Agentschappen derven Australische security regering doelen: ANAO

Een controle uitgevoerd door de Australian National Audit Office (ANAO) heeft gezegd dat zeven Commonwealth bureaus die de rekenkamer keek niet voldeed aan de top vier security strategieën verplicht door de Australische regering maakte; vorig jaar.

ANAO zei zijn conclusie niet alleen toegepast op het moment dat de audit werd uitgevoerd in oktober 2013, maar zou nog steeds correct zijn op zoek naar 30 juni 2014, zelfs na elk agentschap had getracht haar verplichtingen te voldoen.

De controle gekeken naar de informatiebeveiliging van de Australische Bureau voor de Statistiek (ABS), Australian Customs and Border Protection Service (Douane), Australian Financial Security Authority (AFSA), Australian Taxation Office (ATO), Ministerie van Buitenlandse Zaken en Handel (DFAT) , Department of Human Services (DHS), en IP-Australië. Met de naleving van elk agentschap tegen top aanbevelingen van de veiligheid van de Australische Signals directoraat – toepassing whitelisting, de toepassing en het besturingssysteem patching, en het minimaliseren van toediening privileges – getest.

Elk agentschap, terwijl beschermd tegen de binnenlandse veiligheid problemen, bleek onvoldoende worden beschermd tegen aanvallen van buitenaf, zoals dus in ieder geval zou blijven tot het midden van 2014.

“De agentschappen hadden beveiligingsmaatregelen getroffen om een ​​redelijk niveau van bescherming tegen inbreuken en de onthulling van informatie uit interne bronnen te bieden. Dit is echter niet voldoende bescherming tegen cyberaanvallen uit externe bronnen,” zei de audit.

Bureaus verder geadviseerd dat factoren die van invloed hun huidige beveiligingsstatus en het niveau van naleving van de vier gemandateerde strategieën inbegrepen: concurrerende operationele prioriteiten, bijvoorbeeld ICT-middelen moet worden toegewezen aan een reeks van zakelijke resultaten te leveren, resource beperkingen, en de toegang tot specialistische vaardigheden.

Gedurende het rapport, heeft de ANAO geen agentschap naleving of niet-naleving te identificeren, daarbij verwijzend naar het risico van “openbaar maken van gevoelige informatie over agentschap ICT-systemen”.

Op zoek naar het gebruik van whitelisting, de ANAO vond dat de standaard beleid in vier agentschappen was om willekeurige software te draaien. Drie bureaus gebruikt whitelisting op desktop machines, en men ook gebruikte toepassing whitelisting op haar servers, maar ANAO vastgesteld dat in de meeste gevallen, de gehanteerde criteria waren eenvoudig certificaat en op regels gebaseerde folder.

Veiligheid; Witte Huis benoemt eerste Federal Chief Information Security Officer, veiligheid, Pentagon bekritiseerd voor cyber-rampenbestrijding door de overheid waakhond, veiligheid, Chrome etikettering HTTP-verbindingen beginnen als niet-veilige, veiligheid, de Hyperledger Project groeit als gangbusters

De ANAO bezorgdheid als het waargenomen, in het geval van twee agentschappen, dat de toepassing whitelisting is ingesteld op ‘audit only mode’, die gewoon ingelogd gebeurtenissen die toepassing whitelisting zou hebben geblokkeerd, er is in staat had gesteld, “aldus het rapport.” beide agentschappen direct verholpen deze tekortkoming.

Het oordeel over het patchen van applicaties en besturingssystemen was niet beter, zoals ANAO zei dat hoewel agentschappen had een patch management strategie, en het werkte vaak voor het besturingssysteem kwetsbaarheden, is ontoereikend om problemen met de toepassingen te dekken.

“In alle gevallen, agentschappen waren niet? Voldoen aan de eisen om kritische beveiligingspatches toe te passen binnen twee dagen na de release van de patches, en slechts twee agentschappen hadden aantoonbare patching praktijken waardoor ze reageren op routine of ad-hoc pleister geeft leveranciers , zoals de maandelijkse security patch versie van Microsoft, “zei ANAO.

Alle agentschappen hadden controles om aanslagen te voorkomen of problemen om hun systemen op te lossen, waar bekende kwetsbaarheden niet kon worden opgelapt verzachten.

Hoewel het beheer van bevoorrechte accounts beter over de hele linie was, ANAO zich een probleem met een gebrek aan controle van de administratieve rekening acties.

Voor alle agentschappen: administratieve gebruikers gehouden afzonderlijke rekeningen voor systeem administratieve taken uit te voeren, werden ontkend e-mail accounts en toegang tot internet, en bevoorrechte accounts waren gecontroleerd en controleerbaar, “zei de audit.” Echter, vijf van de geselecteerde bureaus hadden tekortkomingen in processen die gebruikt worden om vastleggen en audit logs voor geprivilegieerde gebruikersaccounts te behouden en er waren ook inconsistent praktijken in agentschappen in de administratie van het beleid van de groep.

Verder, de beoordeling van het beleid van de agency ANAO’s vast te leggen en te onderhouden audit logs voor geprivilegieerde gebruikersaccounts, bleek dat in de meeste gevallen het beleid was niet afgedwongen.

Dit is een systematische controle zwakte dat de vragen over hoe effectief bureaus kunnen identificeren, erop te reageren, of te onderzoeken ongeoorloofde toegang tot vertrouwelijke gebruikersaccounts, of ongepaste activiteiten door bevoorrechte gebruikers verhoogt.

ANAO zei logische toegangsbeveiliging en change management was geluid, maar vond dat de meeste agentschappen die nodig zijn om toegang tot databases te scherpen, en beval dat de agentschappen bewegen snel om het probleem op te lossen.

De controle werd ook aanbevolen dat instanties gaan door middel van jaarlijkse evaluaties IT bedreiging, en kijk naar de naleving van de ASD top 35 mitigatiestrategieën.

Hoewel verbetering in één gebied zou elk agentschap rating van ANAO verbeteren, heeft de rekenkamer zei kijken naar de geplande activiteiten over de eerste helft van 2014, zouden alle agentschappen de deadline 30 juni door de federale overheid te stellen missen.

Witte Huis benoemt eerste Federal Chief Information Security Officer

Pentagon bekritiseerd voor cyber-rampenbestrijding door de overheid waakhond

Chrome etikettering HTTP-verbindingen als niet-beveiligde start

De Hyperledger Project groeit als gangbusters