[图]美导弹防御系统安全审计:无加密无双重认证 28年漏洞未修补

[图]美导弹防御系统安全审计:无加密无双重认证 28年漏洞未修补

在这份安全审计报告中得出的结论是:“陆军、海军和MDA都没有保护网络和系统来处理、存储和运输BMDS技术信息。”审计人员发现了几个比较严重的问题,其中最大的就是尚未部署多因素身份验证。

在正常情况下,任何新的MDA员工都会收到用于访问BMDS网络的用户名和密码。随着新员工进入新工作岗位,他们还会收到一张公共访问卡(CAC)。通常他们必须将CAC和密码配合使用,并将其作为第二因素身份验证。而且正常程序表明,所有新的MDA工作人员必须在雇用后的两周内使用多因素身份验证。

[图]美导弹防御系统安全审计:无加密无双重认证 28年漏洞未修补

但在这份审计报告中在随机抽查的5个站点中,调查人员发现有3个站点内的很多用户并没有启用多因素身份验证,并且仍然使用他们的用户名和密码来访问BMDS的网络。一位用户在没有卡提供保护的情况下访问了BMDS数据七年,在一个MDA网站上,调查人员表示他们还发现网络从未配置为支持多因素身份验证。

缺乏多因素身份验证意味着员工容易受到网络钓鱼攻击,这些攻击可以收集密码并允许攻击者远程或本地访问BMDS系统而不会出现进一步的安全挑战(第二个身份验证因素)。

更令人担忧的是,DOD IG审计人员发现在他们访问的5个站点中,有3个站点的IT管理员并未安装应用安全补丁,导致计算机和相邻网络系统容易受到远程或本地攻击。调查人员发现很多2016、2013年已经修复的漏洞并未及时安装更新,甚至1990年的漏洞仍未修复。

原创文章,作者:Maggie-Hunter,如若转载,请注明出处:https://blog.ytso.com/150714.html

(0)
上一篇 2021年9月13日
下一篇 2021年9月13日

相关推荐

发表回复

登录后才能评论