美國眾議院監(jiān)管與政府改革委員會(huì)的報(bào)告稱，該數(shù)據(jù)泄露本是完全可以避免的，是該公司未能完整的給系統(tǒng)打補(bǔ)丁才導(dǎo)致的泄露。

“

Equifax沒能完全理解并緩解其網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

該報(bào)告還證實(shí)，Equifax安全人員未能發(fā)現(xiàn)數(shù)據(jù)滲漏是因?yàn)樗麄冇糜诒O(jiān)視網(wǎng)絡(luò)流量的設(shè)備在19個(gè)月前就因安全證書過期而不工作了。

直到該安全證書最終得到更新，從該公司消費(fèi)者自動(dòng)采訪系統(tǒng)(ACIS)流往某中國IP地址的可疑流量才被發(fā)現(xiàn)。

報(bào)告中稱：Equifax注意到一個(gè)二級IP地址上有額外的可疑流量，該IP地址屬于某德國ISP，但卻租給了中國提供商。這一警報(bào)促使Equifax關(guān)閉了ACIS網(wǎng)頁門戶進(jìn)行緊急維修。ACIS一下線，該網(wǎng)絡(luò)攻擊也就停止了。

“

缺乏領(lǐng)導(dǎo)和問責(zé)令過程失靈，使工具疏于維護(hù)，讓策略形同虛設(shè)。

7月31日，證書更新后兩天，該公司首席信息官 David Webb 向首席執(zhí)行官 Richard Smith通告了此事，但直到9月才向公眾披露該數(shù)據(jù)泄露事件。之后8天，Webb和Smith被解雇。

監(jiān)管與政府改革委員會(huì)這份長達(dá)96頁的報(bào)告總結(jié)道：Equifax沒能完全理解并緩解其網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。但凡該公司此前曾采取措施解決其顯而易見的安全問題，數(shù)據(jù)泄露事件都可以被避免。

ACIS是承自1970年代的老舊系統(tǒng)了，最初的攻擊途徑就是作為ACIS前端的 Apache Struts Web 服務(wù)器上一個(gè)未修復(fù)的漏洞。

“

Equifax沒檢測到數(shù)據(jù)滲漏，因?yàn)橛糜诒O(jiān)視ACIS網(wǎng)絡(luò)流量的設(shè)備因安全證書過期已經(jīng)19個(gè)月沒啟動(dòng)了。2017年7月29日，Equifax更新了該證書，立即注意到了可疑網(wǎng)絡(luò)流量。

——Adrian Sanabria (@sawaba) 2018年12月11日

滲透測試公司NopSec策略副總裁 Adrian Sanabria 列出了Equifax的各種IT安全失誤：

Equifax的全球威脅與漏洞管理團(tuán)隊(duì)(GTVM)向400多名內(nèi)部員工推送了Struts警報(bào)。就像很多公司所做的一樣，Equifax也就該漏洞召開了內(nèi)部會(huì)議。警報(bào)郵件在該漏洞被披露2天后就發(fā)出了，并指示該漏洞應(yīng)在48小時(shí)內(nèi)打上補(bǔ)丁，但會(huì)議是在郵件發(fā)出后一周才召開。

警報(bào)郵件都在那兒了，為什么要在修復(fù)時(shí)限過去5天以后才開會(huì)商討修復(fù)事宜？因?yàn)樗麄兦宄緵]人會(huì)去修復(fù)。

“

無論如何，他們沒有測試這一規(guī)則，所以攻擊中也沒有觸發(fā)。測試你的控制措施！太多安全控制措施都是只部署不測試了，這很令人驚悚。

即便如此，該公司還是花了2個(gè)多月才最終打上補(bǔ)丁，但那個(gè)時(shí)候其系統(tǒng)已經(jīng)被完全滲透，尤其是攻擊者找到一個(gè)含有公司48個(gè)數(shù)據(jù)庫明文用戶名及口令的老文件之后。

為什么Equifax不通報(bào)該滲漏情況？老實(shí)說，大多數(shù)公司都沒有設(shè)置線上數(shù)據(jù)滲漏檢測。

但是，19個(gè)月，這也太夸張了。這是因?yàn)闆]人正式負(fù)責(zé)內(nèi)部證書管理工作。對一個(gè)擁有1.7萬個(gè)可路由IP的公司而言，或許內(nèi)部證書管理責(zé)任是塊燙手山芋吧。

還不僅僅是證書過期問題。數(shù)據(jù)泄露發(fā)生當(dāng)時(shí)，Equifax還有至少324個(gè)SSL證書是過期的。

他們可能有做一些SSL檢查，所以證書很重要。但他們不應(yīng)該僅僅依賴包檢測技術(shù)。

即使不解密流量，他們也應(yīng)該注意到有大量數(shù)據(jù)流向了中國和德國的服務(wù)器，而且是從平時(shí)不會(huì)往這些目的地址發(fā)送大量數(shù)據(jù)的源發(fā)出的。僅僅網(wǎng)絡(luò)流量這一條就應(yīng)引起注意了。

總之，證書更新后，Equifax立即注意到了攻擊，證明他們確實(shí)擁有可以檢測的工具。

縱觀整份Equifax數(shù)據(jù)泄露報(bào)告，可以總結(jié)出3點(diǎn)：

1. 員工注意到了缺陷；

2. 存在恰當(dāng)?shù)倪^程、工具和策略；

3. 缺乏領(lǐng)導(dǎo)和問責(zé)令過程失靈，使工具疏于維護(hù)，讓策略形同虛設(shè)。

雖然Equifax的安全人員使用了掃描器來探測其 Apache Struts 的漏洞，該工具卻配置錯(cuò)誤，未能有效發(fā)現(xiàn)漏洞。且僅僅掃描根目錄和異常檢測是不夠的，安全人員沒有測試他們的措施和對策。

Equifax總共犯了34個(gè)控制與過程錯(cuò)誤導(dǎo)致數(shù)據(jù)泄露?？赡苤恍杵渲?個(gè)控制措施和過程做對了就能避免這場數(shù)據(jù)泄露。其他29個(gè)左右可以盡早檢測到數(shù)據(jù)泄露情況，留出時(shí)間加以阻止。

Equifax報(bào)告：

https://oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdf

本文轉(zhuǎn)自安全牛，nana

原文鏈接：https://mp.weixin.qq.com/s/5u1_I3UNYWti7Rpj76NTfw