亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

信用評(píng)級(jí)機(jī)構(gòu)Equifax深陷全球最大數(shù)據(jù)泄露事件泥潭，美國(guó)政府官方報(bào)告稱其未能實(shí)現(xiàn)“足夠的安全措施”以保護(hù)數(shù)據(jù)。

美國(guó)眾議院監(jiān)管與政府改革委員會(huì)的報(bào)告稱，該數(shù)據(jù)泄露本是完全可以避免的，是該公司未能完整的給系統(tǒng)打補(bǔ)丁才導(dǎo)致的泄露。

Equifax沒(méi)能完全理解并緩解其網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

該報(bào)告還證實(shí)，Equifax安全人員未能發(fā)現(xiàn)數(shù)據(jù)滲漏是因?yàn)樗麄冇糜诒O(jiān)視網(wǎng)絡(luò)流量的設(shè)備在19個(gè)月前就因安全證書過(guò)期而不工作了。

直到該安全證書最終得到更新，從該公司消費(fèi)者自動(dòng)采訪系統(tǒng)(ACIS)流往某中國(guó)IP地址的可疑流量才被發(fā)現(xiàn)。

報(bào)告中稱：Equifax注意到一個(gè)二級(jí)IP地址上有額外的可疑流量，該IP地址屬于某德國(guó)ISP，但卻租給了中國(guó)提供商。這一警報(bào)促使Equifax關(guān)閉了ACIS網(wǎng)頁(yè)門戶進(jìn)行緊急維修。ACIS一下線，該網(wǎng)絡(luò)攻擊也就停止了。

缺乏領(lǐng)導(dǎo)和問(wèn)責(zé)令過(guò)程失靈，使工具疏于維護(hù)，讓策略形同虛設(shè)。

7月31日，證書更新后兩天，該公司首席信息官 David Webb 向首席執(zhí)行官 Richard Smith通告了此事，但直到9月才向公眾披露該數(shù)據(jù)泄露事件。之后8天，Webb和Smith被解雇。

監(jiān)管與政府改革委員會(huì)這份長(zhǎng)達(dá)96頁(yè)的報(bào)告總結(jié)道：Equifax沒(méi)能完全理解并緩解其網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。但凡該公司此前曾采取措施解決其顯而易見(jiàn)的安全問(wèn)題，數(shù)據(jù)泄露事件都可以被避免。

ACIS是承自1970年代的老舊系統(tǒng)了，最初的攻擊途徑就是作為ACIS前端的 Apache Struts Web 服務(wù)器上一個(gè)未修復(fù)的漏洞。

Equifax沒(méi)檢測(cè)到數(shù)據(jù)滲漏，因?yàn)橛糜诒O(jiān)視ACIS網(wǎng)絡(luò)流量的設(shè)備因安全證書過(guò)期已經(jīng)19個(gè)月沒(méi)啟動(dòng)了。2017年7月29日，Equifax更新了該證書，立即注意到了可疑網(wǎng)絡(luò)流量。

——Adrian Sanabria (@sawaba) 2018年12月11日

滲透測(cè)試公司NopSec策略副總裁 Adrian Sanabria 列出了Equifax的各種IT安全失誤：

Equifax的全球威脅與漏洞管理團(tuán)隊(duì)(GTVM)向400多名內(nèi)部員工推送了Struts警報(bào)。就像很多公司所做的一樣，Equifax也就該漏洞召開(kāi)了內(nèi)部會(huì)議。警報(bào)郵件在該漏洞被披露2天后就發(fā)出了，并指示該漏洞應(yīng)在48小時(shí)內(nèi)打上補(bǔ)丁，但會(huì)議是在郵件發(fā)出后一周才召開(kāi)。

警報(bào)郵件都在那兒了，為什么要在修復(fù)時(shí)限過(guò)去5天以后才開(kāi)會(huì)商討修復(fù)事宜？因?yàn)樗麄兦宄緵](méi)人會(huì)去修復(fù)。

無(wú)論如何，他們沒(méi)有測(cè)試這一規(guī)則，所以攻擊中也沒(méi)有觸發(fā)。測(cè)試你的控制措施！太多安全控制措施都是只部署不測(cè)試了，這很令人驚悚。

即便如此，該公司還是花了2個(gè)多月才最終打上補(bǔ)丁，但那個(gè)時(shí)候其系統(tǒng)已經(jīng)被完全滲透，尤其是攻擊者找到一個(gè)含有公司48個(gè)數(shù)據(jù)庫(kù)明文用戶名及口令的老文件之后。

為什么Equifax不通報(bào)該滲漏情況？老實(shí)說(shuō)，大多數(shù)公司都沒(méi)有設(shè)置線上數(shù)據(jù)滲漏檢測(cè)。

但是，19個(gè)月，這也太夸張了。這是因?yàn)闆](méi)人正式負(fù)責(zé)內(nèi)部證書管理工作。對(duì)一個(gè)擁有1.7萬(wàn)個(gè)可路由IP的公司而言，或許內(nèi)部證書管理責(zé)任是塊燙手山芋吧。

還不僅僅是證書過(guò)期問(wèn)題。數(shù)據(jù)泄露發(fā)生當(dāng)時(shí)，Equifax還有至少324個(gè)SSL證書是過(guò)期的。

他們可能有做一些SSL檢查，所以證書很重要。但他們不應(yīng)該僅僅依賴包檢測(cè)技術(shù)。

即使不解密流量，他們也應(yīng)該注意到有大量數(shù)據(jù)流向了中國(guó)和德國(guó)的服務(wù)器，而且是從平時(shí)不會(huì)往這些目的地址發(fā)送大量數(shù)據(jù)的源發(fā)出的。僅僅網(wǎng)絡(luò)流量這一條就應(yīng)引起注意了。

總之，證書更新后，Equifax立即注意到了攻擊，證明他們確實(shí)擁有可以檢測(cè)的工具。

縱觀整份Equifax數(shù)據(jù)泄露報(bào)告，可以總結(jié)出3點(diǎn)：

1. 員工注意到了缺陷；

2. 存在恰當(dāng)?shù)倪^(guò)程、工具和策略；

3. 缺乏領(lǐng)導(dǎo)和問(wèn)責(zé)令過(guò)程失靈，使工具疏于維護(hù)，讓策略形同虛設(shè)。

雖然Equifax的安全人員使用了掃描器來(lái)探測(cè)其 Apache Struts 的漏洞，該工具卻配置錯(cuò)誤，未能有效發(fā)現(xiàn)漏洞。且僅僅掃描根目錄和異常檢測(cè)是不夠的，安全人員沒(méi)有測(cè)試他們的措施和對(duì)策。

Equifax總共犯了34個(gè)控制與過(guò)程錯(cuò)誤導(dǎo)致數(shù)據(jù)泄露。可能只需其中5個(gè)控制措施和過(guò)程做對(duì)了就能避免這場(chǎng)數(shù)據(jù)泄露。其他29個(gè)左右可以盡早檢測(cè)到數(shù)據(jù)泄露情況，留出時(shí)間加以阻止。

Equifax報(bào)告：

https://oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdf