< p class = "meta"> Af Jonathan Greig | 18. august 2021 – 23:31 GMT (00:31 BST) | Emne: Sikkerhed
Kontoret for generalinspektør (OIG) har i denne uge offentliggjort en rapport om, at US Census Bureau behandlede et cyberangreb den 11. januar 2020.
OIG -efterforskere gennemgik hændelsen fra november 2020 og marts 2021 og fandt ud af, at mens Census Bureau havde succes med at forhindre angriberne i at få adgang til følsomme data, efterlod de en skare sårbarheder, som hackere kunne have udnyttet.
Efterforskerne fandt ud af, at servere, der drives af Census Bureau – som var på plads for at give medarbejdere adgang til fjern-, produktion- og laboratorienetværk – blev angrebet ved hjælp af en offentligt tilgængelig exploit.
“Ifølge systempersonale gav disse servere ikke adgang til folketællingsnetværk i årtusinde i 2020. Udnyttelsen var delvist vellykket, idet angriberen ændrede brugerkontodata på systemerne for at forberede fjernudførelse af kode,” fandt rapporten.
“Angriberens forsøg på at bevare adgangen til systemet ved at oprette en bagdør til de berørte servere mislykkedes imidlertid.”
Angrebet blev i første omgang håndteret af Department of Commerce Enterprise Security Operations Center (ESOC), der administrerer sikkerhedshændelser og letter informationsdeling mellem afdelingen, Census Bureau og CISA.
Mens de rosede Præsidiet for at standse angrebet, fandt OIG -efterforskerne mange andre problemer med, hvordan hændelsen blev reageret på og den måde, Præsidiet brugte serverne på.
Rapporten sagde, at Præsidiet “savnede muligheder for at afbøde en kritisk sårbarhed, som resulterede i udnyttelse af vitale servere.” Selv efter at serverne var blevet udnyttet, opdagede og rapporterede Præsidiet ikke hændelsen “rettidigt.”
“Desuden førte Præsidiet ikke tilstrækkelige systemlogfiler, hvilket hindrede hændelsesundersøgelsen. Følger hændelsen, Præsidiet gennemførte ikke en lært session for at identificere forbedringsmuligheder, “hedder det i OIG-rapporten.
“Vi fandt også ud af, at Præsidiet drev servere, der ikke længere blev understøttet af sælgeren. Siden hændelsen i januar 2020 har Præsidiet foretaget ændringer i sit hændelsesprogram. Ved at behandle resultaterne og anbefalingerne i denne rapport kan Præsidiet fortsætte for at forbedre og få en mere effektiv reaktion på fremtidige cybersikkerhedshændelser. “
Præsidiet havde flere muligheder for at afbøde sårbarheden i sine fjerntilgængelige servere-i december 2019 og januar 2020.
< p> Efterforskere fandt ud af, at den 17. december 2019 offentliggjorde Citrix, den sælger, Præsidiet arbejdede med på serverne, oplysninger om sårbarheden sammen med trin til at afbøde det.
NIST gav sårbarheden en sværhedsgrad på “kritisk”, og et medlem af Præsidiets CIRT -team deltog i sikkerhedsmøder med CISA, hvor det blev diskuteret. CISA sendte endda et link til måder at afbøde sårbarheden.
Ændringerne blev først foretaget efter angrebet var startet. Angrebet ville have mislykkedes, hvis Præsidiet blot havde foretaget de nødvendige ændringer, sagde OIG.
De bemærkede, at Præsidiet heller ikke udførte sårbarhedsscanning af serverne til fjernadgang, og serverne ikke engang var inkluderet på en liste over enheder, der skulle scannes.
“Dette skete, fordi system- og sårbarhedsscanningsteamene ikke havde koordineret overførslen af systemoplysninger, der kræves til legitimationsscanning, “stod der i rapporten og bemærkede, at selvom angriberne ikke fik adgang til systemer, kunne de stadig oprette nye brugerkonti.
“Præsidiet var ikke klar over, at serverne var blevet kompromitteret før den 28. januar 2020, mere end to uger senere. Vi fandt ud af, at denne forsinkelse opstod, fordi Præsidiet på tidspunktet for hændelsen ikke brugte sikkerhedsoplysninger og begivenhedsstyring værktøj (SIEM) til proaktivt at advare hændelsessvarere om mistænkelig netværkstrafik. I stedet blev Præsidiets SIEM kun brugt til reaktive, efterforskningsaktioner. “
Rapporten sagde, at ved ikke at bruge et SIEM til at generere automatiseret sikkerhed alarmer, tog det Præsidiet længere tid at bekræfte, at serverne er blevet angrebet. Deres systemer formåede heller ikke at fange meget af angrebet i starten.
Efterforskerne fandt ud af, at en af fjernadgangsserverne forsøgte at kommunikere til en ondsindet IP-adresse uden for Præsidiets netværk, og deres SOC fejlidentificerede retningen af den ondsindede netværkstrafik og konkluderede, at den var blevet blokeret.
OIG sagde, at dette var en forpasset mulighed, der blev forstærket af, at ESOC ikke straks kunne dele kritisk information om de udnyttede servere.
ESOC blev angiveligt kontaktet af CISA om angrebet den 16. januar 2020, men reagerede ikke. CISA sendte en anden meddelelse den 30. januar for at undersøge spørgsmålet, som derefter blev videresendt af ESOC til andre præsidiets ledere.
Der var en række andre forsinkelser, som de sagde “spildt tid i den kritiske periode efter angrebet.” De opfordrede direktøren for US Census Bureau til at sikre, at CIO gennemgår automatiserede alarmeringsmuligheder på Præsidiets SIEM og udvikler procedurer til håndtering af advarsler fra eksterne enheder som CISA.
Præsidiet førte heller ikke tilstrækkelige systemlogfiler, hvilket hindrede undersøgelsen. Et antal servere blev konfigureret til at sende systemlogfiler til et SIEM, der var blevet taget ud af drift siden juli 2018.
Selv efter at have migreret mulighederne for en række fjernadgangsservere til ny serverhardware i september og december 2020 sagde rapporten, at efterforskerne fandt i februar 2021, at Præsidiet stadig kører alle de originale servere, der var involveret i hændelsen. Alle servere kørte forbi deres udløbsdato, der fandt sted den 1. januar 2021.
På trods af de begårede fejl blokerede Præsidiets firewalls angriberens forsøg på at etablere en bagdør for at kommunikere med angriberens ekstern kommando- og kontrolinfrastruktur.
I et brev vedlagt rapporten gentog fungerende direktør for det amerikanske folketællingsbureau Ron Jarmin, at der “ikke er tegn på kompromis om nogen årtusindtællingssystemer i 2020 eller tegn på ondsindet adfærd, der påvirker optællingerne i årtusinderne i 2020.”
“Desuden blev intet system eller data, der vedligeholdes og forvaltes af folketællingsbureauet på vegne af offentligheden, kompromitteret, manipuleret eller tabt på grund af hændelsen fremhævet i OIG -rapporten,” sagde Jarmin.
Hans kontor bemærkede, at dette var en “forbundsdækkende hændelse, der påvirkede mange afdelinger og agenturer.”
“Census Bureau's svar på denne hændelse var i overensstemmelse med føderal retning og reaktion aktiviteter, “tilføjede Jarmin.
Selvom de indrømmede at have ventet for længe med at rapportere udnyttelsen af serverne, hævdede de, at de ventede på yderligere vejledning fra CISA.
Som reaktion på kritikken om at bruge ældre systemer, der skulle nedlægges, sagde Census Bureau i slutningen af 2020, at de arbejdede med Citrix -ingeniører for at migrere kapaciteter til nye enheder.
“På grund af omstændigheder uden for bureauets kontrol -herunder afhængighed af Citrix -ingeniører, der allerede var i stand til at støtte kunder på tværs af den føderale regering, der havde indset større konsekvenser fra angrebet i januar 2020, for at fuldføre migrationen og COVID -19 -pandemien – – migrationen blev forsinket, “forklarede Jarmins kontor.
Jarmin lovede at tage bekymringer ved livets afslutning mere alvorligt og sagde, at de allerede har foretaget ændringer i, hvordan de reagerer på kritiske sårbarheder og deler oplysninger med andre afdelinger. De har også udviklet automatiserede alarmeringsmuligheder og etablerede procedurer for informationsdeling, sagde Jarmin.
OIG -rapporten foreslog, at Census Bureau indførte en skifer med yderligere ændringer i, hvordan sårbarhedsmeddelelser håndteres, og hvordan aktiver scannes for sårbarheder. De sagde også, at Bureau -hændelsessvarere skal sikre, at de overholder afdelingens og bureauets krav for at rapportere bekræftede computersikkerhedshændelser til ESOC inden for 1 time.
Men rapporten kritiserede Præsidiet for ikke at holde nogen form for formelt lektie-møde, rundbord eller tale efter angrebet på noget niveau i organisationen.
“En hændelsessvar sagde, at teamet var forbrugt med at reagere på dataanmodninger fra eksterne enheder, hvilket interfererede med at afholde en lært session,” sagde efterforskerne.
“Desuden kunne vi efter gennemgang af Bureau's politikker og procedurer for hændelseshåndtering ikke finde nogen krav eller retningslinjer, der foreskrev den tidsramme, hvorunder vi kunne holde en lært session.”
Præsidiet sagde i et brev den 19. juli, at det var enig i alle ni af OIG's anbefalinger og sendte planer om at nå dem alle.
Sikkerhed
Kaseya ransomware -angreb: Hvad du har brug for at vide Surfshark VPN -anmeldelse: Det er billigt, men er det godt? De bedste browsere til beskyttelse af fortrolige oplysninger Cybersikkerhed 101: Beskyt dit privatliv Den bedste antivirussoftware og apps De bedste VPN'er til erhverv og hjemmebrug De bedste sikkerhedsnøgler til 2FA Hvordan ofre, der betaler løsesummen, tilskynder til flere angreb (ZDNet YouTube)
Relaterede emner :
Regeringen-US Security TV Data Management CXO datacentre 