北京PK10计划_北京PK10人工精准在线计划

北京PK10计划_北京PK10人工精准在线计划-诚信平台 > 退伍军人资讯 >

继审计师持续担忧之后,VA将在网络上花费6000万

2019-04-27 10:32:40 退伍军人资讯113℃

  继审计师持续担忧之后,VA将在网络上花费6000万美元

  政府审计人员表示,该部门的网络安全问题略微好一些,但对退伍军人的安全仍存在巨大担忧;数据。

  政府问责办公室和弗吉尼亚州检察长周二告诉内务委员会成员,尽管立法者施加压力,网络攻击的威胁不断增加,但该机构仍存在太多缺点。

  尽管取得了进展,但信息和技术办公室在解决系统性弱点或消除VA中确定的实质性弱点方面并未完全有效; 2014财年的信息安全计划,VA的审计和评估副助理Sondra McCauley写道她在内务委员会成员面前作证。我们继续看到我们在过去几年中报告的调查结果的类型和风险级别的重复信息安全缺陷以及安全计划的总体不一致实施。

  更具体地说,GAO表示,在立法者和前VA网络官员公开该机构在过去几年中至少遭受八次民族国家入侵之后,VA还未能解决网络漏洞一年多。

   

      

          

      

   

  该机构计划在2014年2月实施一项解决方案,以纠正这一弱点,但在我们审查时尚未完成。 VA确实限制了对受影响系统的访问,但这不足以防止此类事件再次发生,GAO;信息安全问题主管Greg Wilshusen周二在书面证词中表示。关于更广泛的事件响应,我们发现该部门的网络和安全运营中心没有充分了解VA的计算机网络,限制了其检测和响应事件的能力。这是因为VA策略没有定义NSOC访问VA数据中心收集的活动日志的权限。我们之前在2014年4月的报告中提出了在VA中定义事件响应角色和职责的问题,并建议VA定义事件响应团队的权限级别。 VA同意这一建议。实施此建议应包括为NSOC提供审查网络活动日志的权限。

  Wilshusen告诉国会议员,VA也无法证明在了解入侵有效后所采取的行动。

  他表示弗吉尼亚州没有保留数字证据或法证分析报告,显示安全事件得到缓解。 Wilshusen表示,截至2014年6月,VA还没有实施解决方案来解决导致攻击发生的潜在漏洞。他说他们采取了有限的其他行动,但他们不足以阻止未来的袭击。

  此外,他说VA; NSOC没有充分了解代理系统,他们无法确保攻击得到控制和停止。

  McCauley表示,审计人员非常担心五年以上数据中心的大量漏洞。

  VA负责OIT的首席信息官和执行官Steph Warren说,域控制器的问题已得到修复。

  因为这个问题出现了,它不仅仅是外部问题,而是内部问题,我们实际上问了一个名为Mandiant的组织 - 我想你可能听说过它们 - 我们要求查看那些域控制器,因为如果有问题我们想要沃伦说,确保它不仅仅是我的团队说他们很干净。星期五,他们向我们介绍了情况,并表示他们没有在这些域名控制器上看到任这是一份初步报告。他们将在12月份提交最终报告。我们将提交该报告,并向您自己,工作人员和其他成员简要介绍,并让Mandiant在那里做,并且基本上说他们很干净。

  沃伦告诉委员会,他们所知道的唯一被窃取的数据是用户名和密码。当VA发现网络攻击和盗窃时,所有员工和承包商都需要更改密码。沃伦说弗吉尼亚州一直在努力让Mandiant登上大约一年。

  ATO仍然是一个问题

  尽管VA说域控制器的进展,但IG还有其他一些问题。 IG表示VA继续拥有太多系统,只有临时权限而不是最终权限。

  VA无法全面审查IT系统,以确保它们在网络上投入网络之前满足网络要求(称为操作权限(ATO)),这是一个长期问题。前VA首席信息安全官Jerry Davis,现任美国宇航局Ames首席信息官,于2013年6月作证,VA是橡皮图章,旨在让他们迅速完成整个过程。

  IG表示,它发现VA继续使用临时ATO来维护生产系统,并且该机构缺乏对系统安全控制措施有效运行的保证,这可能会让退伍军人暴露;敏感数据可能导致丢失,欺诈或滥用。

  审计人员最近发现的一个问题是整个机构缺乏对审计日志的控制。 Warren说,直到今年夏天早些时候,地方一级的VA系统管理员才能控制是否打开审计日志。

  几位委员会成员就此问题向沃伦施压。众议员蒂姆·赫尔斯坎普(R-Kan。)向华伦询问,你们是否必须实施审计控制并转而知道是否有人实际操纵了数据?

  Warren表示VA已经在很多地方启用了审计控制,但Huelskamp打断了询问是否始终打开控件。他说,审计小组确定了我们过去没有打开的地方,所以我们已经进入并打开了它们。再一次,为了记录,我们会带回来那些控件没有打开的地方。

  Huelskamp回应询问,为什么他们会被关闭?

  沃伦说,事实上VA仍然在克服其对IT的分散控制的悠久历史,审计日志通常是一个本地控制的问题。如果他们被关闭,我们会同意你很脆弱。

   你甚至不知道自己是否容易受到伤害,甚至不知道是否有人操纵数据,

  Huelskamp说。监察办多年来一直在讨论这个问题。在过去十年中,这不是几次发生的事情。无论出于何种原因,审计控制并不总是开启。

  尽管有审计师和立法者的关注,沃伦说退伍军人;今天的数据比以往任何时候都更安全。

  自2013年6月4日内务委员会监督和调查小组委员会听证会以来,我们获得了新的监控能力,增强了桌面安全性,并提高了我们检测和应对挑战的速度,

  沃伦在他的证词中写道。在我们激活网络中的系统之前,以及在任何退伍军人的信息被放入这些系统之前,我们采取措施确保信息受到最大限度的保护。在VA网络上发布正式批准操作系统的过程 - 称为运营机构(ATO) - 在去年有了很大改进。我们已经从手动,时间点,纸质流程迁移到电子,自动化,持续监控功能,借助于2013年8月投入使用的新实施的治理,风险和合规性(GRC)工具。我们是第一个(也是最大的)内阁级政府机构,已经转向持续监控。这项新功能使VA能够及早发现漏洞并快速响应威胁。

  但沃伦表示他会移动资源以更快地取得进展。

  我很失望,尽管我们的员工在过去一年中付出了巨大的努力,但OIG仍然存在实质性的弱点。

  他说,我致力于加倍努力,在我们已有的广泛分层,深入的战略基础上,建立解决这些问题的流程和学科。为此,在上周收到我们的监察长办公室的调查结果之后,今年我又增加了6000万美元用于我们的信息安全工作。这将为我们的工厂提供额外的资源,以实现配置管理和漏洞修复。 2月份,我们将重新评估,如果没有取得重大进展,将采用额外资源。

  这一点大约增加了38%,超过1.6亿美元的VA已经花了一年时间用于网络安全,不包括员工开支。沃伦在听证会后表示,他将资源从当前的项目升级转移到了网络安全,因此他可以将资金投入到最需要的领域。

  他说,他上周发布了这笔资金,并且该团队周二开会,以确保美元能够交给合适的人。

  一名VA官员要求匿名,因为他们没有获得与媒体谈话的许可,他说这笔资金将让VA现场信息安全人员协助修复和删除未经授权的软件。它还将为VA的IT部门员工提供资源,以协助漏洞和补丁管理计划的报告,跟踪和补救工作。

  IT人员还将补充解决医疗设备保护计划漏洞的工作,并支持国家安全运营中心(NSOC)扫描团队。此外,该官员表示,VA将利用这笔资金开发一份经过批准和未批准的软件的综合清单,并实施一个监控,防止安装和删除代理设备上未经授权的应用软件的流程,IT人员将使用该列表进行操作。修复并删除VA范围内的漏洞和未经授权的软件。

  VA还计划整合各种后端系统,包括活动目录,HSPD-12卡管理系统,VA人事责任系统和人才管理系统。该官员表示,这些审查将有助于该机构的自动化;入职,监控和离职工作。

  CRISP使VA处于更好的基础上

  此外,Warren表示,VA解决了对应急计划和职责分离的担忧,将完成整个网络扫描所需的时间从一年减少到一个月,并为系统管理员实施了双因素身份验证,并增强了所需的密码访问关键系统。审计师并不反对沃伦;在VA的评估取得了一些进展。

  IG表示,2012年信息安全计划(CRISP)的实施正在为确保VA拥有一支专注于改善网络和数据安全的团队做出贡献。 GAO补充说,VA已采取措施应对事件并识别和缓解漏洞。但两位审计人员都表示,VA需要采取更多措施来确保退伍军人数据的安全性。

  在经过验证的流程来解决OIG;卓越的报告建议并确保整个企业的控制之前,IT材料的弱点将成为VA的关键任务系统和敏感的退伍军人; McCauley在准备好的证词中写道,数据将继续受到攻击或妥协的风险。 IT缺陷不仅意味着数百万退伍军人暴露于潜在的隐私,身份盗窃和其他金融犯罪,他们也构成了纳税人资金的糟糕财务管理。

  Wilshusen在准备好的证词中表示,GAO提出了八项建议,包括最终确定和实施需要在关键Web应用程序上进行源代码扫描的策略,在既定时间范围内应用缺失的安全补丁或记录补偿控制和/或计划迁移到支持的新服务安全功能,以身份验证模式扫描非Windows(例如Linux)网络设备,并识别与漏洞修复相关的任务的操作,优先级和里程碑。

  Wilshusen写道,事件响应活动的缺点,关键Web应用程序中的漏洞以及网络设备安全管理的弱点使得委托给部门的敏感个人信息面临更大的未经授权访问,修改,披露或丢失的风险。

  弗吉尼亚州同意GAO的建议,并表示已经实施了改变,以满足八个中的六个。

  相关故事:立法者,IG暴露了VA的进一步脆弱性;网络安全

  VA;安全捷径让数百万退伍军人;前VA网络官员称,风险数据存在风险

  VA连续第16年未能通过网络安全审计

搜索
网站分类