五角大樓被內部問責,網路安全計劃未有效落地恐成其最大風險隱患

國際安全智庫發表於2020-04-17

千里之堤,潰於蟻穴。

【導讀】自上世紀90年代,美國提出網路戰概念以來,它便憑藉其在網路空間的絕對優勢,馬不停歇地開啟軍事佈局,以期實現其在第五空間領域的絕對主導權,拿下新型戰爭下的軍事競爭制高點。從構建網軍部隊,到出臺網路空間作戰政策,再到發動一次次大型網路攻擊,美國用無所不用其極的實際行動,證實著它在此方面的決心,倘若稱它為第二,那則無人能居第一。如此雄心勃勃、來勢洶洶,其國防部應該是全球最高階別安防體系下的政府部門了吧?然而,就在近日,這個被稱作“美國軍隊的神經中樞”的美國國防部卻遭到其問責局(GAO)的強烈問責,這波兒內部“開撕”的操作,究竟緣何?


 

美國國防部(United StatesDepartment of Defense),簡稱DOD,是美國國家軍事最核心部門,主要負責統合國防與陸海空軍。因其總部大樓位於五角大樓,故常用五角大樓代指美國國防部。伴隨網路空間作戰計劃的實施,美國國防部不僅成功構建起全球最強的網軍作戰部隊——美國網路司令部,更是在提高網路安全能力和網路安全基礎建設上,也持續制定著一系列措施與計劃。


2011年7月,美國國防部發布首份《網路空間行動戰略》,以加強美軍及重要基礎設施的網路安全保護。

2015年10月,美國國防部釋出網路安全學科計劃,聲稱採用高強度身份驗證、裝置強化、減少攻擊面、規範網路安全防禦服務供應商四管齊下的方式實現網路安全水平提升。

2017年4月,美國國防部投資7700萬美元建立新的網路安全計劃,希望在一星期之內修復遭駭客攻擊的電網設施。

2018年3月,美國國防部投資100億美元開啟一項聯合企業防禦計劃,即“JEDI雲專案”,旨在提高國防部的殺傷力,為軍隊提供最好戰備的資源。

2018年9月,美國國防部重磅公佈了《2018國防部網路戰略》摘要,提出建立更具殺傷力的力量、網路空間競爭及威懾、強化聯盟和合作夥伴關係、改革國防部、以及培養人才等五條具體戰略方針。

2019年7月,美國國防部發布《數字現代化戰略》,旨在快速推動國防部數字環境的現代化,應對大國競爭。


政策計劃的出臺是窺知行動的一面鏡子。僅從上述系列內容上,也足見美國國防部近年來針對國家安全的戰略佈局從未間斷,高資本投入更是下足了功夫。然而,這些所謂的“安全計劃”最終落地結果究竟如何?



內部“開撕”?美國國會譴責國防部   “劍指”網路安全計劃“三宗罪”


近期,美國政府問責局(GAO)高調譴責美國國防部尚未實施基本的網路安全措施,五角大樓面臨著越來越大的網路安全風險。在GAO釋出的標題為“國防部需要採取果斷措施來改善網路環境”報告中,劍指美國國防部在國家網路安全領域的“三宗罪”。
五角大樓被內部問責,網路安全計劃未有效落地恐成其最大風險隱患
第一宗:推進計劃嚴重滯後
《國防部網路安全文化與合規計劃》(DC3I)舉措中,本應在2016財年完成11項任務,包括網路教育,培訓和與其他練習的整合。耗費四年時間,仍有7項任務未完成。
五角大樓被內部問責,網路安全計劃未有效落地恐成其最大風險隱患
第二宗:執行工作疏忽大意
《網路安全紀律實施計劃》(CDIP)中,本應消除國防部網路的可預防漏洞,但調查發現仍有17個並未消除。
五角大樓被內部問責,網路安全計劃未有效落地恐成其最大風險隱患
第三宗:培訓完成率低到可見
在《網路意識培訓》方面,也未完全實施。尤其在培訓完成率方面,陸軍未提供完成訓練的使用者數量,海軍、空軍、海軍陸戰隊和歐洲司令部等6個部門未收集未完成訓練的資訊;被評估的16個機構中有8個因不清楚未完成培訓人員數量被撤銷了網路訪問許可權。
五角大樓被內部問責,網路安全計劃未有效落地恐成其最大風險隱患

此問責一出,簡直讓人懷疑:這真的是標榜擁有世界上最安全網路系統的美國國防部嗎?其憑藉“王牌軍團”——網軍司令部在它國面前耀武揚威,不斷挑起全球網路空間爭霸之戰;然而,在其“老家後院”卻在最關鍵的網路安全問題上犯下如此低階的錯誤!


然而,更匪夷所思的是,這已經不是美國國防部第一次出現類似問題,簡直可以用“慣犯”加以蔽之。全球高階別安防體系下的國防部門頻現安全危機,恐成軍事“紙老虎”付出與回報多數情況下成正比。如上述網路安全保護措施沒有有效實施落地,從基層到高層大家均不清楚自身在國防部實施的網路安全保護措施中所付出情況與程度。那勢必會有為此忽視來“買單”的那一天。事實也果不其然。

其一,國防資料資訊恐洩露
就在近期,在新冠疫情大肆橫掃美國之時,為保證遠端辦公資訊保安,美聯邦調查局(FBI)對Zoom的隱私和安全問題發出警告。然而,以美國國防部為代表政府機構並未加強警覺,依舊繼續使用這一視訊會議軟體,國防資料洩露的事情似乎隨時可能發生在明天。

見微知著,美國國防部的這一行為暴露了其對待安全威脅的一貫態度。美國對其五角大樓的網路安全似乎永遠是那麼的自信,像極了它們的總統對待疫情的態度一樣,一旦出現問題,誰又會為這種盲目自信負責呢?

其二,戰備武器安全岌岌可危
早在2018年10月,美國政府問責局的一份報告中,五角大樓的一名駭客對F-35隱形戰鬥機進行了弱點測試,能夠在短短9秒內破解高階飛機的計算機密碼 ; 四個月後,GAO指出這個巨大的安全漏洞仍未得到解決。

這種糟糕的情況還發生在導彈防禦系統的設施上。在連線到美國彈道導彈防禦系統的伺服器站點,監察員“發現一個未上鎖的伺服器機架,而這臺機架上就貼有標誌,要求伺服器機架門必須始終保持鎖定狀態。

重視程度上遠遠不夠,保護武器系統的網路和軟體的系統方面進展嚴重遲緩。面對如此低階的安全問題,一名小小的駭客動動手指就足以掀起一場美國武器安全的軒然大波!

其三,大國網路實戰威脅步步緊逼
如果說上面兩起案例只是安全威脅並沒有造成實質傷害,那麼下面這起五角大樓遭駭客攻擊則是實打實的“買單”。2015年7月25日,駭客組織透過“魚叉式網路釣魚”技術,入侵五角大樓參謀長聯席會議僱員所使用的非保密郵件系統,竊取大量資料。然而,就在駭客攻擊發生11天后,該網路系統仍被重新投入使用。近4000名軍人和文職人員受到影響。(事後經據調查,美國國防部將此次國家級駭客攻擊行為指向俄羅斯。)

這裡必須強調的是,美國國防部可是斥資17億美金打造了幾乎是世界頂級防火牆,竟然沒有第一時間發現並攔截駭客的入侵?是俄羅斯國家級駭客過於強大?還是美國國防部網路安全早已是“潰於蟻穴”?

今天,我們從美國問責局問責美國防部事件說起,用一樁樁實打實的內容與案例,見證到美國五角大樓在網路安全能力和網路安全基礎建設上存在的重大問題,以及由此帶來的一系列重大風險問題。

如此雄心勃勃欲在網路空間爭霸,然而制定的網路安全計劃實施落地卻如此一般:人員的網路安全意識淡薄,人為的網路安全防禦能力較弱,以及網路安全基礎建設又較差,那麼即使其擁有全球最強網軍司令部,估計在真正網路戰面前也容易“後院起火”。

尤其是在現代戰爭中,武器落後、戰術落後,那是技不如人,完善武器與戰術一定有翻盤機會。然而,如果是思想上的意識淡薄、行動上的不作為,那才是致命風險,部署計劃並落地實施才是體系對抗的重要核心。

此時,不禁想問一句,如此的美國國防部能撐多久呢?


參考連結:
GAO—《網路安全:國防部需要採取果斷行動改善網路環境》
FIFTH DOMAIN——《五角大樓被指出在多項網路安全計劃方面落後》

相關文章