Hola Habr! Todos recordamos la filtración de datos personales de las bases de datos de Equifax (145,5 millones de clientes). Un año después, en agosto de 2018, la GAO
(The Government Accountability Office, abreviada GAO) es el organismo de auditoría, evaluación y análisis e investigación del Congreso de los EE. UU.) Publicó el informe "Acciones tomadas por Equifax y agencias federales en respuesta a The Breach 2017 ”, puedes
leerlo aquí . Solo haré extractos que me parecieron interesantes y espero que sean interesantes para los lectores.
Equifax: una agencia de crédito. Es una de las tres agencias de crédito más grandes en los Estados Unidos junto con Experian y TransUnion (colectivamente se les llama los "Tres Grandes").
La oficina tiene una base de más de 280.2 millones de historiales crediticios de personas y 749 mil historiales crediticios de personas jurídicas.
Cronograma
Toda la información en su conjunto se conocía hace un año, pero aún quiero volver a caminar por las etapas principales del ataque. Aquí quiero prestar atención al manejo del incidente de seguridad de la información.
El 10 de marzo de 2017, los atacantes escanearon servicios accesibles desde Internet en busca de vulnerabilidades específicas, que US-CERT informó 2 días antes. Vulnerabilidad en el marco web Apache Struts (CVE-2017-5638,
https://investor.equifax.com/news-and-events/news/2017/09-15-2017-224018832 ). La vulnerabilidad se encontró en el portal, que permite a los ciudadanos subir documentos que desafían la precisión / exactitud de los informes de crédito de Equifax. Mediante el uso de software especializado, los atacantes pudieron explotar la vulnerabilidad y obtener acceso no autorizado al portal. Los datos no fueron robados en ese momento.
El 13 de mayo de 2017, comenzó el robo de datos. Después de que el portal se vio comprometido, los atacantes enviaron solicitudes a otras bases de datos en busca de información valiosa. Entonces encontraron un repositorio con datos personales junto con inicios de sesión y contraseñas sin cifrar, que daban acceso a otras bases de datos. En total, aproximadamente 9,000 solicitudes fueron enviadas por usuarios maliciosos, algunas de las respuestas a estas solicitudes fueron con datos personales. Los atacantes utilizaron canales de comunicación cifrados existentes para enmascarar solicitudes y comandos. El uso de canales de comunicación encriptados existentes permitió a los atacantes perderse en un flujo de red normal y pasar desapercibido. Después de extraer con éxito la información de las bases de datos de Equifax, se transmitió en pequeñas porciones al exterior, sin sobresalir del tráfico encriptado general. El ataque duró 76 días hasta que fue descubierto.
El 29 de julio de 2017, expertos en seguridad de la información, al realizar una verificación de rutina del estado de la infraestructura de TI, descubrieron una intrusión en el portal. La penetración se detectó cuando el tráfico encriptado comenzó a ser inspeccionado. Se descubrieron comandos que no formaban parte del funcionamiento estándar del sistema. Hasta esa fecha, los sistemas de detección de intrusos no inspeccionaban el tráfico encriptado porque el certificado expiró y no se instaló uno nuevo. Además, el certificado expiró hace 10 meses, resulta que el tráfico encriptado no fue inspeccionado durante 10 meses. Tras detectar la penetración, los expertos bloquearon las direcciones IP desde las cuales se enviaron las solicitudes.
El 30 de julio de 2017, el departamento de seguridad de la información descubrió actividad sospechosa adicional, se decidió bloquear el acceso de Internet al portal.
El 31 de julio de 2017, CISO informó al CEO del incidente.
2 de agosto - 2 de octubre de 2017 Equifax lanzó una investigación, tratando de determinar cuántos datos fueron robados y a cuántas personas afectará esta filtración. Estudiamos los registros de sistemas que no fueron dañados o eliminados por intrusos. Según los registros, los expertos intentaron reproducir la secuencia de acciones de los atacantes para determinar qué datos estaban comprometidos. El 2 de agosto, la compañía notificó al FBI de la fuga.
Factores que afectan el éxito del ataque
A continuación se detallan estos factores del informe:
- Identificación No se ha identificado la vulnerabilidad de Apache Struts. US-CERT envió una notificación sobre una nueva vulnerabilidad en Apache Struts, que fue redirigida a los administradores del sistema. La lista de correo estaba desactualizada, y los involucrados en la actualización / parcheo no recibieron esta carta. Equifax también afirma haber escaneado recursos una semana después de darse cuenta de la vulnerabilidad, y el escáner no encontró esta vulnerabilidad en el portal.
- Detección El certificado vencido permitió a los atacantes pasar desapercibidos. Equifax tiene un sistema de detección de intrusos, pero el certificado vencido no permitió la inspección del tráfico encriptado.
- Segmentación Las bases de datos no estaban aisladas \ segmentadas entre sí, los atacantes pudieron obtener acceso a bases de datos que no están relacionadas con el portal (punto de penetración).
- Gobierno de datos La gestión de datos implica restringir el acceso a la información protegida, incluidas las cuentas (inicios de sesión / contraseñas).
También se observó que faltan mecanismos para establecer límites en la frecuencia de las consultas a la base de datos. Esto permitió a los atacantes completar aproximadamente 9000 solicitudes, mucho más de lo que se requiere para el funcionamiento normal.
Acción tomada
Desafortunadamente, nada se reveló realmente, se observaron las siguientes medidas:
- se aplica un nuevo proceso para identificar y aplicar parches / actualizaciones para el software, así como para controlar la instalación de estos parches;
- Nuevas políticas de protección de datos y aplicaciones aplicadas
- Se utilizan nuevas herramientas para monitorear constantemente el tráfico de la red;
- Se agregaron reglas adicionales para restringir el acceso entre servidores internos, así como entre servidores externos e internos;
- Se utiliza una herramienta de protección adicional para dispositivos finales que detecta violaciones de configuración, evalúa posibles indicadores de compromiso (IoC) y notifica automáticamente a los administradores del sistema sobre las vulnerabilidades detectadas.
Acciones tomadas por los clientes principales del gobierno de Equifax
Los principales clientes gubernamentales de Equifax:
- Servicio de Impuestos Internos de los Estados Unidos (IRS);
- Administración del Seguro Social de los Estados Unidos - Administración del Seguro Social (SSA);
- El Servicio Postal de los Estados Unidos (USPS) es el Servicio Postal de los Estados Unidos.
Medidas tomadas por los principales clientes gubernamentales de Equifax:
- Los clientes afectados por esta fuga son identificados y notificados.
- se han llevado a cabo evaluaciones independientes de las medidas de protección Equifax (para el cumplimiento de este documento NIST https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf );
- acuerdos revisados con Equifax con respecto a la notificación en caso de fugas;
- se hicieron cambios a los procedimientos para la identificación de ciudadanos;
- canceló contratos a corto plazo con Equifax con respecto a nuevos servicios.
Implicaciones y gastos de la oficina.
A continuación se encuentran los resultados encontrados:
- CIO y CSO dispararon con la hermosa frase estadounidense "efectiva de inmediato".
- Descartó el CEO, que ha estado en esta posición desde 2005 enlace .
- Equifax ha gastado alrededor de $ 243 millones en este momento en asuntos legales, nuevos servicios de monitoreo de seguridad que se ofrecen a los clientes de forma gratuita, y 8 estados han colocado requisitos adicionales en la oficina de enlaces .