Hallo Habr! Wir alle erinnern uns an das Auslaufen personenbezogener Daten aus Equifax-Datenbanken (145,5 Millionen Kunden). Ein Jahr später, im August 2018, veröffentlichte das GAO
(The Government Accountability Office, abgekürzt GAO), das Prüfungs-, Bewertungs- und Analyse-Untersuchungsgremium des US-Kongresses , den Bericht „Maßnahmen, die Equifax und die Bundesbehörden als Reaktion auf ergriffen haben the 2017 Breach “können
Sie hier lesen . Ich werde nur Auszüge machen, die mir interessant erschienen, und ich hoffe, sie werden für die Leser interessant sein.
Equifax - ein Kreditbüro. Es ist neben Experian und TransUnion eine der drei größten Kreditagenturen in den Vereinigten Staaten (zusammen werden sie als „Big Three“ bezeichnet).
Das Büro verfügt über eine Basis von mehr als 280,2 Millionen Kreditverläufen von Einzelpersonen und 749.000 Kreditverläufen von juristischen Personen.
Zeitleiste
Alle Informationen als Ganzes waren vor einem Jahr bekannt, aber ich möchte noch einmal durch die Hauptphasen des Angriffs gehen. Hier möchte ich auf die Behandlung des Informationssicherheitsvorfalls achten.
Am 10. März 2017 haben Angreifer über das Internet zugängliche Dienste auf bestimmte Sicherheitslücken überprüft, die US-CERT zwei Tage zuvor gemeldet hatte. Sicherheitsanfälligkeit in Apache Struts Web Framework (CVE-2017-5638,
https://investor.equifax.com/news-and-events/news/2017/09-15-2017-224018832 ). Die Sicherheitsanfälligkeit wurde auf dem Portal gefunden, mit dem Bürger Dokumente hochladen können, die die Richtigkeit / Richtigkeit von Equifax-Kreditberichten in Frage stellen. Mithilfe spezieller Software konnten Angreifer die Sicherheitsanfälligkeit ausnutzen und unbefugten Zugriff auf das Portal erhalten. Daten wurden zu diesem Zeitpunkt nicht gestohlen.
Am 13. Mai 2017 begann der Datendiebstahl. Nachdem das Portal kompromittiert worden war, schickten Angreifer Anfragen an andere Datenbanken, um nach wertvollen Informationen zu suchen. So fanden sie ein Repository mit persönlichen Daten sowie unverschlüsselten Anmeldungen und Passwörtern, die den Zugriff auf andere Datenbanken ermöglichten. Insgesamt wurden etwa 9.000 Anfragen von böswilligen Benutzern gesendet. Einige der Antworten auf diese Anfragen betrafen personenbezogene Daten. Angreifer verwendeten vorhandene verschlüsselte Kommunikationskanäle, um Anforderungen und Befehle zu maskieren. Durch die Verwendung vorhandener verschlüsselter Kommunikationskanäle konnten sich Angreifer in einem normalen Netzwerkstrom verlieren und unbemerkt bleiben. Nach dem erfolgreichen Extrahieren von Informationen aus Equifax-Datenbanken wurden diese in kleinen Teilen nach außen übertragen, ohne sich vom allgemeinen verschlüsselten Verkehr abzuheben. Der Angriff dauerte 76 Tage, bis er entdeckt wurde.
Am 29. Juli 2017 stellten Experten für Informationssicherheit, die eine routinemäßige Überprüfung des Zustands der IT-Infrastruktur durchführten, einen Eingriff in das Portal fest. Das Eindringen wurde festgestellt, als die Überprüfung des verschlüsselten Datenverkehrs begann. Es wurden Befehle entdeckt, die nicht Teil des Standardsystembetriebs sind. Bis zu diesem Datum wurde der verschlüsselte Datenverkehr nicht von Intrusion Detection-Systemen überprüft, da das Zertifikat abgelaufen ist und kein neues installiert wurde. Darüber hinaus ist das Zertifikat vor 10 Monaten abgelaufen. Es stellt sich heraus, dass der verschlüsselte Datenverkehr 10 Monate lang nicht überprüft wurde. Nachdem Experten die Penetration festgestellt hatten, blockierten sie die IP-Adressen, von denen Anfragen gesendet wurden.
Am 30. Juli 2017 entdeckte die Abteilung für Informationssicherheit zusätzliche verdächtige Aktivitäten. Es wurde beschlossen, den Zugriff des Internets auf das Portal zu sperren.
Am 31. Juli 2017 informierte CISO den CEO über den Vorfall.
2. August - 2. Oktober 2017 Equifax leitete eine Untersuchung ein, um festzustellen, wie viele Daten gestohlen wurden und wie viele Personen von diesem Leck betroffen sind. Wir haben die Protokolle von Systemen untersucht, die nicht von Eindringlingen beschädigt oder gelöscht wurden. Den Protokollen zufolge versuchten Experten, die Abfolge der Aktionen von Angreifern zu reproduzieren, um festzustellen, welche Daten kompromittiert wurden. Am 2. August teilte das Unternehmen dem FBI das Leck mit.
Faktoren, die den Angriffserfolg beeinflussen
Nachfolgend sind diese Faktoren aus dem Bericht aufgeführt:
- Identifizierung Die Sicherheitsanfälligkeit von Apache Struts wurde nicht identifiziert. US-CERT hat eine Benachrichtigung über eine neue Sicherheitsanfälligkeit in Apache Struts gesendet, die an Systemadministratoren weitergeleitet wurde. Die Mailingliste war veraltet, und diejenigen, die an der Aktualisierung / dem Patchen beteiligt waren, haben diesen Brief nicht erhalten. Equifax behauptet außerdem, eine Woche nach Bekanntwerden der Sicherheitsanfälligkeit Ressourcen gescannt zu haben, und der Scanner hat diese Sicherheitsanfälligkeit im Portal nicht gefunden.
- Erkennung Mit dem abgelaufenen Zertifikat konnten Angreifer unbemerkt bleiben. Equifax verfügt über ein Intrusion Detection-System, das abgelaufene Zertifikat ermöglichte jedoch keine Überprüfung des verschlüsselten Datenverkehrs.
- Segmentierung Die Datenbanken waren nicht voneinander isoliert und segmentiert. Angreifer konnten auf Datenbanken zugreifen, die nicht mit dem Portal zusammenhängen (Penetrationspunkt).
- Data Governance Datenverwaltung bedeutet, den Zugriff auf geschützte Informationen, einschließlich Konten (Anmeldungen \ Kennwörter), einzuschränken.
Es wurde außerdem festgestellt, dass es an Mechanismen mangelt, um die Häufigkeit von Datenbankabfragen zu begrenzen. Auf diese Weise konnten Angreifer etwa 9000 Anforderungen ausführen, viel mehr als für den normalen Betrieb erforderlich.
Maßnahmen ergriffen
Leider wurde nichts wirklich enthüllt, folgende Maßnahmen wurden festgestellt:
- Es wird ein neuer Prozess angewendet, um Patches / Updates für Software zu identifizieren und anzuwenden sowie die Installation dieser Patches zu steuern.
- Es wird eine neue Datenschutzrichtlinie für Daten und Anwendungen angewendet.
- Neue Tools werden verwendet, um den Netzwerkverkehr ständig zu überwachen.
- Zusätzliche Regeln zum Einschränken des Zugriffs zwischen internen Servern sowie zwischen externen und internen Servern wurden hinzugefügt.
- Es wird ein zusätzliches Schutzwerkzeug für Endgeräte verwendet, das Konfigurationsverletzungen erkennt, potenzielle Kompromissindikatoren (IoC) bewertet und Systemadministratoren automatisch über erkannte Schwachstellen benachrichtigt.
Maßnahmen von Kunden der Equifax-Hauptregierung
Die wichtigsten Regierungskunden von Equifax:
- US Internal Revenue Service (IRS);
- US-amerikanische Sozialversicherungsbehörde - Social Security Administration (SSA);
- Der United States Postal Service (USPS) ist der United States Postal Service.
Maßnahmen von Kunden der Hauptregierung von Equifax:
- Von diesem Leck betroffene Kunden werden identifiziert und benachrichtigt.
- Es wurden unabhängige Bewertungen der Equifax-Schutzmaßnahmen durchgeführt (zur Einhaltung dieses NIST-Dokuments höchstwahrscheinlich https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf ).
- überarbeitete Vereinbarungen mit Equifax bezüglich der Benachrichtigung bei Undichtigkeiten;
- Änderungen wurden an den Verfahren zur Identifizierung der Bürger vorgenommen;
- kurzfristige Verträge mit Equifax über neue Dienstleistungen gekündigt.
Implikationen und Kosten des Büros
Unten sind die Ergebnisse gefunden:
- CIO und CSO feuerten mit dem schönen amerikanischen Link "sofort wirksam".
- Entlassen den CEO, der seit 2005 in dieser Position Link ist .
- Equifax hat derzeit rund 243 Millionen Dollar für rechtliche Fragen ausgegeben, neue Sicherheitsüberwachungsdienste, die Kunden kostenlos angeboten werden, und 8 Staaten haben zusätzliche Anforderungen an das Linkbüro gestellt.