Geekly articles weekly

Equifax: setahun setelah kebocoran data terbesar

Halo, Habr! Kita semua ingat kebocoran data pribadi dari basis data Equifax (145,5 juta pelanggan). Setahun kemudian, pada bulan Agustus 2018, GAO (Kantor Akuntabilitas Pemerintah, disingkat GAO) adalah audit, penilaian, dan badan investigasi analitis dari Kongres AS) mengeluarkan laporan "Tindakan yang Diambil oleh Equifax dan Agen Federal sebagai Tanggapan terhadap Pelanggaran 2017 ”, Anda dapat membacanya di sini . Saya hanya akan membuat kutipan yang tampak menarik bagi saya, dan, saya harap, akan menarik bagi pembaca.

Equifax - biro kredit. Ini adalah salah satu dari tiga agen kredit terbesar di Amerika Serikat bersama dengan Experian dan TransUnion (secara kolektif mereka disebut "Tiga Besar"). Biro memiliki basis lebih dari 280,2 juta sejarah kredit individu dan 749 ribu sejarah kredit badan hukum.



Garis waktu


Semua informasi secara keseluruhan diketahui setahun yang lalu, tetapi saya masih ingin sekali lagi berjalan melalui tahap utama serangan. Di sini saya ingin memperhatikan penanganan insiden keamanan informasi.

Pada 10 Maret 2017, penyerang memindai layanan yang dapat diakses dari Internet untuk kerentanan tertentu, yang dilaporkan US-CERT 2 hari sebelumnya. Kerentanan dalam Kerangka Web Apache Struts (CVE-2017-5638, https://investor.equifax.com/news-and-events/news/2017/09-15-2017-224018832 ). Kerentanan ditemukan di portal, yang memungkinkan warga untuk mengunggah dokumen yang menantang keakuratan / kebenaran laporan kredit Equifax. Dengan menggunakan perangkat lunak khusus, penyerang dapat mengeksploitasi kerentanan dan mendapatkan akses tidak sah ke portal. Data tidak dicuri saat itu.

Pada 13 Mei 2017, pencurian data dimulai. Setelah portal dikompromikan, penyerang mengirim permintaan ke database lain untuk mencari informasi berharga. Jadi mereka menemukan repositori dengan data pribadi bersama dengan login dan kata sandi yang tidak terenkripsi, yang memberikan akses ke database lain. Secara total, sekitar 9.000 permintaan dikirim oleh pengguna jahat, beberapa respons terhadap permintaan ini adalah dengan data pribadi. Penyerang menggunakan saluran komunikasi terenkripsi yang ada untuk menutupi permintaan dan perintah. Menggunakan saluran komunikasi terenkripsi yang ada memungkinkan penyerang tersesat dalam aliran jaringan normal dan tidak diperhatikan. Setelah berhasil mengekstraksi informasi dari basis data Equifax, informasi itu dikirim dalam porsi kecil ke luar, tidak menonjol dari lalu lintas terenkripsi umum. Serangan itu berlangsung 76 hari sampai ditemukan.

Pada 29 Juli 2017, para pakar keamanan informasi, yang melakukan pemeriksaan rutin terhadap kondisi infrastruktur TI, menemukan gangguan pada portal tersebut. Penetrasi terdeteksi ketika lalu lintas terenkripsi mulai diperiksa. Perintah ditemukan yang bukan bagian dari operasi standar sistem. Sampai tanggal itu, lalu lintas terenkripsi tidak diperiksa oleh sistem deteksi intrusi karena sertifikat kadaluwarsa dan yang baru tidak diinstal. Selain itu, sertifikat berakhir 10 bulan lalu, ternyata lalu lintas terenkripsi tidak diperiksa selama 10 bulan. Setelah mendeteksi penetrasi, para ahli memblokir alamat IP dari mana permintaan dikirim.

Pada 30 Juli 2017, departemen keamanan informasi menemukan aktivitas mencurigakan tambahan, diputuskan untuk memblokir akses dari Internet ke portal.
Pada 31 Juli 2017, CISO memberi tahu CEO tentang kejadian tersebut.

2 Agustus - 2 Oktober 2017 Equifax meluncurkan penyelidikan, mencoba menentukan berapa banyak data yang dicuri dan berapa banyak orang yang akan terpengaruh oleh kebocoran ini. Kami mempelajari log sistem yang tidak rusak atau dihapus oleh penyusup. Menurut log, para ahli mencoba mereproduksi urutan tindakan penyerang untuk menentukan data apa yang dikompromikan. Pada 2 Agustus, perusahaan memberi tahu FBI tentang kebocoran tersebut.

Faktor-Faktor yang Mempengaruhi Keberhasilan Serangan


Berikut adalah faktor-faktor dari laporan ini:

  • Identifikasi Kerentanan Apache Struts belum diidentifikasi. US-CERT mengirim pemberitahuan tentang kerentanan baru di Apache Struts, itu dialihkan ke administrator sistem. Milis sudah ketinggalan zaman, dan mereka yang terlibat dalam memperbarui / menambal tidak menerima surat ini. Equifax juga mengklaim telah memindai sumber daya seminggu setelah menyadari kerentanan, dan pemindai tidak menemukan kerentanan ini di portal.
  • Deteksi Sertifikat yang kadaluwarsa memungkinkan penyerang tidak diperhatikan. Equifax memiliki sistem deteksi intrusi, tetapi sertifikat yang kadaluwarsa tidak mengizinkan inspeksi lalu lintas terenkripsi.
  • Segmentasi Basis data tidak terisolasi \ tersegmentasi satu sama lain, penyerang bisa mendapatkan akses ke database yang tidak terkait dengan portal (titik penetrasi).
  • Tata Kelola Data Manajemen data menyiratkan pembatasan akses ke informasi yang dilindungi, termasuk akun (login \ kata sandi).

    Selain itu juga dicatat bahwa ada kurangnya mekanisme untuk menetapkan batas pada frekuensi permintaan basis data. Ini memungkinkan penyerang untuk menyelesaikan sekitar 9000 permintaan, lebih dari yang dibutuhkan untuk operasi normal.

Tindakan diambil


Sayangnya, tidak ada yang benar-benar terungkap, langkah-langkah berikut dicatat:

  • proses baru diterapkan untuk mengidentifikasi dan menerapkan tambalan / pembaruan untuk perangkat lunak, serta untuk mengontrol instalasi tambalan ini;
  • kebijakan perlindungan data dan aplikasi baru diterapkan;
  • alat baru digunakan untuk memonitor lalu lintas jaringan secara konstan;
  • Aturan tambahan untuk membatasi akses antara server internal, serta antara server eksternal dan server internal, ditambahkan;
  • alat perlindungan tambahan untuk perangkat akhir digunakan yang mendeteksi pelanggaran konfigurasi, mengevaluasi indikator potensial kompromi (IoC), dan secara otomatis memberi tahu administrator sistem tentang kerentanan yang terdeteksi.

Tindakan yang diambil oleh Pelanggan Utama Pemerintah Equifax


Pelanggan utama pemerintah Equifax:

  • US Internal Revenue Service (IRS);
  • Administrasi Jaminan Sosial AS - Administrasi Jaminan Sosial (SSA);
  • Layanan Pos Amerika Serikat (USPS) adalah Layanan Pos Amerika Serikat.

Tindakan yang dilakukan oleh Pelanggan Utama Equifax Pemerintah:

  • Klien yang terkena dampak kebocoran ini diidentifikasi dan diberi tahu.
  • evaluasi independen terhadap langkah-langkah perlindungan Equifax telah dilakukan (untuk kepatuhan kemungkinan besar dengan dokumen NIST ini https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf );
  • perjanjian revisi dengan Equifax tentang pemberitahuan jika terjadi kebocoran;
  • perubahan dilakukan pada prosedur untuk mengidentifikasi warga negara;
  • membatalkan kontrak jangka pendek dengan Equifax mengenai layanan baru.

Implikasi dan biaya biro


Di bawah ini adalah hasil yang ditemukan:

  • CIO dan CSO menembak dengan tautan frase Amerika yang indah "langsung efektif".
  • Memberhentikan CEO, yang telah berada di posisi ini sejak 2005 link .
  • Equifax telah menghabiskan sekitar $ 243 juta saat ini untuk masalah hukum, layanan pemantauan keamanan baru yang ditawarkan kepada pelanggan secara gratis, dan 8 negara telah menempatkan persyaratan tambahan pada biro tautan .

Source: https://habr.com/ru/post/id428009/

More articles:


All Articles