美国国家安全局国家安全系统副国家经理柯蒂斯·杜克斯于10月18日在美国企业研究所讲话时说,在美国国家安全局对人事和管理办公室、白宫、国务院、国防部的响应中,没有一个高调的政府黑客使用零日漏洞。
“基本上,对手利用了安全性差、补丁不良的系统,”杜克斯说。“一旦他们有了最初的立足点,他们提高特权,然后转移到任务目标,”其范围从窃取数据到(在索尼黑客的情况下)销毁它。
“我们谈论了很多关于零日的事情,我们谈论影子经纪人,这种性质的东西,但到目前为止,我们没有真正改变对手的方程,”杜克斯说,“他们仍然可以轻易攻击我们并实现任务目标——我想真的提高成本。”
杜克斯表示,提高成本意味着实施国家安全局《十大缓解》出版物中列出的一套实践和协议。杜克斯说,遵循这些协议,包括控制行政优先权、更新和修补软件及应用程序白名单,将使网络犯罪更困难,并强迫他们考虑零日漏洞,他称之为黑客只能在其最困难的任务中使用的珍贵商品。
在他的演讲中,杜克斯详述了他最近对《联邦计算机周刊》的意见,说明国家安全局在响应针对非国家安全系统的黑客攻击时必须跳过的官僚障碍。
国家安全局对国家安全网络拥有管辖权,但必须由国土安全部和联邦调查局通过技术服务请求提出要求,以协助调查其他机构的违规行为。
“我只是想,当进行所有的精心策划的时候,你已经失去了宝贵的时间,为了在这方面以网络速度防御,我认为这就是作为一个国家我们需要回顾的。”杜克斯告诉《联邦计算机周刊》。
在他的AEI评论中,杜克斯说:“当我们实际上必须做出事件响应,并再次,如果你看看在过去的24个月,我们做了相当多的事情......在我们实际上可以做出反应之前,通常是数天至一个星期。
到那时,杜克斯说,犯罪已经结束,很难确定对手是否仍然在系统内,以及可以采取什么缓解措施。因此,他表示,美国需要修改其应对网络犯罪的方法。
“可能甚至到我们将[国土安全部、联邦调查局和美国国家安全局]的一部分合并为一个代表整个政府的组织,”他说。
杜克斯指出,英国新的国家网络安全中心是一个响应任何政府机构网络犯罪的单一实体的例子。
“这是一个实体,他们负责,”杜克斯说。“我认为这是一个我们需要看的模型,可能探索如何最好地与我们代表国家做网络防御。”