CEO、CIO、CSO提前退休,VP被解雇,支付安全费用,公司股价暴跌,声誉受损。虽然这是一起很不幸的事故,但它却再一次提醒我们,每一家公司都要时刻保持警惕——因为攻击者和敌人是如此老练并且资金充足,我们需要不断保持安全工作的推进并且持续做得更好,才能尽量避免这样的灾难发生在自己身上。
图:Equifax提供的图表概述了2017年数据泄露事件中被影响的数据分类
目录
一.Equifax的商业模式
二.数据泄露事件的始末
三.失败点和反思
四.后续
一、Equifax的商业模式
1.商业模式
在美国有三大征信机构(The consumer reporting agency,简称CRA)分别是Equifax、Experian、TransUnion,征信机构收集消费者的信息,对其进行分析以创建信用评分和详细报告,然后将报告出售给第三方,并以此盈利。企业使用CRA提供的用户信用数据来识别和管理交融交易风险,例如,金融机构在决定是否授予贷款和调整相应的利率时参考信用报告和信用分;保险公司使用这些信息来设置保单的保费;而企业雇主则可以使用这些信息来甄别雇员的欺诈风险;电信服务提供商则利用这些报告核实客户的身份,并确定新客户的付款要求和话费额度。
然而这一数据收集的过程,并不是用户主动或是自愿提供给CRA的,相反,CRA积极地从其他商家那里收集消费者的个人信息,收集的信息包含了大量敏感的个人数据,包括有关信贷记录、房租记录、就业信息、保险理赔信息、犯罪记录、破产信息等等历史数据,这一过程是CRA合法的商业模式。
图: Equifax如何接收你的数据
图:Equifax的股价(2017年5月至2018年12月)
2.监管与合规要求
CRA受各种旨在保护消费者信息的联邦法律的约束,监管部门可以根据法律对CRA进行管理。
联邦贸易委员会(FTC)可以依据“联邦贸易委员会法”第5条规定的权力追究CRA数据安全违规行为,包括要求企业实施全面的数据安全改进工作或向用户提供金钱补偿。
消费者金融保护局(CFPB)侧重于检查CRA对用户信用报告的准确性、公平性以及合法使用,与保护数据安全并没有太多联系。
格拉姆-利希法案(GLBA)要求CRA开发、实施和维护一个全面的信息安全程序,以确保客户信息的安全和保密,每个CRA都必须做到:
1.指定一名或多名员工协调其信息安全工作
2.识别和评估客户信息在公司运营的每个领域的风险,并评估目前控制这些风险的保障措施的有效性
3.设计和实施安全保障方案,并定期进行监控和测试
4.选择有安全保障措施的服务提供商或供应商,确保合同里要求他们维护安全措施,并监督他们对客户信息的处理
5.根据公司业务运营的变化,或安全测试和安全监测的结果等相关情况及时评估和调整整个安全工作
公平信用报告法(FCRA),于1970年颁布,用以提高CRA保存的用户信息的准确性和隐私性。根据FCRA的规定,CRA必须维护一套程序,通过这些程序用户可以对其信用报告中不准确或不完整的信息进行纠正和申诉。为了遵守这一要求,Equifax为消费者提供三种途径来对信用报告中的信息进行申诉:电话、书面文件邮寄、在线服务(通过Equifax提供的一个门户网站)。Equifax在1970年建立了这套自动信用调查系统Automated Credit Investigation System (ACIS) 来处理用户的申诉。用户可以提交与其信用有关的文件副本,当Equifax收到申诉时,它会创建一个ACIS案件来跟踪信用调查过程。而整个数据泄露事件的导火索正是源自这个ACIS的门户网站。
另一方面,当发生数据泄露事件时,虽然没有全面的联邦数据泄露通知法,但所有50个州都颁布了立法,要求将影响到个人的泄露事件进行通报或通知。通常州的泄露通知法里都包括这几个部分:
1.哪些实体比如企业必须遵守法律
2.哪些个人信息受到保护,以及如何定义数据泄露
3.什么水平的损害程度才可以触发通知
4.通知必须以何种方式和何时送达
5.是否有例外的情况或安全港协议
6.其他州法律的优先权,以及与其他联邦法律的关联关系
7.执法当局和对受伤害者的补救措施
由于不同州之间的法律有冲突,比如对通知的时间要求不同、对个人信息的定义不同,可能会出现在一次泄露事件中,企业需要对一个州的用户通知,但并不需要对另外一个州的用户进行通知。
除了向政府部门提供泄露通知外,企业还可能被要求向投资者披露网络安全风险和网络事件。在2011年10月,美国证监会SEC发布了一项指南:如果网络安全风险或安全事件对投资者“有足够的重要性”,企业可能被要求在注册、财务声明、8-K forms中披露这些信息。
二、数据泄露事件的始末
图:NVD CVE-2017-5638 影响分析
攻击者在这些数据库上运行了大约9000个查询,这些查询包括对数据库元数据的查询,以发现表中包含的信息类型;以及一旦找到了一个带有PII信息的表,需要执行额外的查询,用以从表中获取出想要的敏感数据。总共,9000次查询里的256次查询,返回了包含PII的数据集,并且所有这些PII信息都没有在数据库中被加密。
攻击者将265次成功查询的PII数据输出存储在文件中,压缩并放置在一个可访问的WEB目录中。在远程通过Wget工具下载了这些文件,成功将数据从Equifax窃取。整个攻击过程,攻击者使用了大约35个不同的IP地址。
攻击持续了76天,然后才被Equifax的员工发现。原因是Equifax有安全设备可以监控到网络里的异常流量,包括它们之前更新了规则的入侵检测与防御系统。但是这些安全设备的前面还有一个SSL解密设备SSL Visibility (SSLV),用于将加密的流量解密后发给检测和防护系统进行分析识别。但是,在事件发生时,SSL解密设备上的证书已经过期了,根据设备的配置,证书过期不会影响流量的正常传输,但是却会影响入侵检测与防御系统,因为它们无法分析加密的流量。其中ACIS的域名ai.equifax.com的证书在2016年1月31号就过期了,也就是说在19个月之前,入侵检测与防御系统就已经无法检查ACIS的流量了。
图:外部访问、SSLV设备、IDS设备、以及内部服务器示意图
Equifax也开始为建立呼叫中心的能力做准备,以应对用户咨询涌入的电话,作为一个B2B公司,之前并没有如此大量的面向用户的客服需求,只配置了500名客服人员,预计需要增加1500个坐席,这也是一项有挑战的工作,所以不得不临时借助外部第三方的客服。
图:官方推特指向了错误的网站
图:在securityequifax2017.com钓鱼网站上弹出的提示
三、失败点和反思
1.Equifax的IT组织结构存在诸多不合理
直到数据泄露发生时,公司的CSO不是向CIO或CEO进行汇报,而是置于首席法务官CLO之下,CLO则是名义上的安全负责人。例如在高管会议中,通常安全部分的幻灯片会包含在法律部分的review。
在这种结构及汇报关系下,IT和安全之间存在着很大的不协调的鸿沟,公司没有促进CIO和CSO之间建立很强的合作伙伴关系,CIO将自己以及IT团队完全和安全撇清关系。IT和安全部门被隔离,双方缺乏信息的共享、流动以及沟通,双方的协作大多发生在处理问题时,例如当安全需要IT授权对网络进行更改时。这种不一致和缺乏协调,还表现在:双方都维护了各自的软硬件资产列表,然而更佳的做法,在一个充分协作的环境下,应该两个团队一起完成清单,并合并成一个单一的主列表。
Equifax的CEO没有把网络安全放到很重要的位置,CSO也不被认为是高级领导层成员,在每次的高管会议上,CSO并不会定期参加会议,会议上讨论的各种议题,安全只占很小一部分。在这个会议上,CEO不能及时收到关于Equifax安全态势的信息,因为他所收到的信息是由没有任何IT或者安全背景的法律部门负责人CLO提供的,而不是CSO——公司真正的IT安全专家提供。普华永道(PricewaterhouseCoopers)在2018年发表的一项研究得出结论:由于当前信息安全对公司的重要性,CSO更趋向于直接向CEO或董事会报告,而不是向CIO报告,这样的情况越来越普遍,这项研究发现,调查对象中,24%的CSO向CIO报告,40%的CSO直接向CEO报告。
在泄露事件发生后,Equifax将CSO变更为首席信息安全官CISO,在2018年2月2日任命Jamil Farshchi为CISO,同时将CIO变更为首席技术官CTO,在2018年6月15日任命 Bryson Koehler为CTO,CISO和CTO都向CEO汇报。这些管理行动表明,公司现在认识到网络安全是一项核心的业务属性,让CISO和CTO加入到公司的高级管理团队,才可以用更有成效的协作方式开展安全工作。
图: Equifax的IT组织结构
2.安全策略的开发和执行有明显差距
Equifax的补丁管理策略,表现出来的策略开发和执行之间的脱节尤为明显。此策略定义了不同的角色和责任,并为修补过程制定了指导方针,根据该策略,业务所有者将被告知修补的必要性,并负责批准停机时间用于修补。系统所有者负责安装补丁,然后应用程序所有者负责确保正确安装了补丁。然而,除了指定角色,并没有指定具体负责的人。策略还要求系统所有者和应用程序所有者订阅外部来源的漏洞公告,但是缺乏对系统所有者和应用程序所有者的正式指定也意味着没有任何一种机制可以确保每个人都遵循这一订阅要求。
图:2016年版的补丁管理策略下的关键漏洞修补流程
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3.大量关键业务系统运行在遗留的老旧IT系统上
遗留技术既是安全问题,也是创新的障碍,遗留系统通常很难修补、监控或升级,所以带来了更高的安全风险。另一个遗留技术的风险是懂得操作和维护的雇员人数会不断减少,ACIS就运行在老旧的系统上,在数据发生泄漏时,公司能维护它的人只剩下几个了。ACIS运行在曾经的IT厂商Sun Microsystems公司的 “Sun servers”上,上面运行着Solaris操作系统。在一个更现代的系统中,有很多agent和扫描器可以方便地收集软硬件的信息,但是在这些老系统中,却缺乏这些工具的支持,使得扫描的效率变得很低、识别率也很差。
在数据泄露之前,Equifax公司正在德州建立一个现代化的、软件定义(software-defined)、高度自动化和编排的数据中心,项目代号Bluebird。消除历史遗留的技术债务,不仅是成本问题,还涉及到很多重构问题,并且需要很多技术专家才能保证迁移过程可控。公司正是认识到遗留系统的诸多问题,才决定朝着这一方向改进,然而他们行动的还不够快,没有赶在泄露之前完成转型。
4.其他问题
ACIS应用服务器与Equifax网络的其余部分之间没有隔离,从INTERNET获取应用程序服务器控制权的攻击者可以转到Equifax全球任意的网络中的设备、数据库或服务器。适当的网络分割、或更细粒度的访问控制可以防止恶意软件和攻击者在网络里的横向移动,防止潜在的攻击传染或扩大。
在应用程序和Web服务器上都没有文件完整性监控(FIM)。大多数外部网络攻击都会对系统进行修改或配置。FIM能够检测并对发生的未经授权更改进行告警,安全公司Mandiant表示,FIM可以检测到在Equifax环境中创建的30个Webshell后门程序。
跨系统共享文件是一种非常容易受到攻击的做法,特别是在没有适当设置访问权限的情况下。并且,系统管理员应该遵循“最小知悉”原则设置文件访问权限,特别是包含敏感信息的配置文件。攻击者正是通过NFS文件共享获取到其他业务系统的数据库访问凭证。
服务器的日志只保留了14天,因此很难、甚至不可能追溯任何恶意活动。日志记录了系统和网络中发生的事件,对调查取证以及还原攻击过程有着至关重要的作用。日志只有在保留的时候,日志才是有用的。研究表明,针对金融机构的有针对性的APT攻击平均需要98天才能被发现。NIST建议将高影响的系统的日志保存3至12个月,尽管这会带来存储的成本。支付卡行业(PCI)数据安全标准(DSS)则建议归档日志保留至少一年,最近三个月的日志则要保证在需要时立即可供分析(比如保存在诸如ELK里)。
四、后续
Equifax提交给SEC的10-K文件中显示,公司已经采取了各种补救措施以解决在泄露调查中发现的缺陷,并将继续加强,防止这类事件再次发生,重新赢得消费者、客户和监管机构的信任。
在2018年给投资者的年度报告中,Equifax报告了其董事会是如何加强监督以提升Equifax的网络安全保障的内容,包括:强化董事会的全面参与、拓宽技术管理委员会的职责、成立安全相关的专委会、加强网络安全防护等。
Equifax在泄露事件之后增加了IT和网络安全支出,2017年11月,公司临时首席执行官Paulino do Rego Barros表示,Equifax公司自发现泄露事件以来增加了四倍的安全支出。Equifax报告称2018年前9个月与这起安全事故有关的费用为2.215亿美元,包括技术和数据安全、法律和调查费用、产品赔偿等。
感触
写在最后,这两天在群里(基于量子透明计算的可信自主可控区块链式拟态安全态势感知的威胁情报联盟微信交流群)里看到各位大佬讨论安全工作的本质:
“你还能把安全部门做成盈利部门吗?安全部门力争盈利,让业务、销售部门怎么看”
“安全本质还是守住核心业务;现在都为了盈利不要基本盘了”
“甲方安全是守门员不是前锋,第一任务还是守门不是进球”
“我们的一号目标就是不出现严重的安全事故”
“不出事!”
看完感触很多,也解除了我的一些迷茫,这几年大家在跟进业务安全、追求安全产品研发,想着对外能力输出甚至盈利,却慢慢忽略了安全最重要的那部分。如果问我2019年最想做什么,我想应该是把那些最基本、最基础的事情重新梳理做坚实、做牢固,去追求最开始作为一名安全工程师时设定的那些安全目标,用个俗气的词——“不忘初心”。
2018年过去了,我很怀念它