美國政府監察機構駭入聯邦機構以壓力測試其雲安全
報告者:
報告概述
最近,美國內政部監察機構(OIG)透過一項壓力測試實驗披露了一個關於美國聯邦機構雲安全的重大發現。OIG 藉由駭入內政部的雲系統,成功取得看似敏感的個人資料超過 1GB。然而好訊息是,這些資料其實都是虛假的,是用來測試部門雲基礎設施安全性的一部分。
實驗內容
實驗使用了一個名為 Mockaroo 的線上工具,建立了看似真實但虛假的個人資料,並且將這些虛假資料引入內政部的安全工具。OIG 團隊進一步使用一個虛擬機器來模擬“一個複雜的威脅行為者”,並且採用“廣為人知且被廣泛記錄的技術來外洩資料”,測試雲基礎設施的安全性。
測試結果
OIG 指出,他們使用了一個虛擬機器,而未安裝任何軟體或惡意程式,結果發現在一個星期內進行了超過 100 次的測試,內政部的電腦日誌和事件追蹤系統未能即時偵測到任何測試,也未能阻擋。報告指出,內政部未能實施能夠預防或偵測到已知和廣泛使用的技術,以防止惡意行為者竊取敏感資料。
結論和建議
報告除了指出部門系統和實踐的弱點之外,亦提出改進的建議,以提升安全防禦。OIG 也承認,在無法阻止“具有良好資源的對手”闖入的同時透過一些改進,可能可以阻止對手外洩這些敏感資料。最後 OIG 強調這次的“資料洩漏”是在受控環境中進行的,而非由中國或俄羅斯等複雜的政府駭客小組所進行。這為內政部提供了改進其系統和防禦的機會。
評論和建議
此次事件充分彰顯了資料安全在當今社會中的重要性。隨著雲運算的普及,機構和企業需要更加重視資料安全,並不斷提升防禦能力。對於政府部門而言,保護敏感資料至關重要,必須採取更加嚴格的安全措施,以防範可能的入侵和外洩風險。
同時對於其他擁有龐大使用者資料的組織來說這也是一個重要的提醒。個人資料的安全是機構責無旁貸的義務。該事件也凸顯出了現有安全措施的不足,機構需不斷改進安全技術和系統,以確保使用者資料的完全安全。
最後建議內政部應嚴肅對待 OIG 的建議,儘快加固雲基礎設施的安全,並定期進行系統的測試和改進,以確保敏感資料不受到未經授權的存取。
延伸閱讀
- Change Healthcare 駭客使用被盜憑證入侵 - 聯合健康集團 CEO 表示沒有多重因素認證
- 美國政府指出 Chirp Systems 應用程式中的安全漏洞讓任何人遠端控制智慧家居門鎖
- 醫療資訊科技公司遭勒索軟體入侵,患者敏感資料外洩
- Roku 宣布第二次安全事件後,57.6 萬使用者帳戶遭入侵
- Google 將生成式人工智慧技術注入其雲安全工具
- 美國白宮提議投入高達 85 億美元支援英特爾國內晶片製造
- TikTok 遭禁?美國政府施壓出售,風波持續升溫
- 聯邦政府入侵 LockBit,LockBit 反制。下一步該怎麼辦?
- AnyDesk 遭入侵後重設密碼並撤銷證書
- Pornhub 所有者支付美國政府 180 萬美元,解決性交易調查
