能防御导弹的美国弹道导弹防御系统却输在了网络安全上
本周发布的美国国防部监察长报告概述了用于保护美国弹道导弹防御系统(BMDS)的网络安全措施存在不足。
美国使用弹道导弹防御系统来对抗以美利坚合众国为目标的近程、中程、中远程弹道导弹。由于这些系统由计算机和软件控制,因此它们面临着有国家背景攻击的风险,这些攻击试图获得对系统的控制,破坏它们或窃取机密信息和源代码。
美国弹道导弹防御系统
2014年3月14日,国防部首席信息官表示,国防部必须实施国家标准与技术研究院(NIST)的安全控制措施,以保护其系统,包括BMDS。
在国防部发表的一份经过严格修订的报告中,已经证明BMDS设施未能利用所需的安全控制,如多因素身份验证、漏洞评估和缓解、服务器机架安全、保护存储在可移动介质上的机密数据、加密传输的技术信息、物理设施的安全性,如摄像机和传感器,并没有进行常规评估,以确保这些安全措施到位。
在一个设施中,允许用户在创建帐户期间使用单因素身份验证(仅用户名+密码)的最长期限为14天。报告显示,在大多情况下,用户14天过去后继续使用用户名和密码认证。在另一个设施中,域管理员从未配置阻止用户在不使用多因素身份验证时登录的策略。最后,某个设施使用的系统甚至不支持多因素身份验证。
许多设施中的漏洞并没有得到适当修补和保护,允许攻击者黑进系统或设施。例如,2018年3月对一家工厂的漏洞进行的扫描显示,1月份扫描中发现的漏洞并未得到修复。其他设施中还包含2013年发现的漏洞,并在2018年4月进行漏洞评估时尚未修补。
报告还指出,设施不会加密存储在可移动设备上的数据,也不会跟踪正在复制数据的系统。甚至,有些人不知道他们需要加密可移动设备上的数据。
国防部报告说,
此外,工作人员没有加密存储在可移动媒体上的数据。[redacted] 的系统所有者和信息系统安全官表示他们的组件没有加密存储在可移动媒体上的数据,因为[redacted] 不需要使用加密。虽然[redacted] 不要求加密存储在可移动媒体上的数据,但[redacted] 的系统所有者和信息系统安全官员有责任实施和执行联邦和国防部网络安全政策和程序,加密存储在可移动媒体上的数据。2018年5月,根据指示[redacted] 开始使用联邦信息处理标准140-2认证方法在2018年10月9日之前加密存储在可移动媒体上的数据,作为进行操作的条件。
除计算机和数据安全问题外,还存在物理安全问题。比如有些服务器机架没有被锁定的情况,四年来,报告显示有一扇门已经关闭,而实际上它一直打开,只需拉开门就获得了未经授权的访问,而且安全摄像头并不总是安装在所需位置。
国防部监察长办公室的建议正如所期望的那样。解决这些问题并遵循所需的联邦要求。不幸的是,各设施的首席信息官没有对报告草案作出回应,监察长办公室现已要求参谋长、司令、指挥官和首席信息官在2019年1月8日前对最终报告发表意见。
本周发布的美国国防部监察长报告概述了用于保护美国弹道导弹防御系统(BMDS)的网络安全措施存在不足。
美国使用弹道导弹防御系统来对抗以美利坚合众国为目标的近程、中程、中远程弹道导弹。由于这些系统由计算机和软件控制,因此它们面临着有国家背景攻击的风险,这些攻击试图获得对系统的控制,破坏它们或窃取机密信息和源代码。
美国弹道导弹防御系统
2014年3月14日,国防部首席信息官表示,国防部必须实施国家标准与技术研究院(NIST)的安全控制措施,以保护其系统,包括BMDS。
在国防部发表的一份经过严格修订的报告中,已经证明BMDS设施未能利用所需的安全控制,如多因素身份验证、漏洞评估和缓解、服务器机架安全、保护存储在可移动介质上的机密数据、加密传输的技术信息、物理设施的安全性,如摄像机和传感器,并没有进行常规评估,以确保这些安全措施到位。
在一个设施中,允许用户在创建帐户期间使用单因素身份验证(仅用户名+密码)的最长期限为14天。报告显示,在大多情况下,用户14天过去后继续使用用户名和密码认证。在另一个设施中,域管理员从未配置阻止用户在不使用多因素身份验证时登录的策略。最后,某个设施使用的系统甚至不支持多因素身份验证。
www.wnhack.com
许多设施中的漏洞并没有得到适当修补和保护,允许攻击者黑进系统或设施。例如,2018年3月对一家工厂的漏洞进行的扫描显示,1月份扫描中发现的漏洞并未得到修复。其他设施中还包含2013年发现的漏洞,并在2018年4月进行漏洞评估时尚未修补。
报告还指出,设施不会加密存储在可移动设备上的数据,也不会跟踪正在复制数据的系统。甚至,有些人不知道他们需要加密可移动设备上的数据。
国防部报告说,
此外,工作人员没有加密存储在可移动媒体上的数据。[redacted] 的系统所有者和信息系统安全官表示他们的组件没有加密存储在可移动媒体上的数据,因为[redacted] 不需要使用加密。虽然[redacted] 不要求加密存储在可移动媒体上的数据,但[redacted] 的系统所有者和信息系统安全官员有责任实施和执行联邦和国防部网络安全政策和程序,加密存储在可移动媒体上的数据。2018年5月,根据指示[redacted] 开始使用联邦信息处理标准140-2认证方法在2018年10月9日之前加密存储在可移动媒体上的数据,作为进行操作的条件。
除计算机和数据安全问题外,还存在物理安全问题。比如有些服务器机架没有被锁定的情况,四年来,报告显示有一扇门已经关闭,而实际上它一直打开,只需拉开门就获得了未经授权的访问,而且安全摄像头并不总是安装在所需位置。
本文来自无奈人生安全网
国防部监察长办公室的建议正如所期望的那样。解决这些问题并遵循所需的联邦要求。不幸的是,各设施的首席信息官没有对报告草案作出回应,监察长办公室现已要求参谋长、司令、指挥官和首席信息官在2019年1月8日前对最终报告发表意见。