A auditoria do sistema de míssil balístico US segurança efectuado pelo Departamento de Defesa Inspector Geral US (DOD IG) revelou uma série de problemas de segurança graves. O relatório foi realizado em resposta a uma exigência do Congresso de auditar os controles disponíveis para proteger as informações técnicas do BMDS, se gerenciado por contratados de Defesa autorizados, ou pelo governo.
A conclusão da análise conduzida é bastante problemática, declarando isso “o Exército, Marinha, e o MDA não protegeu redes e sistemas que processam, loja, e transmitir informações técnicas BMDS.”
disse brevemente, o sistema de mísseis carece de medidas básicas de segurança, incluindo autenticação multifatorial adequada, software antivírus, criptografia de dados. Para culminar, o relatório descobriu que algumas das vulnerabilidades não corrigidas têm 28 anos.
Falta de autenticação multifator, Numerosas falhas não corrigidas
De acordo com o relatório, o problema mais preocupante é o que diz respeito à autenticação multifator. Tipicamente, novo MDA (Agência de Defesa de Mísseis) funcionários recebem um nome de usuário e senha necessários para as redes BMDS. Eles também são fornecidos com o chamado cartão de acesso comum (CAC) que deve ser habilitado e usado junto com uma senha e um método de autenticação de segundo fator. O problema é que em três entre cinco locais inspecionados, os funcionários não habilitaram autenticações multifatoriais para suas contas, e estavam apenas aplicando nomes de usuário e senhas para acesso à rede do BMDS.
O que essa falta significa? Isso deixa funcionários e sistemas sujeitos a ataques de phishing com o objetivo de coletar senhas e permitir que os agentes da ameaça acessem os sistemas.
Para top off, alguns dos sistemas foram considerados vulneráveis, com patches ausentes para falhas de segurança que datam de 1990! Outros foram descobertos e corrigidos em 2013 e 2016, mas nenhum patch foi aplicado, deixando os sistemas abertos para ataques. Deve-se notar que o relatório é fortemente editado nesta parte específica, o que significa que as falhas ainda estão sendo corrigidas enquanto falamos.
As recomendações de segurança que abordam todos os problemas incluem:
- usando autenticação multifator;
- mitigar vulnerabilidades em tempo hábil;
- protegendo dados em mídia removível;
- implementação de recursos de detecção de intrusão.
Relatórios anteriores descobriram problemas em agências federais, Sites da Marine Corp
Outro relatório que foi lançado no verão, intitulado “Relatório Federal de Determinação de Risco de Cibersegurança e Plano de Ação”, em destaque [wplinkpreview url =”https://sensorstechforum.com/u-s-federal-agencies-lack-cybersecurity/”]a inadequação da cibersegurança dos EUA. agências federais.
disse brevemente, o relatório descobriu que há pouca consciência situacional, poucos processos padrão para relatar ou gerenciar ataques e quase nenhuma agência realizando apropriadamente até mesmo a criptografia básica. De acordo com o OMB, o atual estado federal de segurança cibernética é “insustentável”. Mais particularmente, até três quartos das agências federais têm programas de segurança cibernética altamente insuficientes com lacunas de segurança significativas. Alguns dos programas são classificados como "em risco", enquanto outros são de "alto risco", onde processos fundamentais estão faltando.
O que é mais, em outubro, tanto quanto [wplinkpreview url =”https://sensorstechforum.com/150-vulnerabilities-us-marine-corp/”]150 vulnerabilidades foram descobertas por hackers de chapéu branco nos sites da US Marine Corp e serviços relacionados. As vulnerabilidades foram descobertas durante um programa de recompensa por bug chamado “Hack the Marine Corps”, organizado pelo Departamento de Defesa dos EUA e HackerOne. Mais que 100 hackers éticos participaram do evento.