การสืบสวนเปิดเผยไทม์ไลน์ ขอบเขตของการโจมตีบนเครือข่าย OPM

การสืบสวนเปิดเผยไทม์ไลน์ ขอบเขตของการโจมตีบนเครือข่าย OPM

แดกดัน มันเป็นความพยายามของสำนักงานบริหารงานบุคคลในการปรับปรุงความปลอดภัยทางไซเบอร์ที่เปิดเผยว่าแฮ็กเกอร์ได้เจาะระบบไอทีของตนAndy Ozment ผู้ช่วยเลขานุการของ Office of Cybersecurity and Communications ที่ Homeland Security Department กล่าวกับผู้สื่อข่าวเมื่อวันพฤหัสบดีว่า OPM อยู่ในขั้นตอนการปรับปรุงความปลอดภัยทางไซเบอร์อย่างจริงจังและเพิ่มเครื่องมือใหม่ตั้งแต่ปลายปี 2556

“ในเดือนเมษายน OPM จับการบุกรุกได้เนื่องจากเครื่องมือที่เปิดตัว” เขากล่าว

 “OPM ติดต่อไปยัง DHS และพันธมิตรของเรา รวมถึง FBI เราทำงานร่วมกับ OPM เพื่อตรวจสอบเหตุการณ์นี้”การสืบสวนจึงแยกออกเป็นสองหัวข้อแยกกัน  ข้อมูลเชิงลึกโดย Tenable: ในระหว่างการสัมมนาผ่านเว็บคู่มือ CISO สุดพิเศษนี้ ผู้ดำเนินรายการ Justin Doubleday และแขกรับเชิญ Brian Hermann จาก Defense Information Systems Agency และ Christopher Day จาก Tenable จะสำรวจความคืบหน้าและกลยุทธ์ของ Zero Trust ที่ DISA

Andy Ozment ผู้ช่วยเลขานุการ Cybersecurity and Communications, DHS

Andy Ozment ผู้ช่วยเลขานุการ Cybersecurity and Communications, DHS

ในตอนแรก ตัวบ่งชี้ความปลอดภัยทางไซเบอร์ OPM ที่ประมวลผลผ่านระบบตรวจจับการบุกรุก EINSTEIN ของ DHS เปิดเผยว่าผู้บุกรุกได้เจาะเข้าไปในระบบของกระทรวงมหาดไทยซึ่งมีฐานข้อมูล OPM อยู่ด้วย ผู้ตรวจสอบสามารถยืนยันด้วยความมั่นใจสูงว่าข้อมูลถูกขโมยจากฐานข้อมูลนั้น

“หัวข้อการสอบสวนนั้นเป็นบันทึกบุคลากร 4.2 ล้านคนที่ OPM ได้แจ้งให้บุคคลที่ได้รับผลกระทบทราบก่อนหน้านี้เมื่อเดือนที่แล้ว” Ozment กล่าว

เธรดที่สองยังคงอยู่ที่ OPM ซึ่งการพิสูจน์ทางนิติวิทยาศาสตร์นั้นยากกว่า

“เราเพิ่งยืนยันได้เมื่อไม่นานนี้ว่าข้อมูลบางส่วนถูกขโมยไปจริง ๆ และ OPM ได้ใช้เวลาสองสามสัปดาห์ที่ผ่านมาทำงานเพื่อระบุว่าข้อมูลใดถูกนำไปใช้จริง” เขากล่าว

ข้อมูลที่ถูกขโมยได้รับการพิสูจน์แล้วว่าเป็นบันทึกการสอบสวนเบื้องหลัง

ซึ่งส่งผลกระทบต่อพนักงานของรัฐบาลกลางทั้งในปัจจุบัน อดีต และในอนาคตจำนวน 21.5 ล้านคน ตลอดจนบุคคลที่มีข้อมูลส่วนบุคคลรวมอยู่ในแบบฟอร์มใบสมัครขออนุมัติการรักษาความปลอดภัย

“DHS และพันธมิตรระหว่างหน่วยงานของเรายังคงทำงานร่วมกับ OPM เนื่องจาก OPM ยังคงดำเนินความพยายามที่เริ่มขึ้นเมื่อปลายปี 2556 เพื่อปรับปรุงความปลอดภัยทางไซเบอร์อย่างมาก Ozment กล่าว

Katerine Archuleta ผู้อำนวยการ OPM แถลงข่าวเมื่อวันพฤหัสบดีกับ Ozment และเจ้าหน้าที่ฝ่ายบริหารอื่น ๆ เพื่อพูดคุยเกี่ยวกับผลการสอบสวนการละเมิดทางไซเบอร์ครั้งที่สอง นี่เป็นวันก่อนที่อาร์คูเลตาจะประกาศลาออก

ผู้ตรวจสอบปฏิเสธที่จะระบุผู้บุกรุก

จากการสืบสวนพบว่าเป็นผู้บุกรุกคนเดียวกันในเหตุการณ์ทั้งสอง ดังนั้น การบุกรุกทั้งสองครั้งจึงเกี่ยวข้องกันแต่คนละเครือข่ายกัน

   Michael Daniel ผู้ช่วยพิเศษของประธานาธิบดีและผู้ประสานงานความปลอดภัยทางไซเบอร์ สภาความมั่นคงแห่งชาติ

Michael Daniel ผู้ช่วยพิเศษของประธานาธิบดีและผู้ประสานงานความปลอดภัยทางไซเบอร์ สภาความมั่นคงแห่งชาติ

Michael Daniel ผู้ช่วยพิเศษของประธานาธิบดีและผู้ประสานงานด้านความปลอดภัยทางไซเบอร์ของสภาความมั่นคงแห่งชาติ ปฏิเสธที่จะระบุตัวตนของผู้บุกรุกในระหว่างการแถลงข่าว โดยอ้างถึงลักษณะการสอบสวนที่กำลังดำเนินอยู่

“เรากำลังสำรวจตัวเลือกต่าง ๆ ทั้งหมดที่เรามี และเรายังไม่พร้อมที่จะแสดงความคิดเห็นในเวลานี้เกี่ยวกับการระบุแหล่งที่มาที่อยู่เบื้องหลังเหตุการณ์นี้” เขากล่าว “สิ่งที่ฉันจะพูดคือเรากำลังพิจารณาวิธีการต่างๆ และเครื่องมือต่างๆ ทั้งหมดที่เราต้องตอบสนองต่อไป เพียงเพราะเราไม่ได้แสดงที่มาต่อสาธารณะไม่ได้หมายความว่าเราไม่ได้ดำเนินการเพื่อจัดการกับเรื่องนี้”

แม้ว่า OPM จะตรวจพบการบุกรุกครั้งแรกในเดือนเมษายน 2558 แต่ผู้บุกรุกก็อยู่ในเครือข่ายก่อนหน้านั้น

“ที่ OPM ศัตรูอยู่ในเครือข่ายตั้งแต่เดือนพฤษภาคม 2014 ถึงเดือนเมษายน 2015” Ozment กล่าว “อย่างไรก็ตาม ฝ่ายตรงข้ามมีการใช้งานจริงบนเครือข่ายตั้งแต่เดือนมิถุนายน 2014 ถึงมกราคม 2015 เท่านั้น” ที่มหาดไทย ศัตรูเข้าประจำการตั้งแต่เดือนตุลาคม 2557 ถึงเมษายน 2558

Credit : เว็บสล็อต / ยูฟ่าสล็อต เว็บตรง