Shelly Muckberg

過去的2013年,重大資料洩漏事故層出不窮,而根據趨勢科技2014年安全趨勢報告,2014 年重大資料洩漏事故的頻率將大幅增加至每月一次。在迎接充滿挑戰的2014年時,我們不妨先回顧一下剛剛過去的2013年。在2013年,黑客們開發出多 種新型方式來規避安全限制。他們發動強大的拒絕服務攻勢,模仿合法流量的手段與效果也比原先有了很大進步。他們創造出新的惡意軟體品種,從而很輕鬆地繞過 傳統安全防禦體系。他們不斷改善自己所使用的社會工程戰術,設計更加可信的網路釣魚攻擊活動以竊取所需的賬戶資訊。偷渡式攻擊則將目標設定為員工群體——在他們瀏覽合法網站的同時悄悄利用惡意軟體感染其作業系統。

以下為Zdnet彙總的2013年最為嚴重的十大資料洩露事件,通過對這些資料洩漏事故的“覆盤”,我們能更清楚地認識到攻擊者如何利用多種行之有 效的手段成功實現企業環境滲透。重大資料洩漏事故的頻發很可能催生出與之相抗衡的安全防禦技術,同時也提高了抵禦新型攻擊的成本。

1.博思艾倫諮詢公司——美國國家安全域性資料洩露

安全專家們表示,前政府事務承包商僱員愛德華·斯諾登洩露國家安全域性監控程式資訊的事件證明,對負責維護關鍵性系統及流程的員工進行嚴格審查是保障 資料安全的重要組成部分。斯諾登是參與高度機密安全審查工作的近五十萬名承包商僱員之一。儘管在個人簡歷當中存在一些問題,他最終仍然被博思艾倫諮詢公司 聘用。他在夏威夷幫助國家安全域性打理相關工作,並獲得了12.2萬美元的年薪。

此次國安局資料流露事故據稱是由於其他僱員利用U盤及賬戶憑證獲得了對關鍵性系統的訪問權。根據報導,斯諾登從國安局處取得了數十萬份檔案,並隨後 將這些資料提供給媒體記者,從而證明了國安局在國內外確實展開了大量監控活動、試圖分析監控物件的網路通訊以及手機記錄。斯諾登的行為引發了廣泛的討論熱 潮,全世界都開始認真思考政府到底能夠在怎樣的程度範圍內進行情報蒐集活動。除了潛在的加密缺陷以及實施失誤之外,斯諾登事件還大大提高了組織機構對於內 部威脅防禦的關注程度。另外,他的行動還讓更多普通民眾意識到美國各大技術供應商與政府之間的密切協作。總而言之,這次曝光的資料洩露很可能對今後網際網路 通訊底層系統的完整性與彈性以及用於為使用者提供隱私級別保障的機制產生重大影響。

2. 《紐約時報》資料洩露

去年《紐約時報》的內部系統遭遇入侵、黑客們掌握了其持續訪問權,這一問題直到幾個月後才被披露給其它媒體。計算機取證調查員們在接受採訪時表示, 網路犯罪分子利用自定義工具實施了這一輪攻擊。目前調查人員將主要注意力集中在了兩位記者身上——因為他們曾經撰寫了一篇批評中國政府的報導。

此次事故正式揭開了由政府推動的網路間諜活動的神祕面紗,黑客集團背後的資源供給也因此變得更加複雜。除此之外,這一事故也幫助我們更為直接地關注 部分關鍵性安全最佳實踐,包括對主動網路監控的需求、高強度密碼的重要性以及利用隔離系統儲存敏感資料的價值等。攻擊者們利用數十種自定義惡意軟體實施綜 合性入侵,並將這些軟體推向儲存每一位《紐約時報》員工雜湊密碼資料庫的域控制器當中。

3. Target Corp.信用卡資料洩露

調查人員們目前仍然在努力確定Target Corp.信用卡資料洩露事故的實際影響範圍。該系統在遭遇違規狀況後至少導致四千萬張信用卡與借記卡資訊外流。攻擊者們自假日購物季開始便著手發動攻 勢,其實施手段不禁讓我們想起以往曾經出現過的信用卡違規事故——鍚007年的TJX違規、哈特蘭支付系統以及漢納福德兄弟連鎖超市等資料洩露事故。而作 為每一次違規事故的核心,攻擊者利用的其實都是最為基本的安全漏洞。

儘管目前我們還沒有足夠的細節來推斷攻擊者是如何獲取訪問權的,但這次事故再次將我們的注意力集中到了支付卡行業及其資料安全標準身上。安全專家們 指出,PCI-DSS已經成為引導某個行業有效進行自身調整的標準化模式。這套標準強調了一系列必須遵循的最低執行步驟,旨在保護敏感支付系統。它由各個 支付品牌以多種方式加以強制執行。此次違規事故是否會促使立法者考慮更為嚴格的實施標準以及違規懲罰尚有待觀察。

4. MongoHQ資料洩露

MongoHQ資料安全違規事件給數百位雲使用者帶來直接影響,受到間接影響的使用者數量則可能成千上萬。該公司專門出售針對MongoDB NoSQL資料庫管理系統的資料庫即平臺服務。此次洩露的資料包括電子郵件地址、雜湊密碼以及其它一些客戶賬戶資訊。

但此次洩露事故的核心在於,攻擊者已經有能力入侵受害者的Amazon Web Services S3儲存賬戶並獲取對一部分MongoHQ客戶資料庫的訪問權。這次資料洩露於去年十月被正式發現,發生原因是與該公司內部支援應用程式相關的安全控制機 制失效。該公司表示,某位員工在已被攻破的個人賬戶中輸入了密碼,問題由此產生。正如安全專家們一再提醒的,安全裝置配置失當以及基礎性安全機制失效很可 能引發嚴重的違規情況。

5. Evernote資料洩露

移動資料儲存企業Evernote於去年三月發現其系統遭遇入侵後,旋即對五千萬名使用者的密碼進行了重置。該公司還著手引入雙因素驗證支援方案,旨在幫助使用者在高強度密碼之外利用其它機制驗證自己的身份。

該公司表示安全團隊檢測到的攻擊活動利用綜合性手段嘗試訪問其受限企業網路。安全專家們指出,Evernote強大的事故響應能力證明該公司始終為 洩露狀況做好了充分準備。幸運的是,Evernote利用單向加密、雜湊與salt等機制對密碼進行保護,從而使其內容更加難於破解。

安全專家們提醒稱,企業應該更多地將密碼洩露作為可能發生的潛在狀況,鼓勵使用者採用高強度密碼並考慮使用密碼管理方案。

6. LivingSocial資料洩露

作為一家電子商務新興企業,LivingSocial於去年四月宣佈遭遇資料洩露事故、其旗下的五千萬使用者受到影響。攻擊者得以訪問使用者名稱、密碼、電子郵件地址以及賬戶持有者生日等資料。

安全專家們提醒稱,這一次LivingSocial資料洩露事故的出現為整個業界敲響了警鐘——新興企業由於資金有限往往無力組織起有效的防禦機 制,而由此帶來的潛在風險已經成為安全人員們的共識。大部分企業的運營優先順序依次為核心產品開發、營銷活動投入,最後才是解決安全方面可能存在的差距或者 短板。幸運的是,該公司始終堅持PCI合規性,同時利用隔離網路支撐用於處理信用卡資料的交易支付系統。

7. Drupal.Org資料洩露

人氣開源內容管理系統Drupal在發現自身伺服器存在資料安全違規狀況後,決定對其Drupal.org網站全體使用者的密碼加以重置。Drupal作為一套後端平臺支援著成千上萬的部落格與網站。

根據該公司的說法,攻擊者針對的是安裝在Drupal.org伺服器基礎設施內的第三方軟體所存在的安全漏洞。此次洩露的資料包括使用者名稱、電子郵件 地址、國家資訊以及雜湊密碼。事故於去年五月公佈,受到影響的賬戶持有者數量可能高達百萬。該公司表示自身已經在事故發生後更新了安全措施並改進了其 Apache Web伺服器的保護力度。

8. Facebook資料洩露

去年六月,Facebook披露約有六百萬名使用者由於某種軟體漏洞而在不經意間遭遇電子郵件地址與個人電話號碼外洩。該公司宣稱從資訊洩露狀況發生到最終軟體程式碼錯誤得到修復,中間的間隔時間長達一年之久。

Facebook使用者在下載好友列表中的聯絡人資料時會獲取到原本不應該存在的額外資訊,該公司解釋道。當發現這一安全問題後,Facebook方面在24小時之內就完成了修復工作。

該公司還遭遇過內部安全事故。就在去年二月,Facebook曾檢測到幾位員工的膝上型電腦受到惡意軟體感染,這一偷渡式攻擊專門針對那些訪問過某家已被攻破的移動開發者網站的軟體開發人員。

9. CorporateCarOnline違規事故

作為一家豪華轎車租賃預約軟體製造商,CorporateCarOnline去年九月遭遇嚴重的系統破壞,因此發生個人資訊洩露的客戶數量超過八十 五萬名。此次違規事故還導致成千上萬信用卡資訊曝光,其中不乏一些名人。另外,這一事故還凸顯出某些非結構化資料的敏感特性,警醒我們客戶的個人行為與日 常工作都可能成為攻擊者可資利用的素材。

攻擊者們利用一項Adobe ColdFusion當中存在的安全漏洞獲取了對資料的訪問權。此次事故昭示了與第三方供應商合作處理敏感資料所帶來的潛在風險,同時也提醒我們需要不斷維護系統並更新最新安全補丁。

10. Zendesk資料洩露

Zendesk是一家專門為各類線上企業提供客戶支援入口網站的公司。根據該公司的說法,此次安全違規導致數千位Twitter、Tumblr以及Pinterest的使用者遭遇郵件地址及支援資訊外洩。

據稱,此次事故發生於去年二月,最初由某家第三方供應商的失誤所引發、但旋即產生連鎖效應,並最終導致該公司向使用者發出警告、提醒稱其電子郵件地址以及某些個人資料面臨潛在風險。安全專家們指出,這些資料很可能被惡意人士們用於組織防不勝防的網路釣魚攻擊。