資料結構
網路
關係資料庫管理系統 (RDBMS)
作業系統
Java
MS Excel
iOS
HTML
CSS
Android
Python
C語言程式設計
C++
C#
MongoDB
MySQL
Javascript
PHP
物理學
化學
生物學
數學
英語
經濟學
心理學
社會學
服裝學
法學預防Equifax式駭客攻擊
最近與Equifax就資料洩露達成的和解協議,再次將網路安全問題推到了全國關注的焦點。人們感到憤怒並提出指控,但公司該如何阻止此類事件再次發生呢?
答案有點缺乏新聞價值:一切都在程式碼中。
在為時已晚之前,組織可以採取不同的步驟來處理技術債務。當組織沒有使用最新的補丁或版本更新其應用程式時,這被稱為“技術債務”。這使得組織容易受到所謂的CVE(常見漏洞和披露)的攻擊。
2017年發生了兩件可怕的事情
2017年,Equifax宣佈了兩起令人擔憂的事件,一起發生在美國運營部門,原因是Apache Struts漏洞;另一起發生在阿根廷運營部門。考慮到Equifax事件,我們可以看出,採用縱深防禦、分層控制和風險管理等策略,在資料隱私、安全性和可用性之間取得良好平衡至關重要。
您可能已經知道,Equifax的資訊長和首席安全官都已離職。在本文中,我們將分析CISSP培訓中教授的原則如何能夠降低Equifax攻擊的嚴重性和頻率。
鑑於Equifax資料洩露等近期事件,(ISC)² 知識體系 (CBK) 中概述的八個專業領域比以往任何時候都更加重要。
是什麼導致資訊洩露?
從我們所看到的情況來看,相容性是一個主要考慮因素。舊版Struts中的功能和外掛可能無法正常工作或根本無法工作,升級可能很困難或不可能。這些可能只是Equifax沒有利用其工程資源升級到最新版Struts,從而保護其客戶資料免受公開駭客攻擊的藉口。
工程師經常被推著專注於交付業務價值和功能,而不是專注於現代化軟體元件。他們還必須維護最新的庫或技術棧資源。負責資訊安全的官員一直在讓開發人員和企業瞭解這些CVE。選擇在哪裡投資研發對組織來說是一場艱難的賭博。如果不及時採取措施修復CVE,這種危險很容易導致公司垮臺。
此漏洞類似於SQL注入攻擊,此類攻擊通常無法被防火牆、DDOS防護和入侵檢測等邊界安全機制檢測到。Web伺服器之所以容易受到攻擊,是因為漏洞被注入到其中,允許駭客快速在公司內部傳播。然後他們可以訪問通常受保護的資訊。
即使在敏捷開發、DevOps、持續整合和持續交付的時代,許多應用程式構建流程仍然採用對最終成為生產環境中產品一部分的依賴項和庫的靜態引用。
問題的一個來源是在構建(例如POM檔案)中或在不會更新的儲存庫(如Nexus或Artifactory)中普遍存在硬編碼引用。另一方面,您可以使用Gradle和Git等技術在每次構建時自動更新庫和依賴項。
將風險管理放在首位
風險管理以及制定適當的策略和標準是“縱深防禦”戰略的基礎。2017年3月釋出的Apache Struts安全漏洞與美國Equifax事件有關,策略可能規定了漏洞掃描的執行頻率以及需要多長時間進行後續處理。
發現漏洞時,系統可能需要在特定期限內進行修補,或者策略可能規定在獲得策略例外之前,需要由高層管理人員評估所涉及的風險。
在軟體開發生命週期指南和程式的幫助下,風險評估將概述必要的改進。
在阿根廷啟動生產網站之前或系統更改之後,應該檢查的首要事情之一是資料庫中是否留有供應商預設帳戶和密碼。
如果安裝了入侵防禦系統 (IPS),則可以阻止惡意請求。另一種選擇是使用安全資訊和事件管理 (SIEM) 系統來編譯和標記給定時間視窗內的異常行為。雖然我們還沒有掌握所有事實,但重要的是要記住,“縱深防禦”的概念需要採用多種控制措施,才能將風險降低到“可接受的水平”。
安全、隱私和謹慎
可用性、真實性和隱私性都是相互關聯的。如果我們限制訪問,我們可以保守秘密,但公司將無法獲得其運作所需的資訊。緊急情況要求機構提交適當的報告,並立即將其提供給債權人。
這是因為我們許多人今天都利用“即時信用”,在排隊等待或坐在電腦前申請誘人的折扣、促銷融資或具有特殊信用賬戶的豐厚獎金。
但是,至少有一些被不當訪問的記錄是個人已經提出爭議的記錄。該資料庫很好地說明了一個系統,其中由於這些衝突中包含的敏感資訊(完整的社會安全號碼甚至駕照資訊),保密性可以說是應該高於可用性的因素。
雖然美國事件與Apache Struts攻擊有關,但Equifax的阿根廷業務使用的是面向Web的資料庫,其預設使用者名稱和密碼分別為“admin”和“admin”。
由於使用了供應商文件中出現的預設使用者名稱,從而忽略了資訊的機密性,因此阿根廷資料庫中資料的完整性令人質疑。對保密性需求的一個主要因素是所掌握資訊的 اهمیت。
為了保護其訂閱收入,新聞網站將對某些文章實施訪問限制。信用報告中的資料是一個很好的例子,它需要最高級別的控制來維護該資訊的保密性,並且它貫穿我們的一生,不僅是現在,而且是未來數年。
結論
Equifax事件及時提醒我們,我們應實施程式來保護委託給我們的資訊。當被問到為什麼我們要學習這麼多不同的領域時,我總是以Equifax事件為例,說明為什麼涵蓋所有這些方面非常重要。
瀏覽量:100
