NSW kurumları ayrıcalıklı erişim incelemesinde yetersiz bulundu – Güvenlik


Tek bir NSW hükümet kurumu, yürüttüğü iki BT projesi için belgesiz üç ayrıcalıklı hesap oluşturdu; bu, kurumlar arası yıllık incelemede ortaya çıkan birkaç şüpheli uygulamadan biri.

NSW kurumları ayrıcalıklı erişim incelemesinde yetersiz bulundu


Analiz aynı zamanda ikinci bir kurumdaki ayrıcalıklı hesapların kilitlenene kadar giriş denemeleriyle dolu olduğunu ancak herhangi bir iç soruşturmanın yapılmadığını da ortaya çıkardı.

İki vaka çalışması yıllık bir denetimden geliyor [pdf] Düzenli olarak kontrol eksikliklerini tespit eden düzinelerce NSW devlet kurumunda BT ve diğer kontroller mevcuttur.

İlk olarak, sistem yükseltmesi üzerinde çalışan bir personel, kendisine kurumun ana finans sistemine tam erişim sağlayan onaylanmamış bir hesap oluşturdu.

Yönetim tarafından işaretlendikten birkaç ay sonra devre dışı bırakıldı.

Aynı kurumdaki başka bir iş biriminde, bir BT sistemi değişikliği sırasında iki ayrıcalıklı hesap daha oluşturuldu (ancak belgelenmedi).

NSW denetçisi, “Ajansın, eski proje personeli ve artık buna ihtiyacı olmayan satıcı personeli için ayrıcalıklı erişimi derhal kaldırmasını tavsiye ediyoruz” dedi.

İkinci örnek olayda, bilinmeyen bir taraf veya bot, ayrıcalıklı hesaplara defalarca erişmeyi denedi, ancak tekrarlanan başarısız girişimler nedeniyle hesaplar kilitlendi.

Bu, bilinmeyen tarafı durdururken, teşkilatın olayı daha fazla soruşturmadığı ortaya çıktı.

Ancak denetçi, kendi soruşturmasında “saldırının karmaşık olmadığını ve kuruma özel herhangi bir bilgiyi kullanmadığını” tespit ettiğini belirtti.

İncelenen 26 kurumdan dokuzunun ayrıcalıklı kullanıcı hesaplarını kısıtlamadığı veya hesapları izlemediği ortaya çıktı.

Bu kurumlardan biri, tekrarlanan taleplere rağmen iki yıl sonra eski bir kullanıcının erişimini kaldırmayı başaramadı.

Diğer iki kurum da kullanıcılar kuruluştan ayrıldıktan sonra tüm erişimi devre dışı bırakmayı başaramadı.

Denetçinin ifadesiyle, boşluklar “iş sistemlerine uygunsuz ve yetkisiz erişim” riski taşıyor ve “kurumları dolandırıcılık veya siber saldırı riskine” maruz bırakabiliyor.



Source link