Изощренная атака выявила трещины в нашей кибер-броне, которые нам нужно исправить.
Спустя всего несколько дней после обнаружения массового взлома компьютеров возникает соблазн сказать, что мы заметили не ту руку в фокусе. В то время как последние несколько месяцев мы были заняты наблюдением за вмешательством России в наши выборы, русские на самом деле пробирались через черный ход правительственных и деловых компьютерных сетей, чтобы отслеживать электронные письма и документы.
Но на данный момент это было бы слишком простым уроком, чтобы извлечь его из того, что выглядит как наиболее масштабное нарушение, когда-либо существовавшее в сетях федерального правительства, более масштабное, чем кибер хищение данных частных граждан в Китае в 2015 году из Управления кадров.Более сложный и, в конечном счете, более тревожный урок заключается в том, что при нынешней структуре ни федеральное правительство, ни даже самые изощренные корпорации не могут отражать искусно разработанные иностранные кибератаки.
Это плохие новости. Хорошая новость заключается в том, что мы можем остановить киберпространство со стороны других стран, но мы предпримем более смелые действия, чем те, что предполагаются в настоящее время.Подробности атаки широко известны, но стоит отметить как минимум два аспекта. Во-первых, и это наиболее очевидно, размах, масштабы и секретность атаки отражали уровень мастерства и всесторонности, на которые было способно только шпионское агентство другой страны - скорее всего, СВР, служба внешней разведки России. Во-вторых, атака была необычной - вредоносное ПО внедрялось в компьютерные сети с помощью обычных обновлений, ошибочно идентифицированных как подлинные и надлежащие швейцары систем. Необнаруженные в течение нескольких месяцев, злоумышленники смогли на досуге тщательно изучить все в сети. Обмениваясь данными со скомпрометированными сетями через компьютеры, расположенные в США, а не в России или где-либо еще, злоумышленники старались не оставлять почти никаких следов, чтобы их немногочисленные цифровые шаги выглядели безобидными.В результате ни наше федеральное правительство, ни частный сектор не смогли обнаружить, а тем более остановить атаку. Мы, конечно, должны тщательно изучить масштабы атаки и почему мы ее пропустили. Но мы также должны сосредоточиться на более крупных и сложных вопросах, таких как наличие у нас надлежащих ресурсов и структуры для борьбы с гонкой кибер вооружений будущего. Ограничиваясь предложениями, которые с разумной вероятностью будут реализованы, учрежденная Конгрессом Комиссия по киберпространству по солярию, созданная для разработки общегосударственной стратегии кибербезопасности, недавно рекомендовала укрепить наши существующие правительственные структуры с более центральным руководством и некоторым скромным расширением полномочий. Некоторые из ключевых рекомендаций, которые вот-вот станут законом, включают создание национального кибер директора в Белом доме и предоставление полномочий по вызову в суд Агентству по кибербезопасности и безопасности инфраструктуры (CISA) Министерства внутренней безопасности, чтобы оно могло отслеживать кибер-уязвимости и нарушения в системах частного сектора. Все это важные и похвальные идеи, но масштабность этого хака ясно показывает, что этих рекомендаций будет недостаточно.Нереально думать, что мы сможем обнаружить и остановить каждую будущую атаку; однако есть более смелые шаги, которые правительство может предпринять сейчас, которые существенно повлияют на защиту его жизненно важной информации и систем и помощь частному сектору.
Гражданским агентствам нужны более совершенные и современные системы кибербезопасности.
Доступ к электронной почте в ключевых гражданских департаментах и агентствах, включая Казначейство, Торговлю, Сельское хозяйство, Энергетику и Национальную безопасность, а также Национальные институты здравоохранения, осуществлялся незаметно. Эти и другие агентства защищены государственной системой кибербезопасности Einstein, предназначенной для поиска известных компьютерных вирусов и вредоносных интернет-адресов.Но система Эйнштейна, администрируемая CISA, не предназначена для отслеживания обновлений программного обеспечения, которые маскируются под подлинные и правильные. Если у обновления есть кибер-учетные данные, говорящие, что оно пришло от реального поставщика программного обеспечения, Эйнштейн не смотрит дальше; он не может заглянуть внутрь самого обновления, чтобы убедиться, что оно не содержит вредоносных программ. Более того, Эйнштейн не имеет возможности исследовать и останавливать интернет-соединения, которые внедренное вредоносное ПО может использовать для связи с сервером «управления и контроля» в Соединенных Штатах. Существуют системы и процедуры для выполнения многих, если не всего этого, но правительство не потратило деньги на их покупку и внедрение. Русские определенно знали это.
Эксперты, как в разведывательном сообществе, так и за его пределами, годами бьют тревогу по поводу уязвимости гражданских агентств; Были предприняты некоторые усилия для исправления ситуации, но без центральной власти, которая могла бы безотлагательно и согласованно подтолкнуть исполнительную власть, разрозненного надзора со стороны Конгресса и отсутствия финансирования, эти усилия остаются серьезно недостаточными. Мы не смогли, на свой страх и риск, осознать, что наши противники в кибер сфере вполне могут быть нам равными. Мы меньше беспокоимся о кибер защите, поскольку убеждены в превосходстве наших общих военных и экономических возможностей. Но у этих возможностей есть цифровые уязвимости, так что это уже неверное предположение.
Нам необходимо разрушить разрозненные системы наблюдения за кибербезопасностью.
Даже если бы CISA и его партнеры по кибер защите, ФБР и Агентство национальной безопасности, не были сосредоточены на безопасности наших недавних национальных выборов (и это правильно), они бы все равно не поймали этот взлом. Комиссия 11 сентября критиковала правительство за разрозненные хранилища разведданных, препятствующие обмену информацией; этот взлом показывает сопоставимые ресурсы и структурную неспособность соединить кибер-точки внутри правительства и с частным сектором.Эксперты предупреждали о пробелах в системе Эйнштейна, части федерального правительства, согласно сообщениям новостей, были осведомлены о подозрительных кибер сигналах, исходящих от государственных систем, и мы, несомненно, были внимательны к усилиям России по проверке избирательных систем в прошлом году. Предположительно, наше разведывательное сообщество отслеживает, чего хотят добиться российские и другие кибер-злоумышленники. Но нет единого места, где все эти советы, подсказки и анализ сошлись бы воедино, чтобы мы могли действовать.
Нам необходимо принять меры для выявления того, когда наши противники действуют внутри нашей страны.
Россия, Китай и другие страны сознательно используют два фундаментальных пробела в нашей архитектуре кибербезопасности. Они приобретают или кооптируют домашние компьютеры и облачные сервисы в качестве платформы для запуска злонамеренных киберопераций. Они понимают, что наши разведывательные службы сосредоточены на кибер-деятельности за пределами наших границ, и что этим службам, как правило, не разрешается отслеживать иностранные шалости, когда они появляются на суше. Более того, частный сектор - в значительной степени компонент нашей национальной безопасности - в значительной степени предоставлен самим себе против иностранных кибератак, что приводит к ситуации, несовместимой с ролью федерального правительства в обеспечении нашей «общей защиты» в соответствии с Ко Устранение этих пробелов поднимает чрезвычайно сложные юридические и политические вопросы, касающиеся возможностей правительства по защите нас от иностранного киберпространства. Однако наша понятная нерешительность при ответе на эти вопросы позволяет противникам продолжать использовать ситуацию. Мы должны начать это обсуждение и подумать о том, как наши иностранные разведывательные службы могли бы работать с ФБР и CISA - в манере, полностью соответствующей нашим ценностям и Конституции, - чтобы преследовать иностранные кибер-злоумышленники, когда это связано с использованием внутренних частей Интернета.
Чтобы предотвратить этот взлом, нам пришлось бы собрать воедино информацию от разведывательного сообщества о намерениях и деятельности России, связать ее с намеками (от затронутых ведомств или DHS) о том, что некоторые правительственные системы имеют подозрительные внутренние интернет-соединения, а затем отслеживать эти интернет-соединения. соединения. По сообщениям СМИ, россияне использовали внутренний интернет-домен, арендованный у Go Daddy, известного и популярного хоста для веб-доменов, для контроля над вредоносным ПО, внедряемым в правительственные сети. Обычно требуется ордер на обыск или другой юридический процесс, который часто занимает несколько дней, прежде чем ФБР сможет полностью проверить трафик, связанный с подозреваемым вредоносным интернет-сайтом. Ни один из вышеперечисленных шагов, по крайней мере, при нынешних структурах, не мог быть предпринят вовремя, чтобы обнаружить атаку в первую очередь;
Единого структурного или правового решения проблемы иностранных кибератак не существует. Также помогут более жесткие санкции против иностранных противников и более активные международные усилия по пресечению распространения киберпреступников и привлечению киберпреступников. Работая с другими странами-единомышленниками, нам необходимо повысить риски и издержки кибершпионажа и кибер-ущерба.
Но шаги, подобные описанным выше, также необходимы для усиления защиты нашего федерального правительства и предоставления нам более надежных инструментов для использования против иностранных киберпреступников. Это, наряду с более активным обменом с частным бизнесом секретной информацией о методах этих правонарушителей, будет иметь большое значение для устранения уязвимостей частного сектора и, таким образом, поможет выполнить обязанности правительства в этом отношении. Как будто нам нужна была иллюстрация уязвимости частного сектора, недавняя изощренная атака не была обнаружена даже фирмой по реагированию на инциденты кибербезопасности FireEye, которая, по-видимому, сама стала жертвой, с некоторыми из ее кибер-инструментов, используемых для проверки безопасности клиентской сети, дерзко украденной злоумышленниками.
Пока нет никаких признаков того, что инструменты были обращены против нас; более того, нет и, возможно, никогда не будет ясно, что именно злоумышленники искали или находили в правительственных сетях. Следовательно, неясно, должны ли Соединенные Штаты рассматривать этот взлом как шпионаж, в котором участвуют мы и почти все страны, и который обычно не вызывает возмездия за пределами шпионских кругов. Или был какой-то еще не обнаруженный ущерб или кража, даже действие, подобное акту «кибервойны», которое могло бы потребовать более широких репрессалий?
Полный размер ущерба, нанесенного нашей стране, пока не установлен. Но мы уже знаем достаточно, чтобы минимизировать будущие кибер риски для нашей страны. Иногда требуется кризис, чтобы побудить к смелым шагам. Еще раз спасибо России, нам только что вручили.