我们打破数据突破的"缄默法则(code of silence)",介绍一下犯罪分子是如何实施数据突破的以及如何阻止他们。
企业中一个不成文的规则是越少说安全突破的事件就越好。对于每一起公开披露的窃取数据事件来说,都有十几起没有披露的窃取数据事件。
这种"缄默法则"可能会避免激怒合作伙伴和客户,回避公共关系的混乱,但是,这种做法会让整个行业很难从这些教训中学习经验并且改善信息安全和风险管理的做法。这是本文从现实世界的安全突破中直接提取观点的原因。我们进行了证据调查以帮助企业理解安全突破是如何发生的以及如果应对这些安全突破。
我们合作的Neohapsis公司对一些特大的敏感数据盗窃案件进行了调查。经过调查了数百个案例之后,我们明确地说攻击者比以前更高级了。他们能够适应性地利用松懈的安全控制和操作做法,配备了从通用网络管理工具到客户恶意软件在内的各种武器。信息安全策略和技术也在进步,但是,没有攻击者的进步快。
庆幸的是,有许多合理的、容易理解的方式来缓解我们曾经看到过的任何安全突破。我们只需要更广泛地应用这些方法。
三种现实世界中的安全突破
第一种安全突破:一个公司的网站经常是攻击者的登陆场。在我们对一家金融服务公司进行的调查中,攻击者利用了他们在一个面向公众的Web服务器中的一个Web应用程序中发现的安全漏洞。这台服务器中没有任何重要的数据,对于这个机构并不是很重要,而且这个安全漏洞也不是很严重。攻击者发现了一个SQL注入攻击安全漏洞,然后使用一个"xp_cmdshell"功能破坏那个服务器上的工具以便获得那个服务器的立足点。因为机构没有认为这台服务器或者这个应用程序特别重要,因此没有对它们采取监控措施,这个安全漏洞就没有人注意。
第二种安全突破:攻击者利用这个被攻破的服务器作为自己的基地。他们部署了工具和扫描器,用几个月的时间小心地绘制这个网络的图,并且没有被人发现。他们一旦发现这些系统包含他们要寻找的数据,他们就会复制这些信息,把信息打包成一个Zip文件并且发送出去。一般来讲,机构有标准的杀毒和防火墙技术。但是,机构知道这个攻击的唯一原因是现实世界中使用了这个被盗窃的数据。如果不是这样,机构可能会仍然忽略这个安全突破。
第三种安全突破:在我们进行的另一项调查中,攻击者采用了同样的剧本,攻破了一个在线零售商的基于Web的电子商务服务器。然而,一旦攻击者进入这个数据库系统寻找信用卡信息,他们发现拥有信用卡号码的数据库加密了。遗憾的是这个加密的密钥存储在同一个系统中。因此,攻击者实际拥有了进入这个王国的钥匙。
此外,我们研究了一些案例。在这些案例中,攻击者是通过售货机系统获得入口的。
售货机系统厂商的技术支持团队使用VNC等通用的远程接入应用程序访问这个系统以便进行技术支持和排除故障。但是,这家厂商对每一个客户都使用相同的远程接入口令。攻击者知道这个口令并且简单地运行大规模扫描搜索采用同样配置的其它系统。接下来的任务就简单了。
