国防部 (DOD) 监察长 (IG) 的一项新审计结果突显了美国授权军事官员和文职雇员使用的机密移动设备的隐私、安全和身份验证实践中的重大漏洞。这些缺陷不仅损害敏感信息的完整性,而且还使国防部面临潜在的漏洞和内部威胁。
IG 审计报告的经过编辑的非机密版本,国防部机密移动设备的网络安全审计表示,应对这些挑战需要共同努力加强培训、强制合规并实施先进的监控和库存系统。报告中提供的建议是加强机密移动设备计划的网络安全态势的关键路线图,确保在日益移动和互联的世界中保护国家安全利益。
审计的目标是确定国防部各部门是否有效实施了网络安全控制,以保护机密移动设备以及通过这些设备访问、存储或传输的敏感信息。调查结果提出了有关系统性缺陷的令人担忧的叙述,而这种缺陷因 COVID-19 大流行期间远程办公和移动设备使用的激增而被放大。
这些问题的发生“是因为国防部部门授权官员、机密便携式电子设备经理和项目经理没有准备好有效管理因 COVID-19 大流行以及从2020 年 3 月,”审计得出结论。
审计报告强调了移动设备机密信息保密方面的重大缺陷。主要问题包括加密协议应用不一致、物理安全措施薄弱以及缺乏全面的用户培训。机密移动设备,包括智能手机、笔记本电脑和平板电脑,旨在存储、处理和传输敏感和机密信息。尽管存在固有风险,但一些国防部组件未能实施基本的保障措施,例如确保加密合规性和维护最新的软件补丁。
国防部总督罗伯特·P·斯托奇 (Robert P. Storch) 在一份声明中表示,他“之前将网络安全威胁视为国防部管理和绩效的首要挑战”,并强调“国防部移动设备的安全对于维护国家安全、保护机密数据和确保完整性至关重要”国防部的任务。在当今的数字环境中,移动设备是不可或缺的工具,它为国防部的工作人员提供履行职责所需的灵活性和效率。然而,它们也是网络威胁的主要目标,可能会损害数据和国家安全格局。确保这些设备的安全不仅仅是技术上的优先事项;这是一项关键的作战任务,使国防部能够安全有效地完成其任务。”
审计显示,一些设备缺乏足够的静态数据 (DAR) 保护,无法保护存储的机密数据。配置了 DAR 功能的设备对于防止设备丢失或被盗时对敏感信息进行未经授权的访问至关重要。然而,缺乏针对用户的 DAR 协议标准化培训以及这些措施的执行不一致,危及了机密数据(可能包括个人信息和其他敏感信息)的安全。这一缺陷引起了人们对潜在违规行为的警惕,这可能对国家安全产生严重影响。
该报告指出,在维护机密移动设备的准确库存记录方面存在重大失误。不完整的记录阻碍了问责制,使得跟踪设备和防止未经授权的使用变得困难。例如,国防信息系统局 (DISA)、美国欧洲司令部 (USEUCOM) 甚至美国特种作战司令部 (USSOCOM) 等部门报告称,在记录关键库存元素(例如用户信息、设备序列号和数据)方面存在不一致之处。数据分类级别。
监察长表示,库存管理方面的这些失误暴露了系统性漏洞。如果没有准确的记录,几乎不可能召回因过时的软件或安全功能受损而可能面临风险的设备。此外,无法协调库存差异进一步加剧了风险,因为未经授权的个人可能会利用未跟踪的设备来访问敏感、机密和个人数据。
另一个明显的缺陷在于对用户活动的监控。持续监控设备使用情况是有效网络安全的基石,可以及早发现未经授权的访问或异常行为。该报告强调,国防部的几个部门仍然未能实施强大的用户活动监控协议。监察长表示,这种监督破坏了减轻内部威胁和及时发现违规行为的努力。
正确的身份验证对于确保只有授权人员才能访问机密移动设备及其包含的信息至关重要。然而,审计发现访问控制和用户验证程序存在重大缺陷。
一项重要发现是用户协议和培训要求的执行不一致。用户协议是概述受托管理机密设备的人员的责任和义务的重要文件。这些协议应详细说明维护设备安全、报告事件和遵守严格的使用指南的协议。然而,审计发现某些组件未能确保所有用户签署并确认更新的协议。
此外,该报告还指出在验证用户访问设备的理由方面存在不足。国防部要求用户在获得机密移动设备之前提供有效的任务需求。然而,模糊或缺乏文件的现象普遍存在,引发了对未经授权或不必要的访问的担忧。例如,某些组件接受通用理由,例如“COVID-19”,而没有进一步说明。
另一个值得注意的身份验证失误涉及未能禁用不活动帐户。该报告显示,某些组件没有定期审查和删除不再需要设备的用户的访问权限。这种监督显着增加了未经授权访问的风险,特别是在设备或帐户在没有合法监督的情况下保持活动状态的情况下。
审计提出了几项紧急建议来应对这些挑战。其中包括更新库存系统以包含所有强制性数据元素、进行定期审核以确保设备责任以及实施全面的用户培训计划。这些建议还强调需要建立和实施强有力的访问控制措施,例如定期重新验证用户理由并及时禁用不活动帐户。
此外,IG 的报告呼吁用户协议标准化,以包括所有必需的安全条款。确保所有用户理解并承认这些协议对于维护安全的操作环境至关重要。还应加强培训计划,以涵盖所有技术和管理要求,使用户具备负责任地处理机密设备的知识。
最后,审计强调了持续监控和事件响应计划的重要性。通过集成先进的监控工具和定期审查响应计划,国防部可以更好地检测、响应和减轻网络安全威胁。
监察长提出了 40 项建议来解决其审计结果,包括 DISA、USEUCOM 和 USSOCOM 授权官员对其机密移动设备计划进行审查,识别网络安全控制缺陷,并制定和实施纠正行动计划。
令人不安的是,监察长表示,19 项建议“被认为尚未解决,因为国防信息系统局联合企业服务局局长没有完全解决这些建议,而且指挥、控制、通信和计算机/网络主任、美国特种作战司令部首席信息官” ,没有对该报告做出回应,”监察长表示。 “我们将跟踪这些建议,直到管理层同意采取我们认为足以满足建议意图的行动,并提交足够的文件,表明所有商定的行动均已完成。”
文章主题
|||||||