“400多个美国联邦机构的云端访问凭证,躺在公共仓库里,随便看。”
这不是演习。今年五月,一位独立安全研究员顺着公开线索,摸到了一个GitHub代码库——里面存着能进入美国政府系统的钥匙。而掌管全美联邦网络安全的机构CISA,当时连一份“该怎么处理这种情况”的指导手册都没有。
美国网络安全与基础设施安全局(CISA)上周五发布了一份事后复盘报告,坦白了一个细节:自己的员工不得不“在事件初期花时间来现编一个应对流程”。报告原话用的是“build”,现场搭。对于一个专职帮关键基础设施挡子弹的机构,这听起来更像一个创业团队才有的狼狈。
### 不是没人报警,是对方没听见
最先发现漏洞的,不是CISA,也不是它雇佣的承包商,而是一个外部商业安全公司GitGuardian的研究员。
独立调查记者布莱恩·克雷布斯在五月披露了整条触发链:研究员扫描到CISA某承包商的员工,把包含大批明文密码的文件,传到了一个公共可访问的GitHub仓库。研究员尝试联系承包商,没收到任何回应。这批暴露在外的凭证,涉及访问美国政府系统的敏感权限,一旦被恶意利用,后果远不止数据泄露那么简单。
研究员等不到反馈,最终把线索交给了克雷布斯。直到克雷布斯直接联系CISA,这个机构才紧急下线了仓库,并开始废弃、替换所有暴露的密钥。一个本该在第一时间启动的响应机制,靠一个记者充当了扳机。
### 现场写作业,丢了一笔时间账
CISA在报告里两次强调“教训”。第一次是关于预案:机构承认应该为“所有可预见的场景”提前准备好应对脚本,而不是等事故撞上门,才临时组织人手在压力下拼凑流程。这种“实时即兴”式处理,会直接把响应窗口拉长——但具体拉长了多久,CISA一点没透露。
报告没有给出延误时间,面对媒体询问时间线,发言人也暂未回复。这笔丢失的时间账,恰恰是整个故事里最重要的空白。安全事件的黄金处置窗口往往以小时计,而CISA在初期把宝贵时间花在了写步骤、定分工、确认审批链条上,这本身就构成一个安全缺口。
仅有的好消息是,CISA确认没有客户数据或任务数据因此泄露。该机构同时感谢了研究员和记者,坦承此前开放给外部安全研究者报告问题的渠道“界定不清”,现在已做出调整,让漏洞通报路径更简短直接。
### 半数人不在,常任局长空缺一年半
复盘需要正视的另一面,是人。自2025年1月特朗普第二任期开始,CISA一直没有常任局长。持续的预算削减、强制休假和裁员,波及了大约三分之一的员工。对于一支需要7×24小时盯防国家级威胁的队伍,这个比例足以改变一个机构的肌肉反应速度。
一个细节可以说明问题:研究院联络失败后,不是自动化的监控系统或者CISA内部巡查先察觉异常,而是靠记者拨通电话。这暴露出承包商管理盲区、暴露面监测缺失,以及第三方报告渠道这道最后防线——也没有人守着。
CISA在报告里承诺,将建立覆盖“全部可预见需求”的响应预案。但更棘手的问题不在文件中,在于:当一个联邦安全机构常年在组织减员和领导空悬状态下运转,“提前做好准备”这句话,本身就需要有人,有权限,有时间,去完成准备工作。
热门跟贴