กรายงานใหม่ของ กระทรวงกลาโหมเกี่ยวกับระบบที่สำคัญของกระทรวงกลาโหมรวมถึงการประเมินที่น่ากังวลเกี่ยวกับท่าทางความปลอดภัยทางไซเบอร์โดยรวมของ DoD: ระบบไอทีที่น่าเป็นห่วงดูเหมือนจะเสี่ยงต่อแฮ็กเกอร์ระดับต่ำหรือระดับกลาง ทิ้งภัยคุกคามขั้นสูงแบบถาวรที่ทุกคนกังวลรายงานประจำปีจากสำนักงานทดสอบและประเมินการปฏิบัติงานเป็นที่รู้จักมากที่สุดจากการประเมินโดยสรุปเกี่ยวกับประสิทธิภาพของโครงการอาวุธแต่ละรายการ แต่ส่วน แปดหน้าแยกต่างหาก
ที่อุทิศให้กับความปลอดภัยในโลกไซเบอร์ได้ข้อสรุปที่ชัดเจนเกี่ยว
กับการวางตำแหน่งการป้องกันโดยรวมของ DoDด้วยเหตุผลที่ชัดเจน รายงานที่ไม่เป็นความลับมักจะไม่ระบุถึงจุดอ่อนทางไซเบอร์เฉพาะเจาะจงในระบบใดระบบหนึ่ง แต่ทีมประเมินของสำนักงานพบ “ช่องโหว่ที่สำคัญ” ในเกือบทุกระบบที่ได้มาซึ่งผ่านการทดสอบและประเมินการปฏิบัติงานในปี 2557 รวมถึงปัญหามากมายที่อาจจะเกิดขึ้น และควรได้รับการค้นพบและแก้ไขก่อนหน้านี้ในรอบการได้มา
“ช่องโหว่เกือบทั้งหมดสามารถค้นพบได้ด้วยเทคนิคภัยคุกคามทางไซเบอร์ระดับเริ่มต้นและระดับกลาง” ผู้เขียนเขียน “ทีมประเมินทางไซเบอร์ไม่จำเป็นต้องใช้ความสามารถในการคุกคามทางไซเบอร์ขั้นสูงในระหว่างการทดสอบการปฏิบัติงาน”
ข้อมูลเชิงลึกโดย LaunchDarkly: เรียนรู้ว่า Coast Guard, NSF และ USAID ไม่เพียงแต่ปรับปรุงสภาพแวดล้อมขององค์กรเท่านั้น แต่ยังดำเนินการดังกล่าวด้วยวิธีที่สนับสนุนพนักงานของตนในการให้บริการได้ดีที่สุด ในขณะเดียวกันก็รักษาข้อมูลของรัฐบาลกลางให้ปลอดภัยด้วย
ในทำนองเดียวกัน หลังจากการฝึกซ้อมด้านความปลอดภัยทางไซเบอร์ 16 ครั้งที่สังเกตในปี 2014 ซึ่ง “ทีมสีแดง” ของกระทรวงกลาโหมพยายามเจาะการป้องกันของหน่วยบัญชาการรบและเครือข่ายบริการทางทหาร ผู้ประเมิน OT&E สรุปว่า “ภารกิจของกระทรวงกลาโหมจำนวนมากกำลังตกอยู่ในความเสี่ยงจากศัตรูทางไซเบอร์” ด้วย ความเชี่ยวชาญทางไซเบอร์ระดับต่ำถึงกลางเท่านั้น พวกเขาเขียนว่า แผนกนี้ไม่สามารถแสดงให้เห็นอย่างสม่ำเสมอว่าภารกิจที่สำคัญของแผนกนั้นสามารถรักษาให้ปลอดภัยจากผู้โจมตีขั้นสูงได้
“การพัฒนาอย่างต่อเนื่องของเทคนิคการบุกรุกทางไซเบอร์ขั้นสูง
ทำให้มีแนวโน้มว่าศัตรูทางไซเบอร์ที่แน่วแน่สามารถตั้งหลักในเครือข่าย DOD ส่วนใหญ่ได้ และอาจอยู่ในสถานะที่จะลดระดับภารกิจสำคัญของ DoD เมื่อใดและหากพวกเขาเลือก” ตามรายงาน “ดังนั้นจึงจำเป็นอย่างยิ่งที่ผู้ปกป้องเครือข่าย DoD และผู้ดำเนินการระบบที่อยู่บนเครือข่าย DoD จะต้องเรียนรู้ที่จะ ‘ต่อสู้ผ่าน’ การโจมตี เช่นเดียวกับที่พวกเขาได้รับการฝึกฝนให้ต่อสู้ผ่านการโจมตีแบบจลนศาสตร์แบบดั้งเดิม”
ผู้เขียนสังเกตเห็นความกังวลเป็นพิเศษสำหรับความสามารถ “ต่อสู้ผ่าน” ในการประเมินเพียงครึ่งเดียว ผู้ปกป้องเครือข่ายของกองทัพสามารถตอบโต้ที่ออกแบบมาเพื่อขับไล่ผู้โจมตีทางไซเบอร์ออกจากเครือข่ายของตน แต่การตอบสนองนั้นมักจะช้าเกินไปที่จะจัดการกับผู้โจมตีระดับกลางหรือขั้นสูงก่อนที่พวกเขาจะตั้งหลักที่อื่นในระบบได้
ผู้ตรวจสอบยังพบว่าน่าเป็นห่วงที่การตอบสนองของผู้พิทักษ์ DoD ต่อการพบเห็นศัตรูบนเครือข่ายของพวกเขามักจะเป็นการรีบูตเครื่องที่ได้รับผลกระทบหรือติดตั้งซอฟต์แวร์ใหม่ที่พวกเขาคิดว่าติดไวรัส แม้ว่าสิ่งเหล่านี้อาจเป็นมาตรการตอบโต้การโจมตีที่กำลังดำเนินอยู่อย่างได้ผล แต่ก็ไม่มีประโยชน์อย่างยิ่งหากมีวัตถุประสงค์เพื่อให้ระบบที่มีความสำคัญต่อภารกิจทำงานต่อไปได้
เห็นได้ชัดว่าผู้ประเมินประทับใจกับแบบฝึกหัดของ DoD อย่างน้อยหนึ่งข้อ ในหนึ่งที่เรียกว่า Turbo Challenge 14 กองบัญชาการคมนาคมของสหรัฐฯ สามารถสกัดกั้นการโจมตีโดยกลุ่มผู้โจมตีจำลองระดับกลางได้สำเร็จ ผ่านการผสมผสานของการตอบสนองที่รวดเร็ว โครงสร้างพื้นฐานของเซิร์ฟเวอร์ที่เข้มงวด และการตรวจสอบบันทึกเซิร์ฟเวอร์อย่างต่อเนื่องโดยอัตโนมัติและนโยบายรหัสผ่านที่รัดกุม
แต่ “ความสำเร็จไม่บ่อยนัก” นั้นเป็นข้อยกเว้นและไม่ใช่กฎในปี 2014 ตามข้อมูลของ OT&E ที่อื่น ทีมสีแดง “เป็นประจำ” ขุดลึกเข้าไปในเครือข่ายโดยใช้รหัสผ่านที่ขโมยมา จุดเริ่มต้นที่พบมากที่สุดคือเว็บไซต์ที่มีช่องโหว่และผ่านการโจมตีแบบฟิชชิ่ง
“ลักษณะการปฏิบัติการทางไซเบอร์ที่ไม่สมมาตรทำให้แม้แต่รหัสผ่านเริ่มต้นหรือรหัสผ่านที่ไม่รัดกุมเพียงรหัสเดียวก็สามารถนำไปสู่การเข้าถึงและการใช้ประโยชน์จากเครือข่ายได้อย่างรวดเร็ว” รายงานระบุ “นี่เป็นเรื่องจริงโดยเฉพาะอย่างยิ่งเมื่อรหัสผ่านเป็นของบุคคลที่มีสิทธิ์ระดับสูง การประเมินในปีงบประมาณ 14 พบว่ามีการละเมิดนโยบายความปลอดภัยรหัสผ่านของ DoD จำนวนมาก ซึ่งบ่งชี้ว่านโยบายนั้นยากเกินไปที่จะนำไปใช้ บังคับใช้ยากเกินไป หรือทั้งสองอย่าง”
ท่ามกลางคำแนะนำของพวกเขา ผู้เขียนกล่าวว่า DoD จำเป็นต้องทำงานเพื่อให้มีสภาพแวดล้อมการฝึกอบรมที่สมจริงมากขึ้น รวมถึงการจำลองภัยคุกคามทางไซเบอร์เป็นประจำโดย “กองกำลังต่อต้านที่เป็นตัวแทน” ในระหว่างการฝึกซ้อมทุกครั้งที่ดำเนินการ
