(17 сентября 2020 г.)
Согласно аудиторскому отчету Департамента внутренних дел генерального инспектора (DOIOIG), «Департамент не развернул и не эксплуатировал безопасную инфраструктуру беспроводной сети, как того требуют рекомендации Национального института стандартов и технологий (NIST) и лучшие отраслевые стандарты. практики ". Тестеры на проникновение смогли получить доступ к внутренней беспроводной сети DOI с помощью смартфона и оборудования стоимостью около 200 долларов, спрятанного в рюкзаке. Они могли перехватывать и расшифровывать трафик. Атаки, проводимые пентестерами, сотрудниками DOI не обнаруживались.
Эта история попала в «The Top of the News» не столько потому, что результаты замечательные, сколько потому, что замечательная организация; это одна из двух аудиторских групп в правительстве, которые развили технические навыки для проведения практических аудитов, выходящих за рамки контрольных списков и вопросников.
Это пример ценности активного тестирования аудиторами / IG, который я упомянул в статье 73 о результатах аудита USPS. В отчете DoI авторы указывают, что проведение активного тестирования НЕ выходит за рамки возможностей бюджета аудиторской группы, хотя оно определенно требует инвестиций со стороны технических навыков. Вот цитата из отчета: «Мы провели разведку и тестирование беспроводных сетей на проникновение в каждом бюро и офисе. Для этого мы собрали портативные испытательные установки менее чем за 200 долларов, которые можно было легко спрятать в рюкзаке или сумочке, и управляли этими установками со смартфонами из общедоступных мест и мест, открытых для посетителей. Наши атаки имитировали методы злоумышленников, пытающихся проникнуть в беспроводные сети ведомства, такие как подслушивание, злой двойник и взлом паролей ».
Подробнее читайте в: - www.theregister.com: Вам не нравится ваш последний аудит безопасности? Узнайте, что только что произошло с Министерством внутренних дел США