Documentos de Académico
Documentos de Profesional
Documentos de Cultura
do YBERSECURITY
METRO Y GESTIÓN
O VERSIGHT EN LA J ET
PAG ROPULSION L aboratory
18 de junio 2019
Informe Nº IG-19-022
Oficina del Inspector General
Reportar, fraude, despilfarro, abuso o mala administración, en contacto con la línea directa de la NASA OIG al 800-424-9183 o 800-535-8134 (TDD) o visita https://oig.nasa.gov/hotline.html
. También puede escribir a la NASA Inspector General, PO Box 23089, Plaza estación de L'Enfant, Washington, DC 20026. La identidad de cada escritor y la persona que llama
puede ser confidencial, previa solicitud, en la medida permitida por la ley.
Para sugerir ideas o solicitar auditorías futuras, en contacto con el Subinspector General de auditorías en https://oig.nasa.gov/aboutAll.html .
R RESULTADOS EN segundo
Gestión de la seguridad cibernética y Supervisión en el Laboratorio de
Propulsión a Chorro
Jet Propulsion Laboratory (JPL) es un centro de investigación y desarrollo financiado por el gobierno federal en Pasadena, California. Desde 1959, el Instituto de Tecnología
de California (Caltech) ha estado bajo contrato con la NASA para gestionar el JPL, lo más prominente de sus actividades de investigación y desarrollo, sino también sus
controles de seguridad de red. Según el contrato, la NASA tiene la responsabilidad de asegurar los datos y los sistemas de la Agencia en el JPL están a salvo de los piratas
informáticos u otras formas de acceso no autorizado.
sistemas de tecnología de la información del JPL (TI) mantienen una amplia presencia en Internet público, mientras que el apoyo a las misiones y las redes que controlan la nave
espacial, recoger y procesar datos científicos, y llevar a cabo las operaciones críticas. Durante los últimos 10 años, el JPL ha experimentado varios incidentes de seguridad
cibernética notables que han comprometido importantes segmentos de su red informática. Por ejemplo, en 2011 los intrusos cibernéticos obtenido acceso completo a los 18
servidores que soportan las misiones principales del JPL y robaron 87 gigabytes de datos. Más recientemente, en abril de 2 018 JPL descubrió una cuenta perteneciente a un usuario
externo había sido comprometida y se utiliza para robar aproximadamente 500 megabytes de datos de uno de sus principales sistemas de misión. En esta auditoría, se evaluó la
eficacia de los controles de seguridad de red de JPL para hacer frente externamente aplicaciones y sistemas. También se examinaron los elementos del Programa de Seguridad
Cibernética del JPL de la NASA y la interacción con y la supervisión de las funciones de control de seguridad de TI asignadas a Caltech en virtud de su contrato para gestionar el JPL.
Para completar este trabajo, se entrevistó a funcionarios de la NASA y el JPL de TI y revisaron el mapeo del JPL de TI de red, sistema de inventario y herramientas de gestión de la
seguridad. También se revisaron federal, la NASA, JPL, Caltech y criterios, políticas, procedimientos, documentación de apoyo, acuerdos, informes de auditoría anteriores, las
W SOMBRERO W mi F Oundu
Múltiples deficiencias en el control de seguridad de TI reducen la capacidad del JPL para prevenir, detectar y mitigar los ataques dirigidos a sus sistemas y
redes, exponiendo con ello los sistemas de la NASA y de datos a la explotación por los delincuentes cibernéticos. JPL utiliza su base de datos de Tecnología
de la Información de Seguridad (ITSDB) para rastrear y administrar los activos físicos y aplicaciones en su red; Sin embargo, encontramos la base de datos de
inventario incompleto e inexacto, poniendo en riesgo la capacidad del JPL para controlar de manera efectiva, informar y responder a los incidentes de
seguridad. Por otra parte, la reducción de visibilidad en los dispositivos conectados a sus redes dificulta la capacidad del JPL para asegurar correctamente
esas redes. Promover, encontramos que la puerta de enlace de red del JPL que controla el acceso pareja a un entorno de TI compartida para las misiones y
los datos específicos no había sido segmentado adecuadamente para limitar a los usuarios únicamente a los sistemas y aplicaciones para las que había
aprobado el acceso. Esta deficiencia activar un atacante obtener acceso no autorizado a la red misión de JPL a través de un sistema de usuario externo
comprometida. Además, la NASA no pudo establecer acuerdos de interconexión de seguridad (ISA) para documentar los requisitos asociados deben cumplir
para conectarse a los sistemas informáticos de la NASA y describir los controles de seguridad que se utilizarán para proteger los sistemas y datos. También
se encontró que las entradas de registro de problema de seguridad, creadas en el ITSDB cuando se identifica una vulnerabilidad potencial o real la seguridad
del sistema de TI, no fueron resueltos por períodos prolongados de tiempo, a veces más de 180 días.
controles de seguridad que exponen a la red JPL a la explotación por los ataques cibernéticos. Además, los administradores del sistema JPL mal entendido sus responsabilidades en relación
con la gestión y la revisión de los registros para la identificación de las actividades maliciosas que ocurre en un sistema o red en particular. También se encontró que mientras que las
herramientas de monitoreo de seguridad cibernética empleadas por el JPL defienden contra las intrusiones de rutina y mal uso de los recursos informáticos, JPL no se había puesto en marcha
un programa de caza amenaza recomendado por expertos en seguridad para perseguir agresivamente la actividad anormal en sus sistemas de signos de compromiso, y en lugar de depender
en un proceso ad hoc para buscar intrusos. Además, el JPL no había proporcionado capacitación en seguridad basada en roles o financiados certificaciones de seguridad de la información
Además, se encontró que varias prácticas JPL de gestión de incidentes y respuesta se desvían de la NASA y prácticas recomendadas de la industria. Por ejemplo, a diferencia del Centro
de Operaciones de Seguridad de la NASA (SOC), SOC del JPL no mantiene disponibilidad durante todo el día-de pacientes que responden a incidentes de seguridad de TI y el plan de
respuesta a incidentes de JPL no incluye todos los elementos recomendados por el gobierno federal. Además, los problemas de coordinación de equipos retrasaron la finalización de
contención incidente y las medidas de erradicación para el incidente de abril 2018. Además, si bien la documentación y el intercambio de información a través de JPL amenaza cibernética
para ayudar a prevenir futuros incidentes es un componente crítico de un programa eficaz de respuesta a incidentes, encontramos iniciativas actuales del JPL están a la altura.
Por último, mientras que el contrato entre la NASA y Caltech requiere JPL reportar ciertos tipos de incidentes de seguridad a la agencia a través del sistema de gestión de
incidencias NASA SOC, no hay controles estaban en su lugar para asegurar el JPL cumplimiento de este requisito ni tampoco funcionarios de la NASA tienen acceso a JPL
de sistema de gestión de incidencias. En conjunto, estas debilidades salen de datos y sistemas de la NASA en riesgo.
A pesar de estas preocupaciones significativas, el contrato firmado con la NASA Caltech en octubre de 2018 para gestionar el JPL para al menos los próximos 5 años por delante
importantes requisitos de seguridad de TI sin resolver y en vez ambas partes acordaron continuar la negociación de estos temas. En marzo de 2019, la Agencia no había aprobado
los planes de JPL para poner en práctica nuevas políticas y requisitos de seguridad de TI NASA incluyó en su contrato de octubre 2018.
W SOMBRERO W mi R ECOMMENDED
Para mejorar los controles de seguridad de red JPL, se recomienda el Director de la Oficina de Gestión de la NASA instrucciones al director de JPL Información (CIO) a: (1)
requieren que los administradores del sistema para revisar y actualizar el ITSDB y asegurar los componentes del sistema están debidamente registrados y el JPL
Ciberseguridad / identidad Tecnologías y Grupo de Operaciones (CITO) revisar periódicamente el cumplimiento de este requisito; (2) separar los entornos compartidos
conectados a la pasarela de red y los socios del monitor con el acceso a la red JPL; (3) revisar y actualizar las NIA para todos los socios conectados a la puerta de entrada;
(4) requieren el JPL CITO para identificar y remediar las deficiencias en el proceso de registro de entradas problema de seguridad y proporcionar informes periódicos al
envejecimiento JPL CIO; (5) requieren el JPL CITO para validar, actualizar y realizar exámenes anuales de todas las dispensas abiertas; (6) aclarar la división de
responsabilidades entre la Oficina JPL del funcionario de información y administradores de sistemas para la realización de exámenes de rutina de registro y controlar el
cumplimiento de manera más frecuente; (7) poner en práctica el programa de entrenamiento basado en roles prevista para julio de 2019; (8) establecer un proceso de
amenazas en la caza formal, documentada; y (9) desarrollar y aplicar una estrategia global para el conocimiento de TI institucional y la gestión de incidencias que incluye
difusión de las lecciones aprendidas. También recomendamos la NASA CIO incluye requisitos de la pendiente de TI plan de transición que proporcionan el SOC de la NASA
con el suficiente control y visibilidad en las prácticas de seguridad de red JPL. Hemos proporcionado un borrador de este informe a la dirección de la NASA que estuvo de
acuerdo con 9 de las 10 recomendaciones y describe las acciones correctivas que haya adoptado o vaya a tomar. Consideramos que los comentarios de la administración a
las recomendaciones de respuesta y por lo tanto se resuelven las recomendaciones y será cerrado a la conclusión y verificación de las acciones correctivas propuestas. La
dirección no están de acuerdo con la recomendación número 8 en relación con el establecimiento de una capacidad de amenaza de caza de la seguridad cibernética y esta
recomendación no se resolverá a la espera de un nuevo debate con la Agencia.
Las deficiencias en el JPL de TI de seguridad controla la explotación riesgo de los sistemas de la NASA y la pérdida de datos ............... 11
JPL Lacks adecuada identificación de los componentes del sistema y Segmentación de su red .............. 11
Proceso JPL para Intercambio de Lecciones Aprendidas Necesita mejorar .......................................... .................... 24
La NASA carece de una supervisión adecuada de JPL Red de Seguridad .................................................. ..................... 26
IP protocolo de Internet
SP publicación especial
Cyberattackers tratan de obtener acceso no autorizado a los sistemas de información de un objetivo de robar datos sensibles, interrumpir las operaciones
críticas de la organización, perseguir objetivos políticos o financieros, o simplemente para poner a prueba sus habilidades de hacker. Estos malos actores
incluyen a individuos, organizaciones, grupos de hackers criminales y gobiernos extranjeros. Como uno de los organismos de ciencia y tecnología
gubernamentales líderes en el mundo, la NASA es un objetivo atractivo con las operaciones del Organismo y los datos sensibles relacionados con el tráfico
internacional de armas, la propiedad intelectual, la información de identificación personal, y datos del sistema de vuelo relacionados con la seguridad en riesgo. 1
posible infiltración en los sistemas de vuelo espacial de la NASA para adquirir los códigos de lanzamiento y las trayectorias de vuelo de la nave espacial sigue
siendo una preocupación particular de tecnología de la información de la NASA (TI) de seguridad. controles de seguridad informática de la Agencia se
enfrentan a desafíos debido a la amplia conectividad de la NASA añaden con sus numerosos usuarios y socios externos, incluidos los organismos extranjeros
de espacio, contratistas comerciales e instituciones educativas. Por otra parte, el uso de los sistemas informáticos heredados para misiones de larga data que
pueden haber sido lanzados décadas atrás complican aún más los problemas de seguridad de la NASA a causa de software y sistemas operativos obsoletos y
sin parches.
Además de sus nueve centros dispersos geográficamente, la NASA tiene un contrato con el Instituto de Tecnología de California (Caltech), una
universidad de investigación sin fines de lucro, para operar en el Jet Propulsion Laboratory (JPL) en Pasadena, California, como la investigación y
desarrollo financiados por el gobierno federal centrar. 2 JPL dirige o es compatible con múltiples misiones de espacio profundo para la NASA como el
Laboratorio de Ciencia de Marte y Juno. 3 Desde 1959, ha logrado Caltech actividades de investigación y desarrollo del JPL, incluidos los controles de
seguridad sobre sus datos y sistemas. Sin embargo, la NASA tiene la responsabilidad de asegurar sus datos y sistemas en el JPL y los otros centros
están a salvo de los piratas informáticos u otras formas de acceso no autorizado. Durante los últimos 10 años, el JPL ha experimentado varios
incidentes de seguridad cibernética que han comprometido su red de TI. Por ejemplo, en febrero de 2012, la NASA Inspector General testificó ante el
Congreso sobre múltiples ataques sofisticados en la red de JPL que permitieron a los intrusos acceso completo a los sistemas de JPL claves y cuentas
de usuario sensibles. 4 Más recientemente, en abril de 2018 JPL descubrió que una cuenta perteneciente a un usuario externo había sido comprometida
1 Tráfico Internacional de Armas Reglamento controlar la transferencia de tecnología militar y relacionada con el espacio. Bajo estas federal
reglamentos, los extranjeros no se les permite el acceso a dicha información exportación controlada a menos que reciban una licencia del Departamento de Estado de
Estados Unidos. La propiedad intelectual incluye patentes u otras formas de protección para salvaguardar los derechos del gobierno a las ideas, invenciones y tecnologías a
las que la NASA tiene el título. Información de identificación personal es cualquier información sobre un individuo mantenida por una agencia que se puede utilizar para
distinguir o rastrear su identidad, como su nombre, número de seguro social, fecha y lugar de nacimiento, nombre de soltera de la madre, o de registros biométricos e
información relacionados con una individual, como información médica, educativa, financiera, y el empleo.
2 La Oficina de Gestión de la NASA gestiona el contrato de la Agencia con Caltech para la operación del JPL, proporciona sede de la NASA
con la supervisión Agencia in situ de las actividades del contratista, y garantiza el cumplimiento regulatorio de las operaciones del contratista.
3 El Laboratorio de Ciencia de Marte es la última misión Rover de la NASA al planeta rojo y ha estado operando en su superficie ya
De agosto de 2012. La misión Juno, que comenzó a orbitar Júpiter en julio de 2016, está diseñado para mejorar la comprensión de la NASA de origen y la evolución de Júpiter
mediante la asignación de la gravedad del planeta y los campos magnéticos y la observación de la composición de su atmósfera.
comparación con otros centros, iniciamos esta auditoría para evaluar la eficacia de los controles de seguridad de red de JPL para hacer frente externamente
aplicaciones y sistemas. Además, se examinaron los elementos del Programa de Seguridad Cibernética del JPL de la NASA y la interacción con y la supervisión de
las funciones de control de seguridad de TI asignadas a Caltech en virtud de su contrato para gestionar el JPL. Véase el Apéndice A para obtener más información
Fondo
red informática misión de la NASA se distribuye en Estados Unidos y alberga cientos de sistemas y proyectos. parque informático de la Agencia incluye
sistemas que controlan la nave espacial, recoger y datos científicos de proceso, garantizar la seguridad de la infraestructura crítica, y permitan al
personal para que colabore con colegas de todo el mundo. Aunque la mayoría de estos sistemas contienen datos apropiados para su amplia difusión,
algunos contienen información sensible que, en caso de robo o mal puesto en libertad, podría resultar en pérdidas financieras significativas, ponen en
peligro la seguridad de la misión, o afectar negativamente a la seguridad nacional. Además, la NASA mantiene una presencia sustancial de Internet,
compartiendo información sobre sus aeronáutica, ciencia, y los programas espaciales con la comunidad pública y la investigación a través de miles de
aplicaciones web accesibles públicamente. 5 Además, la NASA tiene numerosos portales web y aplicaciones que permiten a los funcionarios de agencias
y contratistas para acceder a los datos de forma remota y servicios de todo el mundo. Las amenazas a los sistemas de información federales han
crecido y evolucionado a lo largo de los años, incluyendo la sofisticación y la eficacia de los ataques cibernéticos. Desde 1997, la Oficina de
Responsabilidad del Gobierno (GAO) ha designado seguridad de la información federal como una zona de alto riesgo de todo el gobierno que requiere
la atención concentrada. De hecho, el número de incidentes de seguridad de la información presentada por las agencias federales aumentó de 5.503 en
el año fiscal 2006 a 77,183 en el año fiscal 2015, un aumento de 1.303 por ciento. 6 Mientras que los adversarios de diferentes capacidades y
motivaciones han utilizado diversas técnicas para aprovechar las vulnerabilidades de seguridad, redes y sistemas federales son el blanco de
persistentes Ataques de, sofisticado conocido comúnmente como amenazas persistentes avanzadas que operan en nombre de los Estados nacionales
o grupos criminales organizados que a menudo tienen la capacidad de mantener el acceso a largo plazo a las redes específicas. Los extensos
esfuerzos de planificación y dedicados detrás de las amenazas persistentes avanzadas aumentan sus posibilidades de éxito y reducen la capacidad de
las organizaciones para detectar su presencia en el momento oportuno. Además, los adversarios son a menudo eficaces en el robo de credenciales de
usuario legítimos a través de técnicas de ingeniería social para obtener acceso a redes específicas. 7
No es sorprendente que la NASA es un objetivo habitual de los ataques cibernéticos tanto, debido al gran tamaño de sus redes y la naturaleza delicada de la
información que mantiene. conectividad sustancial de la Agencia con las instituciones educativas y de investigación no gubernamentales también presenta los
delincuentes cibernéticos con un objetivo más grande, más atractiva que la mayoría de las otras agencias gubernamentales y ofrece cyberattackers múltiples
puntos de entrada en varias redes de la Agencia. Acceso a la investigación y desarrollo de la NASA en Ciencias de la Tierra y las tecnologías espaciales
avanzadas siguen siendo una prioridad para las naciones extranjeras hostiles que buscan obtener una
5 A diciembre de 2018, la huella de Internet de la Agencia incluyó 3.046 sitios web públicos.
6 GAO, Información Federal de Seguridad: Las deficiencias continúan indicando necesidad de una aplicación efectiva de las políticas y
7 ataques de ingeniería social emplean la interacción humana (habilidades sociales) para obtener o comprometer información sobre una
organización o de sus sistemas informáticos. Una forma común de la ingeniería social es el phishing, que utiliza sitios web maliciosos o correo electrónico para solicitar información
personal haciéndose pasar por un individuo o una organización de confianza.
de ataque y técnicas dirigidas a la información de la NASA, incluyendo la robótica basados en el espacio, sistemas de adquisición de datos y la tecnología de los
Con amenazas a la seguridad de la NASA aumentando en número y complejidad, detectar y responder rápidamente a estas amenazas se ha convertido en una
parte esencial del programa de seguridad informática de la Agencia. ciberseguridad eficaz para los sistemas de información sigue siendo fundamental para
prevenir el compromiso de la información sensible, la interrupción de operaciones de la misión, y el daño a la reputación de la Agencia debido a incidentes
cibernéticos embarazosas. Además de múltiples informes relacionados con TI hemos emitido durante los últimos 10 años, un informe reciente de la GAO
encontró NASA ineficaces en la implementación de las principales de las prácticas de gestión en la planificación estratégica, la planificación de la plantilla, la
gobernabilidad y la seguridad cibernética. 8
Oficina del Oficial Jefe de Información (OCIO) de la NASA es responsable de la administración de TI de la Agencia, así como la gestión y seguridad
de sus sistemas de TI, activos y operaciones. Además del Director basada sede- Agencia de Información (CIO) y el personal OCIO, cada Centro de
la NASA, incluyendo el JPL, cuenta con una plantilla de TI CIO y dedicado. La Ley Federal de Gestión de Seguridad de la Información de 2002 dirige
el CIO para cada agencia para identificar una Agencia de Información alto funcionario de seguridad (Saiso), también conocida como una agencia
Chief Information Security Officer (CISO). El Saiso es el principal asesor de la Agencia CIO y otros funcionarios de alto nivel sobre cuestiones
relativas a la seguridad de la información. CISO del JPL no informa directamente a la NASA Saiso, en lugar de informes al JPL CIO, sino que
coordina con el Saiso en todo el Organismo materia de TI e incidentes de seguridad cibernética.
La Sede OCIO está organizada en cinco divisiones, incluyendo una división de ciberseguridad y la privacidad que gestiona proyectos de seguridad de todo
el Organismo para corregir las vulnerabilidades del sistema conocido y proporcionar servicios de seguridad de TI en apoyo de los sistemas de información
de la NASA. La Figura 1 ilustra la estructura organizativa OCIO partir de abril de 2019. Como parte de estos esfuerzos de seguridad cibernética, la NASA
opera un Centro de Operaciones de Seguridad (SOC) situado en el Centro de Investigación Ames como punto de coordinación central para el control
continuo de la red informática tráfico que entra y salen de las instalaciones de la NASA . La NASA SOC opera el Sistema de Gestión de Incidencias que
coordina, las pistas, y los informes sobre incidentes de seguridad a través de la Agencia.
8 GAO, NASA Tecnología de la Información: Acción urgente necesaria para abordar la gestión importante y Ciberseguridad
Fuente: Oficina de la NASA del Inspector General (OIG) de presentación de la NASA Política Directiva 1000.3E, La Organización NASA w / Cambio 39 (aprobada el 26 de de octubre
El contrato de la NASA con el Caltech cubre todas las actividades de investigación y desarrollo, así como la gestión y el
funcionamiento institucional del JPL, incluidos los servicios de TI. A través de su contrato, la NASA comparte la autoridad y
responsabilidad con Caltech para el desarrollo de las políticas de TI y la implementación de un programa de seguridad informática
para proteger los activos de la Agencia y responder a los incidentes de seguridad. En concreto, el contrato requiere que el JPL
establecer y mantener procedimientos para “corroborar que el JPL relacionados con las TI y recursos de información se adquiere y
se manejen de manera que salvaguarde la infraestructura de TI, sistemas, bienes e información de la NASA.” Como la gestión
OCIO de la NASA describieron la relación , la Agencia establece el nivel de seguridad y los controles necesarios para el
funcionamiento del JPL, Caltech, pero permite flexibilidad para decidir cómo lograr esos requisitos. Como tal,
Dirección de TI del JPL, conocido como el JPL OCIO, proporciona servicios de TI para apoyar misiones de la NASA llevadas a cabo por el JPL. JPL también
opera su propio equipo de respuesta a incidentes de seguridad cibernética del Centro de Operaciones de JPL (JPL SOC). Dirigido por el / Identidad
Tecnologías y Operaciones Grupo Ciberseguridad (CITO), el JPL SOC proporciona apoyo en las evaluaciones de la aplicación y de vulnerabilidad, registro de
análisis de datos, y el seguimiento de seguridad cibernética y las investigaciones. 9 El JPL SOC incluye investigadores técnicos que se reúnen información
relevante para la comprensión del alcance y la ubicación de un incidente y analistas forenses que evalúan la información recogida y generar informes
basados en sus resultados. Estos equipos suelen colaborar en las investigaciones de incidentes y trabajan con los administradores del sistema JPL u
operadores de red para crear una estrategia de contención incidente, la erradicación, y las tareas de remediación. Desde la perspectiva del gobierno, CIO del
JPL retiene la autoridad de aprobación de respuesta a incidentes de seguridad cibernética, mientras CISO del JPL coordina los recursos de múltiples
9 Las responsabilidades del CITO incluyen la gestión de la seguridad cibernética de riesgos, la vigilancia y la detección, análisis de amenazas, vulnerabilidad
identificación, especificación de las acciones correctivas necesarias, requisitos, medidas de protección y soporte automatizado para la planificación de la seguridad y la aceptación de
riesgos, investigaciones de incidentes, la formación y el plan de estudios de la conciencia y boletines de noticias, y soporte de ingeniería para los servicios de seguridad de TI
institucionales.
organización en un acuerdo Objetivos Niveles de Servicio. 10 En concreto, el JPL SOC informa de todos los eventos de seguridad de TI relacionados con el JPL y
datos de incidentes con origen en redes que JPL dirige basa en la acordados tipos de eventos, incluyendo la exposición de datos, acceso no autorizado, y la
negación de las incidencias del servicio. 11 El JPL SOC también debe proporcionar la NASA SOC con los indicadores de compromiso y advertencias recogidos
por los instrumentos de evaluación de seguridad y de seguimiento utilizados para identificar e investigar los incidentes de seguridad cibernética dentro del
entorno JPL cuando el compromiso tiene el potencial de impactar las operaciones o misiones de otros centros de la NASA (por ejemplo, , debido a la
interconexión a través de redes de misión compartida). Del mismo modo, la NASA SOC proporciona información para ayudar en el análisis y resolución de
El 1 de octubre, 2018, la NASA entró en un contrato de $ 15 billón de 5 años con Caltech para operar en nombre del JPL de la NASA.
Entre las disposiciones del contrato eran nuevos requisitos de seguridad de TI. 12
Sin embargo, la ejecución de varias funciones de seguridad de TI de Caltech no se acordaron cuando se firmó el contrato, sino que se fue a la
negociación adicional. En concreto, el nuevo contrato estipula JPL proporcionará a la NASA con un “Plan de Transición de TI” que refleja el plan de
Caltech para las operaciones y el cumplimiento de sus nuevas obligaciones contractuales, incluyendo un plan de implementación para cumplir con
la intención de las políticas y procedimientos de seguridad informática de la Agencia. Sin embargo, en marzo de 2019 la Agencia no había aprobado
los planes de transición y de aplicación propuestas de Caltech.
Para proteger una de datos, aplicaciones y sistemas, estándares de la industria y las regulaciones federales organización recomendar la
implementación de controles de TI y procesos de seguridad estándar. El Instituto Nacional de Estándares y Tecnología (NIST) desarrollaron una
estructura integral, conocido como el marco para mejorar la seguridad cibernética Infraestructura Crítica, para ayudar a las agencias de seguridad
cibernética en la gestión de riesgos y garantizar la efectividad de los controles de seguridad de los recursos de información. El marco se centra en
cinco funciones específicas esenciales para un programa efectivo de seguridad de la información:
1. Identificar componentes de una red que incluye un inventario de los activos físicos, conectividad y recursos que lo
soportan.
3. Detectar vulnerabilidades que pueden ser explotadas por usuarios no autorizados eran ellos para acceder a
la red, intrusiones de usuarios no autorizados que buscan explotar vulnerabilidades en una red, y los cambios de configuración y
codificación realizadas por usuarios no autorizados.
10 A pesar de operar bajo los requisitos establecidos en el contrato, a marzo de 2019 la NASA y Caltech no habían firmado
una versión final del acuerdo.
11 Una negación de evento de servicio es un ataque que impide o perjudica el normal funcionamiento de las redes, sistemas, o éxito
JPL sistemas de TI a las mismas normas de seguridad cibernética en su lugar a otros centros de la NASA, incluidos los requisitos de mandato federal en la Ley de
modernización de Información Federal de Seguridad de 2014 y la Oficina de Administración y Presupuesto (OMB) Circular A-130, Gestión de Recursos de Información
Federal ( 8 febrero de 1996).
En conjunto, estas funciones proporcionan una visión estratégica del ciclo de vida del programa de gestión de riesgos de seguridad cibernética de la
organización y asegurar que los controles de seguridad en lugar de proteger la confidencialidad, integridad y disponibilidad de datos, aplicaciones y sistemas
de una organización.
13 Un explotar es un ataque a un sistema de ordenador, especialmente uno que se aprovecha de una vulnerabilidad particular tal como un
14 Estos números fluctúan con el tiempo. Un servidor es un ordenador, dispositivo o programa dedicado a la gestión de los recursos de red.
15 El sistema científico de telecomunicaciones más grande y sensible en el DSN-mundo-es gama internacional de la NASA
antenas de radio gigantes que apoyan las misiones de naves espaciales interplanetarias, así como algunos que la órbita de la Tierra. Que consiste en instalaciones ubicadas en
Goldstone, California; cerca de Madrid, España; y cerca de Canberra, Australia, el DSN proporciona la conexión crucial para el mando de nuestra nave espacial más allá de la Tierra y la
recepción de sus datos e información científica.
dieciséis Un cortafuegos es un dispositivo de conexión inter-red que restringe el tráfico de comunicación de datos entre dos redes conectadas.
Un servidor de seguridad puede ser o bien una aplicación instalada en un ordenador de propósito general o una plataforma dedicada (aparato) que reenvía, rechaza, o gotas de
paquetes de datos en una red.
17 Los socios extranjeros incluyen Centro Nacional de Estudios Espaciales de Francia, Europeo de Operaciones Espaciales de la Agencia Espacial Europea
Centro en Alemania, la Organización de Investigación Espacial de la India, y la Agencia de Exploración Aeroespacial de Japón. Una pasarela es un nodo (a menudo asociado con
un router) en una red de ordenadores, un punto de parada clave para los datos en su camino hacia o desde otras redes. Un router es un hardware o relacionada con la red que se
conecta a Internet.
requisitos de seguridad JPL para control de acceso y sistema de remediación defecto especifican que el software de gestión de parches estar instalado en todos
los ordenadores y configurado para comunicar el estado de los parches, y que el éxito y fracasaron en el registro y cerrar sesión esfuerzos se registrarán en los
archivos del sistema y el registro de aplicación. 18
Además, se requiere que los administradores del sistema JPL para revisar los archivos de registro del sistema regular de actividad sospechosa o
inusual. CITO de JPL utiliza análisis de vulnerabilidad para evaluar la posición de seguridad de los sistemas de red habilitado a través de análisis
automatizado de los puertos y servicios mientras que examinan los niveles de parches sistema de red abierta. 19 Externamente se enfrentan los
sistemas son analizados regularmente y toda la red de JPL se escanea al menos mensualmente. Cuando CITO identifica una vulnerabilidad, un
registro de problemas de seguridad (SPL) boleto es emitido y el administrador del sistema debe tomar medidas correctivas para abordar el
problema. El billete SPL identifica la violación de seguridad e incluye una descripción del problema con una acción correctiva recomendada. Los
administradores del sistema remediar comúnmente vulnerabilidades mediante la aplicación de un parche de software, la actualización de la
configuración de un sistema, o la adición de un control de compensación como el cifrado para asegurar la integridad de datos. Un analista CITO
verificará que las medidas correctivas adoptadas por el administrador del sistema de tratar satisfactoriamente el problema que aparece en el
billete SPL antes de cerrarlo. 20
detección oportuna y eficaz respuesta a incidentes de seguridad cibernética. En consecuencia, el JPL ha desarrollado un Plan de Respuesta a Incidentes de
Seguridad Cibernética que detalla las funciones, responsabilidades y procesos para responder a incidentes cibernéticos relacionados que afectan-JPL. En
general, el JPL sigue el ciclo de gestión de incidencias y la vida respuesta adoptada por la NASA SOC, que se adhiere a las recomendaciones publicadas por
el NIST. El proceso, representado en la Figura 2, incluye siete fases-preparación, identificación, análisis, la contención, la erradicación, la recuperación y
seguimiento.
18 Un parche es una actualización de un sistema operativo, la aplicación, u otro software emitido para corregir problemas particulares con la
software. software de gestión de parches apoya la notificación sistemática, identificación, implementación, instalación y verificación del sistema operativo
y parches de aplicaciones.
19 Los scanners de vulnerabilidades son programas de software comerciales especializados que automatizan el proceso de detección de la vulnerabilidad.
Estos programas buscan bases de datos de vulnerabilidades conocidas asociadas con los sistemas operativos informáticos de uso común y las aplicaciones de software. Cuando
se encuentra una coincidencia, el escáner alerta al operador de una posible vulnerabilidad. Los escáneres de vulnerabilidades clasifican de acuerdo a su potencial para dañar el
sistema, permitiendo a las organizaciones a priorizar y abordar sus vulnerabilidades más críticas.
20 La renuncia es una solicitud abierta por el permiso para renunciar a la corrección de la vulnerabilidad o la aplicación de un requisito.
Un gravamen es una solicitud para retrasar la aplicación de un nuevo requisito o la corrección de una vulnerabilidad. Un gravamen debe incluir una fecha específica el retraso va a
terminar. Las renuncias y gravámenes deben ser aprobados por el administrador de IT Security Group, Gerente de Línea, Gerente de División (o director), y el JPL CISO.
Fuente: NASA OIG presentación de la información de la NASA Manual de Seguridad de TI 2810.09-02A, NASA Información de Seguridad Manual de gestión de incidencias, 17
de de marzo de, 2017.
Cuando se sospecha de un evento de seguridad de TI o incidente, JPL activa un equipo de respuesta a incidentes de llevar a cabo una investigación,
implementar estrategias de contención y erradicación, y coordinar la respuesta a incidentes con la NASA SOC, si es necesario. eventos de seguridad
pueden ser identificados a partir de una variedad de fuentes, incluyendo los sistemas de detección de intrusos, usuarios JPL, la NASA SOC, y otras
entidades externas. 21 SOC de JPL proporciona monitorización continua y la detección de eventos a través de una combinación de herramientas manuales y
automatizados, tableros de instrumentos, y sistemas de alerta. 22 Si un evento se determina que es un incidente válida, un investigador abre un boleto en el
Sistema de Gestión de Incidencias del JPL para documentar, informar y realizar un seguimiento del progreso de la investigación. El investigador principal y
el JPL SOC grupo y el supervisor de grupo trabajan conjuntamente para eliminar la amenaza del ambiente, restaurar los sistemas afectados al estado de
funcionamiento normal, e implementar el monitoreo de seguridad adicional o controles para evitar incidentes en el futuro.
• En enero de 2009, un cyberattacker penetrado con éxito un sistema informático en el JPL y extrae aproximadamente 22
gigabytes de datos del programa mediante la transferencia ilegal de la información a una dirección de Protocolo de Internet (IP)
en China. Los datos robados incluyen información protegida bajo el Tráfico Internacional de Armas Reglamento y legislación de
exportación. 23
Un seguimiento de la NASA Oficina del Inspector General de investigación (OIG) encontró que una significativa
21 Un sistema de detección de intrusos es un software que automatiza el proceso de detección de intrusos y se utiliza por las organizaciones para
apoyar sus esfuerzos de respuesta a incidentes. Se puede controlar y analizar eventos para identificar la actividad indeseable, proporcionar alertas a los administradores de seguridad, y
registrar la información relacionada con los fenómenos observados.
22 Cuadros de mando presentar y comunicar los datos en un formato organizado, visual para los usuarios interpretar y monitorear la actividad en su
• En 2011, el JPL descubrió otro ataque con direcciones IP basadas en chino en el que los intrusos cibernéticos obtuvieron acceso completo a
los 18 servidores apoyar misiones clave del JPL, incluyendo la emisión de DSN y espacial avanzado térmica y la misión Reflection Radiometer,
y las cuentas de usuario sensibles. 25 Con acceso total al sistema, los intrusos fueron capaces de: (1) copiar, modificar o borrar archivos
sensibles; (2) añadir, modificar o eliminar cuentas de usuario para los sistemas de misión crítica JPL; (3) cargar herramientas de hacking para
robar las credenciales de usuario y comprometer otros sistemas de la NASA; y (4) modificar los registros del sistema para ocultar sus acciones.
Intrusos residían dentro del sistema durante 2 semanas antes de su detección y el análisis de los archivos de registro del sistema de detección
de intrusos reveló 87 gigabytes de datos se había subido a las direcciones IP de los atacantes. En respuesta a esta intrusión, JPL
implementado medios para identificar actividades maliciosas y personal JPL SOC colocados en la llamada para responder a cualquiera de las
infracciones automatizado.
• En 2014, el JPL descubrió un intruso cibernético era capaz de cargar software malicioso en un servidor de soporte JPL misiones
astronómicas y la investigación después de un programa basado en la web instalado por el administrador del sistema permitió al público
para cargar y ejecutar archivos en el servidor. Investigación del compromiso reveló que el administrador no ha podido actualizar el software
de manera oportuna, proporcionando al atacante una oportunidad para que el acceso no autorizado a través de un equipo del JPL. JPL
OCIO respondió mediante la aplicación de controles de red adicionales, incluyendo los sistemas de prevención de intrusión y una mayor
segmentación de la red, para evitar que los servidores públicos de cara al acceso a la red interna JPL.
• En 2016, una mala configuración web dio lugar a un usuario anónimo obtener privilegios elevados que permitieron a un individuo para
ejecutar códigos en el servidor utilizado para el desarrollo de la arquitectura de software. El uso de Secure Sockets Layer, que asegura
que todos los datos transmitidos entre el servidor web y el navegador permanezcan cifrados, impidió herramientas de supervisión de
seguridad de la red de JPL desde la identificación de las medidas adoptadas por el mal actor antes de la detección.
• En marzo de 2017, un servidor JPL que se ejecuta el código fuente utilizado en las operaciones de tierra de la nave espacial científica se ha
visto comprometida por los hackers extranjeros que aprovechó una falla en el software, hardware o firmware que era desconocido para el JPL.
Como resultado, los intrusos ejecutar remotamente un código en el servidor sin necesidad de autenticación. Después de obtener acceso al
servidor, los hackers eran capaces de cargar, manipular y ejecutar varios archivos y comandos no relacionadas con el control de la nave
espacial. El análisis por la OIG determinó que el sistema no había sido parcheado en el tiempo ni el dueño del sistema de revisión oportuna del
registro de aplicación para identificar actividades sospechosas. Posterior al incidente remediación por el JPL OCIO incluido el filtrado de
contenido de rutina en los puntos de cortafuegos externos y mejoras en su política de uso de software para requerir la aprobación previa.
24 firewalls basados en host monitorear y controlar el tráfico de red entrante y saliente para un único servidor y proporcionan un adicional
capa de seguridad más allá del perímetro de la red. El malware se refiere a un programa que se inserta en un sistema, a menudo de forma encubierta, con la intención de
comprometer la confidencialidad, integridad o disponibilidad de los datos, las aplicaciones o el sistema operativo de la víctima.
25 Espacial avanzado de emisiones y reflexión Radiometer, un esfuerzo cooperativo entre la NASA y el Ministerio de Japón
de Economía, Comercio e Industria, es un instrumento de observación de la Tierra que proporciona datos útiles sobre la temperatura superficial del suelo, la vegetación y la distribución
de los suelos, y la hidrología, entre otras investigaciones y aplicaciones de la ciencia.
En última instancia, el alcance y el éxito de estas intrusiones demuestran la creciente complejidad de los desafíos de seguridad de
TI que enfrenta el JPL y la Agencia. Por ejemplo, el ataque de abril de 2018 la red de JPL ilustra cómo los atacantes sofisticados
pueden explotar las debilidades en el sistema de controles de seguridad del JPL. atacantes de amenazas persistentes avanzadas
paciencia y metódicamente se mueven de un sistema a otro en busca de puntos débiles en una red para avanzar en su ataque. En
este caso, el atacante, utilizando una cuenta de usuario externo, debilidades explotadas en el sistema de controles de seguridad
del JPL para moverse sin ser detectados dentro de la red JPL durante aproximadamente 10 meses. Antes de la detección y la
contención del incidente, el atacante exfiltraron aproximadamente 500 megabytes de datos de 23 archivos, 26
Más importante aún, el atacante accede con éxito dos de las tres redes primarias JPL. De acuerdo con ello, la NASA puso en duda la integridad de los
datos DSN relacionados con los sistemas de vuelo espacial y temporalmente desconectado varios sistemas relacionadas con los vuelos espaciales de
la red JPL.
26 El Laboratorio Científico de Marte Curiosity Rover es un laboratorio de ciencias itinerante diseñado para recoger el suelo de Marte y muestras de rocas,
analizar la radiación de la superficie, y hacer mediciones detalladas de composición de elementos y compuestos orgánicos.
Múltiples deficiencias en el control de seguridad de TI reducen la capacidad del JPL para prevenir, detectar y mitigar los ataques dirigidos a sus
sistemas y redes y la información de la NASA en esos sistemas y redes. En concreto, el JPL no tenía un inventario completo y preciso de todos
los componentes del sistema en su red, ni los controles de seguridad para vigilar y detectar eventos e incidentes cibernéticos funcione de forma
regular según lo previsto. Además, varias prácticas JPL gestión y respuesta a incidentes tales como la dotación de personal de la SOC y la
madurez de sus planes operativos se desviaron de la NASA y recomienda prácticas de la industria. Tomados en conjunto, estos defectos se
exponen los sistemas de la Agencia, los datos y las aplicaciones pueden ser aprovechadas por los hackers y delincuentes cibernéticos.
27 El ITSDB es una herramienta de automatización para el proceso de certificación y acreditación, de acuerdo con el NIST mejor gestión del riesgo
prácticas.
28 Reglas JPL 36852 Rev. 15, Requisitos de seguridad cibernética ( 21 de agosto 2017).
Por otra parte, el JPL OCIO se basa en información de la ASR para comunicar problemas de seguridad a los administradores del sistema cuando los
dispositivos o aplicaciones se ven afectados o en riesgo. El OCIO también se basa en la ASR para asegurar que las aplicaciones cumplen con los
requisitos del sistema y para programar aplicaciones para la exploración de rutina. Sin embargo, el ITSDB no se actualiza constantemente dentro de plazo
de 30 días del JPL y los datos de inventario ASR no era exacta o completa. En consecuencia, los activos no registrados en la red de estos sistemas
desconocidos y pueden dejar de recibir los parches que necesitan. Además, el inventario de activos inexacta puede conducir a la pérdida de la valiosa
propiedad y los datos almacenados en estos activos, lo que socava los esfuerzos de otros procesos críticos de seguridad de TI. Además, activos
conectados a la red, pero no aceptado en el ITSDB no pueden ser examinados y borrar por funcionarios de seguridad del JPL. Como tal, el JPL puede no
ser capaz de controlar de manera efectiva, informar y responder a los incidentes de seguridad que afectan a los activos desconocidos o no registradas en
toda su red.
Sobre la base de análisis de vulnerabilidad realizadas por el Departamento de Seguridad Nacional (DHS) en abril de 2018 y los informes de los
sistemas críticos de la red JPL suministrada por Caltech, la NASA y el JPL SOC, que judgmentally seleccionaron 13 sistemas y trató de seguirles
la pista a la ITSDB y ASR. 30 Cuatro de los 13 sistemas no fueron registrados adecuadamente y no se pudo localizar en la base de datos de ASR.
Después de lo notificamos a los funcionarios JPL OCIO, quitaron el acceso externo a uno de los sistemas que no cumplían con los criterios de
ASR, crea un registro de ASR para otro, y corregir la información ASR existente para los dos sistemas restantes. 31
Por otra parte, los administradores de sistemas no se actualizan constantemente el sistema de inventario cuando se añaden
dispositivos a la red. Específicamente, se encontró que 8 de 11 administradores de sistemas responsables de la gestión de los 13
sistemas de la muestra mantienen una hoja de cálculo de inventario separado de sus sistemas de los que se ponen al día
periódicamente la información de forma manual en el ITSDB. Un administrador de sistemas nos dijo que no entra regularmente
nuevos dispositivos en el ITSDB según sea necesario ya que la función de actualización de la base de datos a veces no funciona
y que más tarde se olvida de introducir la información de activos. En consecuencia, los activos pueden ser añadidos a la red sin
ser identificados y examinados por funcionarios de seguridad correctamente. 32 El dispositivo no debería haber sido permitido en la
red JPL sin la revisión y aprobación del JPL OCIO.
29 Los gerentes de línea se identifican los sistemas de TI y crear registros del sistema en el ITSDB; nombrar a los representantes del sistema y el sistema
administradores; y lo presentasen paquetes de acreditación sistema para autorizar los funcionarios; y asignar los activos de TI, incluidas las máquinas virtuales y las aplicaciones del lado
del servidor, a los planes de seguridad dentro de los 30 días de haber recibido una nueva propiedad.
30 El análisis de vulnerabilidades realizado por DHS era una rutina, exploración trimestral realizada de conformidad con DHS Encuadernación
Directiva Operacional 15-01, Requisito fundamental para la Mitigación de la vulnerabilidad Departamentos Branch federales civiles ejecutivos y Sistemas accesible por Internet
Agencias ( 21 de mayo de 2015).
31 En octubre de 2018, JPL desarrolló un plan para abordar esta cuestión y funcionarios OCIO Se espera que para ponerlo en práctica a finales de
32 Una Frambuesa Pi es un ordenador de tamaño de una tarjeta de crédito que se conecta a un monitor de ordenador o televisión, utiliza un teclado estándar
y el ratón, y es capaz de hacer todo lo que una computadora de escritorio puede hacer, desde la navegación por Internet para el procesamiento de textos y juegos.
El cyberattacker desde el incidente de abril 2018 explotó la falta de la segmentación de la red JPL para moverse entre diferentes
sistemas conectados a la puerta de entrada, incluyendo múltiples operaciones de la misión del JPL y el DSN. Como resultado en mayo
de 2018 agentes de seguridad de TI desde el Centro Espacial Johnson (Johnson), que se ocupa de programas como el Orion multiuso
tripulación del vehículo y la Estación Espacial Internacional, elegido para desconectar temporalmente de la puerta de entrada por
razones de seguridad. 34 funcionarios Johnson se refiere a los cyberattackers podían moverse lateralmente desde la puerta de entrada a
sus sistemas de misión, lo que puede acceder e iniciar señales maliciosos para misiones de vuelos espaciales humanos que utilizan
estos sistemas. Al mismo tiempo, los funcionarios de seguridad de TI Johnson interrumpieron el uso de datos DSN porque estaban
preocupados que podría estar dañado y poco fiable. Johnson restableció su conexión de puerta de enlace en noviembre de 2018 y
restaurada uso de datos de la nave limitadas en de marzo de 2019. Sin embargo, en marzo de 2019, Johnson no había restaurado el
uso de todos los datos de las comunicaciones debido a que persisten las preocupaciones sobre su fiabilidad. Mientras que la evaluación
de la exposición de su red a través de sistemas conectados a la puerta de enlace, 35
establecer, operar y mantener la interconexión. En concreto, el ISA documenta los requisitos para la conexión de los sistemas de
TI, se describen los controles de seguridad que se utilizarán para proteger
33 De acuerdo con funcionarios del JPL, la puerta de entrada ya ha sido trasladado a una zona diferente en la red JPL que es propiamente
segmentado para mitigar el movimiento lateral no autorizado a la misión y las redes institucionales.
34 La NASA está desarrollando la cápsula tripulada Orion para transportar una tripulación de cuatro astronautas a destinos más allá de la órbita terrestre baja en el
De acuerdo con funcionarios de seguridad de TI Johnson, un ISA-actualizada habría facilitado la toma de decisiones durante el ataque mediante
la identificación de los sistemas y datos que podrían estar expuestos a través de su conexión a la pasarela. Además, dicho acuerdo habría
proporcionado los funcionarios de Johnson con la información de contacto necesaria para la notificación oportuna de los hechos y la coordinación
adecuada para garantizar una respuesta bien informado para su exposición.
Del mismo modo, se encontró que la NASA no estableció un ISA con el usuario externo cuya cuenta se ha visto comprometida en el
incidente de abril de 2018 y en su lugar JPL utiliza un acuerdo de un “Documento de Control de Interfaz de la operación” a nivel de
misión -que proporcionó el acceso a la red de usuario a través de la pasarela remota. De acuerdo con funcionarios de seguridad de TI
JPL, el acuerdo de nivel de misión es menos detallada y no contiene el mismo nivel de requisitos de seguridad como un ISA. En
concreto, no (1) documentar los socios requisitos debe cumplir con el fin de conectar a los sistemas informáticos de la NASA, (2)
describir los controles de seguridad que se utilizarán para proteger los sistemas y datos, o (3) contienen un dibujo topológica de la
interconexión. En marzo de 2019, el JPL OCIO estaba en el proceso de revisión de un proyecto de ISA para el usuario afectado para
reemplazar el acuerdo de nivel de misión. 38 Sin esta información clave con respecto a los sistemas de conexión de TI y sus controles
de seguridad relacionados, redes JPL siguen siendo vulnerables a los ataques cibernéticos adicionales.
Cuando se identifica una vulnerabilidad potencial o real la seguridad del sistema de TI, JPL CITO crea un vale de registro de problemas de seguridad
(SPL) en el sistema de gestión de ITSDB. Una vez que se emite un boleto de SPL, el administrador del sistema tiene un máximo de 30 días para tomar
medidas correctivas, dependiendo de la gravedad de la vulnerabilidad. 39 El billete identifica la violación de seguridad e incluye una descripción del
problema y una acción correctiva recomendada, con los administradores de sistemas comúnmente remediar esas vulnerabilidades mediante la
aplicación de un parche de software o actualizar la configuración de un sistema.
36 NIST Publicación Especial (SP) 800-47, Guía de seguridad para la información Interconexión de Sistemas de Tecnología ( Agosto de 2002).
38 En marzo de 2019, funcionarios del JPL OCIO afirmaron que estaban trabajando con el Oficial de Seguridad de la Información mayor de la agencia de la NASA para
NIA de revisión con todos los socios externos para garantizar el acceso está limitado a los puertos necesarios solamente, protocolos y datos.
Plan Número de niveles de presión sonora sin resolver (Open) Número de niveles de presión sonora con una puntuación de 10 Crítica
7 5182 635
160 5 0
154 36 4
149 3 0
257 12 0
265 46 23
574 122 4
593 0 0
Además, cinco de los planes tenían un total de 3.137 entradas sin resolver SPL abierta durante más de 60 días (véase la Tabla 2).
Plan 1-30 días 31-60 Días 61-90 días 91-180 Días > 180 Días Total
154 13 3 3 14 3 36
149 3 - - - - 3
257 7 1 2 2 - 12
265 6 5 23 2 10 46
574 34 9 7 14 58 122
593 0 - - - - 0
JPL no se refirió de manera efectiva una vulnerabilidad de software conocido, identificado por primera vez en 2017, con un resultado crítico de 10. El mencionado
problema de software puede ser utilizado por cyberattackers ejecutar remotamente código malicioso, cifrar los datos en un sistema de destino, y los pagos de
demanda para desbloquear los datos . De marzo a abril de 2018, la JPL OCIO expedida el 16 de billetes de SPL para hacer frente a esta vulnerabilidad en sus
sistemas, pero a partir de septiembre 2018, sólo 3 entradas había sido cerrada. sistemas de JPL permanecieron sin parchear y expuestos a este
40 El Common Vulnerability Scoring System es un sistema de medición estándar para las industrias, organizaciones, gobiernos y
utilizado para caracterizar la gravedad de las vulnerabilidades y ayudar a priorizar las actividades de remediación. Una puntuación de 10 es la más alta y que se considere crítico.
JPL OCIO proporciona los administradores de sistemas la opción de renuncias que solicitan cuando no pueden resolver los billetes de presión sonora
dentro de los 6 meses. 41 Una renuncia permite a los administradores del sistema a renunciar a corregir una vulnerabilidad o la aplicación de un requisito,
como la instalación de parches de software o software antivirus, cuando aplican controles de seguridad alternativos para mitigar el riesgo. Renuncias, que
no tienen fechas de vencimiento, deben ser aprobados por el administrador de IT Security Group, Gerente de Línea, Gerente de División (o director), y el
JPL CISO. JPL política requiere representantes del sistema para revisar las renuncias anualmente para asegurar que los controles de seguridad de
compensación en lugar asociados con la exención, aún serán aplicables. 42
Sin embargo, encontramos que no se están revisando las renuncias abiertos como lo requiere la política de JPL. A octubre de 2018, la red de
JPL contenía 153 renuncias abiertas. De estos, 54 fueron otorgadas a los empleados ya no trabajan para el JPL y por lo tanto la razón de por
qué se necesitaba o una dispensa de probabilidades que se ha perdido. Además, de los 13 sistemas de JPL que probamos, 9 contenían
renuncias abiertos entre 7 y 11 años. Ninguno de los representantes del sistema para estos 13 sistemas podría confirmar si los exámenes
anuales requeridos para determinar la necesidad de seguir aplicando habían llevado a cabo las renuncias, y un representante del sistema no
estaba al tanto de su sistema tenía renuncias abiertas. En consecuencia, el JPL puede estar aceptando riesgos innecesarios al no evaluar la
validez de las renuncias abiertos sobre una base regular. Hasta el punto, en julio de 2018, funcionarios del JPL OCIO dijeron que dejaron de
autorizar nuevas renuncias. 43
41 JPL OCIO también proporciona los administradores de sistemas la opción de solicitar un derecho de retención cuando las entradas de SPL no pueden ser resueltos dentro de
30 días, pero tendrán menos de 6 meses en resolverse. Gravámenes se utilizan para los retrasos temporales en la resolución de vulnerabilidades, a menudo debido a razones operativas,
mientras que las renuncias se utilizan cuando las soluciones de mitigación son necesarias debido a las limitaciones de capacidad del sistema.
43 No se intentó determinar si estas renuncias de larga data fueron debidamente revisados y otorgados por el JPL OCIO.
Permiten a los administradores del sistema para desactivar las cuentas de usuario en lugar de
segundo de diciembre de 2008 eliminarlos, en el caso de personal con habilidades específicas regresan al proyecto
Permiten a los administradores del sistema para omitir JPL 36852 requisitos y no se instalan parches sobre
re de diciembre de 2008
una base mensual según sea necesario
Eximir de la obligación JPL para la aplicación mensual de actualizaciones de software relacionados con la
mi de julio de 2009
seguridad
F de agosto de 2009 Permiten a los administradores del sistema para omiten eliminar cuentas de usuario
sol de marzo de 2010 Eximir de la obligación JPL para cambiar las contraseñas cada 90 días
una Los nombres de los proyectos fueron retirados para permitir la liberación pública del informe.
Por ejemplo, uno de los proyectos tiene una exención de los requisitos de seguridad de TI JPL para cambiar las contraseñas cada 90 días. En cambio, el
proyecto se basa en unas cuentas de aplicaciones y equipo designado para compartir archivos de contraseñas, archivos de grupo, tablas de equipos y
otros archivos a través de la red. La intención del diseño de la aplicación era proporcionar información de la cuenta centralizada mediante el intercambio
de la información de usuario y de grupo a través de sistemas. Sin embargo, las debilidades de seguridad en esta aplicación particular hecho del medio
ambiente susceptibles a ataques, como permitir a cualquier usuario con una cuenta de acceso a cualquier sistema de uso de la aplicación. Además, esta
aplicación no es compatible con la caducidad de contraseñas. 44 Este tipo de debilidad autenticación podría permitir a un atacante acceder a la
identificación de usuario de un usuario autorizado conocido, y el sistema le daría al atacante todos los privilegios del usuario autorizado sin necesidad de
otra autenticación. Además, la aplicación ya no está soportada por las actualizaciones del proveedor de software y ya no están disponibles. 45
exenciones innecesarias, renuncias extendidos, y los controles de seguridad de compensación obsoletos exponen a la red JPL a la explotación por los
ataques cibernéticos. Si bien entendemos la necesidad de emitir dispensas de seguridad para sistemas particulares, permitiendo que las renuncias
permanezcan abiertas durante un tiempo indefinido sin revalidación periódica deja sin resolver vulnerabilidades en los sistemas y los parches no
aplicados susceptibles al ataque. Durante nuestra opinión, JPL OCIO confirmó que está revisando la idoneidad de todas las dispensas abiertas y los
planes para completar su revisión a finales de 2019.
44 Contraseña envejecimiento es un proceso que asegura que las contraseñas se cambian después de que haya transcurrido un período de tiempo determinado.
45 De acuerdo con funcionarios del JPL, en abril de 2019, que estaban en el proceso de puesta fuera de servicio de forma sistemática el uso de la
Los administradores de sistemas juegan un papel integral en la seguridad general de los sistemas informáticos dentro de su control. Troncos, que registran eventos que
ocurren en un sistema o red en particular, proporcionan información valiosa para detectar e investigar la actividad maliciosa. En consecuencia, el análisis de registros
de rutina es una práctica crítica para la identificación de los incidentes de seguridad o violaciónes de política y la política JPL requiere que los administradores del
sistema para revisar los archivos de registro del sistema para actividades sospechosas o inusuales sobre una base regular. 46 Desde revisión manual requiere una
cantidad significativa de tiempo y recursos, se anima a los administradores del sistema para utilizar herramientas automatizadas para revisar los registros del sistema,
Mientras que los administradores del sistema JPL responsables de la seguridad de TI eran conscientes de la necesidad de revisar los archivos de
registro, se encontró que muchos de ellos mal entendido sus responsabilidades en materia de gestión de registro y revisión. Específicamente, 9 de
cada 11 administradores del sistema de nuestra muestra crítico dijeron que creían que su análisis de rutina ya no era necesario una vez que sus
registros del sistema se envían a Splunk ES para la recogida y generación de informes. Por otra parte, 8 de cada 11 administradores de sistemas
señaló que no podían revisar sus registros porque no tienen acceso a Splunk ES. Sin embargo, el personal JPL SOC consideran los administradores
del sistema como la “primera línea de defensa” en la revisión de los archivos de registro a nivel de sistema individual, con el SOC un recurso
secundario que revisa los registros agregados creados por sus sistemas de detección de intrusos, análisis de eventos importantes, 48 Estas
afirmaciones contradictorias demuestran una falta de comunicación clara con respecto a las responsabilidades compartidas entre los administradores
de sistemas y personal de SOC para gestión de registros en el JPL.
De acuerdo con NIST, el análisis eficiente de la información relevante depende de una comprensión sólida de la línea de base
computación normales de una organización, tal como patrones típicos de uso en los sistemas y redes, y el valor relativo de estos
datos. 49 Dado el tamaño de las redes institucionales y la misión de JPL, el análisis de los registros de seguridad puede ser una
tarea de enormes proporciones y requiere la capacidad de interpretar la información de manera eficiente y reducir al mínimo la
cantidad de falsos positivos generados por las herramientas de monitorización de eventos. Debido a que los administradores de
sistemas tienen el mayor conocimiento de sus sistemas y aplicaciones, que están en mejor posición para identificar eventos de
importancia y remitirá las preocupaciones al JPL SOC. los registros del sistema y de las aplicaciones no revisado por los
administradores del sistema a causa de una mala interpretación de las responsabilidades colocan datos de la Agencia en riesgo de
compromiso si la actividad sospechosa no se identifica de manera oportuna.
47 Splunk ES es un software de seguridad basada en análisis que agrega y revisa los datos de red y del sistema para detectar de forma rápida y
La eficacia de la capacidad de la caza de una organización puede ser medido contra un “modelo de madurez” que se centra en la calidad de datos, herramientas
de seguridad que analizan los datos, y las habilidades de los analistas para la realización de una búsqueda (ver Figura 3). 53 Se evaluaron las capacidades de JPL
en base a las herramientas de seguridad cibernética, los procesos y el personal actualmente en vigor y determinamos que el JPL cae entre el Modelo de
50 NIST SP 800-92.
51 Si bien no se ha establecido una definición específica de la caza amenaza, el término se refiere generalmente al esfuerzo enfocado por
las organizaciones buscar proactivamente sus redes de amenazas avanzadas que poseen la intención, capacidad y oportunidad para evadir herramientas de seguridad
existentes.
52 La falta de ninguna metodología formal, publicado no es infrecuente. Una reciente encuesta realizada por el Instituto SANS-a, con fines de lucro privado
empresa especializada en seguridad de la información y un proveedor importante de la formación de ciberseguridad para los profesionales, los gobiernos y las instituciones comerciales en
todo el mundo, encontró que el 53 por ciento de los encuestados tenía un proceso de búsqueda en gran medida informal. SANS Institute, Amenaza de caza: Open Season en el adversario ( De
abril de 2016).
53 David Bianco, “Un Modelo de Madurez de Caza simple” La detección y respuesta de la empresa ( blog) 15 de octubre de 2015, http: // detectable
El Instituto SANS y otros expertos en seguridad recomiendan el establecimiento de procedimientos estandarizados para cualquier programa de amenazas en la
caza exitosa. Mientras JPL dirige la caza amenaza usando una variedad de herramientas de seguridad cibernética (por ejemplo, Splunk ES y Snort) para
analizar y evaluar las amenazas, junto con el intercambio de información piensos (taxii / Stix), estos esfuerzos están a la altura de una metodología publicada
para los analistas del SOC. 54 plan de respuesta a incidentes de JPL también no incluye ningún procedimiento específico amenaza de caza. Un proceso
documentado que define las técnicas analistas deben seguir, incluyendo la generación de hipótesis con respecto a la actividad maliciosa en un entorno de TI y
la actualización de las capacidades de detección automatizado basado en amenazas descubiertas, reduce las ineficiencias de técnicas aleatorias y guía a los
analistas JPL SOC también entrevistados describen un proceso general mediante el cual se analizan los indicadores de compromiso y alertas para
determinar si un adversario ha penetrado en un sistema. Si bien es comprensible, el Instituto SANS advierte cazadores de amenazas para evitar ser
demasiado dependientes de los indicadores de compromiso para impulsar sus actividades. Por ejemplo, muchos datos de amenaza alimenta la falta
contexto apropiado para que sean verdaderos indicadores de sistemas comprometidos y siguientes cada pieza de datos podría llevar un analista a una
red o sistema incorrecta o no comprometida. En lugar de ello, el Instituto SANS y otros especialistas de la industria alientan a las organizaciones a
desarrollar una metodología formal con los pasos y procedimientos claramente definidos para mejorar la priorización de las investigaciones de
incidentes, lo que lleva a una situación de seguridad mejorada.
gobierno para mitigar y responder a las amenazas informáticas es tener una mano de obra cualificada seguridad cibernética, bien entrenado. 55 De acuerdo con datos
54 Snort es una intrusión en la red software de sistema de detección de código abierto para Linux y Windows para detectar amenazas emergentes.
Taxii y Stix son especificaciones técnicas impulsadas por la comunidad diseñados para permitir el intercambio de información automatizado para el conocimiento de la situación
de seguridad cibernética, defensa de la red en tiempo real y análisis de amenazas sofisticadas.
55 GAO, Fuerza de Trabajo ciberseguridad: Agencias necesidad de mejorar las evaluaciones de línea de base y procedimientos para la codificación de Posiciones
• proporcionar una formación de seguridad basada en roles para el personal con funciones y responsabilidades de seguridad asignados antes de autorizar el
• proporcionar una formación de seguridad basada en roles para el personal con funciones y responsabilidades de seguridad asignados
• definir la frecuencia para proporcionar capacitación en seguridad de actualización basado en roles a partir de entonces al personal con funciones y
• proporcionar una formación de seguridad basada en funciones de actualización para el personal con funciones de seguridad asignadas y
A partir de abril 2019, el JPL no tenía un programa de entrenamiento basado en roles, proporcionar una formación adicional de seguridad de la información para los
administradores de sistemas, ni financiar sus certificaciones de seguridad de TI. 57 funcionarios JPL OCIO dijeron que planean implementar el programa de entrenamiento
basado en funciones en julio de 2019; Sin embargo, este programa se enfrenta a varios retos, incluyendo la liberación de personal para asistir a la formación y la
necesidad de financiación adicional asociado con los cursos de formación basados en roles previstos. 58
56 NIST SP 800-53 Rev. 4, Seguridad y privacidad Los controles para los sistemas y organizaciones de Información Federal ( Abril 2013).
58 La ejecución de los programas de formación se retrasó de febrero 2019 hasta julio 2019, debido a que el gobierno de 35 días
US-CERT
CRFA ARC GRC GSFC HQ JPL JSC KSC LRC MSFC SSC
Categoría
CAT 1- Acceso no
autorizado una 27 53 22 133 102 133 131 50 54 84 19
CAT 2-
Denegación 0 1 1 17 1 1 3 0 2 3 0
de Servicio segundo
CAT Código
malicioso 3- do 13 20 19 72 21 8 64 63 15 35 10
CAT 4- uso
incorrecto re 2 6 7 21 5 6 80 10 37 25 6
Nota: Armstrong Flight Research Center (CRFA), Centro de Investigación Ames (ARC), Glenn Research Center (GRC), Goddard Space Flight Center (GSFC), Sede (HQ), del
Jet Propulsion Laboratory (JPL), Johnson Space Center (JSC) , el Centro Espacial Kennedy (KSC), Centro de Investigación Langley (LRC), el Centro de Vuelo Espacial
Marshall (MSFC), y el Centro Espacial Stennis (SSC).
una CAT-1 no autorizada acceso es cuando un individuo ganancias de acceso lógico o físico sin permiso a una red de agencias federales, sistemas,
los recursos con éxito. Esta actividad incluye ser la víctima o participar en la denegación de servicio.
do CAT-3 Código malicioso es la correcta instalación de software malicioso (por ejemplo, virus, gusano, troyano, u otra entidad maliciosa basada en el
La gravedad de un incidente a menudo depende de la cantidad de tiempo que un intruso es capaz de mantener un punto de apoyo dentro de
la red de una organización, por lo que la disponibilidad de la vuelta al reloj de respondedores incidentes es fundamental para la contención
oportuna de actividades sospechosas y la mejora de la capacidad de respuesta a incidentes de JPL . Aunque el JPL SOC intenta aprovechar
la ayuda de otros equipos dentro de la JPL y la NASA OCIO SOC cuando sea necesario, que no externalizar ninguna respuesta a incidentes
y las actividades de detección. Mientras que los equipos de respuesta a incidentes pueden estructurarse usando una variedad de modelos, la
adopción de un enfoque más flexible en podría reducir la carga sobre el personal permanente durante los momentos de mayor actividad e
investigación. Por ejemplo, según una encuesta de respuesta a incidentes 2014 SANS Institute, 59 Dado el alto número de incidentes y
personal limitado, aprovechando el talento y la experiencia de los recursos del SOC no JPL podría llenar posibles lagunas capacidad de
detección.
Es ampliamente reconocido que las intrusiones son inevitables y que las organizaciones deben tomar medidas apropiadas para detectar y responder
a incidentes de este tipo una vez que ocurren. El desarrollo de una política de respuesta a incidentes que identifica roles y responsabilidades, define
qué eventos deben considerarse incidentes, y establece los requisitos de información es un componente integral de una capacidad de respuesta
efectiva. De acuerdo con el NIST, una política de respuesta a incidentes sirve como el “fundamento” de programas y organizaciones de respuesta a
incidentes de una organización debe desarrollar un plan correspondiente para proporcionar una hoja de ruta para la implementación de políticas. 60 Mientras
JPL general dirigida la mayor parte de los elementos recomendados en su plan de respuesta a incidentes, el plan necesita actualizaciones
adicionales para asegurar la aplicación efectiva de sus capacidades de respuesta a incidentes. Específicamente, el plan no incluye, o sólo
parcialmente incluye, los siguientes elementos:
• medidas de desempeño
• revisión anual
En un entorno de TI de rápida evolución, la inclusión de estos elementos adicionales del JPL ayudará a asegurar que mantiene un
plan de respuesta a incidentes completa alineado con sus objetivos de respuesta a incidentes. Por ejemplo, una hoja de ruta discutir
la adaptabilidad del programa de gestión de incidencias del JPL, incluyendo la identificación de mejoras y actualizaciones para el
software de detección, la dotación de personal ajustes para hacer frente a una mayor actividad de alerta, y los plazos para la
actualización del plan de respuesta a incidentes ayudará a asegurar que el OCIO mejora continuamente como nueva amenazas
surgen. Del mismo modo, la inclusión de medidas de rendimiento, tales como la duración media de tiempo entre un incidente que se
informa y el incidente está cerrado para cada ataque o el tiempo que tomó para reportar el incidente a apropiarse de las entidades
externas (por ejemplo,
Un plan de respuesta a incidentes actualizado también ayudará a agilizar el proceso de JPL para la identificación y gestión de los ataques cibernéticos y
proporcionar procedimientos claros para el personal actual y futuro. Nuestras conversaciones con analistas e investigadores SOC JPL revelaron que la
mayoría se basan en su experiencia personal para responder a las alertas, identificar falsos positivos, y evaluar el comportamiento anormal de la red.
Describieron un proceso de discusiones informales y métodos de análisis subjetivos para llevar a cabo sus responsabilidades de detección. Aunque
reconocemos el beneficio de la identificación de alertas creíbles y responder a los incidentes sobre la base de la experiencia institucional, creemos que
coloca una confianza indebida en el análisis individual e impide la estrategia a largo plazo de mantener una capacidad de respuesta a incidentes madura
que proporciona una dirección clara para los analistas del SOC .
60 NIST SP 800-61 Rev. 2, Guía de Manejo de Incidentes de Seguridad Informática ( Agosto 2012).
misión.” 61 Por ejemplo, el Manual Cultura de Seguridad de la NASA describe una cultura de aprendizaje como uno donde los empleados recogen, evaluar y
compartir información en un ambiente de comunicación abierta y los valores compartidos y las lecciones. 62 Manual de seguridad de TI de la NASA para la gestión
de incidentes también alienta un programa que se ocupa de intercambio de información amenaza cibernética dentro de la Agencia. 63 Documentación e
intercambio de información para ayudar a prevenir futuros incidentes es un componente crítico de un programa de respuesta a incidentes eficaz. Sin embargo,
encontramos iniciativas actuales del JPL están a la altura de la cultura de aprendizaje de la NASA se esfuerza por poner en práctica a través de la Agencia.
Aunque JPL desarrolla boletines posteriores a los incidentes, se aplica la experiencia adquirida directamente en las operaciones sobre una base ad hoc, o
realiza reuniones siguientes incidentes particulares, las lecciones específicas pueden no estar llegando a su público objetivo. Hablamos con 17
administradores de sistemas que proporcionan respuestas incoherentes con respecto a la existencia y disponibilidad de tales lecciones aprendidas
información. 64 Mientras que algunos afirmaron que ninguna información se comparte, otros indicaron que el JPL OCIO comparte información con poca
frecuencia y,
61 Directiva de Política NASA 7120.6, Política conocimiento de Programas y Proyectos ( 26 de de noviembre de 2013).
62 Manual Técnico NASA 8709.24, Manual Cultura NASA Seguridad ( 23 de noviembre 2015).
63 Manual de Seguridad de la NASA TI 2810.09-02A, Manual de Gestión de Incidencias de la NASA seguridad de la información ( 17 de de marzo de, 2017).
64 Además de los 11 administradores del sistema de la muestra crítico, se realizó una encuesta a la que hemos recibido
Estas reuniones proporcionan una valiosa formación para los miembros del equipo e identificar indicadores de posibles incidentes en el futuro. El
Instituto SANS también fomenta el desarrollo de un informe o una presentación de Power Point que resume la información relacionada con el alcance
de los incidentes de seguridad, el trabajo realizado para recuperarse del incidente, y la identificación de áreas que fueron efectivas o necesitan
mejorar. 66 En consecuencia, creemos que el JPL SOC necesita desarrollar mecanismos más eficaces para compartir las lecciones aprendidas para
asegurar que las partes interesadas responsables de proteger los activos de TI están recibiendo la información adecuada en el momento oportuno.
El contrato de la NASA con el Caltech no proporciona la Agencia con la debida supervisión de entorno de TI del JPL para garantizar la protección y
gestión de los datos de la NASA, aplicaciones y sistemas. A medida que el contratista que opera en nombre del JPL de la NASA, Caltech mantiene el
control sobre la selección e implementación de controles de seguridad de los datos, sistemas y aplicaciones de mantenimiento en la red de JPL. A
pesar de no tener un control directo sobre estos activos, el interés de la NASA en la seguridad de los sistemas de información que recogen, procesan y
transmiten datos de la Agencia exige una supervisión adecuada del entorno de TI del JPL para asegurar que los controles de seguridad aplicados a los
sistemas y aplicaciones son apropiadas. 67
Por otra parte, mientras que la NASA SOC nos informó que todos los ataques de este tipo deben ser reportados por el JPL, 17 de los 91 incidentes
incluidos en el “no notificable” lista JPL siempre fueron categorizados como “código malicioso”, sugiriendo interpretaciones inconsistentes de términos
generalmente definidos en el acuerdo. Sin una mayor claridad en cuanto a lo que constituye un incidente reportable, la NASA no puede estar
recibiendo todos los datos necesarios para garantizar la adecuada protección de la información sensible Agencia.
67 En 2009, la GAO identificó de manera similar a la falta de disposiciones contractuales que proporciona la NASA con una supervisión eficaz de Caltech de
programa de TI y la implementación de controles de seguridad y recomendó la Agencia incluyen todos los requisitos de seguridad en el contrato JPL. GAO, Seguridad de la
información: La NASA necesita a la Reparación de vulnerabilidades de las redes (clave GAO-10-4, 15 de octubre de 2009).
directamente los activos de la NASA en la red JPL. En concreto, la NASA SOC le gustaría mejorar el intercambio de datos con el JPL y desarrollar la capacidad
de supervisar directamente los activos de la NASA en la red JPL. Caltech, sin embargo, ha resistido previamente a tales esfuerzos, afirmando preocupaciones
sobre la privacidad cuando la Agencia trató de aumentar su visibilidad en las redes JPL. Además, mientras que la NASA SOC realiza la exploración de la
vulnerabilidad de la red JPL y notifica JPL de cualquier actividad sospechosa, NASA SOC no comprueba si las vulnerabilidades han sido remediado. Esta falta de
conocimiento de los esfuerzos de seguimiento de JPL impide la Agencia de proporcionar una supervisión adecuada de los controles de seguridad del JPL.
A pesar de estas preocupaciones de larga data, la NASA no incluían explícitamente que comparten estos datos o requisitos de supervisión en el
contrato de 5 años que firmó con el Caltech en octubre de 2018. Por otra parte, la seguridad era uno de los temas dejan sin resolver cuando se
implementó el nuevo contrato, con la Agencia y Caltech acordando continuar la negociación de estos temas a través de la aprobación de un plan de
Transición de TI se pide en el contrato. Este plan, junto con un plan de implementación OCIO, describe el enfoque propuesto por Caltech a cumplir con
sus nuevas necesidades y la satisfacción de la intención de las políticas de seguridad de TI de la NASA. 68 Aunque se han establecido planes de
ejecución para el nuevo contrato entre el JPL y otras oficinas de la NASA, como la Oficina de Seguridad y de la misión de Aseguramiento y la Oficina
del Ingeniero Jefe de abordar las cuestiones de seguridad y relacionados con la misión, a marzo de 2019 Organismo y Caltech continuaron no estar de
acuerdo sobre cómo abordar las nuevas políticas y los requisitos de seguridad de TI. Las principales cuestiones pendientes incluyen la implementación
de diagnósticos continuos y Mitigación en el JPL, la transición de los sistemas de JPL fuera del dominio del gobierno y en un ámbito privado, y
establecer el cumplimiento de los sitios web del JPL con los requisitos reglamentarios pertinentes, entre ellas la Ley de modernización de Información
Federal de Seguridad de 2014. 69
Aparte de estas negociaciones en curso, los agentes de seguridad de TI de la NASA dijeron que están trabajando para mejorar su supervisión y control de la
seguridad de la red JPL. Algunas de las mejoras deseadas incluyen prácticas de respuesta a incidentes consistentes con las prácticas del SOC de la NASA; 24
horas al día, 7 días a la semana de monitorización de eventos; participación en medicina forense aspectos de remediación incidente; y un mejor intercambio de
información, incluida la participación del JPL en la recolección de los planes de seguridad del sistema a través de la Agencia de la NASA en una ubicación
68 Los requisitos de seguridad incluyen la NASA Política Directiva 2800.1B, La gestión de tecnología de la información ( 21 de marzo de 2008); NASA
Requisitos de procedimiento 2810.1A, Seguridad de Tecnología de la Información (revalidado con el cambio 1, de fecha 19 de mayo de 2011)
(16 de mayo de 2006); y la Ley de Modernización de Seguridad de Información Federal de 2014, y no se enumeran específicamente en el contrato anterior.
69 Diagnósticos continuos y mitigación es un programa de seguridad de TI federal desarrollado por la OMB y administrado por el DHS que
proporciona agencias con herramientas de seguridad de TI para identificar problemas de seguridad y ayudar a satisfacer los requisitos de seguridad federales. La NASA comenzó a
implementar diagnósticos continuos y herramientas de mitigación en noviembre de 2016 y espera que el software para, entre otras cosas, ayudar a identificar los bienes relacionados con su
gestión de redes, parche de apoyo y la vulnerabilidad y aumentar la visibilidad de todas las redes.
A medida que el centro de los esfuerzos de investigación de robótica interplanetaria de la NASA, JPL y sus sistemas de TI mantienen una amplia presencia en
Internet público, mientras que el apoyo a las misiones y las redes que controlan la nave espacial, recoger y procesar datos científicos, y realizan funciones
operativas críticas. A pesar de sus esfuerzos para proteger estos activos, vulnerabilidades críticas siendo ese lugar JPL en riesgo de intrusiones cibernéticas
que resulta en el robo de información crítica. Hemos identificado una serie de debilidades en el sistema de controles de seguridad colectiva que disminuyen su
capacidad para prevenir, detectar y mitigar los ataques cibernéticos dirigidos a sus sistemas y redes informáticas del JPL. Varias de estas debilidades fueron
explotadas durante una violación de la seguridad de abril de 2018 dio lugar a la pérdida de aproximadamente 500 megabytes de datos. La incapacidad para
proteger contra los ataques cibernéticos en las amenazas persistentes avanzadas generales y en determinados lugares de estado de la Agencia como un líder
mundial en la exploración y la aeronáutica espacio de investigación en riesgo. De acuerdo con ello, la seguridad de red efectiva requiere un sistema de
Además, la NASA no tiene suficiente supervisión en el sistema de controles de seguridad del JPL para vigilar y proteger los activos de la Agencia de
manera efectiva. La NASA es responsable de asegurar sus activos de TI están protegidos contra el acceso no autorizado o inapropiado, incluyendo
los activos de la red gestionada por el JPL Caltech en virtud del contrato de la NASA con la universidad. Las mejoras en los controles de seguridad y
de una mayor supervisión JPL de la NASA es crucial para asegurar la confidencialidad, integridad y disponibilidad de los datos de la Agencia.
Para mejorar los controles de seguridad de red JPL de la NASA y proporcionar una mayor supervisión, se recomienda el Director de la Oficina
de Gestión de la NASA instrucciones al Director de Información JPL a:
1. Exigir a todos los administradores de sistemas para revisar y actualizar el ITSDB para asegurar que todos los componentes del sistema están
debidamente registrados en la base de datos, y requieren el JPL CITO revisar periódicamente la ITSDB para el cumplimiento de este
requisito.
2. segregar compartida entornos conectados a la pasarela de red para todos los asociados con el acceso a la red y
monitor de ocio JPL cuando se accede a la red.
3. Revisar y actualizar las NIA para todos los socios conectados a la pasarela de red para asegurarse de que se componen actualizada y
disponible para la NASA OCIO.
4. Exigir el JPL CITO para identificar y remediar las deficiencias en el proceso de compra de entradas SPL y proporcionar informes periódicos al
envejecimiento JPL CIO que detallan el estado de las entradas SPL abiertos, parches pendientes, y las renuncias de seguridad obsoletas.
5. Exigir el JPL CITO para completar su validación y actualización de las renuncias abiertos, realizar revisiones anuales para garantizar los
representantes del sistema están validando la necesidad de la exención, y proporcionar la documentación de la NASA de estas renuncias.
6. Aclarar la división de responsabilidades entre el JPL OCIO y los administradores de sistemas para la realización de exámenes de
rutina de registro y controlar el cumplimiento de este requisito de manera más frecuente.
7. Implementar el programa de entrenamiento basado en roles prevista para julio de año 2019.
8. Establecer un proceso formal, documentada amenaza de caza que incluye las funciones y responsabilidades, procesos estándar para la
realización de una búsqueda, y métricas para monitorear el éxito.
9. Desarrollar y aplicar una estrategia global para el conocimiento de TI institucional y la gestión de incidencias, que incluye
la difusión de las lecciones aprendidas a los administradores de sistemas y otro personal apropiado.
10. Incluir los requisitos de la pendiente de TI plan de transición para la aplicación de herramientas de monitoreo continuo que proporcionan el SOC de
la NASA con la supervisión de las prácticas de seguridad de red JPL para asegurarse de que protegen adecuadamente los datos de la NASA,
sistemas y aplicaciones.
La dirección no están de acuerdo con la recomendación número 8, indicando que no es responsabilidad de Caltech como un contratista de la NASA para poner
en práctica un proceso de amenazas en la caza. En su lugar, la gestión de la NASA indicó que se moverá hacia adelante para establecer esta capacidad
después de que el Instituto Nacional de Estándares y Tecnología proporciona agencias federales con la orientación formal de amenazas en la caza.
Dado que la gestión indicado su intención de poner en práctica la recomendación al recibir orientación adicional, creemos que podría ser
resuelto si el Organismo proporciona una fecha prevista para la implementación de la capacidad de amenazas en la caza. Hasta
entonces, esta recomendación se mantendrá pendiente de debate no resuelto con la Agencia.
comentarios de la administración se reproducen en el Apéndice C. comentarios técnicos proporcionados por la dirección y las revisiones para abordar las
preocupaciones de seguridad acerca de la divulgación pública de este informe también se han incorporado en su caso.
Los principales contribuyentes a este informe incluyen Raymond Tolomeo, Ciencia y Director de Investigación Aeronáutica; Gerardo Saucedo,
Director del Proyecto; Joseph Bennett; Anh Doan; Ciro Geranmayeh; Jiang Yun Lu; Behshad Sedighi; y Lauren Suls.
Si tiene alguna pregunta o desea hacer algún comentario sobre la calidad o utilidad de este informe, póngase en contacto con Laurence Hawkins,
laurence.b.hawkins@nasa.gov .
Paul K. Martin
Inspector General
Se realizó esta auditoría partir de abril de 2018 hasta abril de 2019 de acuerdo con las normas de auditoría gubernamental generalmente aceptadas. Tales
normas requieren que planifiquemos y realicemos la auditoría para obtener evidencia suficiente y apropiada para proporcionar una base razonable para
nuestros hallazgos y conclusiones basadas en nuestros objetivos de la auditoría. Creemos que la evidencia obtenida proporciona una base razonable para
nuestros hallazgos y conclusiones basadas en nuestros objetivos de la auditoría.
Durante nuestra auditoría, se entrevistó a representantes JPL TI y revisaron mapeo de la red informática de JPL para obtener una comprensión de la
estructura de las redes de JPL y sus procesos organizativos y operativos de seguridad. Se comparó la lista de inventario del sistema y verificado con
diversas bases de datos de origen, como el ITSDB y ASR. También obtuvimos una lista de vulnerabilidades críticas de fuentes tales como los informes
de auditoría de Caltech, informes de incidentes JPL SOC, y la Evaluación de Higiene del Cyber de la NASA realizada por las Evaluaciones de Seguridad
Cibernética Nacional del DHS y Servicios Técnicos. El informe del DHS cibernético Higiene incluye redes recubrimiento exterior JPL entre noviembre de
2017 y abril de 2018 y puso de relieve las redes recubrimiento exterior más problemáticos. A partir de estos informes, se seleccionaron y revisaron una
muestra de 13 sistemas y sus planes de seguridad del sistema, así como las entradas relacionadas SPL. Nuestra selección incluye sistemas externos
de revestimiento, los sistemas de misión, y otros sistemas de la red corporativa JPL. Rastreamos estos sistemas a sus planes de seguridad del sistema
apropiados, que engloban 3.541 sistemas en total. Además, se entrevistó a los administradores de sistemas y representantes del sistema de los 13
sistemas seleccionados, así como los propietarios de los procesos de formación, el módulo de gestión de parches, escaneo de vulnerabilidades, tickets
de SPL, dispensas y los embargos, de acceso extranjero, y la respuesta a incidentes. Se revisaron los objetivos de nivel de servicio se establecen entre
el JPL y la NASA SOC SOC en cuanto al alcance y las expectativas para la entrega de eventos e incidentes documentación y presentación de informes.
También entrevistamos al personal JPL SOC con respecto a los procesos de respuesta a incidentes documentados de JPL. Adicionalmente, se
entrevistó a funcionarios de la NASA y la NASA OCIO SOC para entender las funciones de supervisión de la Agencia y responsabilidades para la
notificación de incidentes y respuesta. Por último, se revisaron los criterios federales, la NASA y JPL, políticas y procedimientos y la documentación de
apoyo, informes de auditoría anteriores, exámenes externos, y otros documentos relacionados con la seguridad cibernética. Los documentos revisados
que incluyen, pero no se limitan a, los siguientes:
• DHS unión operativa Directiva 15-01, Requisito fundamental para la Mitigación de la vulnerabilidad Departamentos Branch
federales civiles ejecutivos y Sistemas accesible por Internet de las Agencias
(21 de mayo de 2015)
• NIST, Marco para la Mejora de la Infraestructura Crítica ciberseguridad Versión 1.1 ( 16 de de abril de, 2018)
• NIST Special Publication (SP) 800-37 Rev. 1, Guía para la aplicación del marco de gestión de riesgos a los Sistemas de Información Federal:
un Enfoque del Ciclo de Vida de Seguridad ( Febrero de 2010)
• NIST SP 800-39, Gestión de Riesgos de Seguridad: Organización, Misión y Sistema de Información Ver ( Marzo de
2011)
• NIST SP 800-53 Rev. 4, Seguridad y privacidad Los controles para los sistemas y organizaciones de Información Federal ( Abril
2013)
• NIST SP 800-53A Rev. 4, La evaluación de los controles de seguridad y privacidad en Sistemas de Información Federal y organizaciones: Planes
• NIST SP 800-61 Rev. 2, Guía de Manejo de Incidentes de Seguridad Informática ( Agosto 2012)
• Directiva de Política de la NASA (NPD) 1000.3E, La Organización NASA w / Cambio 39 (aprobada el 26 de de octubre de, 2018) ( 15 de abril de
de 2015) como
• Manual Técnico NASA 8709.24, Manual Cultura NASA Seguridad ( 23 de noviembre 2015)
• NASA Requisitos de procedimiento 2810.1A, Seguridad de Tecnología de la Información (revalidado con el cambio 1, de fecha 19 de mayo de
• Reglas JPL 36852 Rev. 15, Requisitos de Seguridad Cibernética (JPL 21 de agosto 2017)
• Reglas JPL 62013 Rev. 20, Plan de contingencia JPL Tecnología de la Información (PICT) ( 19 de abril 2018)
Hemos utilizado los datos procesados por computadora para llevar a cabo esta auditoría, y se utilizó esos datos para materialmente hallazgos de
apoyo, conclusiones y recomendaciones. Con el fin de evaluar la calidad y fiabilidad de los datos, se comparó la información con otros
documentos de apoyo disponibles, corroborando con los documentos del programa y aportaciones de varios funcionarios del programa. A partir de
estos esfuerzos, creemos que la información obtenida es suficientemente fiable para este informe.
Revisamos y evaluamos los controles internos relacionados con los procesos de seguridad de red de TI JPL, así como los relacionados con nuestra
muestra de 13 sistemas de información. Examinamos los controles relacionados con la seguridad cibernética, incluyendo la identificación, protección,
detección y respuesta de los activos de TI. Las debilidades de control que hemos identificado se analizan en este informe. Nuestras recomendaciones, de
aplicarse, se corregirán las deficiencias de control identificadas.
La cobertura previa
Durante los últimos 7 años, la NASA OIG y Gao han emitido 24 informes de relevancia significativa para el tema de este informe. informes no
restringidas se pueden consultar en https://oig.nasa.gov/audits/auditReports.html
y https://www.gao.gov , Respectivamente.
Proceso de la NASA para la adquisición de Evaluación de Tecnología de la Información de Seguridad y Monitoreo de Herramientas
Ley Federal de Gestión de la Información de Seguridad: el año fiscal 2013 Evaluación ( IG-14-004, 20 de noviembre de 2013)
Gestión de la NASA de sus teléfonos inteligentes, tabletas y otros dispositivos móviles ( IG-14-015, 27 de Febrero, 2014)
La seguridad de las aplicaciones web de acceso público de la NASA ( IG-14-023, 10 de Julio, 2014)
Auditoría de riesgos físicos y Seguridad de la Información Tecnología de la Red Espacial ( IG-14-026 22 de julio de 2014)
Ley Federal de Gestión de la Información de Seguridad: el año fiscal 2014 Evaluación ( IG-15-004, 13 de noviembre de 2014)
Ley Federal de Gestión de la Información de Seguridad: el año fiscal 2015 Evaluación ( IG-16-002, 19 de octubre, 2015)
Ley Federal de Seguridad de la Información de modernización: el año fiscal 2016 Evaluación ( IG-17-002 7 de noviembre de 2016)
Control Industrial Sistema de seguridad dentro de las infraestructuras críticas y de apoyo de la NASA ( IG-17-011 8 de febrero, 2017)
Ley Federal de Seguridad de la Información de modernización: el año fiscal 2017 Evaluación ( IG-18-003 6 de noviembre de 2017)
Información Federal de Seguridad: El progreso mixto en Componentes del programa de ejecución; Las métricas mejoradas necesarias para medir la
Eficacia ( GAO-13-776, 26 de Septiembre de 2013)
Seguridad de la información: Agencias necesidad de mejorar las prácticas de respuesta de incidentes cibernéticos ( GAO-14-354, 30 de Abril, 2014)
Controles de exportación: Acción de Gestión de la NASA y una mejor supervisión necesarias para reducir el riesgo de acceso no autorizado a
sus tecnologías ( GAO-14-690T 20 de junio de 2014)
Información Federal de Seguridad: Las agencias necesitan para corregir las deficiencias y aplicar plenamente los programas de seguridad ( GAO-15-714,
29 de Septiembre, 2015)
Seguridad de la Información: Las agencias deben mejorar el control de los sistemas seleccionados de alto impacto
(GAO-16-501 18 de mayo de 2016)
Funcionarios federales Jefe de Seguridad de Información: oportunidades existen para mejorar Roles y Dirección desafíos a la autoridad ( GAO-16-686
26 de agosto de 2016)
Información Federal de Seguridad: Las deficiencias en Continuar para indicar la necesidad de la aplicación efectiva de políticas y prácticas ( GAO-17-549,
28 de Septiembre, 2017)
NASA Tecnología de la Información: Acción urgente necesaria para abordar la gestión significativas y debilidades de seguridad
cibernética ( GAO-18-337, 22 de Mayo, 2018)
Fuerza de Trabajo ciberseguridad: Agencias necesidad de mejorar las evaluaciones de línea de base y procedimientos para la codificación (Posiciones GAO-18-466 14
de junio de 2018)
la red de JPL es compatible con una variedad de misiones de la NASA actualmente en funcionamiento. La Tabla 5 muestra las áreas de soporte de
AMANECER
Parte del programa Discovery de la NASA, Dawn fue una misión
de la sonda espacial a los dos cuerpos más masivos del principal Lanzado en 2007, Dawn terminó su misión el 1 de
de asteroides Vesta y Ceres por correa. Amanecer en órbita noviembre de 2018. Actualmente está en órbita
alrededor y exploró el protoplaneta Vesta en 2011 y 2012, y ha alrededor de Ceres, donde permanecerá durante
estado en órbita alrededor del planeta enano Ceres desde marzo décadas.
de 2015.
DSN NOCC
DSN NOCC (Red Centro de Control de Operaciones) es responsable
múltiples en tiempo real. Operaciones realiza este trabajo con los Continúa proporcionando apoyo a las operaciones
Visión
JASON
La extensión de la línea de tiempo de las mediciones de la
juno
El objetivo principal de Juno es revelar información acerca de la
formación y evolución de Júpiter. El uso de tecnologías Lanzado en 2011, la nave espacial Juno
probadas largo en una nave espacial de giro colocado en una entrado con éxito en la órbita de Júpiter en
órbita polar elíptica, Juno observará la gravedad de Júpiter y los 2016 con sus operaciones científicas se
campos magnéticos, la dinámica atmosférica y la composición y extendió a
evolución. 2021.
MRO
El MRO (Mars Reconnaissance Orbiter) es una nave espacial
Lanzado en 2005, el orbitador sigue apoyando
multipropósito diseñado para avanzar en nuestra comprensión de
el Programa de Exploración de Marte mediante
Marte a través de la observación detallada, examinar los posibles
el apoyo a las comunicaciones futuras misiones
lugares de aterrizaje para futuras misiones de la superficie, y
a Marte durante la aproximación, la navegación,
proporcionar un relé de comunicaciones de alta velocidad de datos
y el relé.
para esas misiones.
NEOWISE
superior 2 pulgadas de tierra en todas partes en la superficie de Lanzado en 2015, los operadores de la misión
la Tierra durante un período de 3 años, cada 2 a 3 días. Esto se comunican con el observatorio y reciben
permite que los cambios que se observan en escalas de tiempo datos del instrumento a través de la red de
que van desde las grandes tormentas de mediciones repetidas de tierra cerca de la NASA.
cambios a lo largo de las estaciones.
Spitzer
Viajero
Voyager 1 y Voyager 2 son naves espaciales gemelas
lanzado por la NASA por separado en el verano de 1977.
Lanzada en 1977, Voyager 1 está en el
Su misión principal era la exploración de Júpiter y
espacio interestelar y Voyager 2 está en la
Saturno. Ambas sondas continúe enviando información
capa más externa de la heliosfera.
científica sobre su entorno a través de la DSN.
Administrador Asociado para la exploración humana y Operaciones de la Misión Director de Dirección responsable de
información, Director de la Oficina de Gestión de la NASA, el Jet Propulsion Laboratory director, el Centro Espacial
Johnson
de Responsabilidad
Director de la Oficina de Contratación y Adquisiciones del Seguro Nacional
Comité del Senado sobre Seguridad Nacional y Asuntos Gubernamentales del Comité
de Asignaciones
Subcomité de Comercio, Justicia, Ciencia y Agencias Relacionadas Comité de
Supervisión y Reforma
Subcomité para la Junta de Gobierno de operaciones Casa de