数据结构
网络
关系数据库管理系统 (RDBMS)
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C语言编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
服装学
法学预防Equifax式黑客攻击
最近与Equifax就数据泄露达成的和解协议,再次将网络安全问题推到了全国关注的焦点。人们感到愤怒并提出指控,但公司该如何阻止此类事件再次发生呢?
答案有点缺乏新闻价值:一切都在代码中。
在为时已晚之前,组织可以采取不同的步骤来处理技术债务。当组织没有使用最新的补丁或版本更新其应用程序时,这被称为“技术债务”。这使得组织容易受到所谓的CVE(常见漏洞和披露)的攻击。
2017年发生了两件可怕的事情
2017年,Equifax宣布了两起令人担忧的事件,一起发生在美国运营部门,原因是Apache Struts漏洞;另一起发生在阿根廷运营部门。考虑到Equifax事件,我们可以看出,采用纵深防御、分层控制和风险管理等策略,在数据隐私、安全性和可用性之间取得良好平衡至关重要。
您可能已经知道,Equifax的首席信息官和首席安全官都已离职。在本文中,我们将分析CISSP培训中教授的原则如何能够降低Equifax攻击的严重性和频率。
鉴于Equifax数据泄露等近期事件,(ISC)² 知识体系 (CBK) 中概述的八个专业领域比以往任何时候都更加重要。
是什么导致信息泄露?
从我们所看到的情况来看,兼容性是一个主要考虑因素。旧版Struts中的功能和插件可能无法正常工作或根本无法工作,升级可能很困难或不可能。这些可能只是Equifax没有利用其工程资源升级到最新版Struts,从而保护其客户数据免受公开黑客攻击的借口。
工程师经常被推着专注于交付业务价值和功能,而不是专注于现代化软件组件。他们还必须维护最新的库或技术栈资源。负责信息安全的官员一直在让开发人员和企业了解这些CVE。选择在哪里投资研发对组织来说是一场艰难的赌博。如果不及时采取措施修复CVE,这种危险很容易导致公司垮台。
此漏洞类似于SQL注入攻击,此类攻击通常无法被防火墙、DDOS防护和入侵检测等边界安全机制检测到。Web服务器之所以容易受到攻击,是因为漏洞被注入到其中,允许黑客快速在公司内部传播。然后他们可以访问通常受保护的信息。
即使在敏捷开发、DevOps、持续集成和持续交付的时代,许多应用程序构建流程仍然采用对最终成为生产环境中产品一部分的依赖项和库的静态引用。
问题的一个来源是在构建(例如POM文件)中或在不会更新的存储库(如Nexus或Artifactory)中普遍存在硬编码引用。另一方面,您可以使用Gradle和Git等技术在每次构建时自动更新库和依赖项。
将风险管理放在首位
风险管理以及制定适当的策略和标准是“纵深防御”战略的基础。2017年3月发布的Apache Struts安全漏洞与美国Equifax事件有关,策略可能规定了漏洞扫描的运行频率以及需要多长时间进行后续处理。
发现漏洞时,系统可能需要在特定期限内进行修补,或者策略可能规定在获得策略例外之前,需要由高层管理人员评估所涉及的风险。
在软件开发生命周期指南和程序的帮助下,风险评估将概述必要的改进。
在阿根廷启动生产网站之前或系统更改之后,应该检查的首要事情之一是数据库中是否留有供应商默认帐户和密码。
如果安装了入侵防御系统 (IPS),则可以阻止恶意请求。另一种选择是使用安全信息和事件管理 (SIEM) 系统来编译和标记给定时间窗口内的异常行为。虽然我们还没有掌握所有事实,但重要的是要记住,“纵深防御”的概念需要采用多种控制措施,才能将风险降低到“可接受的水平”。
安全、隐私和谨慎
可用性、真实性和隐私性都是相互关联的。如果我们限制访问,我们可以保守秘密,但公司将无法获得其运作所需的信息。紧急情况要求机构提交适当的报告,并立即将其提供给债权人。
这是因为我们许多人今天都利用“即时信用”,在排队等待或坐在电脑前申请诱人的折扣、促销融资或具有特殊信用账户的丰厚奖金。
但是,至少有一些被不当访问的记录是个人已经提出争议的记录。该数据库很好地说明了一个系统,其中由于这些冲突中包含的敏感信息(完整的社会安全号码甚至驾照信息),保密性可以说是应该高于可用性的因素。
虽然美国事件与Apache Struts攻击有关,但Equifax的阿根廷业务使用的是面向Web的数据库,其默认用户名和密码分别为“admin”和“admin”。
由于使用了供应商文档中出现的默认用户名,从而忽略了信息的机密性,因此阿根廷数据库中数据的完整性令人质疑。对保密性需求的一个主要因素是所掌握信息的 اهمیت。
为了保护其订阅收入,新闻网站将对某些文章实施访问限制。信用报告中的数据是一个很好的例子,它需要最高级别的控制来维护该信息的保密性,并且它贯穿我们的一生,不仅是现在,而且是未来数年。
结论
Equifax事件及时提醒我们,我们应实施程序来保护委托给我们的信息。当被问到为什么我们要学习这么多不同的领域时,我总是以Equifax事件为例,说明为什么涵盖所有这些方面非常重要。
浏览量:100
