五角大樓監管機構的新報告將這些服務在網絡安全方面缺乏努力和在增材制造方面取得的巨大進步結合在一起。

　　賈斯汀卡茨

　　2021 年 7 月 7 日

　　一名海軍陸戰隊員在北卡羅來納州勒瓊營訓練期間調整 3D 打印機。資料來源：海軍陸戰隊。

　　華盛頓消息：五角大樓的監管機構在發現幾個機構的官員未能管理安全操作該技術所需的關鍵網絡安全控制措施后，對軍方對 3D 打印的長期探索發出警告。

　　因此，根據美國國防部監察長發布的一份新報告，使用該技術（正式稱為增材制造）的美國國防部“不知道現有的 AM 系統漏洞，這些漏洞使國防部信息網絡面臨不必要的網絡安全風險”。

　　“AM 設計數據的妥協可能會讓對手重新創造和使用國防部的技術，讓對手在戰場上獲得優勢。此外，如果惡意行為者更改了 AM 設計數據，這些更改可能會影響 3D 打印產品的最終強度和實用性，”GAO的報告繼續說道。

　　審計員最初選擇了九個服務機構，將其納入其報告；然而，在冠狀病毒大流行開始時發布的停止行動令迫使監察長辦公室將他們的樣本量減少到五個。在報告評估的機構包括海軍陸戰隊第一遠征部隊，海軍西南艦隊戰備中心，海軍信息戰中心，空軍60日維護組和沃爾特里德國家軍事醫療中心。

　　美國軍方網絡安全實踐與增材制造的碰撞是一場醞釀已久的沖突。

　　多年來，第三方監管機構一直督促五角大樓，因為五角大樓未能在采購過程中預先優先考慮網絡安全。在 SolarWinds、微軟以及最近的軟件公司 Kaseya 等公司遭到攻擊后，整個聯邦政府的網絡安全工作（或缺乏網絡安全工作）現在都受到嚴密審查，這些公司已經開辟了進入聯邦網絡的途徑。

　　與此同時，美國軍方一直渴望宣傳他們在增材制造方面的進步。海軍陸戰隊官員經常表揚加利福尼亞的一名士兵，他在設計 3D 打印坦克葉輪后節省了無數美元和時間。正如媒體去年報道的那樣，美國陸軍對可以通過增材制造生產黑鷹直升機的哪些部件很感興趣。Breaking Defense 還報道稱，前空軍采購執行官威爾·羅珀 （Will Roper） 承諾，在 10 月份舉辦的先進制造競賽中，他的服務將“即將面臨天基挑戰”。

　　例子不勝枚舉，但國防部審計長（IG）在其報告中明確指出，軍事人員將增材制造設備視為供應零件的“工具”，而不是易受攻擊的信息技術。

　　“此外，國防部組件錯誤地將 AM 系統歸類為獨立系統，并錯誤地認為這些系統不需要授權即可運行，”根據 IG 的說法。

　　審計包括 73 臺打印機和 46 臺計算機，并以美國國家標準與技術研究所的特別出版物 800-53 為基礎——聯邦政府的網絡安全控制指南。

　　該報告列出了 NIST 推薦的七項基本控制措施，但刪去了某些安裝未能執行的具體措施。監管機構普遍認為官員在審計師訪問后做出了更改，但也發現安裝存在類似且嚴重的錯誤，例如未能更新計算機操作系統。

　　“更新操作系統的需求對于保護 AM 計算機和連接到它們的打印機至關重要。例如，在 2019 年，微軟發布了超過 197 個操作系統更新來修復安全漏洞，其中一個修復了一個漏洞，該漏洞允許攻擊者未經授權訪問一臺計算機，然后使用該訪問權限登錄其他計算機。” IG 報告指出。

　　IG 的建議主要集中在澄清圍繞增材制造的政策，以明確它必須被視為任何 IT 部分。這些裝置在很大程度上同意了看門狗的建議。

　　唯一的分歧來自國防部首席信息官，他認為美國軍方關于網絡安全的政策包括 3D 打印技術。IG 承認了這些分歧，但仍認為建議已解決，因為美國國防部 CIO 確實承諾做出“符合建議意圖”的更改。