< p class = "meta"> Av Jonathan Greig | 18. august 2021 – 23:31 GMT (00:31 BST) | Tema: Sikkerhet
Generalinspektørens kontor (OIG) har denne uken gitt ut en rapport om at US Census Bureau behandlet en cyberangrep 11. januar 2020.
OIG -etterforskere gjennomgikk hendelsen fra november 2020 og mars 2021 og fant ut at mens Census Bureau lyktes med å stoppe angriperne fra å få tilgang til sensitive data, lot de åpne en skive med sårbarheter som hackere kunne ha utnyttet.
Etterforskerne fant at servere drevet av Census Bureau – som var på plass for å gi ansatte ekstern tilgang til produksjon, utvikling og laboratorienettverk – ble angrepet ved bruk av en offentlig tilgjengelig utnyttelse.
“Ifølge systempersonell ga disse serverne ikke tilgang til folketellingenettverk i 2020. Utnyttelsen var delvis vellykket, ved at angriperen endret brukerkontodata på systemene for å forberede ekstern kjøring av kode,” fant rapporten.
“Men angriperens forsøk på å opprettholde tilgang til systemet ved å lage en bakdør til de berørte serverne mislyktes.”
Angrepet ble opprinnelig håndtert av Department of Commerce Enterprise Security Operations Center (ESOC), som håndterer sikkerhetshendelser og letter informasjonsdeling mellom avdelingen, Census Bureau og CISA.
Mens de berømmet byrået for å stoppe angrepet, fant OIG -etterforskerne mange andre problemer med hvordan hendelsen ble reagert på og måten Bureauet brukte serverne på.
Rapporten sa at byrået “savnet muligheter for å redusere et kritisk sårbarhet som resulterte i utnyttelse av viktige servere.” Selv etter at serverne var blitt utnyttet, oppdaget og rapporterte ikke presidiet hendelsen “i tide.”
“I tillegg hadde ikke byrået tilstrekkelige systemlogger, noe som hindret hendelsesundersøkelsen. Følger hendelsen, presidiet gjennomførte ikke en lært sesjon for å identifisere forbedringsmuligheter, “sa OIG-rapporten.
“Vi fant også ut at byrået drev servere som ikke lenger ble støttet av leverandøren. Siden hendelsen i januar 2020 har byrået gjort endringer i sitt program for hendelsesrespons. Ved å ta for seg funnene og anbefalingene i denne rapporten, kan byrået fortsette å forbedre og få en mer effektiv reaksjon på fremtidige cybersikkerhetshendelser. “
Presidiet hadde flere muligheter til å dempe sårbarheten i sine eksterne tilgangsservere-i desember 2019 og januar 2020.
< p> Etterforskere fant ut at 17. desember 2019, Citrix, leverandøren Bureauet jobbet med på serverne, ga ut informasjon om sårbarheten sammen med trinn for å redusere det.
NIST ga sårbarheten en alvorlighetsgrad på “kritisk”, og et medlem av Bureau's CIRT -team deltok på sikkerhetsmøter med CISA der det ble diskutert. CISA sendte til og med ut en lenke for måter å redusere sårbarheten.
Endringene ble ikke gjort før etter at angrepet var startet. Angrepet ville ha mislyktes hvis presidiet bare hadde gjort de nødvendige endringene, sa OIG.
De bemerket at byrået heller ikke utførte sårbarhetsskanning av serverne for ekstern tilgang, og at serverne ikke engang var inkludert i en liste over enheter som skulle skannes.
“Dette skjedde fordi system- og sårbarhetsskanningsteamene ikke hadde koordinert overføringen av systemlegitimasjon som kreves for legitimasjonsskanning, “sa rapporten og bemerket at selv om angriperne ikke klarte å få tilgang til systemer, var de fortsatt i stand til å opprette nye brukerkontoer.
“Byrået var ikke klar over at serverne hadde blitt kompromittert før 28. januar 2020, mer enn to uker senere. Vi fant at denne forsinkelsen skjedde fordi, på tidspunktet for hendelsen, ikke Bureauet brukte sikkerhetsinformasjon og hendelseshåndtering -verktøyet (SIEM) for å varsle hendelsesresponsører proaktivt om mistenkelig nettverkstrafikk. I stedet ble presidiets SIEM bare brukt til reaktive, etterforskende handlinger. “
Rapporten sa at ved å ikke bruke et SIEM til å generere automatisert sikkerhet varsler, tok det presidiet lengre tid å bekrefte at serverne har blitt angrepet. Systemene deres klarte heller ikke å fange opp mye av angrepet i begynnelsen.
Etterforskerne fant at en av fjerntilgangsserverne prøvde å kommunisere til en ondsinnet IP-adresse utenfor Bureau's nettverk, og deres SOC feilidentifiserte retningen for den ondsinnede nettverkstrafikken og konkluderte med at den var blokkert.
OIG sa at dette var en glemt mulighet som ble forsterket av at ESOC ikke umiddelbart delte kritisk informasjon om de utnyttede serverne.
ESOC skal ha blitt kontaktet av CISA om angrepet 16. januar 2020, men svarte ikke. CISA sendte en ny melding 30. januar for å undersøke saken, som deretter ble videresendt av ESOC til andre presidentsledere.
Det var en rekke andre forsinkelser som de sa “bortkastet tid i den kritiske perioden etter angrepet.” De oppfordret direktøren for US Census Bureau til å sikre at CIO gjennomgår automatiserte varslingsfunksjoner på Bureau's SIEM og utvikle prosedyrer for å håndtere varsler fra eksterne enheter som CISA.
Spesialenheten førte heller ikke tilstrekkelige systemlogger, noe som hindret etterforskningen. En rekke servere ble konfigurert til å sende systemlogger til et SIEM som hadde blitt tatt ut siden juli 2018.
Selv etter å ha migrert mulighetene til en rekke eksterne tilgangsservere til ny servermaskinvare i september og desember 2020, sa rapporten at etterforskerne fant i februar 2021 at byrået fremdeles kjørte alle de originale serverne som var involvert i hendelsen. Alle serverne opererte etter utløpsdatoen som fant sted 1. januar 2021.
Til tross for feilene, blokkerte Bureauets brannmurer angriperens forsøk på å etablere en bakdør for å kommunisere med angriperens ekstern kommando- og kontrollinfrastruktur.
I et brev vedlagt rapporten gjentok fungerende direktør for US Census Bureau Ron Jarmin at det ikke er “noen indikasjoner på kompromiss om noen årtusentalesystemer i 2020 eller bevis på ondsinnet oppførsel som påvirker tellingen i tiår 2020”.
“Videre ble ingen systemer eller data som vedlikeholdes og forvaltes av folketelningsbyrået på vegne av offentligheten kompromittert, manipulert eller tapt på grunn av hendelsen som ble fremhevet i OIG -rapporten,” sa Jarmin.
Hans kontor bemerket at dette var en “føderaldekkende hendelse som påvirket mange avdelinger og byråer.”
“Census Bureau's svar på denne hendelsen var i tråd med føderal retning og svar aktiviteter, “la Jarmin til.
Mens de innrømmet å ha ventet for lenge med å rapportere utnyttelsen av serverne, hevdet de at de ventet på ytterligere veiledning fra CISA.
Som svar på kritikken om bruk av eldre systemer som måtte tas ut, sa Census Bureau i slutten av 2020 at de jobbet med Citrix -ingeniører for å migrere evner til nye enheter.
“På grunn av omstendigheter utenfor byråets kontroll -inkludert avhengighet av Citrix -ingeniører som allerede hadde kapasitet til å støtte kunder på tvers av den føderale regjeringen som hadde innsett større konsekvenser fra angrepet i januar 2020, for å fullføre migrasjonen og COVID -19 -pandemien – – migreringen ble forsinket, “forklarte Jarmins kontor.
Jarmin lovet å ta bekymringer ved slutten av livet mer alvorlig og sa at de allerede har gjort endringer i hvordan de reagerer på kritiske sårbarheter og deler informasjon med andre avdelinger. De har også utviklet automatiserte varslingsfunksjoner og etablerte prosedyrer for deling av informasjon, sa Jarmin.
OIG -rapporten foreslo at Census Bureau innførte en rekke andre endringer i hvordan sårbarhetsvarsler håndteres og hvordan eiendeler skannes for sårbarheter. De sa også at Bureau incident -respondenter må sørge for at de overholder avdelingens og byråets krav for å rapportere bekreftede datasikkerhetshendelser til ESOC innen 1 time.
Men rapporten kritiserte byrået for ikke å ha holdt noen formelle møter, rundbord eller snakk etter angrepet på noe nivå i organisasjonen.
“En hendelsesresponsør uttalte at teamet ble konsumert med å svare på dataforespørsler fra eksterne enheter, noe som forstyrret å holde en lært leksjon,” sa etterforskerne.
“Videre, etter å ha gjennomgått retningslinjer og prosedyrer for prosedyrer for hendelsesrespons, kunne vi ikke finne noen krav eller retningslinjer som foreskrev tidsrammen for å holde en lært sesjon.”
Byrået sa i et brev 19. juli at det var enig i alle ni anbefalinger fra OIG og sendte inn planer for å oppnå dem alle.
Sikkerhet
Kaseya ransomware -angrep: Det du trenger å vite Surfshark VPN -anmeldelse: Det er billig, men er det bra? De beste nettleserne for personvern Cyber security 101: Beskytt personvernet ditt Den beste antivirusprogramvaren og appene De beste VPN -ene for forretninger og hjemmebruk De beste sikkerhetsnøklene for 2FA Hvordan ofre som betaler løsepenger oppfordrer til flere angrep (ZDNet YouTube)
Relaterte emner :
Regjeringen-US Security TV Data Management CXO datasentre 