美国人口统计局因一起资安事件暴露IT管控失格，被监察长办公室纠举多项疏失

监察长办公室（Office of Inspector General，OIG）本周发布一份调查报告，公布美国人口统计局去年初一桩不成功的资安事件中，该局未能事前防御、又未能及早发现，事后又未见改善的种种缺失。

这份美国-文件显示，去年1月11日美国人口统计局（Census Bureau）管理的数台伺服遭到以公开可取得的开采工具攻击。这些服务器主要是用于员工远端存取以进行任务作业、开发及实验之用。攻击者企图远端执行程式码，成功变更了系统上使用者账号资料，但是未能如愿在系统上植入后门程式，因此攻击者未能成功骇入该单位网络。

OIG于去年11月到今年3月着手调查。他们也点出人口统计局的数项缺失，包括未能在2019年12月服务器厂商发布漏洞资讯，以及美国标准与技术研究所（NIST）将服务器漏洞列为“重大”时及时修补，导致隔年1月的资安事件。此外，该局资安事件管理（SIEM）系统并未用于主动防御，只作为被动调查，因而未能侦测服务器的恶意活动，期间虽也接获第三方厂商恶意IP情报，但管理员误判以为已封锁，迟至2周后才察觉异状。另外，事发后，人口统计局系统设定疏失，未保留足够的服务器log，以致延误调查。

OIG还发现，人口统计局心存侥幸，不但事件发生后未能强化资安管理，甚至还持续使用受入侵、且已经EoL（end of life）的原本那几台服务器。

最后，OIG在报告中提出建议，要求人口统计局改善，包括定期全系统漏洞扫描、自动化安全通知、搜集系统log、强化人员教育、事件回应流程、资安政策落实，以及建立EoL产品除役政策等。