安全快餐：NASA发布喷气推进实验室的安全审计报告|163

安全快餐：NASA发布喷气推进实验室的安全审计报告

近日，NASA发布了喷气推进实验室的安全审计报告。笔者将从如下几部分进行报告主题介绍，第一是美国宇航局喷气推进实验室（JPL）基本情况，第二是安全审计主要内容和方法，第三是安全审计主要发现，第四是安全审计建议，第五是一个永恒的话题（请拖到最后查阅）,第六是三个值得学习的知识点。

第一、JPL背景

美国宇航局喷气推进实验室（JPL）是加利福尼亚州帕萨迪纳市一个联邦政府资助的研发中心。自1959年以来，加利福尼亚理工学院（加州理工学院）一直与NASA签订合同，并管理JPL，承担尖端研发活动和其网络安全控制。根据合同，NASA保留了确保JPL的代理数据和系统免受黑客或其他形式的未授权访问的责任。

JPL的信息技术（IT）系统保持广泛的公共互联网存在，同时支持控制航天器，收集和处理科学数据以及执行关键操作的任务和网络。在过去10年中，JPL经历了几次着名的网络安全事件，这些事件已经危及其IT网络的主要部分。例如，2011年，网络入侵者获得了对支持关键JPL任务的18台服务器的完全访问权限并窃取了87千兆字节的数据。最近，在2018年4月，JPL发现一个属于外部用户的帐户遭到入侵，并被用来从其主要任务系统中窃取大约500兆数据。

第二、审计内容和方法

评估了JPL网络安全控制对外部应用程序和系统的有效性，检查了JPL的网络安全计划和NASA与其管理JPL的合同中分配给Caltech的IT安全控制职责的互动和监督，采访了NASA和JPL IT官员，并审查了JPL的IT网络映射，系统清单和安全管理工具，审查了联邦，NASA，JPL和加州理工学院的标准、政策、程序、支持文档、协议、事先审计报告、外部审查以及与网络安全相关的其他文件。

第三、审计发现

一、在访问控制上有缺失

多个IT安全控制缺陷降低了JPL防范，检测和缓解针对其系统和网络的攻击的能力，从而使NASA系统和数据暴露于网络犯罪分子的利用。JPL使用其信息技术安全数据库（ITSDB）来跟踪和管理其网络上的物理资产和应用程序; 发现数据库库存不完整且不准确，使JPL有能力有效监控，报告和响应安全事件。此外，降低与其网络连接的设备的可见性阻碍了JPL正确保护这些网络的能力。此外，发现JPL控制合作伙伴访问共享IT环境以执行特定任务和数据的网络网关尚未正确分段，仅将用户限制为他们已批准访问的系统和应用程序。这一缺点使攻击者能够通过受损的外部用户系统未经授权访问JPL的任务网络。此外，NASA未能建立互连安全协议（ISA），以记录合作伙伴必须满足的要求，以连接到NASA的IT系统，并描述将用于保护系统和数据的安全控制。

二、安全日志保护有缺失

当识别出潜在或实际的IT系统安全漏洞时，在ITSDB中创建的安全问题日志票证未能在较长时间内解决 - 有时超过180天。虽然系统管理员可以在6个月内无法解决此类故障时请求豁免，但发现豁免未按要求每年进行一次审查，从而导致不必要的豁免和可能过时的补偿安全控制，使JPL网络暴露于网络攻击。此外，JPL系统管理员误解了他们在管理和审查日志方面的责任，以识别在特定系统或网络上发生的恶意活动。虽然JPL采用的网络安全监控工具可以防止常规入侵和滥用计算机资产，但JPL并未实施IT安全专家推荐的威胁搜寻计划，以积极寻求其系统上的异常活动以获得妥协迹象，而是依赖在一个特殊的过程中搜索入侵者。此外，JPL尚未为其系统管理员提供基于角色的安全培训或资助的IT安全认证。

三、应急响应措施有缺失

此外，发现多个JPL事件管理和响应实践偏离了NASA和推荐的行业惯例。例如，与NASA的安全运营中心（SOC）不同，JPL的SOC不保持IT安全事件响应者的全天候可用性，而JPL的事件响应计划不包括所有联邦政府推荐的元素。此外，团队协调问题延迟了2018年4月事件的事件遏制和根除步骤的完成。此外，虽然在整个JPL中记录和共享网络威胁信息以帮助预防未来事件是有效事件响应计划的关键组成部分，但发现JPL目前的举措不足。

第四、审计报告建议：

建议NASA管理办公室主任指示JPL首席信息官（CIO）：

（1）要求系统管理员审查和更新ITSDB并确保系统组件正确注册和JPL网络安全/身份技术和运营小组（CITO）定期审查对此要求的遵守情况;

（2）隔离连接到网络网关的共享环境，监控访问JPL网络的合作伙伴;

（3）审查和更新连接到网关的所有合作伙伴的ISA;

（4）要求JPL CITO识别并修复安全问题日志票据流程中的弱点，并向JPL CIO提供定期老化报告;

（5）要求JPL CITO对所有公开豁免进行验证，更新和执行年度审核;

（6）明确JPL首席信息官办公室与系统管理员之间的责任分工，以便进行例行的日志审查并更频繁地监督合规情况;

（7）到2019年7月实施计划的基于角色的培训计划;

（8）建立正式的，有记录的威胁搜寻程序;

（9）制定并实施机构信息技术知识和事件管理的综合战略，包括传播经验教训。

第五、指责他国（永恒话题-中国的IP地址）