新闻快讯
< >

美国NIST物理安全存在风险,审计人员及时发现

E安全10月15日讯 根据本周三公布的一份报告,秘密联邦审计员确认能够在NIST(美国国家标准与技术研究所,直属美国商务部,为美国的政府技术标准机构)位于马里兰州与科罗拉多州的园区内以未经授权方式进行访问。

违规行为可能造成的后果

这份报告并没有说明该调查人员到底造访了美国国家标准技术研究所园区中的哪些区域。与此同时,被交付至白宫科学委员会各成员的安全问题视频资料也未向公众发布。

美国商务部副助理部长丽莎·卡西亚在本周三的听证会上向委员会委员们解释称,商务部方面担心政府责任办公室的调查人员可能潜入NIST建筑乃至其它联邦政府建筑。

NIST物理安全存在风险,审计人员及时发现-E安全

包括白宫委员会主席拉玛尔·史密斯(德克萨斯州共和党人)议员在内的各位委员对此提出批评,声称美国总审计局(简称GAO)采取的策略不够理智。拉玛尔·史密斯在看过这些视频后表示,关于哪些因素可能导致安全违规行为,以及造成违规行为的原因已经非常明显。GAO方面只是不想承认这一点。

目前尚不清楚恶意入侵者如果与政府审计人员拥有相同的访问权限,会造成哪些具体危害。

共和党议员担心机构遭到U盘感染

克雷·希金斯(路易斯安那州共和党人)议员同样观看了这些视频,并批评商务部拒绝将其公开——他反复询问负责此次秘密行动的官员,该名调查人员能否将包含恶意软件的U盘插入NIST计算机。

美国总审计局取证审计服务负责人赛东·柏格都安拒绝在公开听证会上回应这一问题,但承认大多数NIST办公室当中皆设有计算机设备。

NIST物理安全仍有上升空间

NIST在多个领域为各私营部门发布标准与最佳实践指南,具体包括网络安全与信息安全资料,因此其掌握的信息对于美国的各敌对方可能极具吸引力。另外,根据特朗普于今年早些时候发布的总统行政令要求,各联邦政府机构同样必须遵循NIST提出的网络安全标准。

NIST物理安全存在风险,审计人员及时发现-E安全

一旦对该机构内的计算机进行感染,相关恶意软件可能帮助敌对国或者黑客组织以此为跳板,进一步窃取更多其它政府机构信息。
在经历了此前的两次安全事故之后,国会要求总审计局就此开展调查。

  • 2015年,一名联邦警察在NIST马里兰州园区内非法制造甲基苯丙胺(兴奋剂、冰毒)时引起爆炸。

  • 2016年,另一位非NIST员工被发现徘徊于NIST的马里兰州园区内。

NIST自那时开始,NIST方面已经完成了一系列改进。其执行总监肯特·罗奇福德向立法者们表示,其中包括要求NIST安全人员获取高级认证,并对全部其他NIST员工进行强制性安全培训。NIST还为此设立了安全咨询委员会。

安全意识等培训非常必要

Rochford表示,NIST已经制定出非常明确的培训计划,其中包含各类场景,能够帮助人们准确了解其需要了解的内容。

总审计局方面发布的报告中还包含一项标准审计以及一项针对NIST员工的调查。

此次审计发现NIST方面的安全保障能力尚有巨大提升空间,同时意识到不同员工间的安全意识水平存在明显差异。另外,NIST领导者在进行安全改善工作时未能遵循部分关键性实践,包括缺少沟通策略。

调查发现,截至今年5月,有四分之三的NIST技术人员认为机构领导者对于物理安全工作“重视”或者“非常重视”。

相关阅读:

NIST网络安全控制目录迎来新突破:去除“联邦”表述,不再仅限于“网络”
NIST发布更新版网络与隐私草案指南
美国NIST《网络安全框架》v1.1版草案提议修改项
美国NIST最新《数字身份指南》:废除“定期修改密码” 等过时要求
美国NIST发布NICE网络安全人才框架
从NIST修订的SP 800-53文件内容预测美国未来安全趋势
美国众议院科学、空间与技术委员会通过NIST《网络安全框架》法案
NIST网络安全指南SP.800-184 强调恢复与还原计划

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。