美国人口普查局停止2020年网络攻击，但因安全失误而面临批评

监察长办公室（OIG）本周发布了一份报告，称美国人口普查局在2020年1月11日处理了一次网络攻击。

OIG调查人员从2020年11月和2021年3月审查了这起事件，发现尽管人口普查局成功阻止了攻击者访问敏感数据，他们留下了一系列可能被黑客利用的漏洞。

调查人员发现，人口普查局操作的服务器（允许员工远程访问生产、开发和实验室网络）使用公开的漏洞受到攻击。

“据系统人员说，这些服务器无法访问2020年十年一次的人口普查网络。该攻击部分成功，攻击者修改了系统上的用户帐户数据以准备远程代码执行，”报告发现。

“但是，攻击者试图通过在受影响的服务器中创建后门来维持对系统的访问，但未获成功。”

攻击最初由商务部的企业安全运营中心（ESOC）处理，负责管理安全事件，并促进该部门、人口普查局和CISA之间的信息共享。

在赞扬统计局阻止攻击的同时，OIG调查人员发现了许多其他问题，包括如何应对事件以及局方使用服务器的方式。

该报告称局方“错过了缓解导致重要服务器被利用的严重漏洞的机会”。即使在服务器被利用之后，该局没有“及时”发现并报告事件。

“此外，该局没有保存足够的系统日志，这妨碍了事件调查。事件发生后，该局没有召开总结经验教训会议，以确定改进机会，”OIG报告说。

“我们还发现该局正在运行供应商不再支持的服务器。自2020年1月事件以来，该局对其事件响应计划进行了更改。通过讨论本报告中的调查结果和建议，该局可以继续改进，并对未来的网络安全事件做出更有效的响应。”

该局在2019年12月和2020年1月有多个机会缓解远程访问服务器中的漏洞。

调查人员发现，2019年12月17日，Citrix，该局与服务器合作的供应商发布了有关该漏洞的信息以及减轻该漏洞的步骤。

NIST将该漏洞的严重性评级为“严重”，该局CIRT团队的一名成员参加了与CISA的安全会议，会上对该漏洞进行了讨论。CISA甚至发送了一个链接，寻找减轻漏洞的方法。

直到攻击开始后才进行更改。如果调查局只是做了必要的修改，攻击就会失败，OIG说。

他们注意到，该局也没有对远程访问服务器进行漏洞扫描，服务器甚至没有包括在要扫描的设备列表中。

“这是因为系统和漏洞扫描团队没有协调远程访问所需的系统凭证的传输。”该报告指出，尽管攻击者无法访问系统，但他们仍然能够创建新的用户帐户。

“直到2020年1月28日，也就是两个多星期后，该局才意识到服务器遭到了破坏。我们发现，之所以出现这种延迟，是因为在事件发生时，该局没有使用安全信息和事件管理工具（SIEM）主动向事件响应者发出可疑网络流量警报。相反，该局的SIEM仅用于反应性的调查行动。”

该报告说，由于没有使用SIEM生成自动安全警报，该局花了更长的时间确认服务器受到攻击。起初，他们的系统也未能捕获大部分攻击。

调查人员发现，其中一台远程访问服务器试图与该局网络外的恶意IP地址通信，他们的SOC错误识别了恶意网络流量的方向，OIG表示，这是一次错失的机会，由于ESOC未能立即共享有关被攻击服务器的关键信息，情况更加复杂。

据称，CISA已就2020年1月16日的攻击与ESOC取得联系，但并未作出回应。中钢协于1月30日发出另一份通知，对该问题进行调查，然后由ESOC转发给其他局领导。

还有一些其他延迟，他们说“在袭击后的关键时期浪费了时间”。他们敦促美国人口普查局局长确保CIO审查局SIEM的自动警报功能，并制定程序来处理来自SIEM的警报CISA等外部实体。

该局也没有保存足够的系统日志，妨碍了调查。许多服务器被配置为向自2018年7月起停用的SIEM发送系统日志。

即使在2020年9月和12月将许多远程访问服务器的功能迁移到新的服务器硬件之后，该报告称，调查人员在2021年2月发现，该局仍在运行事件中涉及的所有原始服务器。所有服务器都在2021年1月1日的失效日期后运行。

尽管犯了错误，但局里的防火墙阻止了攻击者试图建立后门，以便与攻击者的外部命令和控制进行通信FRA结构。

美国人口普查局代理局长Ron Jarmin在报告所附的一封信中重申，“没有任何迹象表明任何2020年十年一次的人口普查系统存在妥协，也没有任何证据表明恶意行为会影响2020年十年一次的统计。”，没有任何由人口普查局代表公众维护和管理的系统或数据因OIG报告中强调的事件而受到损害、操纵或丢失，“Jarmin说。

他的办公室注意到这是一个“影响众多部门和机构的联邦范围内的事件。”

“人口普查局对这一事件的反应符合联邦指示和反应活动，”Jarmin补充道。

尽管他们承认等待报告服务器被利用的时间过长，他们声称他们正在等待CISA的进一步指示。

针对关于使用需要退役的遗留系统的批评，人口普查局在2020年末表示，他们正在与Citrix工程师合作，将功能迁移到新设备上。

“由于该局无法控制的情况，包括依赖Citrix工程师，他们已经为联邦政府的客户提供了容量支持，这些客户在2020年1月的攻击中意识到了更大的影响，为了完成迁移，以及新冠病毒-19大流行——迁移被推迟了，”Jarmin的办公室解释道。

Jarmin承诺将更加严肃地对待生命末期问题，并表示他们已经改变了应对关键漏洞的方式，并与其他部门共享信息。Jarmin说，他们还开发了自动警报功能并建立了信息共享程序。

OIG报告建议人口普查局对漏洞通知的处理方式和资产漏洞扫描方式进行一系列进一步的改革。他们还说，局事故响应者需要确保他们遵守部门和局的要求，在1小时内向ESOC报告确认的计算机安全事故。

但报告批评局没有召开任何形式的正式经验教训会议，袭击发生后，在组织的任何级别举行圆桌会议或谈话。

调查人员说：“一名事件响应者表示，团队忙于响应外部实体的数据请求，这妨碍了召开总结经验的会议。”，在审查局事故响应政策和程序后，我们无法找到任何规定召开总结经验教训会议时间框架的要求或指南。”

主席团在7月19日的一封信中表示，它同意OIG的所有九项建议，并提交了实现所有建议的计划。

Mozilla，麦克阿瑟和福特基金会联合起来反对Facebook对纽约大学虚假信息研究的禁令

GitHub推动用户在Git运营结束后启用2FA密码认证

东京奥运会流媒体数字来自里约2016年的两位数：Akamai

教育报告发现，MCAT的学习工具越来越受关注，在新冠肺炎流行期间获得护理学位和技术认证

通过注册，您同意使用条款并承认隐私政策中概述的数据实践。

您还将免费订阅ZDNet的今日技术更新和ZDNet公告通讯。您可以随时取消订阅这些时事通讯。

您同意接收CBS公司系列的更新、提醒和促销活动，包括ZDNet的今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅

2023-03-22 10:04:41

新人小程序+APP定制199元起

发放福利，助力中小企业发展，真正在互联网中受益

点击询问定制

广告服务展示