02.11 Day 58 - Equifax 信息泄露(始末/看数据安全)

大家好,我是 Snow Hide,作为《左耳听风》这个专栏的学员之一,这是我打卡的第 58 天,也是我第 80 次进行这种操作。

今天我温习了该专栏里叫《Equifax 信息泄露始末》、《从 Equifax 信息泄露看数据安全》的文章。

关键词总结:Equifax 信息泄露始末(Apache Struts 漏洞导致的问题、安全意识薄弱)、Apache Struts 漏洞相关(漏洞百出)、数据泄漏介绍以及历史回顾(雅虎、领英、携程、社会工程学、EMC)、数据泄漏攻击(攻击的实现、管理上的问题)、专家建议(五条最佳实践、测试各个业务模块、自动化测试、缓解措施)、技术上的安全做法(数据隔离、返回部分明文数据、密钥随机生成、风控基金)。

 

所学总结:

 

Equifax 信息泄露始末

Apache Struts 漏洞导致的问题

黑客利用其系统中未修复的 Apache Struts 漏洞来发次攻击,导致了影响恶劣的大规模数据泄漏事件。

安全意识薄弱

虽然管理面板会加密数据库密码,但是密钥却和管理面板保存在了一起。
 

Apache Struts 漏洞相关

漏洞百出

Struts 2 的更新和迭代基本也是围绕漏洞和 Bug 修复。仅从官方披露的安全公告中就可以看到,这些年有 53 个漏洞预警,包括大家熟知的远程执行高危漏洞。
 

数据泄漏介绍以及历史回顾

雅虎

继 2013 年大规模数据泄漏之后,其在 2014 年又遭遇攻击,泄露了 5 亿 用户的密码,直到 2016 年有人在黑市公开交易这些数据时才为大众所知。

领英

其在 2012 年也泄露了 6500 万用户名和密码。其为了亡羊补牢,及时阻止被黑账户的登录,强制被黑用户修改密码,并改进了登录措施,从单步验证增强为带短信验证的两步验证。

携程

2014 年携程网安全支付日志存在漏洞,导致大量用户信息如姓名、身份证号、银行卡类别、银行卡号、银行卡 CVV 码等信息泄露。

社会工程学

RSA 公司声称他们被一种复杂的网络攻击所侵害,起因是有两个小组的员工收到一些钓鱼邮件。邮件的附件是带有恶意代码的 Excel 文件。

EMC

以上事件最终导致其母公司 EMC 花费 6630 万美元来调查、加固系统。
 

数据泄漏攻击

攻击的实现

  1. 利用程序已知漏洞;
  2. 暴力破解;
  3. 代码注入;
  4. 利用程序日志不小心泄漏的信息;
  5. 社会工程学。

管理上的问题

  1. 只有一层安全;
  2. 若密码;
  3. 向公网暴露了内部系统;
  4. 对系统打补丁不及时;
  5. 安全日志被暴露;
  6. 保存了不必要保存的用户数据;
  7. 密码没有被合理地散列。
     

专家建议

五条最佳实践

  1. 理解你的软件产品中使用了那些支持性框架和库。时刻跟踪影响这些产品和版本的最新安全性声明;
  2. 建立一个流程,来快速地部署带有安全补丁的软件产品发布版;
  3. 所有复杂软件都有漏洞;
  4. 建立多个安全层;
  5. 针对公网资源,建立对异常访问模式的监控机制。

测试各个业务模块

确保兼容以后才上线。

自动化测试

  • 对以数据库为基础的程序库,设置专门的、初识时全空的测试,用数据库来进行 API 级别的测试;
  • 对于 UI 框架,使用 UI 自动化测试工具进行自动化测试。

缓解措施

能否禁用有漏洞的部分业务而不影响主要业务?是否可以通过 WAF 的设置来将一定特征的攻击载荷挡在门外?
 

技术上的安全做法

数据隔离

定义出关键数据并将其隔离至安全级别非常高的地址。拥有安全审计、安全监控、安全访问的区域。

返回部分明文数据

关键数据不能返回全部数据,只能返回隐藏了部分信息的数据。一些不是特别关键的数据也最好是加密之后再进行传输。

密钥随机生成

对不同用户的数据有不同的迷药,并定时自动更新,以对内部进行防范。

风控基金

如果防范成本远高于赔偿的成本,那还不如赔偿。

 

末了

重新总结了一下文中提到的内容:Equifax 信息泄露始末、Apache Struts 漏洞相关、数据泄漏介绍以及历史回顾、数据泄漏攻击、专家建议、技术上的安全做法

©️2020 CSDN 皮肤主题: 鲸 设计师:meimeiellie 返回首页