< p class = "meta"> Av Jonathan Greig | 18 augusti 2021 – 23:31 GMT (00:31 BST) | Ämne: Säkerhet
Generalinspektörens kontor (OIG) har i veckan släppt en rapport som säger att US Census Bureau hanterade en cyberattack den 11 januari 2020.
OIG -utredare granskade händelsen från november 2020 och mars 2021 och fann att medan Census Bureau lyckades hindra angriparna från att få tillgång till känslig data, lämnade de öppna en skiffer med sårbarheter som hackare kunde ha utnyttjat.
Utredarna fann att servrar som drivs av Census Bureau – som var på plats för att ge anställda åtkomst till produktion, utveckling och labnät på distans – attackerades med hjälp av en allmänt tillgänglig exploatering.
“Enligt systempersonal gav dessa servrar inte åtkomst till folkräkenskapsnätverk från årtionden 2020. Exploaten lyckades delvis, genom att angriparen ändrade användarkontodata på systemen för att förbereda för fjärrkörning av kod”, fann rapporten.
“Men angriparens försök att behålla åtkomsten till systemet genom att skapa en bakdörr till de berörda servrarna misslyckades.”
Attacken hanterades inledningsvis av handelsdepartementets Enterprise Security Operations Center (ESOC), som hanterar säkerhetsincidenter och underlättar informationsutbyte mellan avdelningen, Census Bureau och CISA.
Medan de berömde presidiet för att stoppa attacken fann OIG -utredarna många andra problem med hur incidenten reagerades och hur presidiet använde servrarna.
Rapporten sa att presidiet “missade möjligheter att mildra en kritisk sårbarhet som resulterade i utnyttjande av vitala servrar.” Även efter att servrarna hade utnyttjats upptäckte och rapporterade presidiet inte händelsen “i tid”.
“Dessutom hade byrån inte tillräckligt med systemloggar, vilket hindrade incidentundersökningen. Följande incidenten, presidiet genomförde inte en lärdag för att identifiera förbättringsmöjligheter, “sade OIG-rapporten.
“Vi fann också att presidiet driver servrar som inte längre stöds av leverantören. Sedan incidenten i januari 2020 har presidiet gjort ändringar i sitt program för incidenthantering. Genom att ta itu med resultaten och rekommendationerna i denna rapport kan presidiet fortsätta för att förbättra och få ett mer effektivt svar på framtida cybersäkerhetsincidenter. “
Presidiet hade flera möjligheter att mildra sårbarheten i sina fjärråtkomstservrar-i december 2019 och januari 2020.
< p> Utredare fann att den 17 december 2019 släppte Citrix, säljaren som presidiet arbetade med på servrarna, information om sårbarheten tillsammans med åtgärder för att mildra den.
NIST gav sårbarheten en allvarlighetsgrad av “kritisk” och en medlem av presidiets CIRT -team deltog i säkerhetsmöten med CISA där det diskuterades. CISA skickade till och med ut en länk för sätt att mildra sårbarheten.
Ändringarna gjordes först efter att attacken hade startats. Attacken skulle ha misslyckats om presidiet helt enkelt hade gjort de nödvändiga förändringarna, sade OIG.
De noterade att presidiet inte heller utförde sårbarhetsskanning av fjärråtkomstservrarna och att servrarna inte ens ingick i en lista över enheter som skulle skannas.
“Detta inträffade eftersom systemet och sårbarhetsskanningsteam hade inte samordnat överföringen av systemuppgifter som krävs för autentiseringsskanning “, stod det i rapporten och noterade att medan angriparna inte lyckades få åtkomst till system, kunde de fortfarande skapa nya användarkonton.
“Presidiet var inte medveten om att servrarna hade äventyrats förrän den 28 januari 2020, mer än två veckor senare. Vi fann att denna fördröjning inträffade eftersom presidiet vid tidpunkten för incidenten inte använde säkerhetsinformation och händelsehantering verktyg (SIEM) för att proaktivt varna incidenthanterare om misstänkt nätverkstrafik. I stället användes presidiets SIEM endast för reaktiva, utredande åtgärder. “
Rapporten sa att genom att inte använda ett SIEM för att generera automatiserad säkerhet varningar, det tog presidiet längre tid att bekräfta att servrarna har attackerats. Deras system lyckades inte fånga mycket av attacken först.
Utredarna fann att en av fjärråtkomstservrarna försökte kommunicera till en skadlig IP-adress utanför byråns nätverk och deras SOC felidentifierade riktningen för den skadliga nätverkstrafiken och kom fram till att den hade blockerats.
OIG sa att detta var en missad möjlighet som förvärrades av ESOC: s misslyckande att omedelbart dela kritisk information om de utnyttjade servrarna.
ESOC kontaktades enligt uppgift av CISA om attacken den 16 januari 2020 men svarade inte. CISA skickade ett nytt meddelande den 30 januari för att undersöka frågan, som sedan vidarebefordrades av ESOC till andra presidiets ledare.
Det fanns ett antal andra förseningar som de sa “bortkastad tid under den kritiska perioden efter attacken.” De uppmanade direktören för US Census Bureau att se till att CIO granskar automatiserade varningsfunktioner på presidiets SIEM och utveckla förfaranden för att hantera varningar från externa enheter som CISA.
Presidiet hade inte heller tillräckligt med systemloggar, vilket hindrade utredningen. Ett antal servrar konfigurerades för att skicka systemloggar till ett SIEM som hade tagits ur drift sedan juli 2018.
Även efter att ha flyttat möjligheterna för ett antal fjärråtkomstservrar till ny serverhårdvara i september och december 2020 sa rapporten att utredarna fann i februari 2021 att presidiet fortfarande körde alla de ursprungliga servrar som var inblandade i händelsen. Alla servrar fungerade förbi sitt utgångsdatum som inträffade den 1 januari 2021.
Trots de misstag som gjorts blockerade presidiets brandväggar angriparens försök att etablera en bakdörr för att kommunicera med angriparens extern kommando- och kontrollinfrastruktur.
I ett brev som bifogades rapporten upprepade den tillförordnade direktören för US Census Bureau Ron Jarmin att det inte finns några tecken på kompromisser om några årtionde -folkräkningssystem från 2020 eller några bevis på att det skadliga beteendet påverkar räkenskapsåren 2020.
“Dessutom komprometterades, manipulerades eller förlorades inga system eller data som underhålls och hanteras av folkräkningsbyrån på allmänhetens vägnar på grund av händelsen som lyfts fram i OIG -rapporten”, säger Jarmin.
Hans kontor noterade att detta var en “federalt omfattande incident som påverkade många avdelningar och byråer.”
“Census Bureau svar på denna incident var i linje med federal riktning och svar aktiviteter, “tillade Jarmin.
Medan de erkände att de väntade för länge med att rapportera utnyttjandet av servrarna, hävdade de att de väntade på ytterligare vägledning från CISA.
Som svar på kritiken om att använda äldre system som behövde tas ur drift, sade Census Bureau i slutet av 2020, arbetade de med Citrix -ingenjörer för att migrera kapacitet till nya enheter.
“På grund av omständigheter utanför byråns kontroll -inklusive ett beroende av Citrix -ingenjörer som redan hade kapacitet att stödja kunder i hela den federala regeringen som hade insett större effekter från attacken i januari 2020, för att slutföra migrationen och COVID -19 -pandemin – – migrationen försenades, “förklarade Jarmins kontor.
Jarmin lovade att ta allvarligare bekymmer vid livets slut och sa att de redan har gjort ändringar i hur de reagerar på kritiska sårbarheter och delar information med andra avdelningar. De har också utvecklat automatiska varningsfunktioner och etablerade procedurer för informationsdelning, säger Jarmin.
OIG -rapporten föreslog att Census Bureau skulle införa en skiva med ytterligare förändringar av hur sårbarhetsanmälningar hanteras och hur tillgångar skannas efter sårbarheter. De sa också att presidiets incidenthanterare måste se till att de följer avdelningens och byråns krav för att rapportera bekräftade datasäkerhetsincidenter till ESOC inom 1 timme.
Men rapporten kritiserade presidiet för att hon inte höll någon form av formellt lärd möte, rundabord eller samtal efter attacken på någon nivå i organisationen.
“En incidentrespons svarade att teamet var förbrukat med att svara på dataförfrågningar från externa enheter, vilket störde att hålla en lärdom,” sa utredarna.
“Dessutom, efter att ha granskat policys och procedurer för incidenthanteringsåtgärder, kunde vi inte hitta några krav eller riktlinjer som föreskriver tidsramen för att hålla en lärdom.”
Presidiet sade i ett brev den 19 juli att det instämde i alla nio av OIG: s rekommendationer och skickade in planer för att uppnå dem alla.
Säkerhet
Kaseya ransomware attack: Vad du behöver veta Surfshark VPN recension: Det är billigt, men är det bra? De bästa webbläsarna för integritet Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN: erna för företag och hemmabruk De bästa säkerhetsnycklarna för 2FA Hur offer som betalar lösen uppmuntrar till fler attacker (ZDNet YouTube)
Relaterade ämnen :
Regeringen-USA: s säkerhets-TV-datahantering CXO-datacenter 