五角大樓監(jiān)管機(jī)構(gòu)的新報(bào)告將這些服務(wù)在網(wǎng)絡(luò)安全方面缺乏努力和在增材制造方面取得的巨大進(jìn)步結(jié)合在一起。

　　賈斯汀卡茨

　　2021 年 7 月 7 日

　　一名海軍陸戰(zhàn)隊(duì)員在北卡羅來(lái)納州勒瓊營(yíng)訓(xùn)練期間調(diào)整 3D 打印機(jī)。資料來(lái)源：海軍陸戰(zhàn)隊(duì)。

　　華盛頓消息：五角大樓的監(jiān)管機(jī)構(gòu)在發(fā)現(xiàn)幾個(gè)機(jī)構(gòu)的官員未能管理安全操作該技術(shù)所需的關(guān)鍵網(wǎng)絡(luò)安全控制措施后，對(duì)軍方對(duì) 3D 打印的長(zhǎng)期探索發(fā)出警告。

　　因此，根據(jù)美國(guó)國(guó)防部監(jiān)察長(zhǎng)發(fā)布的一份新報(bào)告，使用該技術(shù)（正式稱為增材制造）的美國(guó)國(guó)防部“不知道現(xiàn)有的 AM 系統(tǒng)漏洞，這些漏洞使國(guó)防部信息網(wǎng)絡(luò)面臨不必要的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)”。

　　“AM 設(shè)計(jì)數(shù)據(jù)的妥協(xié)可能會(huì)讓對(duì)手重新創(chuàng)造和使用國(guó)防部的技術(shù)，讓對(duì)手在戰(zhàn)場(chǎng)上獲得優(yōu)勢(shì)。此外，如果惡意行為者更改了 AM 設(shè)計(jì)數(shù)據(jù)，這些更改可能會(huì)影響 3D 打印產(chǎn)品的最終強(qiáng)度和實(shí)用性，”GAO的報(bào)告繼續(xù)說(shuō)道。

　　審計(jì)員最初選擇了九個(gè)服務(wù)機(jī)構(gòu)，將其納入其報(bào)告；然而，在冠狀病毒大流行開(kāi)始時(shí)發(fā)布的停止行動(dòng)令迫使監(jiān)察長(zhǎng)辦公室將他們的樣本量減少到五個(gè)。在報(bào)告評(píng)估的機(jī)構(gòu)包括海軍陸戰(zhàn)隊(duì)第一遠(yuǎn)征部隊(duì)，海軍西南艦隊(duì)?wèi)?zhàn)備中心，海軍信息戰(zhàn)中心，空軍60日維護(hù)組和沃爾特里德國(guó)家軍事醫(yī)療中心。

　　美國(guó)軍方網(wǎng)絡(luò)安全實(shí)踐與增材制造的碰撞是一場(chǎng)醞釀已久的沖突。

　　多年來(lái)，第三方監(jiān)管機(jī)構(gòu)一直督促五角大樓，因?yàn)槲褰谴髽俏茨茉诓少?gòu)過(guò)程中預(yù)先優(yōu)先考慮網(wǎng)絡(luò)安全。在 SolarWinds、微軟以及最近的軟件公司 Kaseya 等公司遭到攻擊后，整個(gè)聯(lián)邦政府的網(wǎng)絡(luò)安全工作（或缺乏網(wǎng)絡(luò)安全工作）現(xiàn)在都受到嚴(yán)密審查，這些公司已經(jīng)開(kāi)辟了進(jìn)入聯(lián)邦網(wǎng)絡(luò)的途徑。

　　與此同時(shí)，美國(guó)軍方一直渴望宣傳他們?cè)谠霾闹圃旆矫娴倪M(jìn)步。海軍陸戰(zhàn)隊(duì)官員經(jīng)常表?yè)P(yáng)加利福尼亞的一名士兵，他在設(shè)計(jì) 3D 打印坦克葉輪后節(jié)省了無(wú)數(shù)美元和時(shí)間。正如媒體去年報(bào)道的那樣，美國(guó)陸軍對(duì)可以通過(guò)增材制造生產(chǎn)黑鷹直升機(jī)的哪些部件很感興趣。Breaking Defense 還報(bào)道稱，前空軍采購(gòu)執(zhí)行官威爾·羅珀 （Will Roper） 承諾，在 10 月份舉辦的先進(jìn)制造競(jìng)賽中，他的服務(wù)將“即將面臨天基挑戰(zhàn)”。

　　例子不勝枚舉，但國(guó)防部審計(jì)長(zhǎng)（IG）在其報(bào)告中明確指出，軍事人員將增材制造設(shè)備視為供應(yīng)零件的“工具”，而不是易受攻擊的信息技術(shù)。

　　“此外，國(guó)防部組件錯(cuò)誤地將 AM 系統(tǒng)歸類為獨(dú)立系統(tǒng)，并錯(cuò)誤地認(rèn)為這些系統(tǒng)不需要授權(quán)即可運(yùn)行，”根據(jù) IG 的說(shuō)法。

　　審計(jì)包括 73 臺(tái)打印機(jī)和 46 臺(tái)計(jì)算機(jī)，并以美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所的特別出版物 800-53 為基礎(chǔ)——聯(lián)邦政府的網(wǎng)絡(luò)安全控制指南。

　　該報(bào)告列出了 NIST 推薦的七項(xiàng)基本控制措施，但刪去了某些安裝未能執(zhí)行的具體措施。監(jiān)管機(jī)構(gòu)普遍認(rèn)為官員在審計(jì)師訪問(wèn)后做出了更改，但也發(fā)現(xiàn)安裝存在類似且嚴(yán)重的錯(cuò)誤，例如未能更新計(jì)算機(jī)操作系統(tǒng)。

　　“更新操作系統(tǒng)的需求對(duì)于保護(hù) AM 計(jì)算機(jī)和連接到它們的打印機(jī)至關(guān)重要。例如，在 2019 年，微軟發(fā)布了超過(guò) 197 個(gè)操作系統(tǒng)更新來(lái)修復(fù)安全漏洞，其中一個(gè)修復(fù)了一個(gè)漏洞，該漏洞允許攻擊者未經(jīng)授權(quán)訪問(wèn)一臺(tái)計(jì)算機(jī)，然后使用該訪問(wèn)權(quán)限登錄其他計(jì)算機(jī)?！?IG 報(bào)告指出。

　　IG 的建議主要集中在澄清圍繞增材制造的政策，以明確它必須被視為任何 IT 部分。這些裝置在很大程度上同意了看門狗的建議。

　　唯一的分歧來(lái)自國(guó)防部首席信息官，他認(rèn)為美國(guó)軍方關(guān)于網(wǎng)絡(luò)安全的政策包括 3D 打印技術(shù)。IG 承認(rèn)了這些分歧，但仍認(rèn)為建議已解決，因?yàn)槊绹?guó)國(guó)防部 CIO 確實(shí)承諾做出“符合建議意圖”的更改。