美國國防部總督察長室(DOD IG)本週五披露了美國彈道導彈防禦系統(BMDS)的安全審計,其中對網路安全的相關描述寫道:“沒有資料加密、沒有防病毒程式、沒有多因素身份認證機制,28年的陳舊漏洞至今仍未修補。”BMDS是美國國防部計劃透過發射彈道導彈攔截敵方核彈來保護美國領土的計劃。在審計報告[PDF]中,DOD IG官員對BMDS中的導彈防禦局(MDA)存放的彈道導彈站點進行了隨機調查。
在這份安全審計報告中得出的結論是:“陸軍、海軍和MDA都沒有保護網路和系統來處理、儲存和運輸BMDS技術資訊。”審計人員發現了幾個比較嚴重的問題,其中最大的就是尚未部署多因素身份驗證。
在正常情況下,任何新的MDA員工都會收到用於訪問BMDS網路的使用者名稱和密碼。隨著新員工進入新工作崗位,他們還會收到一張公共訪問卡(CAC)。通常他們必須將CAC和密碼配合使用,並將其作為第二因素身份驗證。而且正常程式表明,所有新的MDA工作人員必須在僱用後的兩週內使用多因素身份驗證。
但在這份審計報告中在隨機抽查的5個站點中,調查人員發現有3個站點內的很多使用者並沒有啟用多因素身份驗證,並且仍然使用他們的使用者名稱和密碼來訪問BMDS的網路。一位使用者在沒有卡提供保護的情況下訪問了BMDS資料七年,在一個MDA網站上,調查人員表示他們還發現網路從未配置為支援多因素身份驗證。
缺乏多因素身份驗證意味著員工容易受到網路釣魚攻擊,這些攻擊可以收集密碼並允許攻擊者遠端或本地訪問BMDS系統而不會出現進一步的安全挑戰(第二個身份驗證因素)。
更令人擔憂的是,DOD IG審計人員發現在他們訪問的5個站點中,有3個站點的IT管理員並未安裝應用安全補丁,導致計算機和相鄰網路系統容易受到遠端或本地攻擊。調查人員發現很多2016、2013年已經修復的漏洞並未及時安裝更新,甚至1990年的漏洞仍未修復。
美國國防部總督察長室(DOD IG)本週五披露了美國彈道導彈防禦系統(BMDS)的安全審計,其中對網路安全的相關描述寫道:“沒有資料加密、沒有防病毒程式、沒有多因素身份認證機制,28年的陳舊漏洞至今仍未修補。”BMDS是美國國防部計劃透過發射彈道導彈攔截敵方核彈來保護美國領土的計劃。在審計報告[PDF]中,DOD IG官員對BMDS中的導彈防禦局(MDA)存放的彈道導彈站點進行了隨機調查。
在這份安全審計報告中得出的結論是:“陸軍、海軍和MDA都沒有保護網路和系統來處理、儲存和運輸BMDS技術資訊。”審計人員發現了幾個比較嚴重的問題,其中最大的就是尚未部署多因素身份驗證。
在正常情況下,任何新的MDA員工都會收到用於訪問BMDS網路的使用者名稱和密碼。隨著新員工進入新工作崗位,他們還會收到一張公共訪問卡(CAC)。通常他們必須將CAC和密碼配合使用,並將其作為第二因素身份驗證。而且正常程式表明,所有新的MDA工作人員必須在僱用後的兩週內使用多因素身份驗證。
但在這份審計報告中在隨機抽查的5個站點中,調查人員發現有3個站點內的很多使用者並沒有啟用多因素身份驗證,並且仍然使用他們的使用者名稱和密碼來訪問BMDS的網路。一位使用者在沒有卡提供保護的情況下訪問了BMDS資料七年,在一個MDA網站上,調查人員表示他們還發現網路從未配置為支援多因素身份驗證。
缺乏多因素身份驗證意味著員工容易受到網路釣魚攻擊,這些攻擊可以收集密碼並允許攻擊者遠端或本地訪問BMDS系統而不會出現進一步的安全挑戰(第二個身份驗證因素)。
更令人擔憂的是,DOD IG審計人員發現在他們訪問的5個站點中,有3個站點的IT管理員並未安裝應用安全補丁,導致計算機和相鄰網路系統容易受到遠端或本地攻擊。調查人員發現很多2016、2013年已經修復的漏洞並未及時安裝更新,甚至1990年的漏洞仍未修復。