HHS云安全审计发现重大漏洞

关键要点

HHS办公室的云安全审计揭示了多个严重的安全漏洞，可能导致敏感数据泄露和未经授权的控制。审计由HHS监察长办公室与BreakPoint Labs合作进行，包括渗透测试和钓鱼模拟。审计发现敏感数据如个人可识别信息因云环境实施的安全缺陷而暴露。报告提出了包括缺乏多因素认证在内的12个安全控制漏洞。针对医疗保健和政府系统的网络攻击迫使HHS采取行动加强安全措施。

HHS健康与公共服务部办公室的云安全审计揭示了该办公室在云安全实践中的多个严重缺口，可能使网络攻击者能够访问敏感数据并获得未经授权的控制权。

海鸥加速器免费下载

该审计于2022年6月和7月由HHS监察长办公室进行，并与BreakPoint Labs合作实施了渗透测试和钓鱼模拟，对HHS办公系统的云防御进行测试。

审计还包括对HHS办公系统云系统政策、清单和配置设置的评审。审计团队使用网络漏洞扫描器和云安全评估工具测试了该办公室的云环境，寻找安全漏洞和配置错误。

根据监察长办公室的数据，评估时HHS的1555个系统中超过30是基于云的。审计报告上周发布，并于周一首次公开。

HHS OS云安全缺陷暴露敏感个人数据

HHS办公室的互联网信息系统OS负责管理HHS的各项工作和活动，同时也是部门的首席政策官。根据监察长办公室的说法，HHS OS的云系统托管了一系列敏感数据，包括法律文件以及医疗服务和紧急响应信息。这一角色使其成为网络威胁者的理想目标。

审计结果表明，由于HHS OS的云环境实施存在安全缺陷，敏感数据包括个人可识别信息，PII被暴露。渗透测试人员以“黑箱”方式模拟真实攻击者的有限初始知识，不仅成功访问了这些敏感信息，还获得了两个云系统组件的未经授权控制权。

监察长报告中指出：“未能有效实施所需的安全控制措施使HHS OS的云系统面临更高的恶意攻击风险。我们发现的漏洞可能被敌对者利用，意图盗取或扭曲敏感数据、扰乱运营或摧毁支持关键HHS项目的云系统。”

审计共确定了12个具体的云系统安全控制缺口。其中发现的最严重问题被评估为“关键风险”，即在HHS OS的一个云系统上有三个特权账户缺少对网络访问的多因素认证MFA。

该办公室在三个云存储组件上未实施访问控制，未能确保敏感数据不被公开访问，对27个云组件未执行访问控制政策以确保用户仅限于必要权限，且未能及时修复25个云组件的系统缺陷，还未对其其中一个远程服务器实施网络流量加密。这四个高严重性问题，加上五个中等和两个低严重性缺陷，以及办公室未能准确识别和列出自己13个云系统的事实，均削弱了该联邦卫生机构的安全态势。

值得庆幸的是，模拟钓鱼活动显示，即使员工点击了钓鱼链接并尝试输入凭证，安全系统仍成功阻止了对目标用户账户的访问。

针对127名HHS OS员工的钓鱼模拟第一阶段结果显示，没有迹象表明任何电子邮件被打开，表明该办公室的电子邮件过滤或其他防御措施阻止了钓鱼电子邮件的投递。在第二阶段中，仅19名员工被针对，其中一些员工尝试输入凭证，但由于无法访问任何受影响的账户，监察长办公室对该特别环节未提出任何建议。

HHS安全缺陷反映医疗和政府系统持续风险

这些审计结果的发布正值网络攻击者特别是勒索软件团伙和国家支持的攻击者持续针对医疗和政府系统的阶段。

这一攻击潮，包括目前由卫生与公共服务部民权办公室调 查询的针对“Change Healthcare”的重大勒索软件供应链攻击，促使HHS各办公室采取措施加强全国医疗系统的安全措施。

例如，卫生部在5月份宣布了一项名为