1996年美国国会听证会情报和安全
1996年美国国会听证会由于情报界缺乏数据收集和分析,商业和金融界也没有报告,因此收集的数据很少,无法对美国信息基础设施面临的威胁进行可靠评估。
然而,我们对潜在威胁的了解是非常令人不安的。技术为各种潜在的“坏人”提供了无数的方法和机会来破坏我们的关键信息基础设施和它所支持的机构。这些技术也提供了破坏信息本身的机密性和可靠性的机会。
不幸的是,轶事事件在编制威胁评估和估计方面提供了很少的帮助。被识别出糟糕的行为者所涉及的是被认为是最不称职的攻击者的大多数文件。一个国家
州或有组织的项目组可能更加复杂,结构性和资助 - 并且难以防御。
在长达150页的布朗委员会关于美国情报界的作用和能力的报告(“布朗报告”)中,委员会仅用了一段论述信息战情报收集的主题。然而,本段提出了以下重要意见:
然而,收集有关其他国家或非政府团体的“信息战”威胁的信息,但是,智力界的合法使命是。事实上,这是一项长大的使命,并将变得越来越重要。它也是委员会认为需要更好的定义的特派团。虽然很多活动很明显,但它并没有看起来很好地协调或响应整体战略。(重点添加,Brown Report,1996年3月1日,第27页)
负责收集此类数据的情报机构的一名高级成员将其比作“一场蹒跚学步的足球比赛,每个人都只是跑来跑去,试图在某个地方踢球。”
然而,工作人员确实发现,收集可能提供我们的信息基础设施所面临威胁的性质和程度的数据,目前并不是我国情报和执法部门的优先事项。工作人员从各机构的情报部门以及反情报界收到了许多简报。每个机构都认为,我们的信息基础设施面临的威胁是巨大的;然而,当被要求披露用于评估威胁的资源水平时,两家机构都承认,很少有人员这么做
正在开发这样的评估。有一个机构召集了10个人参加工作人员简报会,但最终承认,只有一个人真正“全职”从事情报收集和威胁分析工作。
美国中央情报局(CIA)设有一个“信息战中心”;但是,在工作人员简报时,只有少数人专门从事收集和防御性信息战。美国国家安全局(NSA)希望建立一个“千人”信息战中心,包括防御和进攻信息战重点,以及24小时反应小组。
尽管对此问题的修辞重点,但任何机构都没有能够提出对我们信息基础设施的风险的国家威胁评估。通常,在任何分类水平的简报中包括极其有限的轶事信息。工作人员发现,虽然在情报界的意识日益增长,但仍有很少有专门用于数据分析,而且没有程序处理情报信息。虽然许多机构已形成“工作组”或将“信息战”一词纳入预先存在的办事处,但这一问题的优先级次数很少,或重新分配致力于其的资源。此外,一直在有关信息战的情报人员,更重要的是,在信息系统技术中招募有专业培训的情报人员。
科学技术的一个非常高级情报官承认,为了让情报界充分专注于信息战问题,需要重新再培训收藏家和分析师。“不要等待情报界提供威胁估计”他解释说,“它会
可能需要情报界几年时间来打破传统范式,并将资源重新集中在这一重要领域。”
近来有尝试获得威胁评估。在“凯尔修改”情报授权法案在1997年财政年度(1053节)提供:
......主席应向国会提交一份报告,提出了国家政策的审查结果对保护从战略攻击的国家信息基础设施。报告应包ReportsReports括以下内容:(1)国家政策和治理体系的描述计划建立必要的程序、能力、系统和过程,以执行指示、警告和关于战略攻击的评估功能对于外国、团体、个人或任何其他实体反对国家信息基础设施。(重点补充。)
修订的部分要求向国会情报界响应与内该法案的生效日期120天的威胁估计。时间表制定得雄心勃勃,中央情报局局长要求的范围内,其响应时间延长。一位前高级白宫科学和技术官员在应对任务解释了情报界的困难:“平时他们只可以拉出的信息保存数据盒子 - 从今天开始,但是,盒只是空的!”在最近的众议院委员会关于国家安全的上H.R. 3230报告,1997财年国防授权法,观察到:
到目前为止,国会还没有收到要求的报告,总体上很清楚,政府对这一法定要求的反应充其量是平淡无奇的。
对情报界的威胁评估需要很大。不可能进行有意义的风险管理是不可能可靠的威胁数据。代理商如何确定在不知道威胁的维度的情况下提交计算机安全的资源水平?入侵技术正在迅速变化。如果我们不知道黑客正在采用目前的方法,我们如何获得和实施对策。最后,由于大部分威胁都涉及敏感信息的妥协,因此困难,不存在可靠的威胁评估,以确定已造成的损坏。在不知道它的情况下,我们的国家可能会失去关键信息优势和经济优势。
我们的情报和执法部门无法收集国家威胁评估所需数据的原因有很多种解释。首先,国防部没有强制报告。12然而,国防设施和资产是外国政府或有组织的地方团体青睐的目标。事实上,在罗马实验室的案例中(见附录B)年轻的黑客承认他渗透了“.mil”13网站,因为这些网站令人惊奇地易于渗透。由于缺乏报告,DIA或其他智能或抵抗组件正在分析几乎没有原始智能数据。
其次,从法律和组织的角度来看,虚拟世界中的情报集合很难。在物理世界中,我们的政府分配智力
12一些服务,如空军,做报表的制作强制性的入侵。但是,大多数并不会强制系统管理员报告在其国防部数据/语音流量的95%透过非保密但敏感的网络入侵。
13"。mil"是所有国防部计算机地址的后缀地址。例如,政府内部的非国防部地址都带有“。gov”后缀。
在很大程度上基于威胁的起源,基于反情报责任。情报界负责外国威胁评估;联邦调查局负责国内威胁估计。例如,有规则限制了CIA例如在国内收集信息的能力。同样,联邦调查局并未从事外国情报集合。
然而,在虚拟世界中,是无国界的,因此不容易适应物质世界的组织。黑客使用的技术使他们在攻击网络时可以采用多种途径。例如,来自外国的攻击通常会绕过不同的国家和不同的计算机网络,包括政府和私人的。14因此,当观察到或检测到攻击时,当攻击实际上起源于国外时,它可能看起来来自国内计算机。然而,正因为如此,情报界将发现自己无法对此事进行任何原始调查。工作人员曾几次被告知,情报部门无法收到直接提供给执法部门的原始数据。
最后,或许也是最重要的一点,在情报部门,这还不是一个高度优先考虑的问题。只要情报界不积极、积极地解决威胁信息的空白,高级领导人和管理者就不会愿意为他们的机构重新分配和调整资源的优先级。
14即使是最基本的黑客,“循环和编织”的做法也是非常普遍的。更有组织的计算机攻击会定期改变攻击路线,并故意经过那些不太可能被发现的机构或国家。在任何时候,攻击者都是伪装成一个合法的用户在合作的系统。
许多人表达的一个共同主题是,对于我们国家应该如何评估这一威胁,绝对没有明确的计划或方向。虽然许多人——包括我们的情报、执法和国防机构的负责人——都认为这一威胁很严重,但目前仍没有蓝图来指导全国的行动。
反情报界类似的问题困扰。自第二次世界大战以来,在反情报界共同关注的问题是间谍和汉奸拍摄机密文件,或窃取信息的冷战威胁。技术监控对策(TSCM)代理商仍然在寻找那些种植在家庭和办公室的物理窃听装置。毫无疑问,物理安全仍是一个问题,需要是一个优先事项。然而,很明显,相同的威胁在虚拟世界中,其中的通信和信息系统可以远程损害出现。
执法社区同样无法充分提供可靠的威胁评估。在非国防部执法机构中,联邦调查局将最具资源致力于计算机犯罪计划。但是,通过逮捕甚至是原始智能数据的结果尚未实现。最初,难度可能与主席团坚持认为,在可量化的损失或通常考虑到这些决定的其他标记上以前提或其他标记为前提。然而,最近,主席团已经开始认识到调查的决定不能以传统因素为前提。
评估对我们信息基础设施构成威胁的主要障碍是最大的政府机构无法检测到入侵,而第二次报告检测到的侵入。如前所述,国防信息系统机构(DISA)对国防部计算机网络进行主动脆弱性评估。根据1996年的DISA统计数据,他们能够渗透的18,200个系统,只有5%的系统管理员实际检测了入侵;在检测到侵扰的910个系统的用户中,只有27%(246)将其报告给优越的。
这些统计数据仅限于防御部门的未分类但敏感的网络,反映了对这个问题所知的几点。在其最近在以前的小组委员会听证会发布的报告中,高保强估计,国防部每年都在发生约25万台计算机袭击事件。将DISA统计数据应用于这些估计数,它将每年转化为162,500个成功的入侵,只有一小部分被检测到并报告。
对这一问题进行如此小的抽样调查,即使不是不可能,也很难进行可靠的威胁评估。此外,几乎所有接受工作人员采访的计算机调查员都宣称,他们正在检测最不称职、最鲁莽的黑客。正如一位研究人员解释的那样,“我们只是抓住了食物链的底部,任何有半个大脑的人都可以轻松地躲过我们的网络。”从本质上说,我们主要是在识别资金不足、无组织的攻击者。
电脑入侵既没有被发现也没有被报告的主要原因是国防部和国防部以外的大多数政府机构根本没有命令他们被报告。如果有的话,系统管理员不愿意报告入侵。许多涉及计算机安全的人员承认,报告入侵,甚至提出潜在的安全漏洞问题,可能会对他们的工作表现“产生负面影响”。
此外,大多数政府机构受害者都没有专业知识和工具来检测入侵或企图的入侵。空军正在接下来的两三年内安装所有空军基地的入侵检测工具。工具,ASIM15,捕获基础网络上所有用户的所有击键,并自动与已知黑客击键匹配。然后系统分析威胁并率的严重性。1995年,ASIM在23个空军基地部署并发现了2,332个事件。然而,大多数代理商似乎缺乏追求这些举措的资源或承诺。
关于私营部门构成的威胁,有很少的轶事数据。虽然大部分未能在政府内报告入侵是由于缺乏兴趣,但在私营部门,它主要是由于担心市场和政府的恐惧。工作人员采访了来自商业机构的几位安全专家,以及为可能是计算机攻击目标的商业机构提供计算机安全的各种私人。受访者中最常见的主题是商业部门是厌恶报告的
15ASIM是一种计算机程序,自动安全事件测量。
计算机入侵,害怕影响客户或股东信心。公司内部人士确认他们经常经历了经历过入侵的工作人员,但担心向政府或其他可能最终将他们报告为公共纪录的机构。
一家向私营企业提供安全服务(包括应对措施)的主要公司解释了这个问题的严重程度。这家公司对其他几家安全公司进行了非正式调查,了解他们从商业或金融客户公司那里获得的已知损失。这一小群公司仅去年就在全球范围内造成了8亿美元的损失。这个数字只包括客户向这几家公司报告的实际损失.随着400,000,000.00 $归因于美国公司。这些数字不包括可能是由于损坏的数据,或暂时失去了获得数据的损失,它不能量化的竞争优势(e.g..industrial间谍)未知的损失。
虽然在美国国内有可能发生重大损失,但联邦调查局(FBI)只能报告因外部侵入网络而造成损失的一个重大事件。在1994年的花旗银行事件中,一群在俄罗斯圣彼得堡运作的黑客给花旗银行造成了40万美元的损失。
一个机构的阻碍不报告财务损失是显而易见的。对于一个金融机构,客户的信任是商业可行性的主食。缺乏客户信任竞争对手,同样地,被看作是在市场上的竞争优势。宣传暴露出未经许可侵入用户账户可以很容易地激发客户的不安全感这将对商业底线的作用。例如,工作人员通过,之后花旗银行接收到的宣传在1995年已经被攻击纷繁可靠消息称,花旗银行的前20建议
客户立即占据了六个花旗银行的竞争对手。竞争对手认为,他们的银行比花旗银行更“安全”。
理论上,有一些法律要求应该导致报告入侵。例如,银行必须遵守《联邦法典》中有关可疑失踪或不明原因资金短缺的某些规定5000美元或更多(12 C.F.R. 21),有一个明确的监管结构监督我们国家的金融基础设施。美国证券交易委员会(SEC)对证券公司和上市公司也有报告要求。几乎每一位接受《工作人员》采访的银行高管都拒绝承认任何不上报损失的行为,尽管他们都同意自己永远不想上报损失,并坚决反对更全面的强制性报告立法。纽约联邦储备银行的一名代表表示,作为他们监管金融机构的一部分,包括美国40-50家主要银行,他们不知道任何企图“掩盖”闯入的行为。
自1996年4月起,金融机构必须向FINCEN(金融犯罪执法网)报告可疑活动。不报告可能会被处以5000美元的罚款。FINCEN通过位于底特律的数据库收集这ReportsReports些报告。FINCEN尚未收到任何有关计算机入侵的报告,也不知道在1996ReportsReports年4月之前是否因不报告而被罚款。美国联邦储备委员会(Federal Reserve Board)的一名代表也表示,他不知道有哪个监管机构会因为一家机构未能提交推荐表格而对其处以罚款。尽管机构可能会因不报告而被罚款,但5000美元的罚款可能没有什么威慑作用,因为许多公司私下建议员工,他们将花更多的钱来应对入侵,以免它成为公众行为。
然而,许多信息安全专业人员告诉工作人员,银行和金融机构没有报告计算机入侵。据这些专业人士称,商业机构可能会报告损失,但不会披露入侵的全部性质。正如一位高级客户代表解释的那样,“有报告,就有报告。”员工们了解到,在许多情况下,公司内部对电脑入侵的调查是通过公司的总法律顾问办公室进行的,以提供一层来自律师-客户关系的保密面纱。另一种避免审查的方法是在大量其他文件中报告某个事件,因为发现计算机攻击的细节几乎是不可能的。
私营部门代表表示的一个相关关切是,担心向FBI或其他执法机构报告入侵行为将意味着失去对调查的控制。虽然联邦调查局主要关心的是证明行为不端并将肇事者绳之以法,但公司更关心的是在尽可能少公开的情况下阻止入侵。当一项成功的调查很可能导致一项公开审判时,这两个目标就不相符合了。因此,几乎所有接受工作人员采访的公司代表都表示非常担心强制报告入侵行为,即使这些行为违反了刑法。
总部位于旧金山的信息安全专业人士协会计算机安全研究所(CSI)最近的一项调查显示,企业不愿报告的程度。CSI与FBI合作,向信息安全从业人员发出了4971份调查问卷。16虽然是匿名调查,但只有8.6%(428人)愿意回答。在那些回应的人中,
16该调查被发送到美国的公司、金融机构、学术机构和政府机构。
42%的人承认在过去12个月内经历过某种形式的入侵。许多入侵来自远程拨入源和互联网连接。超过50%的被入侵者相信他们来自他们市场上的竞争对手。
对机构的损害变化。36%的医院,21%的金融机构表明,他们通过这些入侵改变了数据。显着,83%的受访者对调查显示,如果他们认为他们受到伤害,他们就不会就执法提供建议;超过70%的人引起了对负面宣传的恐惧,作为未报告的主要原因。
工作人员不能夸大报告效果对我们组装可靠的威胁评估的能力,这将鼓励管理层重新调整和恢复资源。在商业社区本身,缺乏报告是对私人网络实施适当的安全的障碍。全球证券公司的一位高管建议了“不可靠的数据,不可能优先考虑对策。”
已经有正式和非正式的努力收集轶事信息,这可能有助于私营企业更好地装备自己,以应对对其信息基础设施的攻击。例如,国家安全信息交换(NSIE)国家安全委员会电信咨询委员会(NSTAC)是一个集团公司的代表——主要来自电信行业,定期开会分享威胁和弱点在他们自己的公司。NSIE与它的
成员17以防止竞争对手或其他坏人利用其弱点。NSIE的成员与工作人员之间的关系需要很长时间才能建立起相互信任的关系。
这个坏演员是一个16岁的网络飞车党,一个资金充足的外国情报机构,一个无政府主义者,还是一个工业间谍?威胁来自国外还是国内?这次袭击的动机是间谍、贪婪还是制造恐怖的欲望?不幸的是,在任何给定的时间,它都可能是上述任何一种情况,甚至是上述情况的组合。对我们信息基础设施的威胁是有机的、不断演变的、难以捉摸的。
此外,虽然许多人已报道了提出从局外人的我们的信息基础设施的威胁,几乎所有的安全专家采访的工作人员认为,至少在短期内,我们的基础设施的最大威胁将来自“内幕。“业内人士定义为个人拥有已授权访问网络。工作人员发现,这种恐惧的基础是在有效防范内幕的难度和潜在损害的大量内幕可以完成为前提的。
传统上,“黑客”一直被认为是误入歧途的年轻计算机入侵者,他们的行为出于一种反常的冒险意识。也许,1982年的电影最能说明这一点战争游戏,这个人通常被视为一种不便,而不是对国家安全的真正威胁。
17有两个NSIE小组委员会。其中一家有9家NSIE公司,其他9家NSIE政府机构。NSIE的两个小组委员会共同开会。NSIE成员由NSTAC选择。
黑客,即使是真正的多面手,在任何意义上都是一种威胁。出于好奇或顽皮的不当行为会对我们的基础设施造成毁灭性的影响。例如,1988年末的“莫里斯蠕虫”导致6000多台计算机关闭。如前所述,即使是最无辜的黑客也可能成为外国情报机构或其他坏人的欺骗对象。在罗马实验室的案例中(见附录B), 16岁的英国黑客“Datastream”实际上是在一个未知的第三方(“Kuji”)的指导下通过互联网上的聊天会话控制国防部的计算机。在虚拟世界中,外国政府更容易利用被欺骗者,因为互联网固有的匿名性。
美国国家安全局(National Security Agency)承认,世界各地的潜在对手正在开发有关国防部和其他政府计算机网络的知识体系。据国防部官员称,这些潜在的敌人正在开发攻击方法,包括复杂的计算机病毒和自动攻击程序,使对手可以从世界各地发动无法追踪的攻击。在一些极端情况下,研究表明,我们的对手如何能够夺取国防信息系统的控制权,并严重削弱国家部署和维持军事力量的能力。18官方估计显示,120多个国家正在发展进攻性信息战能力。
此外,我们在这方面的脆弱性很可能只会增加,以目前的速度,应对措施永远赶不上技术。讨论
18在国防部副部长的指导下,兰德公司赞助了一系列“信息战争游戏”,旨在提高我们的决策者对新兴基础设施相关问题的认识。金博宝正规网址这一系列练习展示了模拟信息攻击,然后是必须做出的应对措施和决策。
国防部官员表示,为了在我们的国防基础设施中创建一个无缝的信息网络,进一步互连我们所有的国防组件有着巨大的愿望和压力。毫无疑问,这将提高国防部任务各个方面的效率和效力。不幸的是,它还将向外国情报人员和潜在的破坏性力量开放同样的国防基础设施。
工作人员从国家安全官员那里得到了几次简报,他们多次表示担心因特网和计算机网络的容易利用为其他国家提供了收集情报信息的机会。在汉诺威黑客案中,克利夫·斯托尔的畅销小说《the布谷鸟的蛋,这些德国黑客为俄罗斯克格勃工作,定期在BBS上会面。据悉,该委员会的许多消息人士称,某外国政府赞助了黑客公告板,黑客们在公告板上交换外国政府的密码和登录文件等资料。这个政府显然监视了BBS的活动,为自己获取关键信息。显然,如果这是真的,这说明了互联网如何以低成本和几乎不暴露的方式为外国提供几乎没有风险的情报服务。
在与高级情报和反情报官员的访谈中,工作人员被告知很担心,内部人员也将获得分类网络的进入。此前,在物理世界中,我们的分类智能数据保持在具有物理障碍(门,墙壁,卫兵,文件柜)的安全地点,其作为抑制信息丢失。甚至可以访问建筑物的人员无法访问某些文件,房间和安全文件柜。只有值得信赖的人只能访问这些领域和这些信息。机构内的分类计算机系统网络已创建新的
通过向谁以前可能已经进入只有一个分类系统内部人士全网络接入漏洞。正如一位高级情报官员的工作人员介绍说,“任何人在网络上,从一个业务员,对建筑物的另一侧的人可以仔细阅读的重要信息,没有人知道这件事。”19
随着中情局和其他情报机构继续将其内部系统连接在一起以提高生产力和效率,这将成为一个更大的问题。工作人员认识到,毫无疑问,增加连通性带来的好处将是难以抗拒的。然而,没有保护的连接是一个巨大的风险,通过适当的前端安全投资可以将其最小化。
来自次国家团体、恐怖组织或心怀不满的个人的威胁也必须考虑在内。最近的事件支持了美国目标对物理攻击的“软性”。俄克拉荷马城和世界贸易中心的爆炸事件,以及尤那邦炸弹客的一系列袭击,都支持个人和小团体可以对我们的基础设施造成巨大的物理破坏。在网络空间的虚拟世界中,情况显然也是如此。从一开始,互联网就是要强大、开放、包容,强调信任,而不是安全。
也许比我们目前所熟悉的任何威胁都更可怕的是我们未来将面临的威胁。尽管我们的信息基础设施的增长非常迅猛,但大多数专家都认为这只是将继续进行的工作的开始
19Aldrich Ames间谍案的审查中可以看到此增强漏洞的一个很好的例子。虽然艾姆斯试图窃取机密信息,但他是一名计算机文盲,甚至无法在计算机上执行最基本的“下载”功能。因此,他不得不把文件的硬拷贝带回家并重新打印。如果他能够下载到计算机磁盘上,或者访问整个中情局数据库中的文件,对我们国家安全的破坏将会更大。
生长和依赖。技术正在推进和乘以计算机变得更快,更通用。网络和用户的潜在扩展似乎没有限制。20
随着技术的提高,随之而来的新一代潜在的不良行为者的成熟。许多国家的安全专家建议工作人员,它很可能是外国将查看信息的攻击作为一个更便宜,相对无风险的替代传统的情报搜集。此外,考虑到我们国家对信息网络的依赖性不断增加,国外的对手会发现很容易破坏我们的基础设施。在何种程度上我们的国家将能够抵御在未来这一威胁是未知的,但显然更多的关注今天必须收起来。
20光纤电缆的使用将为互联网通信提供几乎无限的空间。目前只有一小部分的光容量被使用。