NASA的总体网络安全计划和状况,包括实施国土安全部的持续诊断和缓解(CDM)计划。这些工具于2016年首次实施,用于识别和监控联网资产,进行补丁和漏洞管理。CDM已在NASA的机构网络中部署完成,任务网络计划于2021财年第四季度完成。CDM全部部署完毕后,NASA能更全面地了解接入到本局网络的资产,增强网络安全能力。
同时,NASA在身份管理和认证方面取得进展,可识别接入到机构网络的人和物。NASA要求所有特权用户在使用其IT资产之前,必须使用个人身份验证(PIV)凭证登录。例如,特权用户可以安装或删除软件、升级操作系统或修改应用程序配置。此外,他们可能能够访问非特权用户通常无法访问的文件。《联邦信息安全现代化法案》(FISMA)要求非特权用户使用PIV。2019年,NASA对这一风险管理评估目标的达成率为90%,这一成绩颇为不俗。
最后,在全组织范围内进行治理以及具备必要资源对于降低网络安全风险至关重要。2019年9月,NASA更新了其IT战略计划,其中确定了关键活动、里程碑以及将IT作为战略资源进行管理所需的资源。
EA管理与ESA管理脱节
NASA的内部管理结构和资助机构造成了EA和ESA的脱节。例如,我们发现,尽管CSPD(设在OCIO内)负责管理NASA的网络安全状况和合规,但由于组织边界的限制,该部门执行网络安全基线的权力受到限制。除了这种脱节的管理之外,包括中心架构工程团队和企业团队在内的多个团队执行类似的EA活动,导致工作、基础设施和服务的重复。
OCIO的内部组织结构(EA和ESA是办公室内的两个独立实体)也存在问题。EA属于企业服务与集成部,而ESA则属于网络安全与隐私部。在我们看来,这种凌乱的组织结构增加了网络安全的复杂性,使其难以有效执行。目前的做法导致职责分工混乱,或割裂,或重叠,同时忽略了这样一个现实,即网络安全需要综合方法,通盘考虑全局的活动和业务。各部门都有自己的一套运营目标和管理人员,他们在EA的作用、EA和ESA之间的集成度以及覆盖全组织的EA方法的深度和广度方面历来看法不一。这种传统导致了ESA工作只能自主驱动,因为EA路线图在不同的任务和机构IT间缺乏一致性。如前文所述,NIST认为EA和ESA彼此高度依赖。
根据OCIO企业架构师和企业安全架构师的说法,将网络安全集成到整个IT基础设施中在NASA刚刚起步。我们认为,NASA对EA和ESA的管理方法应正式整合,以减少网络安全风险,对整体有效性提供全方位视角。全面的EA要求周密考虑网络安全,需要企业架构师和企业安全架构师之间进行协作,因为这两个角色都对机构的总体网络安全准备度负责。
更为复杂的是NASA任务网络中IT和网络安全的资助方式。与众多NASA计划和项目相关的IT安全资金都涵盖在基础任务的成本中,这可能会造成机构内的重复活动,如安全运营中心(SOC)。例如,除了由机构资助和运作的、监测机构IT运营的SOC外,各任务还运营着四个类似于SOC的实体。IT负责人告诉我们,重复服务并不能带来经济效益,一般也不会提供额外的网络保护。
长期以来,各任务和中心进行独立预算,有时还存在竞争性利益,这种做法让NASA无法建立完整的EA。此外,平衡IT安全与网络访问之间的竞争性利益仍然是一个挑战。负责人解释说,虽然NASA已采用可信互联网连接(TIC)计划来协助保护其网络,但在某些情况下,由于资源需求,任务并未使用TIC。此外,ESA在该机构的管理结构内没有太大影响,这对网络安全的影响尤其大。例如,与安全和任务保障办公室不同,OCIO在技术上无权批准任务的生命周期计划,尽管该计划详细规定了任务应如何评估和规划减轻网络安全风险。根据我们对机构人员的采访,在任务处于规划阶段时,往往不会向OCIO的律师和专家寻求帮助,导致由于不熟悉NIST要求而让网络风险增加。例如,在最近的审计中,我们发现许多系统安全计划缺乏必要的措施和信息,例如系统分类、风险评估和系统边界描述,这些都是识别和管理网络风险的基本要素。重要的是,系统安全计划若不够精确,针对IT环境中特定网络风险的要求和控制就会有偏差。
机构官员表示,机构和任务系统的EA规划都包含了安全。然而,在开发新的IT系统和管理现有系统时,对网络安全的考虑有多有少,导致网络安全解决方案效率低下,彼此可能无法兼容。NASA的SOC就是一个最好的例子,很好地诠释了这种网络安全环境可能带来的问题。虽然SOC可查看NASA的整个机构网络,但对任务网络的了解有限且只能局部查看。在大多数情况下,网络和资产保护的责任由各任务全权承担,SOC无法评估和发现威胁,但在发生网络安全事件时仍负有责任。然而,在不了解具体应用、操作系统或其他设备信息的情况下,SOC协助任务或跨机构和任务网络边界关联事件数据的能力受到严重限制。此外,由于NASA、政府、行业和学术界以各中心为载体进行合作,而这些中心又分布在不同区域,信息安全就变得极具挑战性,各部门之间相互依赖,但又有自己的一套IT安全要求。必须指出的是,设在NASA总部的OCIO负责机构网络安全措施的全面实施,同时又是机构系统的控制者,但无权监督或控制机构任务系统的网络安全。
NASA官员承认,在IT实践上,并不是所有的任务和合作伙伴都按照机构的ESA行动。例如,在某些情况下,网络和通信示意图缺乏细节,未与企业安全架构集成。这些示意图对于确定计算机网络各部分(服务器、软件和数据)的相互依赖关系(即如何交互)、确保网络及其通信的安全性非常重要。
重要系统排除在EA和ESA重点事项之外
EA和ESA之所以混乱无序,其中一个原因是,NASA优先考虑机构系统和高风险任务,如空间发射系统和国际空间站,而将其他任务系统的网络安全排在次要位置,只有在时间和资源允许的情况下,才将这些系统集成到EA和ESA中。
OCIO负责机构的IT,各任务可自行解释和实施要求以及承担与网络安全相关的成本。例如,大型项目,如猎户座飞船和联合极地卫星系统,更善于管理网络安全,而小型任务,如立方卫星(CubeSats),往往因为他们的专业技术和资产(人员、工具和资金)不足而难以开展网络工作。大型项目了解NIST关于安全分类的指导以及安全控制的选择和实施;一般来说,规模较小的项目不熟悉这些复杂的网络概念,也没有相关的专业知识。NASA官员解释说,小型任务往往将网络安全放在其“待办事项”清单的最下面,科学—而不是IT—仍然是其首要任务。但是,在网络安全领域,要塞的坚固程度取决于最脆弱的那个入口。附录B中详细讨论了具体的安全控制措施。
归根结底,有效的网络安全取决于安全控制是否合理设计、正确实施、按预期运作,以及是否产生预期结果,满足了组织在数据和信息系统的网络安全方面的要求。NASA官员告诉我们,如果在规划周期的早期没有认识到网络安全,并且在政策和流程文件中没有体现,那么网络安全往往会被忽视。根据我们的判断,如果不加强要求,将网络问题融入机构的所有行动,NASA将面临更高的网络攻击风险。
NASA的评估授权流程缺乏一致性和有效性
NASA对IT系统的评估授权(A&A)不一致,效率低下,机构内部各部门的评估质量和成本有很大差异。评估授权的这种不一致,其直接原因是NASA的网络安全方法不一致,而这种方法已沿用了十多年。NASA计划签订一份新的网络安全与隐私企业解决方案和服务(CyPrESS)合同,以剔除重复的网络服务,助力NASA修订A&A流程,更有效地保护其IT系统。
评估授权流程
组织对其IT系统进行A&A,确保系统满足网络安全要求。在NASA,新系统上线必须进行A&A,所有其他系统每年也都需要A&A。A&A通常由NASA公务员和承包商进行,前者负责监督合规性、文件和报告,后者负责执行独立的技术评估。A&A的最终产物包括操作授权、基于风险的个人控制应用决策以及解决已知缺陷的行动计划和里程碑。A&A流程以NIST风险管理框架为基础,由六项关键任务组成,如图5所示。需要注意的是,进行A&A所需的主要资源是人力,流程可大抵视为工时集合,需要各种网络安全知识和技能。
A&A指导方针与要求
NIST有一个大文档库,可帮助政府和私营部门组织管理信息技术资产。该库中的一些文件详述了应如何评估系统风险并授权系统运行。这些文件提供了安全与隐私控制目录,用以增强和支撑关键基础设施,防护各种威胁和风险,包括敌对攻击、人为错误、自然灾害、结构故障、外国情报实体和隐私风险。本基本控制指南详细说明了支持全面安全控制的具体风险管理活动,包括支持EA、ESA和A&A的风险管理活动。然而,虽然NASA要求或建议使用该指南,但OIG审计中不断发现在系统安全计划制定过程中有未遵循NIST指南的情况出现。此外,私营部门的主题专家指出,分开经营类似的业务无效且浪费,会导致如下问题:(1)整个组织的决策不一致,合规问题处理滞后;(2)厂商业绩缺乏透明度;(3)在新合同谈判时错失了运用杠杆的机会;(4)操作纪律不严;(5)无法协调和利用组织内现有的专业知识。
- NIST SP 800-37,信息系统与组织风险管理框架:安全与隐私系统生命周期方法
- 联邦信息处理标准(FIPS)199,联邦信息系统分类
- NIST SP 800-60第一卷和第二卷,信息和信息系统类型与安全分类映射指南
- NIST 800-53及800-53(a),信息系统和组织的安全与隐私控制;联邦信息系统和组织的安全与隐私控制评估:制定有效的评估计划
- NIST SP 800-115,信息安全测试和评估技术指南
NASA的A&A流程缺乏整体一致性
NASA 2020年的IT清单列出了526个系统,分属高中低三个风险级别,如图6所示。
我们发现,NASA的A&A流程在整个机构中并不一致。各中心有不同的成本模型,对系统所有者(部署IT系统、因此产生A&A需求的任务)征收不同的评估费用。例如,JPL和兰利研究中心的系统所有者根据现有的中心合同,可以免费获得A&A服务。在戈达德太空飞行中心(Goddard Space Flight Center),机构系统所有者免费获得A&A服务,而任务系统所有者根据系统分类等因素会被收取数目不等的评估费用。同时,在肯尼迪航天中心(Kennedy Space Center),拥有非肯尼迪任务或企业机构系统的组织将被收取A&A费用,而拥有中心系统的组织则不会收取A&A费用。地面探测系统(Exploration Ground Systems)是一个例外,这是肯尼迪航天中心管理的项目,但由于其存在大量的安全计划,因而产生A&A成本。
评估流程历来执行不到位
我们还注意到,评估流程遗漏了数据保护的关键方面,缺乏了解任务系统复杂性或关键性分析的工作人员,有些组织还认为评估工作负担过重。综上所述,这些因素导致了挫败感和额外的工作,有些组织因而质疑A&A流程的价值。我们认为,正因为如上原因,组织会宁愿接受过高的风险水平,也不愿意承担与A&A流程相关的可感知负担。
在过去的6年中,我们发现某些类型的数据在A&A过程中会被认为不相干而被忽略或丢弃,造成系统被误分类为低风险级别,与其关键性不匹配。例如,在2015年3月的一份报告中,我们发现一个航天器指挥控制系统被错误地归类为与航天器指挥和遥测无关的其他系统;该系统后来遭遇了网络事件。再比如,审计发现大量不同风险影响级别的系统被列入同一安全计划,导致安全控制措施实施不当。同样,我们之前的审计报告曾提及IT系统的分类决策显得随意,未遵循既有标准。其中一项发现特别指出,在确定风险影响水平时未参考NIST指南。此外,我们在2021年2月的FISMA报告中指出,控制评估缺乏一致性和全面性。我们发现,截至2021年3月,35个系统的运行权限已过期,82个系统的应急计划测试过期。根据机构政策,NASA系统应按照NIST指南进行分类,分类错误应在A&A过程中加以识别和纠正。正确的系统分类对于有效保护NASA系统和数据的机密性、完整性和可用性至关重要,也是在A&A期间应仔细审查的基本步骤。此外,我们在过往审计中发现了安全控制缺陷,如(1)A&A流程中的分类缺陷直接导致的不当数据保护控制,(2)因缺乏关键性分析或综合评估而产生的不当边界控制和互连,(3)因缺乏统一的专用资源而造成整个组织中缺乏可见性。通过有针对性的全面评估,这些缺陷是有可能在A&A过程中得到识别和纠正的。
A&A管理结构零散
这些评估的管理结构在整个机构内零零散散,加剧了A&A流程的整体不一致性。A&A是一项关键职能,需要具有不同网络安全知识和技能的专职人员,但负责监督中心A&A的公务员还须承担其他网络安全职责。NASA目前的做法是,各中心通过自己签订的合同聘请独立的外部A&A评估员,这与最佳管理实践相矛盾,后者建议在组织内整合类似职能线的业务。这种运作方式加剧了A&A过程造成的挫败感以及IT治理挑战。负责官员解释说,人们通常感觉A&A过程繁琐又武断,因而认为评估员对该过程的技术投入有时毫无价值。正如我们之前的报告所述,负责NASA网络安全计划的NASA SAISO没有深入了解各中心A&A的成本、技能和人员配置,即使他/她被要求提供监督并向OMB报告NASA的网络安全态势。
与A&A过程相关的成本、流程和性能的不一致直接导致NASA的网络安全方法始终不成体系。虽然NASA正逐步转向企业化方法,各中心仍在使用不同的模式,基于不同的合同管理其A&A流程,将各种成本转嫁给NASA组织。作为单一职能业务线管理的企业级专用A&A流程会促进成本和实践的一致性,对必要技能进行战略分配,与CSPD的企业保护愿景保持一致,并对NASA的各种系统清单进行关键性分析。根据最佳实践和我们近十年来通过NASA网络安全状况审查所收集到的证据,NASA的评估授权方式需要改变。A&A职能(NIST风险管理框架要求)旨在对所有NASA系统采用一致方法,重点是稳健的关键性分析,包括低、中、高影响系统及其环境的示意图。
A&A整合有助于节约成本
NASA业务的分散性加上该机构长期以来的自治文化,阻碍了CSPD收集有关A&A成本、人员配置和网络安全技能的相关数据。CSPD一直尝试收集和分析这些信息,但撰写本报告时仍一无所获。为了确定A&A的年度总成本,我们分析了两个NASA中心的成本。2020财年,戈达德使用4名承包商和4名公务员兼职对38个IT系统进行了A&A,费用为76.5万美元。同年,肯尼迪使用3名承包商和2名公务员对38个系统进行了A&A,费用为55.4万美元。将这些费用推算到NASA的526个IT系统中,我们估计A&A的总年度成本约为600万至700万美元。我们认为,该机构应该能够通过将A&A流程整合到一个专门的企业职能中来节约成本,而不是像目前这样在众多不同的合同下分散运作。此外,NASA可引入一批专家进行这一过程,这样可以大大提高A&A成果的质量,改善该机构的整体网络安全状况。
NASA目前正在规划新的网络安全与隐私企业解决方案和服务(CyPrESS)合同(预计将于2022年2月签订),其中包括企业IT支持服务,这会为NASA带来独特机会。将A&A纳入CyPrESS合同,会保证必要的一致性和专用资源,有助于NASA做好准备,在各IT系统的生命周期早期发现和缓解网络缺陷。
结论
对NASA网络的攻击并不鲜见,同时,窃取关键信息的事件也时有发生,且愈加复杂,造成了越来越严重的后果。攻击者的攻击性和组织性不断增强,攻击手段越来越复杂,管理和防护网络安全风险对于保护NASA庞大的IT系统网络至关重要;否则,恶意攻击或入侵可能会严重妨碍NASA执行任务的能力。尽管NASA采取了积极措施来应对网络安全问题,包括网络监测、身份管理和IT战略计划更新等,但在加强基础网络安全工作方面(包括EA和A&A流程现代化)仍面临挑战。具体而言,由于对EA/ESA技术一体化的要求一知半解,任务存在可见性差距,再加上A&A流程内部不统一导致无法有效实施,NASA在网络安全准备上捉襟见肘。当系统所有者将A&A视为负担而不是有用的工具时,风险管理决策显然就会不够合理。
采用一体化EA/ESA并制定有效的企业级A&A流程不仅会大大提高态势感知能力,还能促使NASA的决策者对该局的网络安全状况作出积极改变。官员们能够更准确地评估风险,预测事故,确定需要在哪些地方投入额外资源或做出改变。我们希望,MAP计划和CyPrESS合同会在这些问题上助力NASA取得当前急需的进展。然而,历史表明,当管理决策受制于机构的联邦模式时,在NASA推动变革可能极其艰巨,因为总部与分散在各地的任务和中心之间有多条独立的权力线。当IT管理和网络安全等问题跨越组织边界以及存在竞争利性益和独立预算时,情况尤其如此。我们认为,NASA必须果断行动,部署和调整IT安全战略,跟上不断演变的网络威胁情况。
建议、管理层回应和审计评价
为了推进NASA的网络安全准备工作,确保过程的连续性,以及提高NASA系统的安全性,我们建议副局长和首席信息官:
1. 整合EA和ESA,制定指标来跟踪EA的总体进展和有效性;
2. 与总工程师合作制定战略,识别机构和各任务在IT方面的EA差距并进行优化;
3. 评估如何合理定位企业架构师和企业安全架构师在实施MAP期间和之后的组织职责,从而提升网络安全准备度;
4. 在对NASA的526个系统进行A&A的过程中,确定各中心进行独立评估的年度成本,包括人员配置成本;
5. 在所规划的CyPrESS合同中就专门的企业团队制定基线要求,对须接受A&A的所有NASA系统进行评估和管理。
我们向NASA管理层提供了本报告初稿,他们对于这里所列建议表示同意。我们认为,管理层的意见即是对本报告的响应;因此,建议得到解决,将在所提出的纠正措施完成和验证后关闭。
管理层的意见见附录D。管理层提出的技术意见以及围绕这些意见所做的修订已酌情纳入。
译者声明
小蜜蜂翻译组公益译文项目,旨在分享国外先进网络安全理念、规划、框架、技术标准与实践,将网络安全战略性文档翻译为中文,为网络安全从业人员提供参考,促进国内安全组织在相关方面的思考和交流。