美国国防部检察长办公室(Office of Inspector General ,OIG)12月10日公布的一份审计报告显示,美国陆军、海军和导弹防御署(MDA,Missile Defense Agency)未能采取基本的网络安全措施来确保美国弹道导弹防御系统的信息不会落入不法之手。

调查人员访问了五个管理弹道导弹防御系统及技术信息的地址,在公开发布的报告中,这些控制系统的名称被删除了。解密版的审计报告里提到“美国陆军、海军和MDA未能成功保护存储和传输导弹防御技术信息的网络及系统免受未经授权的访问和使用。这些缺陷可能让美国的对手绕过导弹防御能力,使美国容易受到导弹攻击”。

第一,军方官员在2018年并没有采取常规的网络安全措施,如入侵检测和防范系统,来保护涉密网络免受攻击,更不用说采取措施阻止网络攻击。报告称:“如果没有入侵检测和防御能力,网站就无法检测到企图入侵其网络的恶意行为,也无法阻止未经授权的访问或窃取导弹防御系统敏感技术信息的网络攻击。”

第二,军方官员们在收到漏洞警报后也未修复系统漏洞,审计发现其中一个早在1990年首次被发现的漏洞,直到今年4月却仍未修复。另一个可能被攻击者利用的漏洞是在2013年首次发现的,但也从未被修复。报告指出:“无数的网络事件显示,绝大多数事件是可以通过实施基本的网络安全措施和数据保护手段来预防的,这些措施包括定期修补已知的漏洞。“

第三,军方的基础设施未能保证人员在访问涉密系统时使用CAC卡(Common Access Card,美国现役国防人员的识别标志,这是一种信用卡大小的智能卡,用于建筑设施的出入和计算机网络与系统的访问。CAC采用多因素身份认证,满足数字签名和数据加密技术的完整性和不可抵赖性等要求)。官员们仅使用用户名和密码就可以访问系统敏感信息。调查人员还发现,这些系统的用户在长达七年的时间里没有使用过CAC卡,甚至有些系统的管理员从未将网络配置为只允许CAC卡持有者访问。报告称:“允许用户使用单因素身份验证访问网络,增加了网络攻击者利用密码获取导弹防御敏感技术信息的可能性。”

调查人员还发现了很多安全隐患,比如:在一些地方发现了未上锁的服务器机架;外部存储设备持有未加密的数据;一些网站无法追踪数据的访问人员以及访问原因,并且无法记录或监控从网络下载的数据;一些涉密环境连防盗门都没有;一些环境缺乏监控人员流量的摄像头;安保人员也没有对人员出入进行资格检查等等。这些是内部人窥探敏感信息的另一个关键漏洞。报告表示:“内部威胁风险要求组织采取管理控制措施,以降低恶意人员操纵服务器按预期运行、损害敏感和机密数据的风险。尽管有相关官员意识到这个问题,但并未采取适当行动,阻止未经授权的人员进入涉密环境或访问系统。”

审计报告详细描述了军队和国防承包商的网络安全漏洞,提出了记录在案问题的相关解决措施和建议。海军部长Richard Spencer下令进行“全面的网络安全审查”,以评估海军的网络资源是否有重点、按计划来防止入侵和威胁。审查还将采取问责制审查当局,反映出在这个大国网络安全竞争时代美国对网络安全的重视程度颇高。

查看国防部审计报告原文:https://media.defense.gov/2018/Dec/14/2002072642/-1/-1/1/DODIG-2019-034.PDF

声明:本文来自国防科技工业网络安全创新中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。