雖然導(dǎo)致Equifax(艾可飛)信息泄露事件的原因尚沒(méi)有最終定論,但有一點(diǎn)十分清楚:各大公司和機(jī)構(gòu)必須引以為鑒,提高自身的威脅防護(hù)能力。本次事件共導(dǎo)致1.455億美國(guó)用戶(hù)(幾乎占全國(guó)人口的一半)和近40萬(wàn)英國(guó)用戶(hù)的高度敏感性信息遭到泄露,而這一切原本可以通過(guò)有效的安全分層機(jī)制加以避免,例如漏洞補(bǔ)丁修復(fù)和Web應(yīng)用防火墻(WAF)。Equifax在泄露事件發(fā)生后的應(yīng)對(duì)措施也不盡人意。
前車(chē)之鑒
美國(guó)三大信用報(bào)告機(jī)構(gòu)之一Equifax(艾可飛)披露,大量用戶(hù)的個(gè)人識(shí)別信息(PII)遭到泄露,包括用戶(hù)姓名、出生日期、郵件地址、社保賬號(hào)和駕照號(hào)碼、電話(huà)號(hào)碼以及個(gè)別用戶(hù)的信用卡信息。近期,Equifax發(fā)布了有關(guān)事件的更多信息,似乎表明是因缺乏有效的漏洞補(bǔ)丁才使得黑客趁虛而入。
黑客攻擊利用的是一種名為Apache Struts的網(wǎng)絡(luò)服務(wù)器漏洞,該漏洞于2017年3月初被美國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT)發(fā)現(xiàn)并披露。
該公司在一份聲明中表示:“Equifax的安全部門(mén)當(dāng)時(shí)已經(jīng)意識(shí)到這一漏洞,對(duì)其進(jìn)行了識(shí)別,并修補(bǔ)了公司IT基礎(chǔ)架構(gòu)中所有易受攻擊的系統(tǒng)。”
然而,這一措施似乎并未奏效,因?yàn)镋quifax在7月底被迫再次進(jìn)行了修補(bǔ)。當(dāng)時(shí),公司發(fā)現(xiàn)了可疑的網(wǎng)絡(luò)流量,懷疑存在網(wǎng)絡(luò)入侵者,并將受影響的門(mén)戶(hù)網(wǎng)站應(yīng)用程序下線(xiàn)。聲明還補(bǔ)充道:
“公司對(duì)該事件的內(nèi)部審查仍在繼續(xù)。在最初發(fā)現(xiàn)黑客利用Apache Struts網(wǎng)絡(luò)應(yīng)用程序框架中的漏洞展開(kāi)攻擊后,Equifax便修補(bǔ)了受影響的網(wǎng)絡(luò)應(yīng)用程序,然后才重新上線(xiàn)。”
補(bǔ)丁管理不容忽視
有效的補(bǔ)丁管理是網(wǎng)絡(luò)安全防護(hù)的基礎(chǔ)性措施。只要公司具備適合自身風(fēng)險(xiǎn)偏好的健全策略,自動(dòng)化工具就可以承擔(dān)大量的日益耗時(shí)耗力的安全維護(hù)任務(wù)。
當(dāng)然,安全策略行之有效的前提是您必須運(yùn)行相應(yīng)的支持系統(tǒng)。針對(duì)過(guò)時(shí)的甚至是廠(chǎng)商不再支持的系統(tǒng),應(yīng)采取有效的措施加強(qiáng)監(jiān)測(cè)及防御;并且必要的升級(jí)和維護(hù)將是刻不容緩的。前段時(shí)間Wanna-Cry(想哭)勒索軟件在國(guó)內(nèi)部分行業(yè)及用戶(hù)處的橫行,主要淪陷的就是大量Windows XP系統(tǒng)及未及時(shí)補(bǔ)丁更新的其它Windows 系統(tǒng),加上針對(duì)各類(lèi)潛在威脅的安全防御缺失或不足,導(dǎo)致短時(shí)間內(nèi)爆發(fā)。
另外,補(bǔ)丁修補(bǔ)僅在作為安全分層方法的一部分時(shí)才能發(fā)揮作用。另外一項(xiàng)重要建議是投資Web應(yīng)用防火墻技術(shù)。它能夠?yàn)橐资芄舻南到y(tǒng)提供防護(hù),使其免受所有已知和未知威脅的侵害,直到系統(tǒng)已經(jīng)準(zhǔn)備好進(jìn)行修補(bǔ)。隨著自動(dòng)化攻擊在利用系統(tǒng)弱點(diǎn)方面的有效性日益提高,而且IT管理員也因補(bǔ)丁過(guò)載而不堪重負(fù)時(shí),梭子魚(yú)Web應(yīng)用防火墻可以提供頗具價(jià)值的安全保障。正確的部署和管理Web應(yīng)用防火墻可有效的抵御針對(duì)網(wǎng)絡(luò)服務(wù)器上的應(yīng)用程序及其訪(fǎng)問(wèn)的敏感數(shù)據(jù)或機(jī)密數(shù)據(jù)的基于網(wǎng)絡(luò)的入侵和攻擊,防止數(shù)據(jù)丟失或泄漏,同時(shí)可確保應(yīng)用系統(tǒng)的安全穩(wěn)定運(yùn)行。
隨著國(guó)內(nèi)對(duì)個(gè)人信息保護(hù)的不斷加強(qiáng),特別是《網(wǎng)絡(luò)安全法》的正式施行,維護(hù)信息系統(tǒng)及數(shù)據(jù)安全勢(shì)在必行,同時(shí)健全的事件響應(yīng)計(jì)劃及演練也十分關(guān)鍵。越來(lái)越多的國(guó)內(nèi)企業(yè)和機(jī)構(gòu)已開(kāi)始關(guān)注個(gè)人信息、企業(yè)敏感數(shù)據(jù)的防泄漏保護(hù),并著手準(zhǔn)備相關(guān)預(yù)案和實(shí)施相關(guān)措施,加強(qiáng)對(duì)相關(guān)網(wǎng)絡(luò)及應(yīng)用系統(tǒng)的安全防護(hù)。
時(shí)至今日,沒(méi)有任何一家公司或機(jī)構(gòu)能夠承受忽視數(shù)據(jù)安全的經(jīng)濟(jì)和法律代價(jià)。