沒有數(shù)據(jù)加密，沒有防病毒程序，沒有多因素身份驗(yàn)證機(jī)制，以及28年未修補(bǔ)的漏洞只是美國部門周五發(fā)布的美國彈道導(dǎo)彈系統(tǒng)安全審計(jì)中描述的一些網(wǎng)絡(luò)安全漏洞。國防監(jiān)察長(DOD IG)。

該報(bào)告 [ PDF ]今年早些時(shí)候放在一起，在4月，經(jīng)過國防部官員IG那里視察導(dǎo)彈防御局(MDA)已經(jīng)放在彈道導(dǎo)彈第五部分隨機(jī)位置彈道導(dǎo)彈防御系統(tǒng)(BMDS)--a國防部計(jì)劃通過發(fā)射彈道導(dǎo)彈攔截?cái)撤胶藦梺肀Ｗo(hù)美國領(lǐng)土。

但最近的安全審計(jì)得出的結(jié)論是“陸軍，海軍和MDA不保護(hù)處理，存儲(chǔ)和傳輸BMDS技術(shù)信息的網(wǎng)絡(luò)和系統(tǒng)。”

未始終使用多因素身份驗(yàn)證

審計(jì)員發(fā)現(xiàn)了幾個(gè)有問題的領(lǐng)域。其中最大的與多因素身份驗(yàn)證有關(guān)。

在正常情況下，任何新的MDA員工都會(huì)收到用于訪問BMDS網(wǎng)絡(luò)的用戶名和密碼。隨著新員工進(jìn)入新工作崗位，他們還會(huì)收到一張公共訪問卡(CAC)，他們必須為他們的帳戶啟用這些卡并與密碼一起使用，作為第二因素身份驗(yàn)證。正常程序表明，所有新的MDA工作人員必須在雇用后的兩周內(nèi)使用多因素身份驗(yàn)證。

但國防部IG報(bào)告稱，在五個(gè)檢查地點(diǎn)中的三個(gè)地點(diǎn)，調(diào)查人員發(fā)現(xiàn)許多用戶沒有為他們的帳戶啟用多因素身份驗(yàn)證，并且仍然使用他們的用戶名和密碼來訪問BMDS的網(wǎng)絡(luò)。

一位用戶在沒有卡提供保護(hù)的情況下訪問了BMDS數(shù)據(jù)七年，在一個(gè)MDA網(wǎng)站上，調(diào)查人員表示他們還發(fā)現(xiàn)網(wǎng)絡(luò)從未配置為支持多因素身份驗(yàn)證。

缺乏多因素身份驗(yàn)證意味著員工容易受到網(wǎng)絡(luò)釣魚攻擊，這些攻擊可以收集密碼并允許攻擊者遠(yuǎn)程或本地訪問BMDS系統(tǒng)，而不會(huì)遇到進(jìn)一步的安全挑戰(zhàn)(第二個(gè)身份驗(yàn)證因素)。

漏洞并未得到持續(xù)修補(bǔ)

然而，該報(bào)告發(fā)現(xiàn)了更令人擔(dān)憂的問題。DOD IG檢查員發(fā)現(xiàn)，他們?cè)L問的五個(gè)地點(diǎn)中有三個(gè)地點(diǎn)的IT管理員未能應(yīng)用安全補(bǔ)丁，導(dǎo)致計(jì)算機(jī)和相鄰網(wǎng)絡(luò)系統(tǒng)容易受到遠(yuǎn)程或本地攻擊。

調(diào)查人員發(fā)現(xiàn)，系統(tǒng)沒有修補(bǔ)2016年，2013年發(fā)現(xiàn)和修復(fù)的漏洞，甚至可以追溯到1990年。

DOD IG報(bào)告在此特定部分進(jìn)行了大量編輯，表明MDA管理員仍在修補(bǔ)這些缺陷。

服務(wù)器機(jī)架不安全

除了軟件缺陷，調(diào)查人員還發(fā)現(xiàn)了物理安全問題。例如，在兩個(gè)地點(diǎn)，調(diào)查人員發(fā)現(xiàn)服務(wù)器機(jī)架解鎖并且易于訪問。

任何獲得訪問權(quán)限或被邀請(qǐng)到其中一個(gè)位置的攻擊者，訪客或訪問者都可以輕松地在其中一個(gè)服務(wù)器機(jī)架中插入惡意設(shè)備。

面對(duì)未鎖定的機(jī)架，其中一位數(shù)據(jù)中心經(jīng)理表示他并不知道這種安全協(xié)議，甚至還說明了無論如何都能訪問數(shù)據(jù)中心的基地受限制。

在第二個(gè)位置，服務(wù)器機(jī)架已解鎖，即使機(jī)架上有一個(gè)標(biāo)志，表明服務(wù)器門必須始終保持鎖定狀態(tài)。

可移動(dòng)媒體數(shù)據(jù)未加密

另一份報(bào)告發(fā)現(xiàn)，在使用可移動(dòng)媒體的氣隙系統(tǒng)之間移動(dòng)數(shù)據(jù)時(shí)，MDA官員并未始終如一地使用加密。

MDA官員將此歸咎于“遺留系統(tǒng)，這些系統(tǒng)缺乏加密數(shù)據(jù)的能力和帶寬，沒有購買加密軟件的資源，并且使用的加密軟件并不總是與DoD加密軟件保持一致。”

這個(gè)問題是在三個(gè)地方發(fā)現(xiàn)的。有一位官員表示，他們甚至不知道他們應(yīng)該加密存儲(chǔ)在可移動(dòng)媒體上的數(shù)據(jù)，而另一位官員表示他們甚至沒有控制和系統(tǒng)來檢測員工何時(shí)將數(shù)據(jù)下載到可移動(dòng)媒體，更不用說看看數(shù)據(jù)是否未加密。

沒有入侵檢測系統(tǒng)

DOD IG官員還發(fā)現(xiàn)，在一個(gè)MDA位置，IT管理員未能安裝入侵檢測和防御系統(tǒng) - 也稱為防病毒或安全產(chǎn)品。

“沒有入侵檢測和預(yù)防功能，[刪除]無法檢測到訪問其網(wǎng)絡(luò)的惡意企圖，并防止旨在獲取未經(jīng)授權(quán)的訪問的網(wǎng)絡(luò)攻擊并泄露敏感的BMDS技術(shù)信息，”報(bào)告說。

該地點(diǎn)的當(dāng)?shù)豈DA官員將這個(gè)問題歸咎于他們的主管，他們說，他們未能批準(zhǔn)對(duì)他們提交的相應(yīng)軟件的請(qǐng)求，而這些軟件是他們?cè)谝荒昵疤峤坏摹?/p>