美国弹道导弹防御系统未通过网络安全审计

日前，美国国防部监察长报告概述了用于保护美国弹道导弹防御系统（BMDS）的网络安全做法不足。

美国使用弹道导弹防御系统来对抗针对美利坚合众国的短程，中程，中程和远程弹道导弹。这些系统由计算机和软件控制，它们可能面临被一些攻击作为目标的风险，这些攻击试图获得对系统的控制，破坏它们或窃取机密信息和源代码。

2014年3月14日，国防部首席信息官表示，国防部必须实施国家标准与技术研究院（NIST）的安全控制措施，以保护其系统，包括BMDS。

在国防部发表的一份经过严格修订的报告中，已经证明BMDS设施未能利用所需的安全控制，如多因素身份验证，漏洞评估和缓解，服务器机架安全，保护存储在可移动媒体上的机密数据，加密传输的技术信息，物理设施的安全性，如摄像机和传感器，并没有进行常规评估，以确保这些安全措施到位。

在一个设施中，允许用户在创建帐户期间使用单因素身份验证（仅用户名+密码）最多14天。该报告显示，在许多情况下，用户将在过去14天内继续使用用户名和密码。在另一个设施中，域管理员从不打算配置阻止用户在不使用多因素身份验证时登录的策略。最后，一个设施使用的系统甚至不支持多因素身份验证。

允许攻击者入侵系统或设施的漏洞也未在许多设施中得到适当修补和保护。例如，2018年3月对一家工厂的漏洞进行的扫描显示，Janaury 2018扫描中发现的漏洞从未得到修复。其他设施包含2013年发现的漏洞，并且在进行2018年4月漏洞评估时尚未修补。

报告还指出，设施不会加密存储在可移动设备上的数据，也不会使用跟踪正在复制数据的系统，他们甚至不知道他们甚至需要加密可移动设备上的数据。

“此外，官员没有加密存储在可移动媒体上的数据。系统所有者和信息系统安全官表示他们的组件没有加密存储在可移动媒体上的数据，因为不需要使用加密，“ 国防部报告说。“虽然不要求存储在可移动媒体上的数据加密，但系统所有者和信息系统安全官员有责任实施和执行联邦和国防部网络安全政策和程序，以加密存储在可移动媒体上的数据。2018年5月，开始使用联邦信息处理标准140-2认证的方法在2018年10月9日之前加密存储在可移动媒体上的数据，作为进行操作的条件。”

除计算机和数据安全问题外，还存在物理安全问题。有些服务器机架没有被锁定的情况，四年来，可能它显示已经关闭，而实际上它已经打开，人们轻易就可获得未经授权的访问。

*来源bleepingcomputer，蓝蓝编译整理，转载请注明来自安全圈