报告解析 | 美国发布联邦信息安全年度报告 - 新鲜讯息

6月初，美国白宫管理和预算办公室（OMB）发布了《2023财年联邦信息安全现代化法案年度报告》，该报告是根据《2014年联邦信息安全现代化法案》（FISMA）发布的，报告包括了对联邦政府网络安全活动的分析、事件报告与分析，以及高级隐私官（SAOP）绩效指标的评估。

报告分为“执行摘要”“联邦网络安全活动”“联邦网络安全事件的报告与分析”“高级隐私官的表现”等四大主体部分，本文选取报告中涉及网络安全的前三部分进行分析。

执行摘要

美国总统拜登于2021年5月签发了第14028号行政命令《改善国家网络安全》（EO 14028），旨在通过“大胆变革和重大投资”来“促成一个更安全的网络空间”，保护支撑美国生活方式的关键基础设施。2023财年，联邦政府在实施关键网络安全保护措施方面取得了显著进展。

《2023财年联邦信息安全现代化法案年度报告》指出的2023财年的主要成果包括：

1.FISMA指标小组成立：该小组于2023财年成立，旨在协调和改进评估指标，增加机构参与度并提高指标的有效性。

2.网络防御措施的改进：各机构在采用网络防御措施方面表现出色，每个机构都按照有关规定选择了一个企业EDR（端点检测和响应）平台。

3.检测能力的扩展：96%的联邦民用行政部门在2023财年记录了在检测类指标上的提升。

联邦网络安全活动

联邦网络安全活动在推动零信任架构、增强网络防御措施和改进信息安全管理方面取得了显著进展。

1、

零信任架构的成熟化

根据《改善国家网络安全》行政命令（EO 14028）和《国家网络安全战略》，联邦政府在2023财年大力推动零信任架构的实施。OMB通过测量和分享进展、支持预算优先事项以及举办工作组和研讨会，推动各机构采用零信任相关措施。

美国网络安全与基础设施安全局（CISA）的CyberStat计划在2023财年举办了11次专注于零信任实施的研讨会，涵盖零信任成熟度模型、操作可见性和数据等主题。这些研讨会吸引了数千名联邦IT专业人员参与，提供了必要的支持、指导和资源，帮助机构实施EO 14028和OMB的相关政策。

2、

持续的诊断和缓解（CDM）和国家网络安全保护系统（NCPS）

CISA主导为54个联邦机构提供基于风险的、一致的、成本效益高的网络安全解决方案，并建立了一整套国家网络安全保护系统，保护联邦系统的所有组织层级。借助NCPS，美国联邦政府为其互联网侧态势感知构建起了四大能力：入侵检测、入侵防御、安全分析和信息共享。

3、

高价值资产（HVA）评估

2023财年，CISA进行了37次HVA评估，共发现349项安全问题，每次评估平均发现9.4项问题。常见的安全缺陷包括补丁管理、操作系统或应用程序支持不足、身份验证绕过等。

CISA通过对安全架构和风险进行深入审查，识别和缓解关键资产的安全漏洞，确保了这些关键资产的安全性和韧性。

4、

漏洞披露政策（VDP）

联邦机构普遍实行漏洞披露政策，该政策允许外部研究人员对联邦机构的信息安全进行审查，提供新的安全漏洞见解和外部风险态势。2023财年，除国防部外的所有主要机构都报告实行了漏洞披露政策，其中大多数机构的漏洞披露政策覆盖所有互联网可访问或联邦信息系统。

5、

网络安全约束性操作指令和紧急指令

《2014年联邦信息安全现代化法案》授权国土安全部与白宫管理和预算办公室协调，制定并监督网络安全约束性操作指令（BOD）和紧急指令（ED）的实施，各联邦机构必须采取行动以遵守指令。紧急指令涉及已知或有理由怀疑对各机构构成重大威胁的信息安全威胁、漏洞和事件。

目前共有两条网络安全约束性操作指令：

（1）BOD23-01：发布于2022年10月，要求机构提高资产可见性和漏洞检测能力。该指令要求联邦机构维护最新的网络资产清单，识别软件漏洞，并向CISA提供资产和漏洞信息。

（2）BOD23-02：发布于2023年6月，要求联邦机构采取措施减少来自互联网暴露的网络管理接口的风险。该指令要求机构从互联网移除网络管理接口，或者通过零信任架构保护这些接口。

联邦网络安全事件的报告与分析

1、

联邦机构网络安全测试评分

OMB通过评估CFO联邦机构提交的数据，对其信息安全政策和实践进行监督。在2023财年，OMB使用FISMA确定相关指标来跟踪机构在执行第14028号行政命令和后续政策指南方面的进展。为了展示机构的进展，OMB在2023财年的第二季度和第四季度发布了联邦网络安全进展报告，涉及除联邦机构以外的23个联邦机构的网络安全态势评估。

23个CFO联邦机构的平均分数为87分（满分100分），比2022财年的81分增加了6%。其中，12个机构得分在90分以上，7个机构得分在80-89分之间，4个机构得分在70-79分之间。

与2022财年相比，保护和检测类别的分数有显著提高。保护类别评估了机构在加密、多因素认证（MFA）和智能修补方面的进展。检测类别评估了机构在渗透测试、红队演习、高价值资产（HVA）评估和漏洞披露计划（VDP）实施方面的进展。

机构继续执行关键的行政网络安全优先事项，以减少联邦政府的风险。进展报告也明确表明，如第14028号行政命令所设想的大规模变革需要持续的投资、合作和文化变革。为了继续推动联邦企业的系统性安全变革，OMB将继续测量机构在适应不断提升的网络安全运营期望方面的进展。

（注：CFO联邦机构是指根据《首席财务官法案》（Chief Financial Officers Act of 1990）设立和规定的联邦机构。《首席财务官法案》是美国国会于1990年通过的一项法律，旨在加强联邦政府的财务管理和会计制度。这项法律的主要目的是提高联邦政府财务信息的质量、及时性和可靠性，从而促进更有效的管理和问责。根据该法案，各个主要联邦部门和机构必须设立首席财务官CFO，并要求这些CFO负责监督和改进财务管理工作。）

2、

信息安全有效性评级

FISMA要求联邦机构的监察长（Inspector General）或独立外部审计员，每年进行独立评估确定机构信息安全计划和实践的有效性。每年这些独立评估者会根据由监察长诚信与效率委员会（CIGIE）与OMB、国土安全部、联邦CIO委员会以及其他利益相关方协作制定的指标进行报告。最终符合信息安全标准的美国联邦机构数量如下表：

3、

根据攻击向量分类的网络威胁事件

根据有关要求，联邦机构必须将事件按妥协或数据丢失的方法分类。这些数据提供了对机构每天面临的威胁的可见性，从而更好地理解联邦系统和数据的风险。

2023财年报告了32211起事件，比2022财年的29319起事件增加了9.9%。

通过使用国家网络安全事件评分系统（NCISS）对事件进行优先级排序，大多数事件（2022财年约97%，2023财年约99%）被认为是“基线”级别，意味着它们被认为是“未经证实或无关紧要的事件”。

4、

2023财年重大安全事件总结

2023发生了11起重大安全事件。涉及的部门包括卫生和公众服务部、司法部、财政部、内政部、消费金融保护局、交通部、人事管理办公室和能源部。

（1）卫生与公共服务部

卫生与公共服务部报告了两起重大事件。一是针对承包商拥有和运营的系统进行的勒索软件攻击，导致医疗保险和医疗补助服务中心的个人身份信息泄露，包括受益人姓名、地址、出生日期、医疗保险受益人标识符和银行账户信息。受影响的个人超过280万，其中130多万已故。受影响的受益人已被通知并提供免费信用监控服务。二是黑客利用零日漏洞，获取卫生与公共服务部承包商托管的程序相关信息，导致约188万人的个人身份信息可能被泄露。信息包括姓名、社会安全号码、医疗保险号码、地址、电话、出生日期、性别、种族、体重、身高、医疗诊断等。

（2）财政部

财政部报告了两起重大事件。一是美国国税局在2022财年发生的重大事件重现。由于编码错误，国税局公开披露了所有501(c)实体的990-T表格（免税组织商业收入税表），导致个人信息泄露。二是财政部监察长办公室的一名员工遭受网络钓鱼攻击，被国家支持的APT（高级持续性威胁）组织获取登录凭证。尽管攻击者未能访问信息资源，也未尝试引入恶意软件或进行横向移动，但该事件仍被视为重大事件。

（3）司法部

司法部报告了两起重大事件。一起涉及2023年2月对美国法警局计算机系统的勒索软件攻击，系统中包含法警局人员和法律程序的个人身份信息。另一起发生在2023年5月，针对为司法部民事司和若干美国检察官办公室提供数据分析支持的私人公司的勒索软件攻击，导致健康记录和其他包括个人身份信息和个人健康信息的材料被泄露。

（4）内政部

内政部报告了一起重大事件，涉及内政业务中心支持的系统。该系统为内政部和其他联邦机构客户提供人员和工资服务。一名授权开发人员修改了系统的安全策略，导致部分人力资源专业人员能够查看36个联邦机构客户的员工记录，潜在影响约14.7万人。

（5）消费者金融保护局

消费者金融保护局报告了一起重大事件，涉及一名前雇员未经授权将消费者金融保护局记录转移到个人电子邮件账户。泄露的信息包括14封电子邮件，包含约25.6万名某金融机构消费者的个人身份信息。消费者金融保护局已采取措施指示该前雇员删除相关电子邮件，并通知受影响的金融机构和消费者。

（6）交通部

交通部报告了一起重大网络事件，涉及多个管理系统的入侵和个人身份信息泄露。攻击者利用未打补丁的漏洞获取了停车和交通福利系统的访问权限，潜在影响23.7万人。信息包括用户名、地址和社会安全号码后四位。

（7）人事管理局

人事管理局报告了一起重大事件，涉及支持联邦雇员调查问卷管理的承包商使用的文件传输软件的零日漏洞。影响约63.2万名美国司法部和国防部员工，泄露的信息包括政府电子邮件地址、调查链接和内部生成的跟踪代码。

（8）能源部

能源部报告了一起重大事件，涉及一款安全文件传输产品的零日漏洞，影响了能源部的废物隔离试验厂（WIPP）和橡树岭联合大学（ORAU）。漏洞被一个已知的勒索软件组织利用，导致34000名参与健康监测计划的前能源部员工的个人身份信息和个人健康信息泄露，以及66000名科学办公室人员的信息泄露。信息包括姓名、出生日期、社会安全号码和健康信息。

总结

总之，该年度报告展示了美国联邦政府在提升网络安全和隐私保护方面的重要进展。

报告反映了联邦机构在零信任架构的实施方面取得的显著成效，通过多层次的身份验证和端点检测响应系统，增强了整体防御能力。持续诊断与缓解计划和国家网络安全保护系统的推进，提高了对网络威胁的实时监控和响应能力。

此外，报告还强调了对高价值资产（HVA）的保护措施和漏洞披露政策（VDP）的有效实施，展示了联邦政府在管理关键信息和系统安全上的承诺。通过高级隐私官的指导，各联邦机构在个人身份信息（PII）管理和社会安全号码（SSNs）使用控制方面取得了长足进步。

美国联邦政府在网络空间安全的动向代表了相关领域的前沿动向，对网络安全相关工作具有一定启发意义。

来源 | 白宫官网

转载自：赛博研究院