米国国防総省の監察官が実施した米国の弾道ミサイルシステムのセキュリティ監査 (DOD IG) さまざまな重大なセキュリティ問題が明らかになりました. このレポートは、BMDS技術情報を保護するために利用可能な統制を監査するという議会の要件に応えて実施されました。, 認可された防衛請負業者によって管理されているかどうか, または政府によって.
実施された分析の結論は非常に厄介です, それを述べる “軍隊, 海軍, およびMDAは、処理するネットワークおよびシステムを保護しませんでした, お店, BMDS技術情報を送信します.”
すぐに言った, ミサイルシステムには、適切な多要素認証を含む基本的なセキュリティ対策が欠けています。, ウイルス対策ソフト, データ暗号化. これらを締めくくるには, レポートによると、パッチが適用されていない脆弱性の一部は28年前のものです。.
多要素認証の欠如, パッチが適用されていない多数の欠陥
レポートによると, 最も厄介な問題は、多要素認証に関する問題です. 通常, 新しいMDA (ミサイル防衛機関) 従業員は、BMDSのネットワークに必要なユーザー名とパスワードを受け取ります. いわゆるコモンアクセスカードも付いています (CAC) これを有効にして、パスワードおよび2要素認証方法と一緒に使用する必要があります. 問題は、検査された5つの場所のうち3つで、従業員がアカウントに対して多要素認証を有効にしていないことです。, BMDSのネットワークにアクセスするためにユーザー名とパスワードのみを適用していました.
この欠如はどういう意味ですか? これにより、従業員とシステムは、パスワードを収集し、攻撃者がシステムにアクセスできるようにすることを目的としたフィッシング攻撃を受けやすくなります。.
それを締めくくるには, 一部のシステムは脆弱であることが判明しました, にさかのぼるセキュリティ上の欠陥のための欠落したパッチ 1990! その他は発見され、修正されました 2013 と 2016, しかし、パッチは適用されませんでした, システムを攻撃に対して開いたままにする. この特定の部分では、レポートが大幅に編集されていることに注意してください。, 私たちが話すときに欠陥がまだ修正されていることを意味します.
すべての問題に対処するセキュリティの推奨事項は次のとおりです。:
- 多要素認証を使用する;
- 脆弱性をタイムリーに軽減する;
- リムーバブルメディア上のデータの保護;
- 侵入検知機能の実装.
以前のレポートは、連邦政府機関で問題を発見しました, 海兵隊のウェブサイト
夏にリリースされた別のレポート, 「連邦サイバーセキュリティリスク決定レポートとアクションプラン」というタイトル, 強調表示 [wplinkpreview url =”https://Sensorstechforum.com/us-federal-agencies-lack-cybersecurity/”]米国のサイバーセキュリティの不十分さ. 連邦機関.
すぐに言った, レポートは、状況認識がほとんどないことを発見しました, 攻撃を報告または管理するための標準的なプロセスはほとんどなく、基本的な暗号化でさえ適切に実行する機関はほとんどありません。. OMBによると, サイバーセキュリティの現在の連邦政府の状態は「受け入れられない」. より具体的には, 連邦政府機関の4分の3は、重大なセキュリティギャップを伴う非常に不十分なサイバーセキュリティプログラムを持っています. 一部のプログラムは「リスクあり」と評価されていますが、他のプログラムは基本的なプロセスが不足している「高リスク」です。.
さらに何, 10月中, と同じくらい [wplinkpreview url =”https://Sensorstechforum.com/150-vulnerabilities-us-marine-corp/”]150 脆弱性はホワイトハットハッカーによって発見されました 米国海兵隊のウェブサイトおよび関連サービス. 脆弱性は、「海兵隊をハックする」と呼ばれるバグ報奨金プログラム中に発見されました, 米国国防総省とHackerOneが主催. より多い 100 倫理的なハッカーがイベントに参加しました.