监察长办公室(Office of Inspector General,OIG)本周发布一份调查报告,公布美国人口统计局去年初一桩不成功的安全事件中,该局未能事前防御、又未能尽早发现,事后又未见改善的种种缺失。
这份美国政府文件显示,去年1月11日美国人口统计局(Census Bureau)管理的数台服务遭到以公开可取得的开采工具攻击。这些服务器主要是用于员工远程访问以进行工作业、开发及实验之用。攻击者企图远程执行程序代码,成功变更了系统上用户账号资料,但是未能如愿在系统上植入后门程序,因此攻击者未能成功黑入该单位网络。
OIG于去年11月到今年3月着手调查。他们也点出人口统计局的数项缺失,包括未能在2019年12月服务器厂商发布漏洞信息,以及美国标准与技术研究所(NIST)将服务器漏洞列为“重大”时及时修补,导致隔年1月的安全事件。此外,该局安全事件管理(SIEM)系统并未用于主动防御,只作为被动调查,因而未能侦测服务器的恶意活动,期间虽也接获第三方厂商恶意IP情报,但管理员误判以为已封锁,迟至2周后才发现异状。另外,事发后,人口统计局系统设置疏失,未保留足够的服务器log,以致延误调查。
OIG还发现,人口统计局心存侥幸,不但事件发生后未能强化安全管理,甚至还持续使用受入侵、且已经EoL(end of life)的原本那几台服务器。
最后,OIG在报告中提出建议,要求人口统计局改善,包括定期全系统漏洞扫描、自动化安全通知、搜集系统log、强化人员教育、事件回应流程、安全策略落实,以及创建EoL产品退役政策等。