Equifax的問題出在哪里:34項控制與過程失誤
責編:gltian |2018-12-18 10:56:08信用評級機構Equifax深陷全球最大數據泄露事件泥潭,美國政府官方報告稱其未能實現“足夠的安全措施”以保護數據。
美國眾議院監管與政府改革委員會的報告稱,該數據泄露本是完全可以避免的,是該公司未能完整的給系統打補丁才導致的泄露。
Equifax沒能完全理解并緩解其網絡安全風險。
該報告還證實,Equifax安全人員未能發現數據滲漏是因為他們用于監視網絡流量的設備在19個月前就因安全證書過期而不工作了。
直到該安全證書最終得到更新,從該公司消費者自動采訪系統(ACIS)流往某中國IP地址的可疑流量才被發現。
報告中稱:Equifax注意到一個二級IP地址上有額外的可疑流量,該IP地址屬于某德國ISP,但卻租給了中國提供商。這一警報促使Equifax關閉了ACIS網頁門戶進行緊急維修。ACIS一下線,該網絡攻擊也就停止了。
缺乏領導和問責令過程失靈,使工具疏于維護,讓策略形同虛設。
7月31日,證書更新后兩天,該公司首席信息官 David Webb 向首席執行官 Richard Smith通告了此事,但直到9月才向公眾披露該數據泄露事件。之后8天,Webb和Smith被解雇。
監管與政府改革委員會這份長達96頁的報告總結道:Equifax沒能完全理解并緩解其網絡安全風險。但凡該公司此前曾采取措施解決其顯而易見的安全問題,數據泄露事件都可以被避免。
ACIS是承自1970年代的老舊系統了,最初的攻擊途徑就是作為ACIS前端的 Apache Struts Web 服務器上一個未修復的漏洞。
Equifax沒檢測到數據滲漏,因為用于監視ACIS網絡流量的設備因安全證書過期已經19個月沒啟動了。2017年7月29日,Equifax更新了該證書,立即注意到了可疑網絡流量。
——Adrian Sanabria (@sawaba) 2018年12月11日
滲透測試公司NopSec策略副總裁 Adrian Sanabria 列出了Equifax的各種IT安全失誤:
Equifax的全球威脅與漏洞管理團隊(GTVM)向400多名內部員工推送了Struts警報。就像很多公司所做的一樣,Equifax也就該漏洞召開了內部會議。警報郵件在該漏洞被披露2天后就發出了,并指示該漏洞應在48小時內打上補丁,但會議是在郵件發出后一周才召開。
警報郵件都在那兒了,為什么要在修復時限過去5天以后才開會商討修復事宜?因為他們清楚根本沒人會去修復。
無論如何,他們沒有測試這一規則,所以攻擊中也沒有觸發。測試你的控制措施!太多安全控制措施都是只部署不測試了,這很令人驚悚。
即便如此,該公司還是花了2個多月才最終打上補丁,但那個時候其系統已經被完全滲透,尤其是攻擊者找到一個含有公司48個數據庫明文用戶名及口令的老文件之后。
為什么Equifax不通報該滲漏情況?老實說,大多數公司都沒有設置線上數據滲漏檢測。
但是,19個月,這也太夸張了。這是因為沒人正式負責內部證書管理工作。對一個擁有1.7萬個可路由IP的公司而言,或許內部證書管理責任是塊燙手山芋吧。
還不僅僅是證書過期問題。數據泄露發生當時,Equifax還有至少324個SSL證書是過期的。
他們可能有做一些SSL檢查,所以證書很重要。但他們不應該僅僅依賴包檢測技術。
即使不解密流量,他們也應該注意到有大量數據流向了中國和德國的服務器,而且是從平時不會往這些目的地址發送大量數據的源發出的。僅僅網絡流量這一條就應引起注意了。
總之,證書更新后,Equifax立即注意到了攻擊,證明他們確實擁有可以檢測的工具。
縱觀整份Equifax數據泄露報告,可以總結出3點:
1. 員工注意到了缺陷;
2. 存在恰當的過程、工具和策略;
3. 缺乏領導和問責令過程失靈,使工具疏于維護,讓策略形同虛設。
雖然Equifax的安全人員使用了掃描器來探測其 Apache Struts 的漏洞,該工具卻配置錯誤,未能有效發現漏洞。且僅僅掃描根目錄和異常檢測是不夠的,安全人員沒有測試他們的措施和對策。
Equifax總共犯了34個控制與過程錯誤導致數據泄露。可能只需其中5個控制措施和過程做對了就能避免這場數據泄露。其他29個左右可以盡早檢測到數據泄露情況,留出時間加以阻止。
Equifax報告:
https://oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdf