美国国防部计划花费1.66万亿美元来推进升级改造其武器装备,但是美国政府问责制办公室(GAO)审查了该系统不同发展阶段的报告发现,“几乎所有正在开发的武器系统”都存在较多的漏洞,攻击者可以轻松控制和破坏其功能。
美国政府问责制办公室表示,他们发现有关凭据管理的测试记录非常糟糕,以至于一个团队能在9秒内猜出系统的管理员密码。很有可能是负责管理的人员没有更改武器系统的默认密码。
问责制办公室在今天发布的报告中指出,任何一个可以联网的人都可以使用网上免费的信息或工具,隐藏恶意操作并绕过保护系统,控制或摧毁目标,甚至仅仅是扫描一下就可以导致部分系统关闭。
多重因素使得攻击者的入侵无法被发现,有时甚至持续数周。问责制办公室官员了解到入侵者在行动中故意大声喧哗,但系统的操作员并未看到可疑活动的迹象。
警报系统的错误配置是问题的一部分,因为多个报告表明入侵检测系统(IDS)正确地发起了警报,但操作员没有收到。另一方面,IDS显示永久警报状态,这使得它对用户来说并不可靠。
一个测试团队通过重新启动系统来模拟拒绝服务攻击,确保系统在短时间内无法执行任务。41家运营商表示,他们没有检测到网络攻击,因为不明原因的系统崩溃是正常的。尽管活动日志中有记录,一些攻击完全没有被注意到,因为操作员没有费心去检查它们。
内部报告显示,当,测试人员侵入系统后,他们可以提升权限并轻松移动,甚至可以实时查看目标系统操作员的每一次操作。复制、删除或修改数据和发现主要漏洞一样频繁,一个团队甚至设法窃取了100GB的数据。在他们对防守者的恶作剧中,“攻击者”甚至可以在用户终端上弹出提示消息。
根本原因分析
从2017年7月到2018年10月,美国政府问责制办公室的审计持续了一年多,审查了2012年至2017年期间测试的部分武器的网络安全报告。还通过分析自2014年以来修订的获取、需求、测试政策和指导,调查了国防部为改善武器系统安全立场而采取的措施。
然而,结果非常可怕:国防部的起步较晚,错过了开发能够抵御网络攻击的武器的重要步骤。网络防御主要集中在基础设施和网络上,而不是武器本身,后者也要演变成计算机系统,需要至少同等程度的关注。
问责制办公室官员总结说:“多种因素导致了国防部武器系统网络安全的现状,包括国防部武器逐渐地数字化和网络化,国防部过去没有优先考虑武器系统的网络安全,没有更好地理解开发网络安全武器系统的重点。”
问责制办公室称,一些项目办公室在系统设计和连接方面仍难以认识到网络安全的重要性。一些官员认为一些测试结果不现实,他们还坚信武器系统得到了适当的保护。
问责制办公室发现的情况可能只是冰山一角,因为这是该机构对武器系统采购的首次审计,还没有在更大的背景下进行问题分析,包括承包商设施、物联网设备或工业控制系统的安全。
领取专属 10元无门槛券
私享最新 技术干货