Bonjour, Habr! Nous nous souvenons tous de la fuite de données personnelles des bases de données d'Equifax (145,5 millions de clients). Un an plus tard, en août 2018, le GAO
(The Government Accountability Office, en abrégé GAO) est l'organisme d'audit, d'évaluation et d'analyse-enquête du Congrès américain) a publié le rapport «Actions prises par Equifax et les agences fédérales en réponse à la Brèche 2017 », vous pouvez le
lire ici . Je ne ferai que des extraits qui m'ont paru intéressants et, je l'espère, seront intéressants pour les lecteurs.
Equifax - un bureau de crédit. Elle est l'une des trois plus grandes agences de crédit aux États-Unis avec Experian et TransUnion (collectivement, elles sont appelées les «Big Three»).
Le bureau a une base de plus de 280,2 millions d'historique de crédit de particuliers et de 749 000 antécédents de crédit d'entités juridiques.
Chronologie
Toutes les informations dans leur ensemble étaient connues il y a un an, mais je veux encore une fois parcourir les principales étapes de l'attaque. Ici, je veux faire attention au traitement de l'incident de sécurité de l'information.
Le 10 mars 2017, les attaquants ont analysé les services accessibles depuis Internet à la recherche de vulnérabilités spécifiques, signalées par US-CERT 2 jours plus tôt. Vulnérabilité dans Apache Struts Web Framework (CVE-2017-5638,
https://investor.equifax.com/news-and-events/news/2017/09-15-2017-224018832 ). La vulnérabilité a été trouvée sur le portail, ce qui permet aux citoyens de télécharger des documents contestant l'exactitude / l'exactitude des rapports de crédit Equifax. À l'aide de logiciels spécialisés, les attaquants ont pu exploiter la vulnérabilité et obtenir un accès non autorisé au portail. Les données n'ont pas été volées à ce moment-là.
Le 13 mai 2017, le vol de données a commencé. Une fois le portail compromis, les attaquants ont envoyé des demandes à d'autres bases de données à la recherche d'informations précieuses. Ils ont donc trouvé un référentiel contenant des données personnelles ainsi que des identifiants et des mots de passe non cryptés, qui donnaient accès à d'autres bases de données. Au total, environ 9 000 demandes ont été envoyées par des utilisateurs malveillants, certaines des réponses à ces demandes concernaient des données personnelles. Les attaquants ont utilisé les canaux de communication chiffrés existants pour masquer les demandes et les commandes. L'utilisation de canaux de communication cryptés existants a permis aux attaquants de se perdre dans un flux réseau normal et de passer inaperçus. Après avoir réussi à extraire des informations des bases de données d'Equifax, elles ont été transmises en petites portions à l'extérieur, sans se démarquer du trafic crypté général. L'attaque a duré 76 jours jusqu'à sa découverte.
Le 29 juillet 2017, des experts en sécurité de l'information, effectuant un contrôle de routine de l'état de l'infrastructure informatique, ont découvert une intrusion sur le portail. La pénétration a été détectée lorsque le trafic crypté a commencé à être inspecté. Des commandes ont été découvertes qui ne faisaient pas partie du fonctionnement standard du système. Jusqu'à cette date, le trafic chiffré n'était pas inspecté par les systèmes de détection d'intrusion car le certificat avait expiré et un nouveau n'était pas installé. De plus, le certificat a expiré il y a 10 mois, il s'avère que le trafic crypté n'a pas été inspecté depuis 10 mois. Après avoir détecté une pénétration, les experts ont bloqué les adresses IP à partir desquelles les demandes ont été envoyées.
Le 30 juillet 2017, le service de la sécurité de l'information a découvert une activité suspecte supplémentaire, il a été décidé de bloquer l'accès d'Internet au portail.
Le 31 juillet 2017, CISO a informé le PDG de l'incident.
2 août - 2 octobre 2017 Equifax a lancé une enquête, essayant de déterminer combien de données ont été volées et combien de personnes cette fuite affectera. Nous avons étudié les journaux des systèmes qui n'ont pas été endommagés ou supprimés par des intrus. Selon les journaux, les experts ont tenté de reproduire la séquence d'actions des attaquants pour déterminer quelles données étaient compromises. Le 2 août, la société a informé le FBI de la fuite.
Facteurs affectant le succès d'une attaque
Voici ces facteurs du rapport:
- Identification La vulnérabilité d'Apache Struts n'a pas été identifiée. US-CERT a envoyé une notification concernant une nouvelle vulnérabilité dans Apache Struts, elle a été redirigée vers les administrateurs système. La liste de diffusion était obsolète et les personnes impliquées dans la mise à jour / correction n'ont pas reçu cette lettre. Equifax prétend également avoir analysé les ressources une semaine après avoir pris connaissance de la vulnérabilité, et le scanner n'a pas trouvé cette vulnérabilité sur le portail.
- Détection Le certificat expiré a permis aux attaquants de passer inaperçus. Equifax possède un système de détection d'intrusion, mais le certificat expiré ne permettait pas l'inspection du trafic crypté.
- Segmentation Les bases de données n'étaient pas isolées \ segmentées les unes des autres, les attaquants ont pu accéder à des bases de données qui ne sont pas liées au portail (point de pénétration).
- Gouvernance des données La gestion des données implique de restreindre l'accès aux informations protégées, y compris les comptes (identifiants \ mots de passe).
Il a également été noté qu'il y avait un manque de mécanismes pour fixer des limites à la fréquence des requêtes de base de données. Cela a permis aux attaquants de traiter environ 9 000 requêtes, beaucoup plus que ce qui est requis pour un fonctionnement normal.
Mesures prises
Malheureusement, rien n'a vraiment été révélé, les mesures suivantes ont été notées:
- un nouveau processus est appliqué pour identifier et appliquer les correctifs / mises à jour pour les logiciels, ainsi que pour contrôler l'installation de ces correctifs;
- une nouvelle politique de protection des données et des applications est appliquée;
- de nouveaux outils sont utilisés pour surveiller en permanence le trafic réseau;
- Des règles supplémentaires pour restreindre l'accès entre les serveurs internes, ainsi qu'entre les serveurs externes et les serveurs internes, ont été ajoutées;
- un outil de protection supplémentaire pour les terminaux est utilisé qui détecte les violations de configuration, évalue les indicateurs potentiels de compromis (IoC) et informe automatiquement les administrateurs système des vulnérabilités détectées.
Mesures prises par les principaux clients du gouvernement d'Equifax
Les principaux clients gouvernementaux d'Equifax:
- US Internal Revenue Service (IRS);
- Administration de la sécurité sociale des États-Unis - Administration de la sécurité sociale (SSA);
- Le United States Postal Service (USPS) est le United States Postal Service.
Mesures prises par les principaux clients du gouvernement d'Equifax:
- Les clients concernés par cette fuite sont identifiés et notifiés.
- des évaluations indépendantes des mesures de protection d'Equifax ont été effectuées (pour la conformité très probablement avec ce document du NIST https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf );
- accords révisés avec Equifax concernant la notification en cas de fuite;
- modifications des procédures d'identification des citoyens;
- annulé des contrats à court terme avec Equifax concernant de nouveaux services.
Les conséquences et les dépenses du bureau
Voici les résultats trouvés:
- CIO et CSO ont tiré avec le magnifique lien américain "efficace immédiatement".
- Licencié le PDG, qui occupe ce poste depuis 2005 lien .
- Equifax a dépensé environ 243 millions de dollars en ce moment pour des questions juridiques, de nouveaux services de surveillance de la sécurité offerts gratuitement aux clients, et 8 États ont imposé des exigences supplémentaires au bureau de liaison .