前言
在黑客入侵与网络攻击方面,似乎每一年都要比上一年面临着更多的挑战,2017年也不例外。
互联网社区在线可信联盟的主管Jeff Wilbur表示:“毫无疑问,2017年又是糟糕的一年,我们经历了全球化的数据泄露和全球化的网络安全事件。”
在2017年,总计发生了无数起数据泄露事件,恶意软件和勒索软件不断被投放在网络,并且每一个新的样本都比旧版本更加复杂和先进。考虑到利益所在,黑客将目标长期聚焦在业务环境和消费者人群。因此,各行各业都应该吸取这些攻击事件的经验教训,并将其作为未来之中的防护策略,这样才是最好的防范方式。
接下来,让我们共同回顾2017年发生的一些灾难性攻击和感染事件,并通过这些事例,找到可以吸取的经验和教训。
Equifax信息泄露事件:主动披露,不要等待新闻的报导
在2017年,征信巨头Equifax数据泄露事件可以排到数据安全事件的第一名。这次泄露,影响人数众多,并且有高度敏感的数据被泄露。更为讽刺的是,发生信息泄露事件的Equifax是一家承诺帮助大家预防此类欺诈行为的企业。
根据美国有线新闻网的报道( http://money.cnn.com/2017/09/11/technology/equifax-identity-theft/index.html ),攻击者攻破了Equifax系统,并从中窃取18.2万份敏感文件,其中包括客户的个人信息以及共计20.9万个信用卡号码。据统计,这次攻击事件涉及1.43亿美国公民的个人信息,他们的社会安全号码、出生日期、家庭地址等个人信息均包含在被窃取的文件之中。
这次攻击事件最可怕之处在于,黑客会以这些被窃取的身份信息为基础进行攻击或身份掩护。这些个人身份信息在地下黑市以打包的形式售卖,价格达到了30美元甚至更高。并且,随着大量的数据被窃取,攻击者可以基于此,对数百万合法身份造成威胁。
个人信息失窃资源中心(Identity Theft Resource Center)首席执行官Eva Velasquez表示:“涉及到社会安全号码的数据泄露事件时常会发生,但这一次是有史以来规模最大的。这次事件非常严重,因为被窃取到的数据都是真实有效的。”
该事件中我们可以获得一个教训:企业应该主动向公众披露安全事件,不能让公众等到媒体报道新闻时才知晓相关事件。美国有线新闻网指出,在该信息泄露事件发生的6周之后,公众才广泛了解到这一起事件。这样一来,黑客就在销售和使用被窃敏感数据的方面,占据了巨大优势。
在发生信息泄露事件后,企业必须尽快做出反应,并确保受该事件影响的人员知晓这一情况。借助于此,企业、受影响的客户以及合作伙伴可以协同工作,将事件产生的后果降到最低。
优步:掩盖攻击事件
在2016年秋季,优步曾遭受攻击,共有5700万用户的姓名、电子邮件地址和电话号码被攻击者窃取。然而,这一事件却列入了2017年的事件清单之中,原因在于,优步在2016年并没有披露这一事件,直至公司新的首席执行官Dara Khosrowshahi在2017年11月下旬上任后才将此事件公之于众。
更糟糕的是,在攻击发生后,优步似乎在努力掩盖攻击事件,而并不是处理攻击造成的后果。WIRED撰稿人Lily Hay Newman调查称:优步向黑客支付了10万美元的赎金,以防止黑客向公众披露这一攻击的发生。
Newman在文章中写道:“这些行为很可能违反了美国许多州的数据泄露披露法,根据报道,优步甚至可能试图向联邦贸易委员会的调查人员隐瞒此事件。这是在数据泄露事件发生后,企业所做过的最搞笑的一种处理方式。”
针对此事件,我们得到的经验教训是:不能这么做。
WannaCry:未修复的漏洞
除了针对于特定企业的攻击之外,2017年还有一起大规模影响了全球众多组织的事件。在一天之内,全球共有成千上万的目标受到了WannaCry的影响,其中有一些造成的影响非常重大。据WIRED报告,最有破坏性的勒索软件样本感染了英国的国家卫生服务机构,直接导致其日常工作和患者护理工作停滞,涉及到急诊室、医院和其他相关设施。
事实上,这些勒索软件大部分利用了被称为永恒之蓝(EternalBlue)的高危漏洞。该漏洞在2017年春季由影子经纪人(Shadow Brokers)在成功攻击美国国家安全局(NSA)后披露。在攻击后,影子经纪人发布了窃取到的NSA工具,其中就包含着永恒之蓝的利用工具。
美国有线新闻网报道说,WannaCry共对150个国家的组织产生了影响。尽管在影子经纪人公开利用工具之前微软就已经发布了永恒之蓝的补丁程序,但还是有大量组织没有及时打补丁修复漏洞,从而导致了被攻陷。这一事件向我们生动展示了及时更新补丁的重要性。
CNN的撰稿人Selena Larson写道:“大量用户都被WannaCry感染,尽管微软发布了Windows系统的补丁,但还是有大多数人没有及时更新。”
错误的安全配置暴露了选民记录
尽管这并不是最具破坏性的事件,但我们仍可以从中学习到一个非常重要的经验教训。
在2017年春季,一位安全研究人员找到了近2亿美国选民的投票记录。这一问题最终被追溯到共享数据公司在其亚马逊云存储上所进行的安全设置存在问题。更有趣的是,CNN指出,此类事件并非只发生过这一起。
Larson说:“这是用来存储数据的亚马逊服务器未进行安全配置所导致的一系列重大信息泄露事件其中之一。默认情况下,配置项是安全的,但网络安全公司UpGuard的研究人员Chris Vickery经常能发现有企业进行了错误的设置。”
这个事例体现了安全设置的重要性,组织必须充分了解他们正在使用的服务以及可以使用的配置项。无论任何时候,如果需要对配置项进行更改,都要进行充分的检查,确保调整这些配置后仍是安全的,并且没有未经授权用户的后门存在。
应对:部署多方位的强大保护
在2017年的网络攻击事件中,除了上述得到的经验之外,我们还意识到:企业必须具备多方位的保护,并始终如一地贯彻数据保护的相关原则和规定。
TechRepublic报道说,在2017年发生的绝大多数(93%)安全事件都可以通过简单的安全流程来阻止,例如及时安装补丁、阻止欺诈电子邮件、向员工进行网络钓鱼相关培训。