大家好,我是 Snow Hide,作为《左耳听风》这个专栏的学员之一,这是我打卡的第 58 天,也是我第 80 次进行这种操作。
今天我温习了该专栏里叫《Equifax 信息泄露始末》、《从 Equifax 信息泄露看数据安全》的文章。
关键词总结:Equifax 信息泄露始末(Apache Struts 漏洞导致的问题、安全意识薄弱)、Apache Struts 漏洞相关(漏洞百出)、数据泄漏介绍以及历史回顾(雅虎、领英、携程、社会工程学、EMC)、数据泄漏攻击(攻击的实现、管理上的问题)、专家建议(五条最佳实践、测试各个业务模块、自动化测试、缓解措施)、技术上的安全做法(数据隔离、返回部分明文数据、密钥随机生成、风控基金)。
所学总结:
Equifax 信息泄露始末
Apache Struts 漏洞导致的问题
黑客利用其系统中未修复的 Apache Struts 漏洞来发次攻击,导致了影响恶劣的大规模数据泄漏事件。
安全意识薄弱
虽然管理面板会加密数据库密码,但是密钥却和管理面板保存在了一起。
Apache Struts 漏洞相关
漏洞百出
Struts 2 的更新和迭代基本也是围绕漏洞和 Bug 修复。仅从官方披露的安全公告中就可以看到,这些年有 53 个漏洞预警,包括大家熟知的远程执行高危漏洞。
数据泄漏介绍以及历史回顾
雅虎
继 2013 年大规模数据泄漏之后,其在 2014 年又遭遇攻击,泄露了 5 亿 用户的密码,直到 2016 年有人在黑市公开交易这些数据时才为大众所知。
领英
其在 2012 年也泄露了 6500 万用户名和密码。其为了亡羊补牢,及时阻止被黑账户的登录,强制被黑用户修改密码,并改进了登录措施,从单步验证增强为带短信验证的两步验证。
携程
2014 年携程网安全支付日志存在漏洞,导致大量用户信息如姓名、身份证号、银行卡类别、银行卡号、银行卡 CVV 码等信息泄露。
社会工程学
RSA 公司声称他们被一种复杂的网络攻击所侵害,起因是有两个小组的员工收到一些钓鱼邮件。邮件的附件是带有恶意代码的 Excel 文件。
EMC
以上事件最终导致其母公司 EMC 花费 6630 万美元来调查、加固系统。
数据泄漏攻击
攻击的实现
- 利用程序已知漏洞;
- 暴力破解;
- 代码注入;
- 利用程序日志不小心泄漏的信息;
- 社会工程学。
管理上的问题
- 只有一层安全;
- 若密码;
- 向公网暴露了内部系统;
- 对系统打补丁不及时;
- 安全日志被暴露;
- 保存了不必要保存的用户数据;
- 密码没有被合理地散列。
专家建议
五条最佳实践
- 理解你的软件产品中使用了那些支持性框架和库。时刻跟踪影响这些产品和版本的最新安全性声明;
- 建立一个流程,来快速地部署带有安全补丁的软件产品发布版;
- 所有复杂软件都有漏洞;
- 建立多个安全层;
- 针对公网资源,建立对异常访问模式的监控机制。
测试各个业务模块
确保兼容以后才上线。
自动化测试
- 对以数据库为基础的程序库,设置专门的、初识时全空的测试,用数据库来进行 API 级别的测试;
- 对于 UI 框架,使用 UI 自动化测试工具进行自动化测试。
缓解措施
能否禁用有漏洞的部分业务而不影响主要业务?是否可以通过 WAF 的设置来将一定特征的攻击载荷挡在门外?
技术上的安全做法
数据隔离
定义出关键数据并将其隔离至安全级别非常高的地址。拥有安全审计、安全监控、安全访问的区域。
返回部分明文数据
关键数据不能返回全部数据,只能返回隐藏了部分信息的数据。一些不是特别关键的数据也最好是加密之后再进行传输。
密钥随机生成
对不同用户的数据有不同的迷药,并定时自动更新,以对内部进行防范。
风控基金
如果防范成本远高于赔偿的成本,那还不如赔偿。
末了
重新总结了一下文中提到的内容:Equifax 信息泄露始末、Apache Struts 漏洞相关、数据泄漏介绍以及历史回顾、数据泄漏攻击、专家建议、技术上的安全做法
