Lessons Learned from Another Big Breach

通过另一起重大泄漏事故学到的经验教训

来自 Web Security Products 副总裁 Josh Shaul 的观点

我们从消费者数据外泄的一些相关背景开始。

这是一个大问题。到目前为止,我们今年已见到十亿多条记录被盗,这种情况是前所未有的。在喧嚣一时的针对(例如)大型零售商的大规模攻击中,黑客最常窃取的是用户名和密码。其最终目的是赚钱,很多时候是通过假意购买商品,然后在黑市上出售。潜在诈骗不局限在被黑客攻破的公司,已经蔓延到了其他网上企业。

以下是诈骗套路:黑客并不窃取真实密码。他们获得的是加密或散列密码,都是用一串 1 和 0 代表。黑客并不能倒回去找到真实密码,但众所周知的是用于保护密码的散列算法结构。因此,黑客可以猜测密码(在弄乱密码之前猜测可能增加了什么额外信息),然后用相同的算法过一遍,有时他们正好匹配上,得到相同的一串 1 和 0。

接下来,他们利用我们大多数人在账户中重复使用用户名或密码或只是稍加修改这一事实。黑客们从大量的用户名和密码开始。他们暗中以分散的方式浏览各个网站,意图验证认证信息。他们进入一个大型零售商的网站,找到许多这里的账户。然后进入一个银行网站,找到此处的账户。然后进入电子商务网站等等。

这些经过验证的认证信息很有价值。真正的诈骗犯(通常是不同的人)购买这些认证信息,然后访问账户赚钱。在对人们破坏性最大的案例中,诈骗犯不仅访问零售商账户,还访问网上银行或个人邮箱账户。因为不同账户的网络密码一般都可以通过邮箱重设,所以邮箱账户是攻击的关键。

简言之,因为黑客和诈骗犯很聪明、狡诈、有组织、具有自主性,所以这是一个大问题。海量数据外泄是他们的原材料。

Equifax 数据外泄有什么不同呢?

Equifax 数据外泄中失窃的数据符合我刚才描述的流程,但是这只是问题的开始。被盗的是深层个人信息,不仅是用户名和密码,还有姓名、地址、出生日期,更重要的是社会安全号码都被盗了。有了上述信息,诈骗犯可以直接尝试注册新账户,如新的银行账户、新的贷款、新的发薪日贷款服务以及购买商品和服务的新账户。很有可能会出现一种我们前所未见的情况,即身份盗用。

与之最类似的重大数据外泄,可能就是几年前的人事管理办公室数据外泄事件了。2150 万联邦员工和承包商的深层个人信息都被盗了。有意思的是,我们对接踵而来的身份盗用的范围所知甚少。因为在这类事情中是不能强迫被盗用组织公布的,所以您并没有见到相关统计资料。但是许多受影响的人可能注册了包括 Equifax 在内的信用监控服务以降低风险。现在许多人兜了个圈又回到原地,看着他们的资料又被偷了。

这对企业的有什么影响呢?

所有为消费者提供网上服务的组织都希望保护客户,避免成为欺骗性交易的一方,但是不知不觉就上当了。上当后导致的货物、服务和钱财被盗都会产生直接成本,加上损失赔偿和客户账户恢复也需要管理费用。财务风险巨大。

随着 Equifax 数据外泄,企业面临的安全问题达到了一个新层次:身份盗用。当客户个人信息不再保密时,您怎么保护自己的企业和客户呢?当不法分子知道了您用来验证客户身份的数据点时,您又能怎么做呢?

诈骗犯编写的软件企图打开许多企业的成千上万的新账户。哪怕只有一小部分成功,他们依然能骗走不少钱。他们也可能试图用老套路打开或篡改账户,即给公司的客户服务中心打电话,提供所有正确信息。这是一个比较难解决的问题,需要更多的身份验证。但是这对攻击者来说也很不容易对付。另外,虽然代价似乎很高,但他们会不辞劳苦地让听起来可信的人接电话。有多少客户服务人员能够觉察到自己可能在与诈骗犯通电话或根据要求思考一下?

在提供互联网服务的组织中,如果涉及客户财务,首席执行官和首席信息官确实需要好好思考一下如何确保外泄数据没有被不法分子利用,以免自己的组织在以下情况中沦为身份盗用的工具:议定贷款、提供福利或退税或向不符合条件的人出售商品。

为了保护自己和客户,企业应该怎么做呢?

自从 Equifax 数据外泄,所有面向消费者的网上公司都对新账户建立以及账户和密码变动更加谨慎了。即使对消费者通过电话创建账户或变更账户和密码也是一样的谨慎。额外身份验证操作可能已就位。聪明的消费者会将这些操作视为安全起见,而非不便。

大多数企业应该使自己善于发现何时在遭受试图猜测用户名和密码的黑客的攻击。即使是小规模的攻击,如果您知道自己在找什么,也会注意到的。企业还应该使自己善于区分人类和机器人。登录失败是人为键入错误,还是机器人猜测?网上注册新账户的实体是真人,还是窃取某人信息的机器人?

如果是机器人,那么它做得对吗?您想要的网站机器人。例如,客户将 Mint 或 Yodlee 用作自己的财务信息聚合器,允许这些服务访问自己的账户。如果机器人行为不当,您能快速将它赶出去或带它进入迷阵,迷惑它,然后安全人员对其行为做出诊断吗?

从根本上讲,许多企业需要再多一层安全来保护网络环境。这个保护层不需要知道您所有的资产。然而,它的确需要全面监视您的网站访问者,同时全方位识别最新威胁。

这点虽不是讨论最多的,但极其重要。Equifax 公布他们已经发现了一个系统漏洞。他们以为已经修补了全部带漏洞的系统,但他们还是忽略了一个漏洞。黑客攻击也就只需要一个漏洞。黑客最终发现并攻击了这个漏洞。

教训就是,即使当您费劲心血,发现了易受攻击的系统并尽快地做出补救,您依然可能会忽略某些事情。依然有失误的可能。在您的网络中,可能易受攻击的系统并没有列入您的目录,有的您甚至都不知道。修补并不是瞬间就可以完成的。这可能需要几分钟或几天才能运行软件。攻击者对最新的漏洞很警觉,他们可能在您修补的时候又开始攻击了。

在所有情况中,第二层安全防护提供了额外的保障:如果您忽略了某些事情,防护依然存在。Equifax 认为他们解决了问题,但他们错了。

还有什么类型的组织有可能成为客户数据窃取攻击的目标?

首先,没有组织不受计算机攻击的影响。因此,做在线生意和储存客户数据的每个组织都有可能受到攻击。网络罪犯愿意去存放许多有价值数据的地方。这指的是其他的征信机构、大型信用卡公司、目前像 LifeLock 这样的公司、身份盗用防护公司(大规模做广告,最近数据外泄后增加了许多客户)。Equifax 被攻击了,但它希望这些组织配备“军事级别”的安全防护。

网络罪犯就像众所周知的抢劫银行犯,他们也愿意去有钱的地方。但是大型金融服务机构都会花重金来维护这个军事级别的安全防护。它们在保护自己的资产、经营、价值千金的企业以及个人客户。普通的零售客户受益于这个级别的安全防护。

比较容易受攻击的,是像拥有许多消费者数据需要保护的大型零售商,而非拥有很多利润空间和资金或动机的零售商。需要保护的数据的价值和所能提供的安全防护之间并不匹配。根据 Equifax 数据外泄的情况以及已盗用客户数据量,上述组织应该重新评估各自的安全态势和战略。

就政府而言,美国国家税务局 (IRS) 可能是受攻击的最大目标。他们有所有人的信息,几乎是诈骗犯所能寻找的全部信息。对于数据保护和身份盗用检测,他们当然都有强大的安全防护。但是他们并不完美。福利机构似乎更擅长保护数据而非防止诈骗行为,比如美国的老年和残障健康保险 (Medicare)。欺诈索赔形式多变,因此福利机构面临的挑战也更加复杂。

医疗保健行业正身处困境。除了电子病历中的临床信息之外,供应商组织和交易所掌握了大量个人信息。为了保护患者个人资料,他们承受着来自《健康保险流通与责任法案》(HIPAA) 的巨大压力。但在临床和其他支出之间,他们也维持着基本张力。医生和供应商组织都专注于患者的治疗成效,这也是他们的连接点。所以,他们宁愿把钱花在临床技术上,也不愿花在信息或安全技术上。我和某大型医疗中心的首席信息官有过一次很有意思的谈话。这个首席信息官说:“我最大的担心是人们患病来我院,然后健康出院,但是后来病情却因个人资料出现问题而恶化。”

您谈论网络犯罪的方式,给人感觉网络犯罪是一笔买卖。

这恰恰是网络犯罪的样子。它是一笔巨大的买卖,具有不同的商业模式。某些网络犯罪(包括许多国家层面的攻击)相当于工业谍报活动。攻击者想窃取技术资料、商业秘密或企业和政府的其他专有资料。各种不同的攻击旨在通过破坏服务器、网络和网站瓦解经营活动。这通常是“黑客行为主义者”或心怀不满的用户所做的事。

我们今天讨论的网络犯罪都是从窃取大量个体消费者的资料开始的。它们可能全都与赚钱有关。危害到被盗用企业的经营活动和声誉,只是网络犯罪的副产品。这个类型的网络犯罪有自己的市场和供应链:
  • 黑客发现和攻击企业系统中的漏洞,窃取、出售大量个人数据。
  • 中间商批量购买数据,安排人员和软件测试和验证消费者认证信息或获取身份盗用所需数据。他们基本上挑选和增加了数据的价值。
  • 专业诈骗犯购买经过验证的数据,通过零售盗窃、金融诈骗或政府福利和税收欺诈等不同渠道赚钱。
这个供应链由一个完整的生态系统维持。这个生态系统包括制作商业工具的软件开发商和待租黑客。还有将窃取的数据、商品转换为钱的服务以及隐藏黑客行为的服务。该生态系统选择比特币作为流通货币。

同时,要注意网络犯罪是一个24/7的买卖。黑客永远都在工作,但有两个不同的速度。他们以特定企业为目标,试图在新发现的漏洞得到修补前赶紧攻击。黑客就像用鱼叉捕鱼的渔民在寻找大鱼。同时,他们也永远在幕后忙碌,广撒网,耐心等待鱼儿游到水面(包括以前没有完全修复的漏洞)。

对首席执行官、首席信息官、首席战略官和业务主管来说,这可能是继 Equifax 数据外泄后最重要的一点了:了解您的敌人。您面对的不是孤立的黑客,而是有组织的、实力雄厚的网络罪犯。他们的职责是欺骗为之提供服务的个人和组织。他们所在的行业增长迅速。不要低估他们何处、何时、如何窃取宝贵资料的能力、智慧或想象力。

Related CIO Content