沒有數據加密，沒有防病毒程序，沒有多因素身份驗證機制，以及28年未修補的漏洞只是美國部門周五發布的美國彈道導彈系統安全審計中描述的一些網絡安全漏洞。國防監察長(DOD IG)。

該報告 [ PDF ]今年早些時候放在一起，在4月，經過國防部官員IG那里視察導彈防御局(MDA)已經放在彈道導彈第五部分隨機位置彈道導彈防御系統(BMDS)--a國防部計劃通過發射彈道導彈攔截敵方核彈來保護美國領土。

但最近的安全審計得出的結論是“陸軍，海軍和MDA不保護處理，存儲和傳輸BMDS技術信息的網絡和系統。”

未始終使用多因素身份驗證

審計員發現了幾個有問題的領域。其中最大的與多因素身份驗證有關。

在正常情況下，任何新的MDA員工都會收到用于訪問BMDS網絡的用戶名和密碼。隨著新員工進入新工作崗位，他們還會收到一張公共訪問卡(CAC)，他們必須為他們的帳戶啟用這些卡并與密碼一起使用，作為第二因素身份驗證。正常程序表明，所有新的MDA工作人員必須在雇用后的兩周內使用多因素身份驗證。

但國防部IG報告稱，在五個檢查地點中的三個地點，調查人員發現許多用戶沒有為他們的帳戶啟用多因素身份驗證，并且仍然使用他們的用戶名和密碼來訪問BMDS的網絡。

一位用戶在沒有卡提供保護的情況下訪問了BMDS數據七年，在一個MDA網站上，調查人員表示他們還發現網絡從未配置為支持多因素身份驗證。

缺乏多因素身份驗證意味著員工容易受到網絡釣魚攻擊，這些攻擊可以收集密碼并允許攻擊者遠程或本地訪問BMDS系統，而不會遇到進一步的安全挑戰(第二個身份驗證因素)。

漏洞并未得到持續修補

然而，該報告發現了更令人擔憂的問題。DOD IG檢查員發現，他們訪問的五個地點中有三個地點的IT管理員未能應用安全補丁，導致計算機和相鄰網絡系統容易受到遠程或本地攻擊。

調查人員發現，系統沒有修補2016年，2013年發現和修復的漏洞，甚至可以追溯到1990年。

DOD IG報告在此特定部分進行了大量編輯，表明MDA管理員仍在修補這些缺陷。

服務器機架不安全

除了軟件缺陷，調查人員還發現了物理安全問題。例如，在兩個地點，調查人員發現服務器機架解鎖并且易于訪問。

任何獲得訪問權限或被邀請到其中一個位置的攻擊者，訪客或訪問者都可以輕松地在其中一個服務器機架中插入惡意設備。

面對未鎖定的機架，其中一位數據中心經理表示他并不知道這種安全協議，甚至還說明了無論如何都能訪問數據中心的基地受限制。

在第二個位置，服務器機架已解鎖，即使機架上有一個標志，表明服務器門必須始終保持鎖定狀態。

可移動媒體數據未加密

另一份報告發現，在使用可移動媒體的氣隙系統之間移動數據時，MDA官員并未始終如一地使用加密。

MDA官員將此歸咎于“遺留系統，這些系統缺乏加密數據的能力和帶寬，沒有購買加密軟件的資源，并且使用的加密軟件并不總是與DoD加密軟件保持一致。”

這個問題是在三個地方發現的。有一位官員表示，他們甚至不知道他們應該加密存儲在可移動媒體上的數據，而另一位官員表示他們甚至沒有控制和系統來檢測員工何時將數據下載到可移動媒體，更不用說看看數據是否未加密。

沒有入侵檢測系統

DOD IG官員還發現，在一個MDA位置，IT管理員未能安裝入侵檢測和防御系統 - 也稱為防病毒或安全產品。

“沒有入侵檢測和預防功能，[刪除]無法檢測到訪問其網絡的惡意企圖，并防止旨在獲取未經授權的訪問的網絡攻擊并泄露敏感的BMDS技術信息，”報告說。

該地點的當地MDA官員將這個問題歸咎于他們的主管，他們說，他們未能批準對他們提交的相應軟件的請求，而這些軟件是他們在一年前提交的。