2014年上半年在全球范围内相继爆出eBay、Michaels Stores等重大事件数据泄露事件。5月21日全球最大拍卖网站eBay官网发布通告,称因数据泄露呼吁其用户更新密码。eBay事件只是一个缩影,它反映了当前数据泄露问题所面临的挑战。
首先,数据泄露事件层出不穷,简略看一下近期数据泄露事件,UPS(8.20)、WSJ(7.22)、CNET(7.14)、Cupid(6.25)……需要注意的是,在媒体上出现的数据泄露事件其实只是很小的一部分。根据绿盟科技威胁响应中心监测到的数据泄露数据,在2014年上半年共记录数据泄露事件485起,平均每天数据泄露事件超过2起。
其次,数据泄露事件受影响对象的构成日趋广泛。从全球范围看,近年各行业数据泄露事件呈上升趋势。金融行业占据的比例较小,一方面的原因是由于金融行业是网络犯罪分子的明显目标之一,与其它行业相比,金融行业在网络安全方面给予更多的关注,并且在安全信息共享方面建立了交流渠道,例如:FS-ISAC以及监管方面有来自类似FFIEC机构的规范与指导,与此相对应的是企业(例如:科技公司、零售业),最近4年的重大数据泄露事件均属于该类别,例如:Adobe(2013年), Sony(2011年)以及Target(2013年),下图从一定程度上反映了各行业面对数据泄露的严峻程度。
2014年上半年数据泄露事件按周统计如下图,通过观察可看到到周二记录的数据泄露事件最多,而周日记录的数据泄露事件最少。
从上述几幅图中可以了解到时间、行业与数据泄露事件存在的若干关联,即通过统计数据从整体描述数据泄露现状,下一节“案例分析”将通过具体案例剖析现实数据泄露事件,以直观形式说明数据泄露事件的过程与后果。
案例分析
绿盟科技云安全运营中心近期监测到一起由编程错误导致的严重数据泄露事件,事件涉及企业在国内具有相当高的知名度。这家企业官网存在身份验证绕过漏洞,攻击者利用该漏洞绕过认证机制,执行未授权的用户个人信息访问。
绿盟科技云安全运营中心在第一时间检测到对个人信息的未授权访问,并及时响应处理,最大程度较少了该企业用户因数据泄露所导致的损失。
下图是该企业个人信息所包含的部分内容, 例如: 姓名、出生日期、身份证号以及用户组等信息。
经分析发现该网站使用WebSphere应用服务器8.5.5版本搭建。身份验证绕过的常见方法包括:SQL injection、Session prediction、Parameter modification等,对于此泄露事件,使用基本的绕过方法Direct request即可绕过这家企业官网的身份验证。Direct request是指网站开发人员原本设想是由登录用户才能访问的网页,却能被非登录攻击者直接访问。这种编程方式存在错误,网站开发人员在网页设计中,仅在登录页面实施了访问控制,即假设如果网页可以被打开,那么访问者必定有相应权限。攻击者利用该漏洞绕过身份验证,“顺藤摸瓜”最终导致数据泄露事件的发生。针对此绕过漏洞的基本解决方法也较为简单,即先验证访问者身份,再确定是否有权限访问。
类似这样的编程错误,在Verizon 2014 DBIR(Data Breach Investigations Report)报告中称为“Miscellaneous Errors”。该报告将安全事件划分为九个威胁模式,编程错误所导致的数据泄露所占比例是3%。
国外案例
2014年上半年全球公开的部分数据泄露事件:
上图数据泄露事件中,eBay、Korea Credit Bureau (韩国信用评价公司,简称KCB)与Michaels Stores三者因影响用户数量众多,故受到公众的关注。eBay事件是由攻击者在对该公司员工进行成功spear phishing攻击后,利用员工的登录帐户信息进入未授权访问公司网络,最终导致eBay用户数据泄露。
KCB事件是由KCB内部员工利用职务之便复制及倒卖用户信用卡数据,从而导致KCB持卡人数据泄露。Michaels Stores事件是由Michaels Stores的POS(Point of Sale)系统被入侵,进而导致Michaels Stores顾客数据泄露。Michaels Stores事件、Target事件与Neiman Marcus事件是近期零售业遭受数据泄露的三大案例,由于Target事件的典型性以及该事件引发的深远影响。例如:Target超市CIO与CEO先后引咎辞职后,触动许多公司管理层开始审视自身的网络安全状况;美国零售联合会(NRF,National Retail Federation)开始建立安全信息分享平台;美国国会已考虑通过新的立法,以加强零售行业的安全防护等,所以本次报告重点分析Target超市的数据泄露案例, 并且坚信Target事件会成为数据泄露史上的经典研究案例之一。
以下简述2013年11月俄罗斯攻击者窃取美国第2大超市Target (NYSE:TGT) 4千万用户银行卡数据的攻击过程。
n 第I阶段:城门失火,殃及鱼池 时间:2013年9月
u 1:攻击者通过spear phishing攻击,在Fazio Mechanical Services公司(该公司主营HVAC [即空调暖通],以下简称为Fazio)系统上安装恶意软件Citadel;
u 2:通过恶意软件Citadel窃取了Fazio公司远程访问Target超市(以下简称为Target)Ariba计费系统的账户信息。这种“假道伐虢”的跳板攻击又被称为island-hopping 攻击;
n 第II阶段:千里之堤,溃于蚁穴 时间: 2013年11月15日 ~ 2013年11月30日
u 3:攻击者将恶意软件BlackPOS(RAM scraper)变种POSRAM上传到Target超市POS程序升级服务器上;
u 4:恶意软件POSRAM被安装到Target超市各POS终端(POS终端品牌:Retalix[NCR]);
n 第III阶段: 巧偷豪夺, 瞒天过海 时间: 2013年12月2日 ~ 2013年12月15日
u 5:恶意软件POSRAM开始从各POS终端收集的银行卡等数据上传到Target超市的文件共享服务器上;
u 6:从Target超市文件共享服务器将收集的数据(11GB)上传到FTP(迈阿密、巴西)服务器上;
u 7:攻击者(IP归属俄罗斯),通过VPS(Virtual Private Server)访问该FTP服务器, 并取走数据。
反思
数据泄露事件发生后,最常见的场景是:A.用户抱怨 B.媒体质疑 C.业界批评 D.政府追查
应急措施(即遭受数据泄露的企业/组织对其用户采取相应的例行做法),例如:
l 针对网站账户信息泄露: 重置用户密码、请勿密码重用、谨防诈骗邮件
l 针对银行卡信息泄露: 监视信用卡异常、提供身份信息窃取防护
上述场景在Target事件后再次重现,后续安全建议/事后分析即使称不上不绝于耳,也至少是屡有耳闻,例如下述分析角度:
A.重视应急计划 B.PCI只是最低纲领 C.正确处理安全告警 D.考虑安全薄弱环节
这四个观点从不同观察角度总结了Target事件中警示与教训,若以此为鉴无疑将有助于着眼未来。在Target事件中其1797家门店受到波及。连锁店经营方式经常为了统一部署简化 IT 运维而使用类似/一致的系统,其优点在于标准化、规模化与低成本、高效率有着近似直接的换算关系;但从另一角度看:由于部署相同终端系统,从而可能导致同一漏洞暴露于攻击者的准星下。无疑,Target在安全防护方面曾给予不少投入。2013年5月投资购买FireEye的恶意软件检测工具;2013年9月通过PCI DSS(Payment Card Industry Data Security Standard)认证。目前这种安全管理思路较为常见:企业/组织寄希望于通过单纯购置安全防御设备方式提高安全防护水平,但忽视周期性安全服务检查等方面。
Target数据泄露事件发生后,Target发言人称“Target was among the best-in-class within the retail industry”,与此形成反衬的是,对于攻击者技术水平,安全业界人士认为“this class of attack is far from advanced”。诚然,Target事件暴露出其若干安全问题,它也理所应当应为自己的管理和疏忽担负责任,因为先进的工具与行业的标准毕竟需要人去使用与执行,但是Target最大问题可能在于它对当前网络安全现状缺乏足够vision(前瞻性),例如:Target SOC (Security Operations Center)团队的主要职责仍是对超市卖场区域的安全监控,而不是防范网络攻击(Target在班加罗尔的安全团队监测到异常状况后已通知Target SOC,但未引起后者重视)。面对日趋严峻的网络安全现状,难道Target真的是不了解“今是何世,乃不知有”pwned吗?
毋庸置疑,Target数据泄露事件也反映了目前安全防护技术需要进一步提升,例如Target同时部署了FireEye 恶意软件检测工具与Symantec 终端防护产品,前者使用MVX(Multi-Vector Virtual Execution, 一种VM-based的signature-free检测方法)检测恶意软件,虽具有自动删除恶意软件功能,但因其存在误报,所以Target SOC团队手动关闭了该项功能;后者使用signature-based检测技术,只能检测出45%的恶意软件,因此Symantec高级副总裁Brian Dye在2014年5月称“(Traditional) antivirus is dead” 。简言之,这两个安全产品一个使用signature-free检测方法,一个使用signature-based的检测技术,但存在着误报(FP,False Positive)等问题,误报对用户的影响就像一遍遍的喊叫“狼来了,狼来了……”,结果狼没来,却使得用户对安全告警信息逐渐麻痹,等到狼真正来时只能嗟悔无及。
虽然现有安全产品存在不足,但从误报问题看如果将各安全产品告警与本地其它日志等信息之间自动关联起来并给予告警相应威胁等级,即通过信息关联监测用户网络的安全状况,从而可以提高安全告警的准确性。Verizon DBIR(Data Breach Investigations Report)报告曾指出84%数据泄露事件可以在遭受数据泄露企业/组织的日志中发现蛛丝马迹。当然,这种方法实现起来并不就是plain sailing,例如关联日志事件的时间开销等问题。目前,网络安全研究课题除了关注在攻击时综合多种信息源发现攻击者等方向外,还有关注于通过收集多种信息对攻击提前预警(而不是攻击时的告警)的研究,例如: BlackForest。总之,面对今日之网络攻防现状,目前的安全防护技术需要有动力去“Change!”
“案例分析”这部分提及的建议是面对数据泄露事件的事前事中事后,检讨值得今后改进的若干地方,但现实燃眉之急是层出不穷地数据泄露事件如何最大程度减小或阻止,具体反制对策请看下一节"方法分析"介绍的Intrusion Kill Chain模型。