保护美国安全的机构运行的是没打补丁的Flash……
一份政府报告指出,美国国土安全部(DHS)在保护自身IT系统安全上可以再做好一点。
DHS监督部门监察长办公室(OIG)发布题为《2017财年DHS信息安全项目评估》审计报告,称DHS可以更全面更有效地保护好奇信息和系统。
本次审计在5个方面各设5级成熟度水平:
1) 自组网; 2) 有定义; 3) 实现一致; 4) 有管理可评估; 5) 经优化。
DHS信息安全项目在这5个方面的评估中有3个评级为3级——合格标准为4级。
DHS在系统防护所需的各种配置上实现不佳。沿用了厂商不再提供支持的操作系统,未能及时修复关键漏洞,没有监控非机密系统上的软件许可,且缺乏应对服务中断的修复计划。
该报告完稿日期是3月1日,签发日期为3月7日。报告中指出,2017年6月30日时,根据政府安全标准,有64个系统缺乏运行授权。其中16个是机密国家安全系统,48个是非机密系统。
尽管如此,该结果还是展现出了自2016年来的安全改进,当时是有79个非机密系统缺乏足够的防护。
报告称,DHS未能安全达标的最主要原因,是缺乏足够的安全人才。
审计发现的问题包括:
- 交换文件夹按高速缓存模式进行索引,也就是说,一旦机器被黑,用户邮件有可能被黑客获取。
- 注册表审计没有一直开启,Windows注册表可能遭到无法溯源的修改。
- 共享网络硬盘匿名访问没有保持禁用状态。
该报告还斥责DHS竟然沿用已不受支持的操作系统。DHS、海岸警卫队和特勤局都被发现还在用 Windows Server 2003 ——微软2015年7月起就停止支持的操作系统。
OIG还指出,DHS、联邦紧急事务管理署(FEMA)和海岸警卫队的Windows工作站补丁没打全。
DHS的 Windows 2008 和 2012 操作系统缺乏针对 Oracle Java、IE过时版本、微软Sidebar和Gadgets应用漏洞版本的安全补丁,其中一些补丁早在2013年7月就放出了。
大量 Windows 8.1 和 Windows 7 工作站缺乏关键安全补丁,包括WannaCry修复补丁、各种浏览器更新和针对 Adobe Flash、Shockwave和 Acrobat漏洞的补丁。
报告认为,DHS的安全不足与特朗普的网络安全行政令背道而驰,需要对其加强安全监管。
除非DHS解决了其系统性信息安全漏洞,否则将继续无法确保其信息系统足以保护他们存储和处理的敏感数据。
DHS发言人没有立即对调查结果发表评论,但报告指出,国土安全部同意报告的建议,并打算在2018年9月底之前解决这些问题。
审计报告地址:
https://www.oig.dhs.gov/sites/default/files/assets/2018-03/OIG-18-56-Mar18.pdf
