由美国国防部开发的武器系统漏洞百出，这些漏洞可以让攻击者试图控制它们，甚至破坏其功能。

美国国防部计划花费1.66万亿美元来推进其武器装备，而美国政府问责局(GAO)发现，在该系统不同发展阶段的报告显示，这个武器系统存在的漏洞问题非常严重。

负责调查网络攻击的测试团队能够使用普通工具和技术，来控制或摧毁目标。甚至，有时候，仅仅是扫描系统就会导致部分系统关闭。

GAO表示，他们发现关于凭证管理的测试记录非常糟糕，以至于一个团队能在9秒内就能猜出系统的管理密码，而导致此漏洞最可能的原因是管理员没有更改安装在武器系统上的软件中的默认密码。

GAO在今天发表的一份报告中说，通过使用任何一个有互联网连接的人都可以免费获得信息或工具，并且可以隐藏恶意活动或绕过武器系统的保护机制。

问题深入讨论

多种因素导致可以使网络攻击红队的入侵无法被发现，有时他们的入侵甚至会持续数周。GAO人员在测试过程中故意留下了一些行动的线索，但系统管理人员仍没有发现这些可以获得的迹象。

警报系统的配置错误是其中一个问题，因为多个报告表明，虽然入侵检测系统(IDS)可以正确的发出警报，但操作人员并没有收到警报信息。而且，有时IDS会莫名其妙的一直显示警报状态，所以这使得管理人员对此入侵检测系统不再信任。

GAO的报告说：一个测试团队通过重新启动系统来模拟拒绝服务攻击，确保系统在短时间内不能执行任务。然而41家运营商表示，他们并没有怀疑网络已被攻击，因为不明原因的系统崩溃是时常发生的。

系统运营商难辞其咎

尽管活动日志中有证据，但有些攻击完全没有引起注意，因为操作员没有费心去检查它们。

测试报告显示，其中一次成功检测到系统入侵后，操作员并没有部署有效的解决方案。

红队玩得很开心

寻找控制系统的方法是红队的主要目标，但有时他们也会在评估武器系统脆弱状态的同时寻找一些乐趣。

内部报告显示当测试团队获取了系统的一些权限后，可以进行权限提升，甚至可以看到目标系统操作人员的每一步动作。

复制、删除或修改数据和发现漏洞一样轻松，测试团队甚至成功窃取了100GB的数据。

美国政府问责局的报告指出，在针对辩护者的恶作剧中，攻击者在用户的终端上显示了一条弹出信息，“instructing them to insert two quarters to continue operating”。

根本原因分析

从2017年7月到2018年10月，GAO的审计持续了一年多，并涉及审查2012年至2017年期间测试的部分武器的网络安全报告。还检查了美国国防部改善武器系统安全性方面采取的措施，包括分析采购、需求、测试政策和指南。

然而，结论是可怕的：国防部意识到武器系统安全的重要性时已经晚了，并且缺乏一些开发能够抵御网络攻击的武器的重要步骤。网络防御主要集中在基础设施和网络上，而不是武器本身，所以网络系统也同样要重视。

GAO官员总结道,

多种因素促成了国防部武器系统网络安全的现状，包括：国防部武器的日益计算机化和网络化、国防部过去未能优先考虑武器系统的网络安全、以及国防部对如何开发网络安全武器系统的不全面的理解。

据GAO说，一些项目团队在系统设计和连接方面仍难以认识到网络安全的影响。一些官员认为这些测试结果不现实，在现实中的攻击可能会大打折扣。他们还坚信武器系统得到了适当的保护。

GAO目前发现的情况可能只是冰山一角，因为这是该机构对武器系统采购的首次审计，而且没有考虑其他方面的问题，包括承包商设施、物联网设备或工业控制系统的安全问题。