美國人口統計局因一起資安事件暴露IT管控失格，被監察長辦公室糾舉多項疏失

監察長辦公室（Office of Inspector General，OIG）本周發布一份調查報告，公布美國人口統計局去年初一樁不成功的資安事件中，該局未能事前防禦、又未能及早發現，事後又未見改善的種種缺失。

這份美國政府文件顯示，去年1月11日美國人口統計局（Census Bureau）管理的數臺伺服遭到以公開可取得的開採工具攻擊。這些伺服器主要是用於員工遠端存取以進行任務作業、開發及實驗之用。攻擊者企圖遠端執行程式碼，成功變更了系統上使用者帳號資料，但是未能如願在系統上植入後門程式，因此攻擊者未能成功駭入該單位網路。

OIG於去年11月到今年3月著手調查。他們也點出人口統計局的數項缺失，包括未能在2019年12月伺服器廠商發布漏洞資訊，以及美國標準與技術研究所（NIST）將伺服器漏洞列為「重大」時及時修補，導致隔年1月的資安事件。此外，該局資安事件管理（SIEM）系統並未用於主動防禦，只作為被動調查，因而未能偵測伺服器的惡意活動，期間雖也接獲第三方廠商惡意IP情報，但管理員誤判以為已封鎖，遲至2周後才察覺異狀。另外，事發後，人口統計局系統設定疏失，未保留足夠的伺服器log，以致延誤調查。

OIG還發現，人口統計局心存僥倖，不但事件發生後未能強化資安管理，甚至還持續使用受入侵、且已經EoL（end of life）的原本那幾臺伺服器。

最後，OIG在報告中提出建議，要求人口統計局改善，包括定期全系統漏洞掃瞄、自動化安全通知、蒐集系統log、強化人員教育、事件回應流程、資安政策落實，以及建立EoL產品除役政策等。