Un audit de sécurité du système de missiles balistiques effectué par le Département américain de la Défense Inspecteur général (DOD IG) a révélé une série de graves problèmes de sécurité. Le rapport a été mené en réponse à une exigence du Congrès pour vérifier les contrôles disponibles pour protéger les informations techniques BMDS, Qu'ils soient gérés par des entrepreneurs de la défense défrichées, ou par le gouvernement.
La conclusion de l'analyse menée est assez gênant, indiquant que “l'armée, Marine, et MDA n'a pas à protéger les réseaux et les systèmes qui traitent, le magasin, et transmettre des informations techniques BMDS.”
Peu dit, le système de missiles manque de mesures de sécurité de base, incluant l'authentification multifactorielle, Logiciel antivirus, le cryptage des données. Pour couronner ces hors, le rapport a découvert que certaines des vulnérabilités non corrigées sont 28-ans.
Le manque d'authentification multifactorielle, De nombreux Flaws non corrigées
Selon le rapport, la question la plus troublante est celle concernant l'authentification multifactorielle. Typiquement, nouveau MDA (Agence de défense antimissile) les employés reçoivent un nom d'utilisateur et mot de passe nécessaire pour les réseaux de BMDS. Ils sont également fournis avec le soi-disant carte d'accès commun (CAC) qui doit être activé et utilisé conjointement avec un mot de passe et une méthode d'authentification à deux facteurs. Le problème est que dans trois des cinq sites inspectés employés n'avaient pas permis authentifications multifactorielle pour leurs comptes, et ont été seulement appliquer les noms d'utilisateur et mots de passe pour l'accès au réseau du BMDS.
Qu'est-ce que ce manque signifie? Il laisse les employés et les systèmes sujettes aux attaques de phishing visant à collecter des mots de passe et permettant aux acteurs de la menace pour accéder aux systèmes.
Pour couronner le tout, ont été trouvés quelques-uns des systèmes vulnérables, avec les patches manquants pour des failles de sécurité datant 1990! D'autres ont été découverts et fixés dans 2013 et 2016, mais pas de patchs ont été appliqués, laissant les systèmes ouverts à l'attaque. Il convient de noter que le rapport est fortement expurgée dans cette partie, ce qui signifie que les défauts sont toujours fixés comme nous parlons.
Les recommandations de sécurité qui traitent toutes les questions comprennent:
- en utilisant l'authentification multifactorielle;
- atténuer les vulnérabilités en temps opportun;
- protéger les données sur un support amovible;
- la mise en œuvre des capacités de détection d'intrusion.
Les rapports précédents Découverts questions dans les organismes fédéraux, Sites Marine Corp
Un autre rapport qui a été publié en été, intitulé « Cybersécurité fédéral Rapport de la détermination des risques et plan d'action », a souligné [wplinkpreview url =”https://sensorstechforum.com/u-s-federal-agencies-lack-cybersecurity/”]l'insuffisance de la cybersécurité de U.S. organismes fédéraux.
Peu dit, le rapport a découvert qu'il ya peu de connaissance de la situation, quelques processus standard pour la présentation ou la gestion des attaques et presque pas d'agences de transport de façon appropriée à même le cryptage de base. Selon la CAMO, l'état fédéral actuel de la cybersécurité est « intenable ». Plus particulièrement, jusqu'à trois quarts des organismes fédéraux ont des programmes de cybersécurité très insuffisants avec des failles de sécurité importantes. Certains des programmes sont classés comme « à risque » tandis que d'autres sont « à haut risque » où les processus fondamentaux font défaut.
De plus, dans Octobre, autant que [wplinkpreview url =”https://sensorstechforum.com/150-vulnerabilities-us-marine-corp/”]150 vulnérabilités ont été découvertes par des pirates de chapeau blanc dans les sites Web US Marine Corp et services connexes. Les vulnérabilités ont été découverts au cours d'un programme de primes bug appelé « Hack the Marine Corps », organisé par le département américain de la Défense et HackerOne. Plus que 100 les pirates éthiques ont assisté à l'événement.