美国政府报告——Equifax数据泄露的反思

作者:聪明的爸爸
忙碌的2018年已经走到了尾声,回顾这一年,团队把重心放到了安全系统的研发上,几乎占用了我们3/4的资源和精力,目前看算是顺利完成了阶段性任务。在把资源集中到研发后,既有的安全保障工作还能有条不紊地进行下去,真的要感谢大家这一年来的辛苦付出,克服了很多困难与挑战。年底了,就以这篇文章作为YiSRC今年的收尾吧,致敬团队里的每一位小伙伴,也感谢每一位关注YiSRC的伙伴们。
这篇文章的内容主要翻译自2018年12月美国政府报告《The Equifax Data Breach》,对报告内容进行了精简和整理,旨在详细了解这起安全事件的始末,以一个比较全面的视角去审视安全工作。如果你觉得公司还不够重视安全,你可以把这当成一个安全案例用于培训;如果你对公司的安全水平很有自信,也可以拿它来对标review一下自己的安全工作是否到位。当然,企业面临的安全威胁多种多样,黑客外部入侵、内鬼泄露、针对员工的钓鱼攻击等等,这个事件并不能覆盖所有的攻击向量,但仍能从中发现和总结有用的内容。
2017年9月, 美国最大的征信机构之一Equifax对外宣布了一起影响1.48亿用户的网络安全事件。这是美国历史上最大的一起数据泄露事件之一,影响几乎一半的美国人口,政府将其总结为“这完全是一起可以避免的事故,但是Equifax并没有做好安全措施来保护用户的敏感数据”。Equifax过分自信、过分自满的网络安全文化导致了这一切。Equifax未能修补已知的严重漏洞,使其系统面临145天的安全风险。公司未能实现基本的安全协议,包括文件完整性监控、网络分隔,使得攻击者访问和获取了大量数据。在攻击者获取数据的过程中,安全设备的证书过期19个月,又使得可以提前发现的攻击行为被掩盖。

CEO、CIO、CSO提前退休,VP被解雇,支付安全费用,公司股价暴跌,声誉受损。虽然这是一起很不幸的事故,但它却再一次提醒我们,每一家公司都要时刻保持警惕——因为攻击者和敌人是如此老练并且资金充足,我们需要不断保持安全工作的推进并且持续做得更好,才能尽量避免这样的灾难发生在自己身上。

图:Equifax提供的图表概述了2017年数据泄露事件中被影响的数据分类

 

目录

一.Equifax的商业模式

二.数据泄露事件的始末

三.失败点和反思

四.后续

 

一、Equifax的商业模式

1.商业模式

在美国有三大征信机构(The consumer reporting agency,简称CRA)分别是Equifax、Experian、TransUnion,征信机构收集消费者的信息,对其进行分析以创建信用评分和详细报告,然后将报告出售给第三方,并以此盈利。企业使用CRA提供的用户信用数据来识别和管理交融交易风险,例如,金融机构在决定是否授予贷款和调整相应的利率时参考信用报告和信用分;保险公司使用这些信息来设置保单的保费;而企业雇主则可以使用这些信息来甄别雇员的欺诈风险;电信服务提供商则利用这些报告核实客户的身份,并确定新客户的付款要求和话费额度。

然而这一数据收集的过程,并不是用户主动或是自愿提供给CRA的,相反,CRA积极地从其他商家那里收集消费者的个人信息,收集的信息包含了大量敏感的个人数据,包括有关信贷记录、房租记录、就业信息、保险理赔信息、犯罪记录、破产信息等等历史数据,这一过程是CRA合法的商业模式。

图: Equifax如何接收你的数据

Equifax成立于1899年,在1965年成为一家上市公司。目前在全球拥有10300名员工,并在北美、南美、欧洲以及亚太的24个国家开展业务。在2017年数据泄露时,Equifax拥有8.2亿消费者和9100万家企业的信用信息。Equifax也是标准普尔500指数的一员,它的普通股在纽约证券交易所交易,股票代码是EFX。2018年10月26日,Equifax的市值为117.2亿美元,相比之下,Equifax在2017年9月7日公开宣布数据泄露事件的前一天,市值为170.2亿美元。在2018年9月发布第三季度盈利报告之前,Equifax的股价几乎回到了其宣布数据泄露前的价格$138.06美元,但是在10月份季报公布以后,报告显示,由于与数据泄露相关的成本持续增加,Equifax没有实现预期的预期,股价下跌了17%以上,目前收于$97.19美元。

图:Equifax的股价(2017年5月至2018年12月)

2005年12月,Richard Smith被聘为Equifax的首席执行官(已于2017年数据泄露事件发生后退休),他上任后迅速启动了雄心勃勃的增长战略。2007年,Equifax以14亿美元收购了拥有1.4亿雇员记录的美国人力资源和薪酬服务公司TALX;2014年,以3.27亿美元收购了英国债务管理公司TDX集团;2016年,以19亿美元收购了澳大利亚领先的信贷公司Veda Group。Equifax总共收购了18家公司,这些收购使Equifax成为世界上最大的私人信用跟踪公司之一,积极的增长策略使Equifax的市值从2005年12月的大约38美元增加到2017年9月初的138美元。然而大量的敏感信息使得Equifax成为黑客攻击的主要目标,姓名、出生日期、地址、社会保障号码、驾驶执照等,这些个人识别信息Personally Identifiable Information(简称PII)由于其潜在的高价值,在电信诈骗、金融欺诈、恐怖行动等其他犯罪中的有着重要用途,已成为网络犯罪世界中最有价值的商品之一。

2.监管与合规要求

CRA受各种旨在保护消费者信息的联邦法律的约束,监管部门可以根据法律对CRA进行管理。

联邦贸易委员会(FTC)可以依据“联邦贸易委员会法”第5条规定的权力追究CRA数据安全违规行为,包括要求企业实施全面的数据安全改进工作或向用户提供金钱补偿。

消费者金融保护局(CFPB)侧重于检查CRA对用户信用报告的准确性、公平性以及合法使用,与保护数据安全并没有太多联系。

格拉姆-利希法案(GLBA)要求CRA开发、实施和维护一个全面的信息安全程序,以确保客户信息的安全和保密,每个CRA都必须做到:

1.指定一名或多名员工协调其信息安全工作

2.识别和评估客户信息在公司运营的每个领域的风险,并评估目前控制这些风险的保障措施的有效性

3.设计和实施安全保障方案,并定期进行监控和测试

4.选择有安全保障措施的服务提供商或供应商,确保合同里要求他们维护安全措施,并监督他们对客户信息的处理

5.根据公司业务运营的变化,或安全测试和安全监测的结果等相关情况及时评估和调整整个安全工作

公平信用报告法(FCRA),于1970年颁布,用以提高CRA保存的用户信息的准确性和隐私性。根据FCRA的规定,CRA必须维护一套程序,通过这些程序用户可以对其信用报告中不准确或不完整的信息进行纠正和申诉。为了遵守这一要求,Equifax为消费者提供三种途径来对信用报告中的信息进行申诉:电话、书面文件邮寄、在线服务(通过Equifax提供的一个门户网站)。Equifax在1970年建立了这套自动信用调查系统Automated Credit Investigation System (ACIS) 来处理用户的申诉。用户可以提交与其信用有关的文件副本,当Equifax收到申诉时,它会创建一个ACIS案件来跟踪信用调查过程。而整个数据泄露事件的导火索正是源自这个ACIS的门户网站。

另一方面,当发生数据泄露事件时,虽然没有全面的联邦数据泄露通知法,但所有50个州都颁布了立法,要求将影响到个人的泄露事件进行通报或通知。通常州的泄露通知法里都包括这几个部分:

1.哪些实体比如企业必须遵守法律

2.哪些个人信息受到保护,以及如何定义数据泄露

3.什么水平的损害程度才可以触发通知

4.通知必须以何种方式和何时送达

5.是否有例外的情况或安全港协议

6.其他州法律的优先权,以及与其他联邦法律的关联关系

7.执法当局和对受伤害者的补救措施

由于不同州之间的法律有冲突,比如对通知的时间要求不同、对个人信息的定义不同,可能会出现在一次泄露事件中,企业需要对一个州的用户通知,但并不需要对另外一个州的用户进行通知。

除了向政府部门提供泄露通知外,企业还可能被要求向投资者披露网络安全风险和网络事件。在2011年10月,美国证监会SEC发布了一项指南:如果网络安全风险或安全事件对投资者“有足够的重要性”,企业可能被要求在注册、财务声明、8-K forms中披露这些信息。

 

二、数据泄露事件的始末

这部分会以时间线的方式详细描述整个数据泄露事件的始末,从最开始漏洞被公布、攻击者如何实施入侵并获取数据的细节、攻击持续76天后被发现、Equifax的调查取证工作、以及泄露之后的补救工作等。Equifax在整个事件泄露的过程中的表现并非一无是处,有些做法甚至仍然值得借鉴。
2017.2.14
Apache软件基金会收到了关于Struts(一个非常流行的Java Web应用程序框架)多个版本中发现的漏洞的第一份报告。一名安全研究员发现了该漏洞,并通过其安全邮件列表向Apache报告了该漏洞。
2017.3.7
Apache Struts项目管理委员会(PMC)公开披露了Struts漏洞:攻击者可以利用文件上载功能向服务器发送恶意代码或命令。国家漏洞库NVD的影响分析表明,利用该漏洞进行攻击的复杂性很低,并且,在受损害的系统中,完全丧失机密性、完整性、可用性的可能性很大。根据评分标准,给出了10分的最高得分。Struts漏洞被广泛报道后,安全人员几乎立即观察到大量的攻击企图。一家公司观察到黑客试图使用简单的命令(whoami)以及更复杂的命令。在公布漏洞的同时,Apache Struts项目管理委员会也发布了修复该漏洞CVE-2017-5638 – Apache Struts 2 S2-045的补丁。

图:NVD CVE-2017-5638 影响分析

2017.3.8
国土安全部的计算机安全应急小组(U.S.-CERT)向Equifax发出了一份关于需要修补Apache Struts漏洞的通知。Equifax的多个人收到了US-CERT的邮件,其中包括全球威胁和漏洞管理(GTVM)小组和首席安全官Susan Mauldin(已于2017年数据泄露事件发生后退休)。
2017.3.9
Equifax的GTVM小组对漏洞进行了通告,大约430个人和各种邮件组收到了邮件,邮件里指示公司负责Struts安装的人员需要将其升级到指定的Struts 2版本,并且强调“这个漏洞可以被利用,并且已证实目前正在被利用,因此该漏洞被列为严重风险,根据公司的安全策略需要在48小时内进行修补”。Equifax的安全团队同时执行了一次组件扫描,在服务器文件系统上进行扫描,用以识别运行了漏洞版本Struts的系统,但是扫描结果表明并没有发现有受影响的系统。
2017.3.10
仅仅过去一天,就有攻击者利用这个漏洞并执行了“whoami”命令去发现Equifax其他潜在受影响的服务器。不过,并没有发现直接证据表明3月10日的行动与5月13日开始的正式的入侵活动有关。
2017.3.14
Equifax的应急威胁小组发布了一个Snort特征规则,用来检测针对这次Struts漏洞利用的攻击,对抗小组则在入侵检测与防御系统(IDPS)上安装了这个规则。
2017.3.15
Equifax从安全厂商McAfee收到了一个新的特征规则,用于识别出带漏洞版本的Struts服务。Equifax使用McAfee漏洞管理器工具应用这个识别特征,对其外部面向互联网的系统进行了两次扫描。扫描器检查了958个Equifax的外网IP地址,没有发现存在该漏洞的任何实例。简而言之,Equifax在修补过程中使用的两种扫描工具都未能发现识别出公司正在使用的带漏洞的Struts版本。
2017.3.16
在GTVM团队主持的月例会上,它们讨论了Apache Struts漏洞,会议的幻灯片指出,该漏洞目前正在被利用,并提醒负责Struts安装维护的人员将其升级到2.3.32或2.5.10.1版本。会议结束后,GTVM把这些幻灯片例行邮件发送给了430个在邮件列表里的人。
2017.5.13-7.30
将近过了两个月,入侵者利用Struts漏洞成功进入了Equifax的内部网络,攻击的入口正是上面提到过的ACIS系统(Equifax为消费者提供用来对信用报告中的不准确信息进行申诉的一个门户网站)。在入侵ACIS系统后,攻击者上传了第一个Webshell后门程序,用于远程控制。(Webshell是一种后门程序,攻击者通过它可以随时重新进入这台服务器,可以使用文件系统、进行数据库操作,方便执行系统命令,并提供文件上载/下载功能;在后续的攻击过程中中,攻击者大约上传了30个不同种类的Webshell)随后,攻击者通过挂载NFS(网络文件系统)共享,由于Equifax未对存储中的文件进行访问控制,攻击者获取到了敏感的配置文件,包括未加密的应用程序使用的连接数据库的用户名和密码。攻击者成功使用这些凭证访问了与ACIS系统功能无关的48个数据库。

攻击者在这些数据库上运行了大约9000个查询,这些查询包括对数据库元数据的查询,以发现表中包含的信息类型;以及一旦找到了一个带有PII信息的表,需要执行额外的查询,用以从表中获取出想要的敏感数据。总共,9000次查询里的256次查询,返回了包含PII的数据集,并且所有这些PII信息都没有在数据库中被加密。

攻击者将265次成功查询的PII数据输出存储在文件中,压缩并放置在一个可访问的WEB目录中。在远程通过Wget工具下载了这些文件,成功将数据从Equifax窃取。整个攻击过程,攻击者使用了大约35个不同的IP地址。

攻击持续了76天,然后才被Equifax的员工发现。原因是Equifax有安全设备可以监控到网络里的异常流量,包括它们之前更新了规则的入侵检测与防御系统。但是这些安全设备的前面还有一个SSL解密设备SSL Visibility (SSLV),用于将加密的流量解密后发给检测和防护系统进行分析识别。但是,在事件发生时,SSL解密设备上的证书已经过期了,根据设备的配置,证书过期不会影响流量的正常传输,但是却会影响入侵检测与防御系统,因为它们无法分析加密的流量。其中ACIS的域名ai.equifax.com的证书在2016年1月31号就过期了,也就是说在19个月之前,入侵检测与防御系统就已经无法检查ACIS的流量了。

图:外部访问、SSLV设备、IDS设备、以及内部服务器示意图

2017.7.29
晚上9:00点,Equifax的对抗小组将67个新的SSL证书上传到数据中心的 SSL Visibility (SSLV) 设备上,恢复了入侵检测与防御系统对流量的分析和识别。几乎就在同时,对抗小组马上就检测到来自其他国家的IP地址的可疑请求,通过分析,发现这些请求返回的流量大都超过10M,可能还包含了与信用调查有关的图像文件。对抗小组讨论后对这些IP进行了拦截。
2017.7.30
Equifax的调查分析人员很快就发现外流的流量里可能包含PII数据。意识到事件的严重性之后,Equifax决定于7月30日下午12点41分关闭ACIS门户网站以便紧急维护。当网站离线时,这次网络攻击也就结束了。
2017.7.31
Equifax启动了代号Sierra的项目,负责跟进事件的分析和影响调查。调查分析小组发现了一些本不属于ACIS项目的JSP代码文件,并立即对环境进行了镜像,以便后续分析和取证。此时,Equifax还不能完全确定攻击者是如何进入ACIS环境的,但是根据ACIS的WAR包分析发现里面包含了带漏洞版本的Struts,所以它们怀疑很可能攻击者是通过Struts漏洞实施的入侵。
2017.8.2
Equifax联系了外部律师,并聘请网络安全公司Mandiant完成对数据泄露的全面调查分析并确定入侵的范围,同时向联邦调查局通报了这一事件。
2017.8.3
Mandiant安全公司于8月3日至10月2日进行了调查分析,模拟执行攻击者在当时访问数据库时使用过的查询语句,然后确定攻击者能够获取的信息范围。
2017.8.11
Mandiant安全公司首先确认了攻击者对用户PII数据的访问。
2017.8.15
Equifax的雇员告知CEO Smith,用户的PII很可能被盗。
2017.8.17
此时此刻,Equifax已经确定有大量的用户数据被侵害,包括首席执行官、首席信息官、首席法务官、首席财务官、被入侵系统ACIS的业务负责人、Mandiant安全公司代表、外部律师一起讨论了调查结果。Equifax同时发起了一项专门的响应措施,项目代号Sparta:创建一个面向消费者的网站,用户可以查询自己是否在这次泄漏事件中被影响,如果是的话,还可以免费注册信用监控服务以及身份盗用保护服务。CIO和CEO亲自负责,有50名IT人员参与到这个紧急的项目。同时,为了防止忙中出错,再引发新的安全问题,Equifax在设计和准备这个外部网站时做了大量工作,对这个网站的设计和安全措施进行仔细的检查。

Equifax也开始为建立呼叫中心的能力做准备,以应对用户咨询涌入的电话,作为一个B2B公司,之前并没有如此大量的面向用户的客服需求,只配置了500名客服人员,预计需要增加1500个坐席,这也是一项有挑战的工作,所以不得不临时借助外部第三方的客服。

2017.8.24-8.27
Mandiant安全公司证实了有大量PII被攻击者访问,并与Equifax数据库所有者协调,以确定攻击者访问了哪些数据和受影响的个人,并且由于Equifax没有数据库所有者的列表,数据库中的某些数据也没有清晰的定义,使得这一过程非常具有挑战。与此同时,CEO Smith向Equifax董事会报告了这一泄露事件。
2017.9.1
Equifax召开了董事会会议,讨论调查、受侵害的PII范围、以及对外通知的计划。
2017.9.4
Equifax在Mandiant安全公司的支持下,完成了大约1.43亿受影响的消费者的名单(最终这个数字增长到1.48亿)。
2017.9.7
Equifax宣布公司发生了一起“网络安全事件”,影响到大约1.43亿美国消费者,包括姓名、社会安全号码、出生日期、地址和驾驶执照、209000个信用卡号码和182000份用户信用报告申诉文件。Equifax公司向各州的官员发送信件披露了数据泄露情况,解释了泄露情况和Equifax公司为保护消费者所采取的措施,以及该州可能受到影响的居民的大约人数。就在宣布的同时,公众反应就带来了一系列问题。之前建立的提供用户查询是否受到泄露影响的网站equifaxsecurity2017.com,由于 Equifax官方Twitter在拼写时不小心颠倒了单词顺序,将用户引导到了一个“钓鱼网站”(所幸,这个网站是由一个安全研究人员创建,目的并不是欺骗获取用户的信息)。同时,在一开始网站存在一些Bug和性能问题,导致用户每次查询的结果不同、或是网站处理速度很慢,以及注册免费的被盗保护服务时出现错误。虽然编码错误后来被解决了,但这进一步带来了用户公共关系的损害。临时搭建的客服坐席,由于训练和培训不足,虽然夜以继日的工作,还是没有达到应用的水平,导致客服被淹没在大量的用户咨询里。

图:官方推特指向了错误的网站

图:在securityequifax2017.com钓鱼网站上弹出的提示

2017.9.15
Equifax宣布其CIO(David Webb,在Equifax工作7年)和CSO(Susan Mauldin,在Equifax工作4年)退休。
2017.9.26
Equifax宣布CEO(Richard Smith,在Equifax工作12年)退休。
2017.10.2
Equifax公司终止了高级副总裁、Equifax全球平台首席信息官(CIO for Global Corporate Platforms),Graeme Payne的职务。佩恩在数据泄露之前工作了近7年,且是一名评级很高的高管。公司解雇他的原因是,黑客攻击的ACIS系统在佩恩的管辖范围内,而他“未能转发2017年3月9日GTVM内部发布的修补Apache Struts漏洞的邮件” 。然而Payne认为这并不是自己的职责,他只是收到漏洞邮件430人中的一个,并且从来没有接到任何人的指示去转发这样的漏洞修复邮件,他也不是ACIS的系统所有者或者应用程序所有者。
 

三、失败点和反思

1.Equifax的IT组织结构存在诸多不合理

直到数据泄露发生时,公司的CSO不是向CIO或CEO进行汇报,而是置于首席法务官CLO之下,CLO则是名义上的安全负责人。例如在高管会议中,通常安全部分的幻灯片会包含在法律部分的review。

在这种结构及汇报关系下,IT和安全之间存在着很大的不协调的鸿沟,公司没有促进CIO和CSO之间建立很强的合作伙伴关系,CIO将自己以及IT团队完全和安全撇清关系。IT和安全部门被隔离,双方缺乏信息的共享、流动以及沟通,双方的协作大多发生在处理问题时,例如当安全需要IT授权对网络进行更改时。这种不一致和缺乏协调,还表现在:双方都维护了各自的软硬件资产列表,然而更佳的做法,在一个充分协作的环境下,应该两个团队一起完成清单,并合并成一个单一的主列表。

Equifax的CEO没有把网络安全放到很重要的位置,CSO也不被认为是高级领导层成员,在每次的高管会议上,CSO并不会定期参加会议,会议上讨论的各种议题,安全只占很小一部分。在这个会议上,CEO不能及时收到关于Equifax安全态势的信息,因为他所收到的信息是由没有任何IT或者安全背景的法律部门负责人CLO提供的,而不是CSO——公司真正的IT安全专家提供。普华永道(PricewaterhouseCoopers)在2018年发表的一项研究得出结论:由于当前信息安全对公司的重要性,CSO更趋向于直接向CEO或董事会报告,而不是向CIO报告,这样的情况越来越普遍,这项研究发现,调查对象中,24%的CSO向CIO报告,40%的CSO直接向CEO报告。

在泄露事件发生后,Equifax将CSO变更为首席信息安全官CISO,在2018年2月2日任命Jamil Farshchi为CISO,同时将CIO变更为首席技术官CTO,在2018年6月15日任命 Bryson Koehler为CTO,CISO和CTO都向CEO汇报。这些管理行动表明,公司现在认识到网络安全是一项核心的业务属性,让CISO和CTO加入到公司的高级管理团队,才可以用更有成效的协作方式开展安全工作。

图: Equifax的IT组织结构

2.安全策略的开发和执行有明显差距

Equifax的补丁管理策略,表现出来的策略开发和执行之间的脱节尤为明显。此策略定义了不同的角色和责任,并为修补过程制定了指导方针,根据该策略,业务所有者将被告知修补的必要性,并负责批准停机时间用于修补。系统所有者负责安装补丁,然后应用程序所有者负责确保正确安装了补丁。然而,除了指定角色,并没有指定具体负责的人。策略还要求系统所有者和应用程序所有者订阅外部来源的漏洞公告,但是缺乏对系统所有者和应用程序所有者的正式指定也意味着没有任何一种机制可以确保每个人都遵循这一订阅要求。

图:2016年版的补丁管理策略下的关键漏洞修补流程

同时,公司缺乏一个全面的、准确的资产清单,缺乏对IT资产的管理,也造成了修补过程中的遗漏,如果一个组织不知道它的网络上有什么,它就不知道哪里需要修补。其实在2015年的审计过程中,Equifax就已经了解到了在管理策略中的差距,但是在2017年发生泄漏事件前仍没有进行有效的改进。
审计发现的不足
改进措施
未及时修复漏洞
实现自动修补工具,并尽快淘汰遗留系统
Equifax缺乏适当的资产管理程序,缺少全面的IT资产清单、准确的网络文档、IT基础设施的全局视图
改进IT资产管理控制以确保所有IT资产的准确收集和统计
没有及时对系统进行修补,大多数修补程序都在GTVM发出修复警告后
实施积极主动的修补过程
部署新系统或变更已有系统时,未要求进行安全扫描
修改变更管理流程,以要求在部署前对资产进行漏洞扫描
补丁程序在部署之前没有得到充分的测试
安装补丁前进行测试
在确定应用补丁的时间窗口标准时,未参考IT资产的重要程度
对IT资产进行风险分类,改善管理策略,加入对高风险系统提出更严格的修补要求
另一个在策略开发和执行之间存在差距的例子就是Equifax的证书管理,公司清楚地意识到缺乏更新SSL证书的流程。过期的证书限制了入侵检测和防御系统的作用,如果将能够在更早的时间内看到来往于ACIS平台的可疑流量,也许就可以减轻甚至防止这次数据泄露。

3.大量关键业务系统运行在遗留的老旧IT系统上

遗留技术既是安全问题,也是创新的障碍,遗留系统通常很难修补、监控或升级,所以带来了更高的安全风险。另一个遗留技术的风险是懂得操作和维护的雇员人数会不断减少,ACIS就运行在老旧的系统上,在数据发生泄漏时,公司能维护它的人只剩下几个了。ACIS运行在曾经的IT厂商Sun Microsystems公司的 “Sun servers”上,上面运行着Solaris操作系统。在一个更现代的系统中,有很多agent和扫描器可以方便地收集软硬件的信息,但是在这些老系统中,却缺乏这些工具的支持,使得扫描的效率变得很低、识别率也很差。

在数据泄露之前,Equifax公司正在德州建立一个现代化的、软件定义(software-defined)、高度自动化和编排的数据中心,项目代号Bluebird。消除历史遗留的技术债务,不仅是成本问题,还涉及到很多重构问题,并且需要很多技术专家才能保证迁移过程可控。公司正是认识到遗留系统的诸多问题,才决定朝着这一方向改进,然而他们行动的还不够快,没有赶在泄露之前完成转型。

4.其他问题

ACIS应用服务器与Equifax网络的其余部分之间没有隔离,从INTERNET获取应用程序服务器控制权的攻击者可以转到Equifax全球任意的网络中的设备、数据库或服务器。适当的网络分割、或更细粒度的访问控制可以防止恶意软件和攻击者在网络里的横向移动,防止潜在的攻击传染或扩大。

在应用程序和Web服务器上都没有文件完整性监控(FIM)。大多数外部网络攻击都会对系统进行修改或配置。FIM能够检测并对发生的未经授权更改进行告警,安全公司Mandiant表示,FIM可以检测到在Equifax环境中创建的30个Webshell后门程序。

跨系统共享文件是一种非常容易受到攻击的做法,特别是在没有适当设置访问权限的情况下。并且,系统管理员应该遵循“最小知悉”原则设置文件访问权限,特别是包含敏感信息的配置文件。攻击者正是通过NFS文件共享获取到其他业务系统的数据库访问凭证。

服务器的日志只保留了14天,因此很难、甚至不可能追溯任何恶意活动。日志记录了系统和网络中发生的事件,对调查取证以及还原攻击过程有着至关重要的作用。日志只有在保留的时候,日志才是有用的。研究表明,针对金融机构的有针对性的APT攻击平均需要98天才能被发现。NIST建议将高影响的系统的日志保存3至12个月,尽管这会带来存储的成本。支付卡行业(PCI)数据安全标准(DSS)则建议归档日志保留至少一年,最近三个月的日志则要保证在需要时立即可供分析(比如保存在诸如ELK里)。

 

四、后续

安全公司的报告包含有11项关于Equifax的改进建议,包括加强扫描和漏洞管理、增强数据库的访问控制、改进网络分隔、部署Web应用防火墙WAF、加快实施文件完整性监控、加强各种系统和设备的日志管理、加速实施特权账号的管理等。截止2018年8月,Mandiant和Equifax官员确认Equifax执行了所有11项改进建议。同样,国家、州的各个监管机构、政府问责办公室等都对Equifax提出了改进建议以及签署了协议书。

Equifax提交给SEC的10-K文件中显示,公司已经采取了各种补救措施以解决在泄露调查中发现的缺陷,并将继续加强,防止这类事件再次发生,重新赢得消费者、客户和监管机构的信任。

在2018年给投资者的年度报告中,Equifax报告了其董事会是如何加强监督以提升Equifax的网络安全保障的内容,包括:强化董事会的全面参与、拓宽技术管理委员会的职责、成立安全相关的专委会、加强网络安全防护等。

Equifax在泄露事件之后增加了IT和网络安全支出,2017年11月,公司临时首席执行官Paulino do Rego Barros表示,Equifax公司自发现泄露事件以来增加了四倍的安全支出。Equifax报告称2018年前9个月与这起安全事故有关的费用为2.215亿美元,包括技术和数据安全、法律和调查费用、产品赔偿等。

感触

写在最后,这两天在群里(基于量子透明计算的可信自主可控区块链式拟态安全态势感知的威胁情报联盟微信交流群)里看到各位大佬讨论安全工作的本质:

“你还能把安全部门做成盈利部门吗?安全部门力争盈利,让业务、销售部门怎么看”

“安全本质还是守住核心业务;现在都为了盈利不要基本盘了”

“甲方安全是守门员不是前锋,第一任务还是守门不是进球”

“我们的一号目标就是不出现严重的安全事故”

“不出事!”

看完感触很多,也解除了我的一些迷茫,这几年大家在跟进业务安全、追求安全产品研发,想着对外能力输出甚至盈利,却慢慢忽略了安全最重要的那部分。如果问我2019年最想做什么,我想应该是把那些最基本、最基础的事情重新梳理做坚实、做牢固,去追求最开始作为一名安全工程师时设定的那些安全目标,用个俗气的词——“不忘初心”。

2018年过去了,我很怀念它

(完)