< p class="meta"> Door Jonathan Greig | 18 augustus 2021 — 23:31 GMT (00:31 BST) | Onderwerp: Beveiliging
Het Office of Inspector General (OIG) heeft deze week een rapport uitgebracht waarin staat dat het US Census Bureau op 11 januari 2020 een cyberaanval heeft afgehandeld.
OIG-onderzoekers beoordeelden het incident van november 2020 en maart 2021 en ontdekten dat hoewel het Census Bureau erin slaagde de aanvallers ervan te weerhouden toegang te krijgen tot gevoelige gegevens, ze een reeks kwetsbaarheden openlieten die hackers hadden kunnen uitbuiten.
De onderzoekers ontdekten dat servers die werden beheerd door het Census Bureau – die waren opgezet om werknemers op afstand toegang te geven tot productie-, ontwikkelings- en laboratoriumnetwerken – werden aangevallen met een openbaar beschikbare exploit.
“Volgens het systeempersoneel boden deze servers geen toegang tot netwerken van de tienjaarlijkse volkstelling van 2020. De exploit was gedeeltelijk succesvol, doordat de aanvaller de gebruikersaccountgegevens op de systemen aanpaste om zich voor te bereiden op uitvoering van externe code”, aldus het rapport.
“De pogingen van de aanvaller om toegang tot het systeem te behouden door een achterdeur naar de getroffen servers te creëren, waren echter niet succesvol.”
De aanval werd aanvankelijk afgehandeld door het Enterprise Security Operations Center (ESOC) van het Department of Commerce, dat beveiligingsincidenten beheert en het delen van informatie tussen de afdeling, het Census Bureau en CISA faciliteert.
Terwijl het Bureau prees voor het stoppen van de aanval, ontdekten de OIG-onderzoekers veel andere problemen met de manier waarop op het incident werd gereageerd en de manier waarop het Bureau de servers gebruikte.
Het rapport zei dat het Bureau “kansen heeft gemist om een kritieke kwetsbaarheid te verminderen die resulteerde in de exploitatie van vitale servers.” Zelfs nadat de servers waren uitgebuit, ontdekte en rapporteerde het Bureau het incident niet “tijdig”.
“Bovendien hield het Bureau onvoldoende systeemlogboeken bij, wat het onderzoek naar het incident belemmerde. het incident heeft het Bureau geen lessen getrokken om verbetermogelijkheden te identificeren”, aldus het OIG-rapport.
“We hebben ook geconstateerd dat het Bureau servers exploiteerde die niet langer door de leverancier werden ondersteund. Sinds het incident in januari 2020 heeft het Bureau wijzigingen aangebracht in zijn incidentresponsprogramma. Door de bevindingen en aanbevelingen in dit rapport op te volgen, kan het Bureau doorgaan met om te verbeteren en effectiever te reageren op toekomstige cyberbeveiligingsincidenten.”
Het Bureau had in december 2019 en januari 2020 meerdere mogelijkheden om de kwetsbaarheid in zijn servers voor externe toegang te verminderen.
< p>Onderzoekers ontdekten dat Citrix, de leverancier waarmee het Bureau op de servers werkte, op 17 december 2019 informatie over de kwetsbaarheid vrijgaf, samen met stappen om deze te verminderen.
NIST gaf de kwetsbaarheid een ernstclassificatie van “kritiek” en een lid van het CIRT-team van het Bureau woonde beveiligingsvergaderingen bij met CISA waar het werd besproken. CISA stuurde zelfs een link naar manieren om de kwetsbaarheid te verkleinen.
De wijzigingen werden pas doorgevoerd nadat de aanval was begonnen. De aanval zou zijn mislukt als het Bureau gewoon de nodige wijzigingen had aangebracht, zei de OIG.
Ze merkten op dat het Bureau ook geen kwetsbaarheidsscans uitvoerde van de servers voor externe toegang en dat de servers niet eens waren opgenomen in een lijst met te scannen apparaten.
“Dit gebeurde omdat de teams voor het scannen van systemen en kwetsbaarheden hadden de overdracht van systeemgegevens die nodig zijn voor het scannen van legitimatiegegevens niet gecoördineerd”, aldus het rapport.
“Het Bureau was niet op de hoogte dat de servers waren gecompromitteerd tot 28 januari 2020, meer dan twee weken later. We ontdekten dat deze vertraging optrad omdat het Bureau op het moment van het incident geen beveiligingsinformatie- en gebeurtenisbeheer gebruikte. tool (SIEM) om incidentresponders proactief te waarschuwen voor verdacht netwerkverkeer. In plaats daarvan werd de SIEM van het Bureau alleen gebruikt voor reactieve, onderzoeksacties.”
Het rapport zei dat door geen SIEM te gebruiken om geautomatiseerde beveiliging te genereren waarschuwingen, heeft het Bureau meer tijd nodig gehad om te bevestigen dat de servers zijn aangevallen. Hun systemen konden aanvankelijk ook niet veel van de aanval opvangen.
De onderzoekers ontdekten dat een van de servers voor externe toegang probeerde te communiceren met een kwaadaardig IP-adres buiten het netwerk van het Bureau en hun SOC identificeerde de richting van het kwaadaardige netwerkverkeer verkeerd en concludeerde dat het was geblokkeerd.
De OIG zei dat dit een gemiste kans was, die werd verergerd door het falen van de ESOC om onmiddellijk kritieke informatie over de uitgebuite servers te delen.
ESOC zou door CISA zijn benaderd over de aanval op 16 januari 2020, maar heeft niet gereageerd. CISA stuurde op 30 januari nog een bericht om de kwestie te onderzoeken, die vervolgens door ESOC werd doorgestuurd naar andere bureauleiders.
Er waren een aantal andere vertragingen waarvan ze zeiden dat ze “tijd verspild hebben tijdens de kritieke periode na de aanval”. Ze drongen er bij de directeur van het US Census Bureau op aan ervoor te zorgen dat de CIO de geautomatiseerde waarschuwingsmogelijkheden op de SIEM van het bureau beoordeelt en procedures te ontwikkelen om waarschuwingen van externe entiteiten zoals CISA af te handelen.
Het Bureau hield ook onvoldoende systeemlogboeken bij, wat het onderzoek belemmerde. Een aantal servers is geconfigureerd om systeemlogboeken te verzenden naar een SIEM die sinds juli 2018 buiten gebruik is gesteld.
Zelfs na het migreren van de mogelijkheden van een aantal externe toegangsservers naar nieuwe serverhardware in september en december 2020, stelde het rapport dat onderzoekers in februari 2021 ontdekten dat het Bureau nog steeds alle oorspronkelijke servers draaide die bij het incident betrokken waren. Alle servers werkten na hun einde levensduur, namelijk op 1 januari 2021.
Ondanks de gemaakte fouten blokkeerden de firewalls van het Bureau de pogingen van de aanvaller om een achterdeur op te zetten om met de aanvaller te communiceren. externe commando- en controle-infrastructuur.
In een bij het rapport gevoegde brief herhaalde waarnemend directeur van het US Census Bureau Ron Jarmin dat er “geen aanwijzingen zijn van een compromis met betrekking tot systemen van de Decennial Census 2020, noch enig bewijs van kwaadaardig gedrag dat van invloed is op de tellingen van de Decennial in 2020”.
“Bovendien zijn er geen systemen of gegevens die door het censusbureau namens het publiek worden onderhouden en beheerd, gecompromitteerd, gemanipuleerd of verloren gegaan vanwege het incident dat in het OIG-rapport wordt benadrukt,” zei Jarmin.
Zijn kantoor merkte op dat dit een “federaal incident was dat gevolgen had voor tal van afdelingen en agentschappen.”
“De reactie van het Census Bureau op dit incident was in overeenstemming met de federale richting en reactie activiteiten,” voegde Jarmin toe.
Hoewel ze toegaven te lang te hebben gewacht met het melden van de exploitatie van de servers, beweerden ze te wachten op verdere instructies van CISA.
Als reactie op de kritiek op het gebruik van legacy-systemen die moesten worden ontmanteld, zei het Census Bureau eind 2020 dat ze samenwerkten met Citrix-ingenieurs om de mogelijkheden naar nieuwe apparaten te migreren.
“Vanwege omstandigheden buiten de controle van het bureau – waaronder een afhankelijkheid van Citrix-ingenieurs die al op capaciteit waren om klanten in de hele federale overheid te ondersteunen die grotere gevolgen hadden ondervonden van de aanval van januari 2020, om de migratie en de COVID-19-pandemie te voltooien – – de migratie liep vertraging op', legt het kantoor van Jarmin uit.
Jarmin beloofde zorgen over het levenseinde serieuzer te nemen en zei dat ze al veranderingen hebben aangebracht in de manier waarop ze reageren op kritieke kwetsbaarheden en informatie delen met andere afdelingen. Ze hebben ook geautomatiseerde waarschuwingsmogelijkheden ontwikkeld en procedures voor het delen van informatie vastgesteld, zei Jarmin.
Het OIG-rapport suggereerde dat het Census Bureau een reeks verdere wijzigingen zou introduceren in de manier waarop kwetsbaarheidsmeldingen worden afgehandeld en hoe activa worden gescand op kwetsbaarheden. Ze zeiden ook dat incidenten van het Bureau ervoor moeten zorgen dat ze voldoen aan de afdelings- en bureauvereisten om bevestigde computerbeveiligingsincidenten binnen 1 uur aan ESOC te melden.
Maar het rapport bekritiseerde het Bureau omdat het na de aanval op geen enkel niveau van de organisatie enige vorm van formele, geleerde lessen, rondetafelgesprekken of gesprekken hield.
“Een incident-responder verklaarde dat het team bezig was met het reageren op gegevensverzoeken van externe entiteiten, wat het houden van een geleerde sessie belemmerde”, aldus de onderzoekers.
“Bovendien hebben we na het doornemen van het beleid en de procedures voor incidentrespons van het Bureau geen enkele vereiste of richtlijn kunnen vinden die het tijdsbestek voorschrijft waarbinnen een geleerde sessie moet worden gehouden.”
Het Bureau zei op 19 juli in een brief dat het instemde met alle negen aanbevelingen van OIG en plannen instuurde om ze allemaal te verwezenlijken.
Beveiliging
Kaseya ransomware-aanval: wat u moet weten Surfshark VPN-beoordeling: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA Hoe slachtoffers die het losgeld betalen meer aanvallen aanmoedigen (ZDNet YouTube)
Verwante onderwerpen :
Overheid – US Security TV Data Management CXO Datacenters 