В отдельных отчетах наблюдательные органы агентства продемонстрировали разницу, которую может иметь надлежащее внедрение средств контроля обнаружения в ограничении воздействия попыток кибервторжений: во-первых, предотвращенная атака программы-вымогателя против Службы внутренних доходов; другой — внутренний тест на проникновение устойчивости Бюро переписи населения.
Согласно отчету от 23 ноября, сотрудники IRS сообщили генеральному инспектору Министерства финансов по налоговой администрации, или TIGTA, что их централизованный центр информационной безопасности отреагировал и нейтрализовал атаку программы-вымогателя, обнаруженную в мае.
В отчете TIGTA отмечается успешное обнаружение и реагирование на процедуры тестирования, которые IRS включила в свою политику в соответствии с рекомендациями Национального института стандартов и технологий и Агентства по кибербезопасности и безопасности инфраструктуры.
В другом отчете генерального инспектора — от Министерства торговли — показано, как неполная реализация аналогичной политики может привести к совершенно разным результатам, в данном случае в Бюро переписи населения.
Бюро переписи населения обязано «записывать и отслеживать активность в своей сети и реагировать на предупреждения о потенциальных инцидентах безопасности», но не смогло этого сделать, как написала Commerce IG в отчете от 22 ноября, основанном на проведенном скрытом тесте на проникновение. с августа 2021 года по март текущего года.
Commerce IG провела тест в ответ на атаку на Бюро переписи населения в январе 2020 года, в ходе которой злоумышленники извне успешно воспользовались дырами в безопасности. Во время недавних учений «красная команда» Commerce IG смогла избежать обнаружения, получив доступ к информации, позволяющей установить личность, или PII, хранящейся в Бюро переписи населения.
Commerce IG предложила агентству установить «процесс периодического тестирования и проверки веб-сайтов и веб-приложений Бюро на наличие уязвимостей и подверженности злонамеренному вводу», наряду с другими рекомендациями, с которыми согласилось Бюро переписи населения.
Напротив, у IG Министерства финансов не было рекомендаций для IRS. В этом отчете описывается активная и всеобъемлющая система реагирования на признаки злонамеренного поведения в Центре реагирования на инциденты компьютерной безопасности IRS.
«CSIRC обеспечивает ежедневный оперативный мониторинг и анализ попыток вторжения или аномальной активности», — пишет IG, отмечая, что отчеты «оцениваются для определения характера и серьезности событий, чтобы сформулировать оперативный ответ для сдерживания и ликвидации, тем самым сводя к минимуму воздействие. Сообщенные инциденты документируются в централизованной системе отслеживания инцидентов CSIRC и дополнительно сортируются для определения достоверности, серьезности и воздействия события».
Согласно отчету, в случае майского инцидента с программой-вымогателем сотрудники CSIRC обнаружили закономерности в своем анализе журналов просмотра веб-страниц, которые предполагали наличие программы-вымогателя, и смогли найти и вытащить затронутое устройство из сети.
С другой стороны, IG Commerce «обнаружила, что хотя вредоносная активность в основном фиксируется в журналах… Бюро [переписи] не настроило свои инструменты безопасности для генерации предупреждений об этих конкретных индикаторах атак и действий», что позволило Red Teams остаться незамеченным.
Commerce IG дала 10 рекомендаций для Бюро переписи населения, в том числе следующее: «Разрабатывайте оповещения, соответствующие общим методам обнаружения известных атак, и периодически проверяйте, чтобы эти методы обнаружения оставались актуальными и эффективными [и]… Обновляйте требования к конфигурации ведения журналов для сбора необходимой информации». для сообщения о нарушениях, связанных с конфиденциальной PII».
0
0
