2014年上半年在全球范圍內(nèi)相繼爆出eBay、Michaels Stores等重大事件數(shù)據(jù)泄露事件。5月21日全球最大拍賣網(wǎng)站eBay官網(wǎng)發(fā)布通告，稱因數(shù)據(jù)泄露呼吁其用戶更新密碼。eBay事件只是一個(gè)縮影，它反映了當(dāng)前數(shù)據(jù)泄露問題所面臨的挑戰(zhàn)。

首先，數(shù)據(jù)泄露事件層出不窮，簡(jiǎn)略看一下近期數(shù)據(jù)泄露事件，UPS（8.20）、WSJ（7.22）、CNET（7.14）、Cupid（6.25）……需要注意的是，在媒體上出現(xiàn)的數(shù)據(jù)泄露事件其實(shí)只是很小的一部分。根據(jù)綠盟科技威脅響應(yīng)中心監(jiān)測(cè)到的數(shù)據(jù)泄露數(shù)據(jù)，在2014年上半年共記錄數(shù)據(jù)泄露事件485起，平均每天數(shù)據(jù)泄露事件超過2起。

其次，數(shù)據(jù)泄露事件受影響對(duì)象的構(gòu)成日趨廣泛。從全球范圍看，近年各行業(yè)數(shù)據(jù)泄露事件呈上升趨勢(shì)。金融行業(yè)占據(jù)的比例較小，一方面的原因是由于金融行業(yè)是網(wǎng)絡(luò)犯罪分子的明顯目標(biāo)之一，與其它行業(yè)相比，金融行業(yè)在網(wǎng)絡(luò)安全方面給予更多的關(guān)注，并且在安全信息共享方面建立了交流渠道，例如：FS-ISAC以及監(jiān)管方面有來自類似FFIEC機(jī)構(gòu)的規(guī)范與指導(dǎo)，與此相對(duì)應(yīng)的是企業(yè)（例如：科技公司、零售業(yè)），最近4年的重大數(shù)據(jù)泄露事件均屬于該類別，例如：Adobe（2013年）， Sony（2011年）以及Target（2013年），下圖從一定程度上反映了各行業(yè)面對(duì)數(shù)據(jù)泄露的嚴(yán)峻程度。

2014年上半年數(shù)據(jù)泄露事件按周統(tǒng)計(jì)如下圖，通過觀察可看到到周二記錄的數(shù)據(jù)泄露事件最多，而周日記錄的數(shù)據(jù)泄露事件最少。

從上述幾幅圖中可以了解到時(shí)間、行業(yè)與數(shù)據(jù)泄露事件存在的若干關(guān)聯(lián)，即通過統(tǒng)計(jì)數(shù)據(jù)從整體描述數(shù)據(jù)泄露現(xiàn)狀，下一節(jié)“案例分析”將通過具體案例剖析現(xiàn)實(shí)數(shù)據(jù)泄露事件，以直觀形式說明數(shù)據(jù)泄露事件的過程與后果。

案例分析

綠盟科技云安全運(yùn)營(yíng)中心近期監(jiān)測(cè)到一起由編程錯(cuò)誤導(dǎo)致的嚴(yán)重?cái)?shù)據(jù)泄露事件，事件涉及企業(yè)在國(guó)內(nèi)具有相當(dāng)高的知名度。這家企業(yè)官網(wǎng)存在身份驗(yàn)證繞過漏洞，攻擊者利用該漏洞繞過認(rèn)證機(jī)制，執(zhí)行未授權(quán)的用戶個(gè)人信息訪問。

綠盟科技云安全運(yùn)營(yíng)中心在第一時(shí)間檢測(cè)到對(duì)個(gè)人信息的未授權(quán)訪問，并及時(shí)響應(yīng)處理，最大程度較少了該企業(yè)用戶因數(shù)據(jù)泄露所導(dǎo)致的損失。

下圖是該企業(yè)個(gè)人信息所包含的部分內(nèi)容, 例如: 姓名、出生日期、身份證號(hào)以及用戶組等信息。

經(jīng)分析發(fā)現(xiàn)該網(wǎng)站使用WebSphere應(yīng)用服務(wù)器8.5.5版本搭建。身份驗(yàn)證繞過的常見方法包括：SQL injection、Session prediction、Parameter modification等，對(duì)于此泄露事件，使用基本的繞過方法Direct request即可繞過這家企業(yè)官網(wǎng)的身份驗(yàn)證。Direct request是指網(wǎng)站開發(fā)人員原本設(shè)想是由登錄用戶才能訪問的網(wǎng)頁，卻能被非登錄攻擊者直接訪問。這種編程方式存在錯(cuò)誤，網(wǎng)站開發(fā)人員在網(wǎng)頁設(shè)計(jì)中，僅在登錄頁面實(shí)施了訪問控制，即假設(shè)如果網(wǎng)頁可以被打開，那么訪問者必定有相應(yīng)權(quán)限。攻擊者利用該漏洞繞過身份驗(yàn)證，“順藤摸瓜”最終導(dǎo)致數(shù)據(jù)泄露事件的發(fā)生。針對(duì)此繞過漏洞的基本解決方法也較為簡(jiǎn)單，即先驗(yàn)證訪問者身份，再確定是否有權(quán)限訪問。

類似這樣的編程錯(cuò)誤，在Verizon 2014 DBIR（Data Breach Investigations Report）報(bào)告中稱為“Miscellaneous Errors”。該報(bào)告將安全事件劃分為九個(gè)威脅模式，編程錯(cuò)誤所導(dǎo)致的數(shù)據(jù)泄露所占比例是3%。 

國(guó)外案例

2014年上半年全球公開的部分?jǐn)?shù)據(jù)泄露事件：

上圖數(shù)據(jù)泄露事件中，eBay、Korea Credit Bureau （韓國(guó)信用評(píng)價(jià)公司，簡(jiǎn)稱KCB）與Michaels Stores三者因影響用戶數(shù)量眾多，故受到公眾的關(guān)注。eBay事件是由攻擊者在對(duì)該公司員工進(jìn)行成功spear phishing攻擊后，利用員工的登錄帳戶信息進(jìn)入未授權(quán)訪問公司網(wǎng)絡(luò)，最終導(dǎo)致eBay用戶數(shù)據(jù)泄露。

KCB事件是由KCB內(nèi)部員工利用職務(wù)之便復(fù)制及倒賣用戶信用卡數(shù)據(jù)，從而導(dǎo)致KCB持卡人數(shù)據(jù)泄露。Michaels Stores事件是由Michaels Stores的POS（Point of Sale）系統(tǒng)被入侵，進(jìn)而導(dǎo)致Michaels Stores顧客數(shù)據(jù)泄露。Michaels Stores事件、Target事件與Neiman Marcus事件是近期零售業(yè)遭受數(shù)據(jù)泄露的三大案例，由于Target事件的典型性以及該事件引發(fā)的深遠(yuǎn)影響。例如：Target超市CIO與CEO先后引咎辭職后，觸動(dòng)許多公司管理層開始審視自身的網(wǎng)絡(luò)安全狀況；美國(guó)零售聯(lián)合會(huì)（NRF，National Retail Federation）開始建立安全信息分享平臺(tái)；美國(guó)國(guó)會(huì)已考慮通過新的立法，以加強(qiáng)零售行業(yè)的安全防護(hù)等，所以本次報(bào)告重點(diǎn)分析Target超市的數(shù)據(jù)泄露案例， 并且堅(jiān)信Target事件會(huì)成為數(shù)據(jù)泄露史上的經(jīng)典研究案例之一。

以下簡(jiǎn)述2013年11月俄羅斯攻擊者竊取美國(guó)第2大超市Target （NYSE：TGT） 4千萬用戶銀行卡數(shù)據(jù)的攻擊過程。

n 第I階段：城門失火，殃及魚池   時(shí)間：2013年9月

u 1：攻擊者通過spear phishing攻擊，在Fazio Mechanical Services公司（該公司主營(yíng)HVAC [即空調(diào)暖通]，以下簡(jiǎn)稱為Fazio）系統(tǒng)上安裝惡意軟件Citadel；

u 2：通過惡意軟件Citadel竊取了Fazio公司遠(yuǎn)程訪問Target超市（以下簡(jiǎn)稱為Target）Ariba計(jì)費(fèi)系統(tǒng)的賬戶信息。這種“假道伐虢”的跳板攻擊又被稱為island-hopping 攻擊；

n 第II階段：千里之堤，潰于蟻穴  時(shí)間: 2013年11月15日 ~ 2013年11月30日

u 3：攻擊者將惡意軟件BlackPOS（RAM scraper）變種POSRAM上傳到Target超市POS程序升級(jí)服務(wù)器上；

u 4：惡意軟件POSRAM被安裝到Target超市各POS終端（POS終端品牌：Retalix[NCR]）；

n 第III階段: 巧偷豪奪, 瞞天過海   時(shí)間: 2013年12月2日 ~ 2013年12月15日

u 5：惡意軟件POSRAM開始從各POS終端收集的銀行卡等數(shù)據(jù)上傳到Target超市的文件共享服務(wù)器上；

u 6：從Target超市文件共享服務(wù)器將收集的數(shù)據(jù)（11GB）上傳到FTP（邁阿密、巴西）服務(wù)器上；

u 7：攻擊者（IP歸屬俄羅斯），通過VPS（Virtual Private Server）訪問該FTP服務(wù)器, 并取走數(shù)據(jù)。

反思

數(shù)據(jù)泄露事件發(fā)生后，最常見的場(chǎng)景是：A.用戶抱怨 B.媒體質(zhì)疑 C.業(yè)界批評(píng) D.政府追查

應(yīng)急措施（即遭受數(shù)據(jù)泄露的企業(yè)/組織對(duì)其用戶采取相應(yīng)的例行做法），例如： 

l 針對(duì)網(wǎng)站賬戶信息泄露: 重置用戶密碼、請(qǐng)勿密碼重用、謹(jǐn)防詐騙郵件

l 針對(duì)銀行卡信息泄露: 監(jiān)視信用卡異常、提供身份信息竊取防護(hù)

上述場(chǎng)景在Target事件后再次重現(xiàn)，后續(xù)安全建議/事后分析即使稱不上不絕于耳，也至少是屢有耳聞，例如下述分析角度：

A.重視應(yīng)急計(jì)劃 B.PCI只是最低綱領(lǐng) C.正確處理安全告警 D.考慮安全薄弱環(huán)節(jié)

這四個(gè)觀點(diǎn)從不同觀察角度總結(jié)了Target事件中警示與教訓(xùn)，若以此為鑒無疑將有助于著眼未來。在Target事件中其1797家門店受到波及。連鎖店經(jīng)營(yíng)方式經(jīng)常為了統(tǒng)一部署簡(jiǎn)化 IT 運(yùn)維而使用類似/一致的系統(tǒng)，其優(yōu)點(diǎn)在于標(biāo)準(zhǔn)化、規(guī)?；c低成本、高效率有著近似直接的換算關(guān)系；但從另一角度看：由于部署相同終端系統(tǒng)，從而可能導(dǎo)致同一漏洞暴露于攻擊者的準(zhǔn)星下。無疑，Target在安全防護(hù)方面曾給予不少投入。2013年5月投資購買FireEye的惡意軟件檢測(cè)工具；2013年9月通過PCI DSS（Payment Card Industry Data Security Standard）認(rèn)證。目前這種安全管理思路較為常見：企業(yè)/組織寄希望于通過單純購置安全防御設(shè)備方式提高安全防護(hù)水平，但忽視周期性安全服務(wù)檢查等方面。

Target數(shù)據(jù)泄露事件發(fā)生后，Target發(fā)言人稱“Target was among the best-in-class within the retail industry”，與此形成反襯的是，對(duì)于攻擊者技術(shù)水平，安全業(yè)界人士認(rèn)為“this class of attack is far from advanced”。誠然，Target事件暴露出其若干安全問題，它也理所應(yīng)當(dāng)應(yīng)為自己的管理和疏忽擔(dān)負(fù)責(zé)任，因?yàn)橄冗M(jìn)的工具與行業(yè)的標(biāo)準(zhǔn)畢竟需要人去使用與執(zhí)行，但是Target最大問題可能在于它對(duì)當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀缺乏足夠vision（前瞻性），例如：Target SOC （Security Operations Center）團(tuán)隊(duì)的主要職責(zé)仍是對(duì)超市賣場(chǎng)區(qū)域的安全監(jiān)控，而不是防范網(wǎng)絡(luò)攻擊（Target在班加羅爾的安全團(tuán)隊(duì)監(jiān)測(cè)到異常狀況后已通知Target SOC，但未引起后者重視）。面對(duì)日趨嚴(yán)峻的網(wǎng)絡(luò)安全現(xiàn)狀，難道Target真的是不了解“今是何世，乃不知有”pwned嗎？

毋庸置疑，Target數(shù)據(jù)泄露事件也反映了目前安全防護(hù)技術(shù)需要進(jìn)一步提升，例如Target同時(shí)部署了FireEye 惡意軟件檢測(cè)工具與Symantec 終端防護(hù)產(chǎn)品，前者使用MVX（Multi-Vector Virtual Execution, 一種VM-based的signature-free檢測(cè)方法）檢測(cè)惡意軟件，雖具有自動(dòng)刪除惡意軟件功能，但因其存在誤報(bào)，所以Target SOC團(tuán)隊(duì)手動(dòng)關(guān)閉了該項(xiàng)功能；后者使用signature-based檢測(cè)技術(shù)，只能檢測(cè)出45%的惡意軟件，因此Symantec高級(jí)副總裁Brian Dye在2014年5月稱“（Traditional） antivirus is dead” 。簡(jiǎn)言之，這兩個(gè)安全產(chǎn)品一個(gè)使用signature-free檢測(cè)方法，一個(gè)使用signature-based的檢測(cè)技術(shù)，但存在著誤報(bào)（FP，F(xiàn)alse Positive）等問題，誤報(bào)對(duì)用戶的影響就像一遍遍的喊叫“狼來了，狼來了……”，結(jié)果狼沒來，卻使得用戶對(duì)安全告警信息逐漸麻痹，等到狼真正來時(shí)只能嗟悔無及。

雖然現(xiàn)有安全產(chǎn)品存在不足，但從誤報(bào)問題看如果將各安全產(chǎn)品告警與本地其它日志等信息之間自動(dòng)關(guān)聯(lián)起來并給予告警相應(yīng)威脅等級(jí)，即通過信息關(guān)聯(lián)監(jiān)測(cè)用戶網(wǎng)絡(luò)的安全狀況，從而可以提高安全告警的準(zhǔn)確性。Verizon DBIR（Data Breach Investigations Report）報(bào)告曾指出84%數(shù)據(jù)泄露事件可以在遭受數(shù)據(jù)泄露企業(yè)/組織的日志中發(fā)現(xiàn)蛛絲馬跡。當(dāng)然，這種方法實(shí)現(xiàn)起來并不就是plain sailing，例如關(guān)聯(lián)日志事件的時(shí)間開銷等問題。目前，網(wǎng)絡(luò)安全研究課題除了關(guān)注在攻擊時(shí)綜合多種信息源發(fā)現(xiàn)攻擊者等方向外，還有關(guān)注于通過收集多種信息對(duì)攻擊提前預(yù)警（而不是攻擊時(shí)的告警）的研究，例如： BlackForest?？傊鎸?duì)今日之網(wǎng)絡(luò)攻防現(xiàn)狀，目前的安全防護(hù)技術(shù)需要有動(dòng)力去“Change!”

“案例分析”這部分提及的建議是面對(duì)數(shù)據(jù)泄露事件的事前事中事后，檢討值得今后改進(jìn)的若干地方，但現(xiàn)實(shí)燃眉之急是層出不窮地?cái)?shù)據(jù)泄露事件如何最大程度減小或阻止，具體反制對(duì)策請(qǐng)看下一節(jié)"方法分析"介紹的Intrusion Kill Chain模型。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。