保护美国安全的机构运行的是没打补丁的Flash……
一份政府报告指出,美国国土安全部(DHS)在保护自身IT系统安全上可以再做好一点。
DHS监督部门监察长办公室(OIG)发布题为《2017财年DHS信息安全项目评估》审计报告,称DHS可以更全面更有效地保护机密信息和系统。
本次审计在5个方面各设5级成熟度水平:
1) 自组网; 2) 有定义; 3) 实现一致; 4) 有管理可评估; 5) 经优化。
DHS信息安全项目在这5个方面的评估中有3个评级为3级——合格标准为4级。
DHS在系统防护所需的各种配置上实现不佳。沿用了厂商不再提供支持的操作系统,未能及时修复关键漏洞,没有监控非机密系统上的软件许可,且缺乏应对服务中断的修复计划。
该报告完稿日期是3月1日,签发日期为3月7日。报告中指出,2017年6月30日时,根据政府安全标准,有64个系统缺乏运行授权。其中16个是机密国家安全系统,48个是非机密系统。
尽管如此,该结果还是展现出了自2016年来的安全改进,当时是有79个非机密系统缺乏足够的防护。
报告称,DHS未能安全达标的最主要原因,是缺乏足够的安全人才。
审计发现的问题包括:
交换文件夹按高速缓存模式进行索引,也就是说,一旦机器被黑,用户邮件有可能被黑客获取。
注册表审计没有一直开启,Windows注册表可能遭到无法溯源的修改。
共享网络硬盘匿名访问没有保持禁用状态。
该报告还斥责DHS竟然沿用已不受支持的操作系统。DHS、海岸警卫队和特勤局都被发现还在用 Windows Server 2003 ——微软2015年7月起就停止支持的操作系统。
OIG还指出,DHS、联邦紧急事务管理署(FEMA)和海岸警卫队的Windows工作站补丁没打全。
DHS的 Windows 2008 和 2012 操作系统缺乏针对 Oracle Java、IE过时版本、微软Sidebar和Gadgets应用漏洞版本的安全补丁,其中一些补丁早在2013年7月就放出了。
大量 Windows 8.1 和 Windows 7 工作站缺乏关键安全补丁,包括WannaCry修复补丁、各种浏览器更新和针对 Adobe Flash、Shockwave和 Acrobat漏洞的补丁。
报告认为,DHS的安全不足与特朗普的网络安全行政令背道而驰,需要对其加强安全监管。
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。