Nul
Ingen data kryptering, ingen antivirus programmer, ingen multifactor authentication mekanismer, og 28-årige unpatched sårbarheder er blot nogle af de cyber-sikkerhed mangler, der er beskrevet i en sikkerhedsaudit af det AMERIKANSKE ballistiske missil system, der blev offentliggjort fredag af det AMERIKANSKE Department of Defense Inspector General (DOD IG).
Rapporten [PDF] blev sat sammen tidligere på året, i April, efter DOD IG embedsmænd inspiceret fem tilfældige steder, hvor de Missile Defense Agency (MDA) var placeret ballistiske missiler del af Ballistic Missile Defense System (BMDS) –en DOD programmet er udviklet til at beskytte OS territorier ved at lancere ballistiske missiler til at opfange fjendtlige nukleare raketter.
Billede: DOD MDA
Men det seneste sikkerhed revision har konkluderet, at “den Hær, Flåde, og MDA ikke beskytte netværk og systemer til at behandle, lagre og overføre BMDS tekniske oplysninger .”
Multifactor authentication var ikke konsekvent brugt
Revisorer har fundet flere problematiske områder. Den største af disse var i forhold til multifactor authentication.
Under normale omstændigheder, eventuelle nye MDA-medarbejder vil modtage et brugernavn og password, som de kan bruge til at få adgang BMDS’ netværk. Som nye medarbejdere lettes i deres nye arbejdspladser, de vil også modtage en fælles adgang kort (CAC), at de er nødt til at gøre det muligt for deres konti og bruge sammen med deres password, som en anden-faktor autentificering. Normal procedure siger, at alle nye MDA arbejdstagere skal bruge multifactor authentication inden for to uger for at blive ansat.
Men DOD IG rapport siger, at på tre af de fem inspiceret steder, efterforskere fandt, at mange brugere ikke aktivere multifactor authentication for deres regnskaber, og var stadig i brug af deres brugernavn og adgangskode for at få adgang BMDS’ netværk.
En bruger havde adgang til BMDS data for syv år uden den beskyttelse, der ydes af deres kort, og på et MDA site, efterforskere sagde, at de fandt også, at nettet aldrig var konfigureret til at understøtte multifactor authentication.
Manglen på en multifactor authentication betyder, at medarbejdere, der er sårbare over for phishing-angreb, der kan samle deres adgangskoder og tillade angribere remote eller on-premise adgang til BMDS systemer uden yderligere sikkerhed udfordringer (anden faktor autentificering).
Sårbarheder blev ikke konsekvent lappet
Men rapporten har fundet endnu mere bekymrende problemer. DOD IG inspektørerne fandt, at IT-administratorer på tre af de fem steder, de har besøgt, havde undladt at anvende sikkerhedsrettelser, der forlader computere og tilstødende netværk systemer sårbare over for eksterne eller lokale angreb.
Efterforskerne fandt, at systemer, der ikke blev lappet for sårbarheder er opdaget og rettet i 2016, 2013, og gik endda så langt som tilbage i 1990.
DOD IG rapport er stærkt omarbejdet i denne del, hvilket tyder på, at MDA administratorer er stadig lappe på disse mangler.
Server racks ikke sikret
Bortset fra software fejl, efterforskere fandt også fysisk sikkerhed spørgsmål. For eksempel, på to steder, efterforskere fandt, at server racks ulåst og let tilgængelige.
Enhver angriber, gæst eller besøgende, som har fået adgang eller blev inviteret til et af disse steder kunne nemt have sat i en skadelig enhed i en af disse server racks.
Konfronteret med den låst op, reoler, en af de data, som lederne sagde, at han ikke var klar over denne protokol, og endda spillet sin betydning ved at sige, at base begrænset, hvem der kan få adgang til de data center alligevel.
I den anden placering, server rack blev låst op, selv hvis rack fremhævede et skilt om, at den server døren skal være låst på alle tidspunkter.
Flytbare medier data ikke krypteret
En anden rapport konklusion var, at MDA embedsmænd, der ikke konsekvent bruger kryptering, når du flytter data mellem luft-gapped systemer ved hjælp af flytbare medier.
MDA embedsmænd skød skylden på “legacy-systemer, der manglede den kapacitet og båndbredde til at kryptere data, ikke har ressourcer til at købe kryptering software, og der anvendes kryptering software, der ikke altid stemme overens med DoD-kryptering software.”
Dette problem blev opdaget på tre steder. På én, embedsmænd sagde, at de var ikke engang klar over, at de skulle til at kryptere data, der er gemt på flytbare medier, mens en anden embedsmand sagde, at de ikke selv har kontrol og systemer på plads til at opdage, når en medarbejder var at hente data på flytbare medier, endsige se, om de data, der blev krypteret.
Ikke intrusion detection system
DOD IG embedsmænd også opdaget, at der på et MDA placering, IT-administratorer undlod at installere et intrusion detection og prevention system-også kendt som en antivirus eller sikkerhed produkt.
“Uden intrusion detection og prevention kapaciteter, [REDACTED] kan ikke registrere ondsindede forsøg på at få adgang til sit netværk og forhindre cyberangreb med henblik på at få uautoriseret adgang og exfiltrate følsomme BMDS tekniske oplysninger finder sted,” siger rapporten.
Lokale MDA embedsmænd på det pågældende sted skylden spørgsmålet om deres vejledere, som, de sagde, undladt at godkende en anmodning til den rette software, som de har gemt næsten et år før.
Billede: DOD IG
Ingen database med skriftlige begrundelser
Men ud over den fysiske og cyber-sikkerhed-relaterede spørgsmål, der var også en logistik og ledelse vedrørende et slip-up. Ifølge rapporten, at alle fem steder DOD IG embedsmænd besøgte undladt at vedligeholde en database af skriftlige begrundelser for, hvorfor medarbejdere har fået adgang til BMDS netværk.
Uden denne database, embedsmænd ikke kender den præcise årsag til, hvorfor medarbejdere behov for adgang til systemet, og ikke kunne håndhæve en “least privilege” adgang hierarki.
DOD IG efterforskere sagde, at der i en tilfældig test, som de har valgt et lille udsnit af medarbejdere fra hver BMDS placering og bad om at se deres adgang former. I alle tilfælde, adgang begrundelse former ikke var komplet, og i nogle, administratorer kunne ikke give former for nogle medarbejdere på alle.
Sørgelige fysiske sikkerhed kontrol
Men mere nedslående, var rapportens resultater på den fysiske sikkerhed kontrol, der gennemføres på flere af disse MDA baser.
Revisorer, der sagde, at i mange tilfælde overvågningskameraer har undladt at dække hele base, skaber huller, som en hacker kan udnytte til at indtaste grunden og bygninger.
Endvidere var der også problemer med dør sensorer, der viste, døre lukkede, når de ikke var, og med nogle faciliteter, der ikke låse døre.
Sidst, men ikke mindst, MDA personale ikke udfordring revisorer, der opføres bygninger uden ordentlig badges, der giver uautoriseret personale til at vandre rundt gennem top secret bygninger.
MDA i øjeblikket har 104 ballistiske missiler steder og har planer om at bygge yderligere 10. Men hvis det ikke forbedre både sin fysiske og cyber-sikkerhed, beskyttelse, disse baser kan være let angrebet i tilfælde af en konflikt. DOD IG rapport en række anbefalinger, som øverste embedsmænd og resten af MDA baser er nu meningen at gennemgå og implementere.
I oktober, det AMERIKANSKE Government Accountability Office (GAO) fandt, at de nye next-gen edb-våben systemer, der er i øjeblikket under udvikling i Pentagon også fremhævede lignende cyber-sikkerhed-relaterede problemer, og var nemt at hacke.
Flere cyber-sikkerhed dækning:
Facebook bug er udsat private fotos af 6,8 millioner brugereLogitech app sikkerhedshul tilladt tastetryk injektion angrebSQLite fejl virkninger tusindvis af apps, herunder alle Chromium-baserede browsere,Bing anbefaler piratkopiering tutorial, når du søger efter Office 2019Shamoon malware ødelægger data på italiensk olie-og gasselskab, Hvordan du aktiverer spam ringe filtrering på din Android-telefon TechRepublicNye antiphishing funktioner kommer til Google G-Suite CNETTusindvis af Jenkins servere vil lade anonyme brugere blive admins
Relaterede Emner:
Regeringen – OS
Sikkerhed-TV
Data Management
CXO
Datacentre
0